Intervention du Premier ministre sur la cyberdéfense et la sécurité numérique de l'État

Bien, merci de vous être rendu disponible pour cette visite importante.

On le voit bien, on parle beaucoup de guerre hybride ou de mesures ou de menaces hybrides depuis maintenant quelques années, singulièrement d'ailleurs depuis 2022. C'est-à-dire comment, au fond, s'en prendre aux infrastructures de l'État, comment détourner parfois certains objets qui pourraient être jadis militarisés à des fins civiles ? Et donc, on le voit bien, tant le chantage énergétique que les menaces cyber s'imposent de plus en plus dans le paysage français.

La situation est assez grave, pour être honnête. Heureusement, elle ne concerne pas les données classifiées de l'État, notamment les données les plus importantes du ministère des Armées. Mais il est clair que depuis maintenant 10 ans ou 15 ans, beaucoup de moyens ont été mis pour protéger ce qui était très sensible. Et les fonctions numériques traditionnelles - je vais y revenir - ont été particulièrement délaissées. On a, depuis le début de l'année 2026, énormément d'intrusions informatiques, de vols de données. J'en dirai un mot dans un instant sur la nature même des adversaires qui s'en prennent aux différentes infrastructures de l'État. Mais enfin, globalement, on est sur quelque chose, comme depuis le début de l'année, comme 3 vols de données par jour. Et on a parfois du mal à se donner une idée de la quantité de ce que cela peut représenter. Mais quand on dit qu'un million, par exemple, de données a pu être prélevées ou volées, ça correspond à quelque chose comme 10 semi-remorques sur un cambriolage traditionnel dans lequel, au fond, un casse du siècle aurait eu lieu avec des données qui partent à l'étranger, ou sur le dark web.

On est donc sur un casse du siècle, mais qui a pratiquement lieu tous les mois. Et donc ça dit quelque chose de nos vulnérabilités, ça dit quelque chose de nos fragilités, sur lesquelles, effectivement, il nous faut réagir. On a des adversaires qui sont assez déterminés, de plusieurs natures, de plusieurs profils. Les États, évidemment : pas besoin de les citer, mais enfin, on sait tous la menace particulière que la Russie fait peser, mais pas seulement. Des menaces qui sont particulières, qui tiennent à de l'espionnage. C'est assez classique, c'est assez ancien, comme pendant la guerre froide. Des menaces désormais aussi qui sont de plus en plus tournées vers du sabotage. On se rappelle tous les menaces qui ont pu peser il y a quelque temps sur nos hôpitaux, sur nos barrages hydroélectriques, récemment en Pologne sur des infrastructures de production d'énergie, avec des infrastructures qui sont parfois très vulnérables, ou en tout cas qui peuvent l'être, si rien n'est fait. Le contrôle aérien, par exemple, les plans de circulation des feux rouges dans les communes. Bref, autant de sensibilité qu'il est important de traiter.

On a aussi, évidemment, une cybercriminalité, des groupes criminels qui agissent de plus en plus. On connaît tout ce qui concerne le rançonnage, qui permet aussi d'alimenter un trafic de data sur un marché parallèle. Et puis, des loups solitaires. Vous l'avez vu, sans doute, les enquêteurs et l'autorité judiciaire ont encore réussi à remonter, notamment pour ce qui concerne l'attaque que nous avons connue ici à l'ANTS, des profils qui sont des profils individuels de gens qui, soit pour des raisons financières, soit pour des raisons politiques, soit pour des raisons aussi parfois d'égo et de reconnaissance de leur « talent », je mets des guillemets, ou de leur performance, se mettent à disposition.

La difficulté, c'est qu'il y a quelques années, la menace étatique était dissociée de la menace criminelle, elle était elle-même dissociée de ces individus qui agissaient seuls. Et désormais, on a une instrumentalisation complètement horizontale de cela. On peut avoir beaucoup de perméabilité entre ces différents acteurs. Et donc, ça rend l'adversité beaucoup plus forte. C'est ce qui explique aussi la multiplication, évidemment, de ces attaques depuis le début de l'année. Les objectifs peuvent être d'ailleurs très différents. Politique, je le disais, déstabilisation de l'État. Et puis, il faut être honnête, un marché parallèle aussi de la data commence à s'organiser, y compris parfois des fins économiques. Et donc c'est quelque chose qui est extraordinairement préoccupant.

Le diagnostic, aussi, est simple. Les fonctions numériques des différents ministères ont plutôt été parfois délaissées budgétairement ces dernières années. Je tiens à dire que les équipes de l'État sont de très grande qualité. Enfin les agents sont très engagés, on les a rencontrés, Madame la directrice générale, avec vous. Mais enfin, il est vrai que beaucoup de systèmes datent des années 90. Il faut dire aussi la vérité : la révision générale des politiques publiques dans les années 2000 a souvent conduit à ce que les fonctions numériques soient complètement délaissées, y compris dans les très grands ministères. Et donc, au fond, on a une dette numérique assez importante. Parfois, il peut y avoir des fautes individuelles ou des failles, mais il faut être honnête, c'est rare. Et souvent, le problème, il est structurel. Il n'est pas individuel ou conjoncturel.

Évidemment, c'est ce qui doit nous appeler à avoir une réaction assez forte, avec beaucoup d'obsolescence aussi, dans un monde dans lequel les capacités d'attaque, eux, sont très vivantes. Et donc évidemment, si ces obsolescences, elles, ne sont pas traitées, c'est autant évidemment de vétustés, si j'ose dire, numériques qu'il nous faut traiter.

Il y a des ministères qui sont plus fragiles que d'autres. C'est le sens aussi de la présence par exemple du ministre de l'Éducation nationale, parce que la dette numérique, pour le coup, elle est importante. Et le ministre, je sais lui, son action est en train d'essayer de la résorber. C'est vrai de Bercy, qui est pour le coup historiquement un ministère solide sur le terrain numérique. Mais on revient aussi au fait que le ministère fait l'objet d'une attention plus particulière par les cyber-attaquants. Puis après, des grands ministères régaliens, l'Intérieur, ou même celui que j'ai eu l'honneur de piloter comme le ministère des Armées, plus on est sur le cœur régalien, plus c'est protégé, plus on est tranquille. Plus on s'écarte du cœur régalien, les cartes grises en étant un bon exemple, je trouve, plus évidemment, les fragilités sont là et il nous faut effectivement les réparer.

Alors, on va mettre plusieurs types de solutions sur la table, parce qu'évidemment, il faut réagir. Il y a des éléments de stratégie qui ont déjà été développés. Je n'y reviens pas. La première des choses, c'est redonner un rôle beaucoup plus clair à chacun. On connaît tous l'ANSSI. Le patron est ici. L'ANSSI, ce sont au fond des pompiers et des policiers qui sont là pour détecter, qui sont là pour attribuer, qui sont là pour donner des solutions de réparation en centrale, mais de manière aussi en proximité, avec des acteurs d'ailleurs autant publics que privés, y compris les différentes entreprises. Mais ce n'est pas le boulot de l'ANSSI que de veiller à ce que les architectures numériques des ministères soient de qualité. Ce n'est pas le boulot du policier ou du pompier que de construire la maison sécurisée des datas numériques.

Et donc on va procéder à une réforme que, d'ailleurs, David AMIEL avait commencé à traiter dans ses fonctions de ministre délégué précédemment. C'est de fusionner DINUM et DITP, d'aller plus loin qu'une fusion et en faire une vraie autorité numérique de l'État, placée directement auprès du Premier ministre pour s'assurer qu'une bonne fois pour toutes, on ait une infrarouge qui soit standardisée. En clair, il y en a partout. C'est un « jardin à l'anglaise ». Beaucoup de choses sont bien faites, mais dans une forme de désorganisation désormais qui est dangereuse. Et puis pour être honnête, certains ministères auront de la capacité à réagir. D'autres ministères plus petits n'auront pas justement cette profondeur pour réagir. Et donc il nous faut impérativement remettre de l'ordre en la matière.

La deuxième des choses, c'est remettre des moyens. 200 millions d'euros vont être débloqués dès la semaine prochaine. Je les prends sur les crédits de France 2030, dans les tensions budgétaires que nous connaissons, notamment pour investir, parce qu'on a besoin aussi d'applications. Alors jadis, dans le langage courant, on aurait pu parler d'antivirus. C'est toute la question aussi de l'intelligence artificielle, la question de la cryptographie, évidemment, post quantique. Au fond, on n'est pas en retard, on n'est pas en avance, mais il ne faudrait pas grand-chose pour qu'on soit en retard. Et donc là, on a un besoin d'investissement important, avec en plus des acteurs, des PME, des chercheurs, des ingénieurs, des techniciens qui sont français, et pour lequel il faut impérativement fixer cette connaissance rapidement sur le territoire.

On va également procéder à une petite réforme que le ministre AMIEL mettra en œuvre dans le cadre du projet de loi de finances pour l'année prochaine. C'est que nous allons affecter l'ensemble des amendes de la CNIL à un fonds de modernisation des infrastructures numériques. C'est une forme de pollueur-payeur, pardon de le présenter comme ça et dans lequel l'ensemble des amendes, l'année dernière c'est quelque chose comme 500 millions d'euros, un demi milliard d'euros. Donc on est sur des sommes qui sont tout à fait considérables, mais au moins que cet argent-là ne reparte pas dans le budget général de l'État, même si c'en est pas gênant, mais là, au contraire, on va faire un effet de levier pour obliger les différents ministères, et donc les différents ministres aussi, à regarder cette affaire de près, pour être capable de remettre un tout petit peu d'argent sur la table. Je donne un chiffre de comparaison, même s'il n'est pas raison : la plupart des entreprises françaises consacrent quelque chose comme 10 % de leur budget global aux infrastructures numériques. L'État en est davantage proche de 1 % que des 10 %.

Donc là, on a un enjeu d'accélération. Et on a des contraintes budgétaires, vous les connaissez. Pour autant, on touche à des sujets qui sont très sensibles et sur lesquels, évidemment, il ne faut pas attendre.

Le troisième volet, c'est d'accélérer sur la doctrine de protection. J'avais signé cette stratégie 2026-2030. On le voit bien : on a un enjeu de clarification de qui fait quoi. Quand vous êtes cambriolé chez vous, il est clair pour tout le monde que vos portes, vos fenêtres, votre système d'alarme, il est pour vous. Il n'est dans l'esprit de personne de se dire : c'est à l'État, à la société, c'est au contribuable de payer mes serrures et mes portes. Et en même temps, vous êtes cambriolé ou vous voulez prévenir un cambriolage, vous faites le 17 et l'État apporte évidemment une solution régalienne. Puis si vous avez été cambriolé, malheureusement, l'enquête judiciaire, etc. C'est exactement pareil pour la gestion des données. Et notamment pour, par exemple, les données d'état civil dans les mairies, 35 000 mairies en France. Les hôpitaux, qui sont des organes en tant que tels qui, certes, sont publics, mais sont fondamentalement décentralisés dans une communauté hospitalière et juridique qui est propre, sui generis. Pareil pour un certain nombre d'entreprises.

Et donc là, évidemment, on a un rôle et un enjeu importants de bien clarifier le rôle de chacun. Qu'est-ce qui dépend d'un investissement propre et qu'est-ce que l'État doit prendre en charge ?

La deuxième des choses, c'est que j'ai donné des instructions aux différents services de sécurité de l'État pour nous attaquer nous-mêmes. Je tiens à préciser qu'évidemment, on ne peut pas faire n'importe quoi. Mais enfin, on a un moment dans lequel il faut qu'on stresse nos vulnérabilités. Et plutôt que d'attendre de voir comment un adversaire peut le faire, autant le faire nous-mêmes avec nos propres capacités. Et ça va nous permettre très très vite d'identifier les axes importants. Il y a des fuites qui sont graves et des fuites qui ne sont pas graves. Je le dis aussi. Parfois, certaines fuites sont des données, ce que je disais dans la réunion précédente, des données qu'on aurait pu trouver dans le bottin jadis. Bon, je ne dis pas que c'est bien, mais enfin, ce n'est pas la même chose que, par exemple, les données de Parcoursup, qui sont des données dans lesquelles des gens viennent marquer justement leur désir d'orientation, ce qu'ils savent faire, ce qu'ils veulent faire. Par définition, ce sont des données qui peuvent intéresser un service étranger, de toutes les évidences. Donc là, on est évidemment sur une doctrine qu'il nous faut affiner.

Troisième des choses, avancer sur l'intelligence artificielle, y compris pour les tests, mais aussi pour ce qu'on appelle l'IA de vulnérabilité. Je n'y reviens pas ici, mais c'est un sujet d'autant plus important qu'il appelle aussi quelques réflexions en matière d'autonomie stratégique européenne sur le sujet pour éviter les dépendances américaines. Et puis enfin, je demandais aussi à ce qu'on ait de vrais scénarios de crise, de black-out numérique notamment, en se disant : si nous étions dans une rupture complète de déni d'accès, qu'est-ce qui se passe ? Si nous avions par exemple aussi une administration américaine qui décidait de nous priver d'un certain nombre d'outils, parce que beaucoup de choses sont quand même sous licence américaine, à la différence de la plupart de nos systèmes d'armes militaires qui, eux, sont en maîtrise d'ouvrage complètement française, c'est moins net sur les sujets civils, c'est le moins que l'on puisse dire. Et donc là, on a besoin aussi d'avoir un plan en la matière.

Mais je veux vraiment conclure en remerciant la mobilisation des agents, singulièrement de cette agence, Monsieur le ministre, Madame la directrice générale, parce qu'il y a vraiment un attachement au service public très important, avec des gens qui sont mobilisés pour faire en sorte que tout redémarre dans les meilleures des conditions. Et donc, au contraire, le sens de cette visite était un sens d'encouragement, mais en disant que tout ce qui s'était passé ici, désormais, devait aussi avoir un droit de suite et d'appeler des solutions qui sont des solutions structurelles et non pas des réponses d'urgence conjoncturelles.