EXAMEN EN COMMISSION
Réunie le mercredi 29 janvier 2025, sous la présidence de M. Cédric Perrin, président, la commission des affaires étrangères, de la défense et des forces armées a procédé à l'examen du rapport de Mme Sylvie Goy-Chavent sur le projet de loi n° 166 (2024-2025) autorisant l'approbation de l'accord portant création du Centre de développement des capacités cyber dans les Balkans occidentaux (C3BO).
Mme Sylvie Goy-Chavent, rapporteur. - Le projet de loi qui vous est soumis aujourd'hui a pour objet l'accord, signé à Tirana le 16 octobre 2023 entre la France, le Monténégro et la République de Slovénie, relatif à la création du Centre de développement des capacités cyber dans les Balkans occidentaux (C3BO). Je le rappelle, les pays des Balkans occidentaux sont : le Monténégro, l'Albanie, la Serbie, la Macédoine du Nord, la Bosnie-Herzégovine, le Kosovo.
Le concept de cyberespace, apparu dans les romans de science-fiction des années 1980, est aujourd'hui entré dans notre quotidien et, avec lui, la menace des multiples « scénarios catastrophe » auxquels il est exposé.
Pour dépeindre les différents types d'attaquants, on parle d'ordinaire de « hackers à chapeau noir, gris ou blanc », selon que leurs intentions sont plus ou moins malveillantes. Ce monde hétérogène est principalement constitué de trois catégories d'agresseurs : tout d'abord les agresseurs étatiques ou assimilés, particulièrement chevronnés et offensifs, conduisant une guerre hybride qui n'épargne pas la France ; ensuite des cybercriminels, qui ciblent désormais l'ensemble du tissu social - PME, établissements de santé, particuliers... - ; et, enfin, les « hacktivistes », qui conduisent, pour des raisons militantes, des attaques cyber qu'ils jugent légitimes à défaut d'être légales.
La montée en puissance de cette menace est devenue une préoccupation majeure, notamment pour les démocraties, particulièrement visées. À l'échelle mondiale, le coût des attaques cybercriminelles est estimé aujourd'hui à 9 220 milliards de dollars et pourrait atteindre en 2029 15 630 milliards de dollars, un peu plus que le PIB de la Chine...
Cette intensification de la menace s'explique par plusieurs évolutions particulièrement alarmantes.
D'abord, sur le dark web, sont mis à disposition des cybercriminels des kits d'agression clefs en main, grâce auxquels lancer un rançongiciel de manière automatisée et récupérer en bitcoins la rançon extorquée est devenu à la portée d'un internaute de niveau moyen.
Par ailleurs, des prestataires spécialisés se sont développés, proposant à leurs clients, le plus souvent étatiques, des outils de piratage élaborés, des analyses ciblées des vulnérabilités ou bien des offres d'expertise personnalisées.
L'intelligence artificielle, qui permet de concevoir ou de contrefaire un site, un courriel, une photo ou encore une voix, mais aussi de mieux cibler les victimes, s'est également mise au service des cybercriminels pour élaborer des attaques de plus en plus sophistiquées.
Enfin, je souhaite insister sur le fait que nous sommes maintenant confrontés à un milieu de mieux en mieux structuré, qui constitue un véritable écosystème de la cybercriminalité, avec des forums permettant l'échange de données, l'achat de logiciels malveillants, mais aussi des liens vers des prestataires de cyberattaque ou des circuits de blanchiment...
Face à ces menaces, les parades possibles reposent pour l'essentiel sur les politiques de prévention et de formation, afin de sensibiliser un public le plus large possible aux bonnes pratiques de sécurisation.
C'est dans cet objectif qu'a été créé, en novembre 2022, le C3BO, implanté à Podgorica, au Monténégro. Sur le modèle des écoles nationales à vocation régionale, implantées essentiellement en Afrique, le Centre délivre des formations à la cybersécurité et à la lutte contre la cybercriminalité, et favorise le partage des bonnes pratiques.
Son budget annuel s'élève à 1,05 million d'euros, essentiellement supporté par la partie française, avec une participation de 870 000 euros, soit 83 % du budget total - j'y reviendrai -, contre 100 000 euros pour la Slovénie et 80 000 euros pour le Monténégro.
Le Centre dispense, à titre gratuit - j'y reviendrai également -, des formations thématiques d'une semaine, au bénéfice tant des services de police et des magistrats que des administrations et des militaires. Il a délivré, en 2023, année de sa mise en service, 5 formations ; en 2024, il est monté en puissance, avec 21 formations, destinées à 400 stagiaires ; en 2025, il atteindra sa vitesse de croisière avec 31 formations, soit près de huit mois de cours, qui bénéficieront à quelque 600 stagiaires. Il propose également un cursus universitaire de haut niveau et diplômant.
Pour la diplomatie française, l'enjeu du C3BO est triple.
Tout d'abord, bien sûr, il présente un enjeu de cybersécurité. Du fait de leur insuffisante culture de cybersécurité, les pays des Balkans occidentaux sont particulièrement vulnérables : on l'a vu avec l'offensive perpétrée par la Russie contre le Monténégro, en 2022, en raison de sa position dans le conflit ukrainien, et avec celle qui a été lancée par l'Iran à l'encontre de l'Albanie, la même année, en représailles à l'hospitalité accordée aux moudjahidin du peuple. Or relève de l'intérêt général, y compris de celui de la France, de renforcer la cyber-résilience de nos partenaires, afin d'éviter toute compromission, par rebond, de notre propre cyberespace. Cette même problématique se pose avec une acuité particulière dans le cadre de l'Organisation du traité de l'Atlantique Nord (Otan), et explique que, en même temps que la France et la Slovénie, les États-Unis se préoccupent de la cybersécurité des Balkans occidentaux au point d'installer également au Monténégro un centre cyber, doté de missions complémentaires à celles du C3BO.
En second lieu, la région des Balkans occidentaux constitue un enjeu géostratégique majeur : dans un contexte où le processus d'adhésion à l'Union européenne de ces pays est particulièrement lent, voire en panne, leur enthousiasme proeuropéen a tendance à s'émousser et ouvre la brèche à un réel découragement, volontiers attisé par des influences étrangères. Or, plus que jamais, il est important pour la stabilité de la région d'y entretenir un tropisme européen et atlantiste. En juillet 2023, l'excellent rapport d'information de nos collègues Cigolotti, Conway-Mouret, Fournier et Gréaume invitait la France et l'Union européenne à « consolider l'intégration européenne des Balkans occidentaux en diversifiant et en intensifiant leur présence dans cette région ». À cet égard, le C3BO est porteur d'un signal d'autant plus fort qu'il permet également, en améliorant le niveau de cyber-résilience des Balkans occidentaux, de les rapprocher des standards de l'Union européenne, notamment de la directive NIS 2 (Network and Information Security).
Le troisième enjeu pour la France est un enjeu de soft power : forte de ses compétences, qui lui permettent de se positionner à l'échelle internationale comme une puissance cyber de premier rang, responsable, coopérative et solidaire, la France tire de son rôle cyberdiplomatique un bénéfice réputationnel important, en Europe comme en Afrique. Avec un rayonnement régional, qui ne manquera pas de rejaillir sur la France, le C3BO viendra assurément consolider cette image.
Je précise que l'objet de cet accord est d'autoriser non pas la création du C3BO, ce qui ne nécessiterait aucune validation par le Parlement, mais sa transformation en organisation internationale. Ce statut devrait permettre de renforcer la sécurité juridique du Centre en lui conférant une personnalité juridique internationale, dotée d'un conseil d'administration, d'une gouvernance et d'un financement spécifiques. La France, la Slovénie et le Monténégro en seraient les membres fondateurs ; les cinq autres pays des Balkans occidentaux ont vocation à en devenir membres et l'accord prévoit en outre qu'ils pourraient être rejoints, le cas échéant, par d'autres pays européens. La future organisation internationale présentera notamment l'avantage, par rapport au format actuel, de permettre un financement par les futurs autres membres et, à terme, par l'Union européenne.
Mes chers collègues, je vous proposerai d'approuver ce texte, qui, en même temps qu'il favorise la montée en puissance d'un établissement phare consacré à la cybersécurité, renforcera la présence française dans une région stratégique.
Cependant, je vous propose d'assortir votre accord de deux recommandations, toutes deux relatives au financement du centre :
- la première, dans le contexte budgétaire dans lequel nous nous trouvons, serait de tendre, pour l'avenir et au fur et à mesure que l'organisation internationale s'enrichira de nouveaux membres, vers une répartition moins déséquilibrée des contributions financières entre les membres ;
- la seconde, dans le même sens, serait que les formations, qui à l'heure actuelle sont dispensées de façon entièrement gratuite, ce qui inclut les frais de transport, d'hébergement et de séjour, soient conditionnées à une participation financière, au moins symbolique, des bénéficiaires.
Ces deux recommandations, sans remettre en cause ni l'ambition du projet ni le rôle pilote joué par la France, me semblent de nature à alléger et à mieux répartir le coût de ce centre. Si vous en êtes d'accord, je les communiquerai au Quai d'Orsay.
Ce texte est également pour moi l'occasion d'émettre ici une suggestion : nous devrions engager une réflexion sur la manière dont notre commission pourrait assurer le suivi de tels organismes, par exemple dans le cadre de l'avis budgétaire sur le programme 105, ou par le biais d'auditions ou de rapports d'activité.
Je vous précise enfin que l'examen en séance publique de cette convention pourrait se tenir au cours de la première quinzaine de février, selon une procédure simplifiée, ce à quoi la Conférence des présidents, de même que votre rapporteur, a souscrit.
Mme Michelle Gréaume. - Vous avez abordé la question de la prise en charge du financement par chaque État membre. Combien cela coûtera-t-il à chacun ?
Mme Sylvie Goy-Chavent, rapporteur. - À l'heure actuelle, la France prend en charge 870 000 euros, la Slovénie 100 000 euros et le Monténégro, qui fournit les locaux, 80 000 euros. L'idée de l'érection du Centre en organisation internationale serait d'élargir ce financement à d'autres membres.
M. Olivier Cadic. - La création de ce centre fait suite à l'attaque subie par le Monténégro à l'été 2022, touchant 17 systèmes et 3 000 ordinateurs dans 10 ministères. L'Agence nationale de la sécurité des systèmes d'information (Anssi) avait été dépêchée sur place pour les aider, dans le cadre de sa première intervention internationale. Il faut se rendre compte de ce qu'est le Monténégro, c'est l'équivalent d'un département français comme la Gironde. Ce pays ne peut pas faire face seul à de telles attaques, surtout que l'attaque émanait de la Russie, qui entendait ainsi punir ce pays parce qu'il rejoignait l'Otan. L'Anssi a donc ainsi pu travailler pour la première fois à l'international et la France a pu aider ces pays à élever leur niveau en la matière.
Combien ces cours représentent-ils en temps homme ? Qui délivre ces formations ? Est-ce l'Anssi ? Est-ce pris sur son budget ? Dans ce cas, nous pourrions le contrôler au travers du programme 129.
Mme Sylvie Goy-Chavent, rapporteur. - Pas du tout, les formateurs appartiennent à la gendarmerie ou sont des formateurs privés. Le budget de l'Anssi n'est pas affecté. Ces crédits relèvent du programme 105.
M. Mickaël Vallet. - La France est à l'initiative de cette organisation internationale et la finance largement. Quelle en sera la langue de travail ? Dans quelles langues les cours sont-ils dispensés ? Je n'ai aucun problème à ce qu'ils ne soient pas donnés en français, mais est-ce donné dans la langue des stagiaires ?
Mme Sylvie Goy-Chavent, rapporteur. - Les cours sont donnés pour l'essentiel en anglais.
M. Mickaël Vallet. - Je glisserais bien une recommandation sur le sujet, en distinguant entre la langue de travail et la langue des cours, afin de favoriser la langue française.
Mme Sylvie Goy-Chavent, rapporteur. - Le niveau des stagiaires est très élevé. Ils parlent tous l'anglais, la langue véhiculaire.
M. Mickaël Vallet. - Mais quelle sera la langue de travail de l'organisation ?
Mme Sylvie Goy-Chavent, rapporteur. - Il y a trois personnes qui s'occupent de la gestion de l'organisation. Je poserai la question pour savoir en quelle langue ils travaillent.
Le projet de loi est adopté sans modification.