Cyber-sécurité : une priorité nationale… qui se heurte à la réalité budgétaire

Les annexes au projet de loi de finances pour 2015, qu’a publiées récemment le gouvernement (lire à partir de la page 30), font ressortir le dilemme dans lequel se trouve plongée l’Anssi (Agence nationale de la sécurité des systèmes d’information) : si elle bénéficie d’efforts budgétaires importants – reflétant la volonté de la France de faire de la cyber-défense une priorité nationale -, la mise en œuvre de sa politique se heurte, dans les ministères, au manque de moyens de ces derniers.

Dans un document répertoriant l’avancée de différents projets portant sur la performance de l’administration, le gouvernement livre l’évolution d’un indicateur mesurant la maturité globale des différents ministères en matière de cyber-sécurité. Le constat est sans appel : alors que l’Etat prévoyait de parvenir à une note de 3,8 sur 5 en 2014, il n’a atteint que 3,4. Désormais, le gouvernement espère parvenir à un indice de 3,6 en 2017, à comparer à 3,1 en 2013.

Un critère qui passe après les coûts

Cet indicateur, calculé sur la base d’un guide méthodologique et d’un questionnaire établis par l‘ANSSI en collaboration avec les RSSI ministériels, reste à un niveau « insuffisant », reconnaît le gouvernement. En cause selon ce dernier : « l’insuffisance de ressources financières et humaines dans les ministères, l’évolution de la menace, l’ouverture des systèmes d’information (utilisateurs extérieurs à l’administration, nomadisme, …) et le fait que le critère de la sécurité passe généralement loin derrière ceux des coûts et de la facilité d’usage dans les investissements ou dans l’affectation de ressources humaines ». D’où une projection assez prudente de l’évolution de cet indicateur d’ici à 2017. « Selon le degré de prise en compte de la cyber-défense dans les ministères, cette cible pourra être dépassée ou au contraire non atteinte », précise le document. Traduction en langage clair : l’Anssi est aujourd’hui dans le brouillard quant à la prise en compte réelle de la « priorité nationale » au sein des ministères.

Et ce même si tout n’est pas forcément noir. Les responsables de la sécurité informatique au sein des ministères signalent ainsi l’accroissement des homologations de systèmes ou la mise en œuvre de plus en plus fréquente de plans de continuité et de reprise d’activité (PCA et PRA).

Le retard pris par les ministères s’affiche également dans un autre indicateur, suivant le niveau d’avancement des grands projets interministériels en matière de sécurité des systèmes d’information. Même s’il faut considérer cet indice avec des pincettes, puisque ce dernier vient d’être réévalué pour tenir compte de l’accroissement des besoins, lié notamment à l’évolution des cyber-menaces. Les grands projets ministériels (raccordement des passerelles au centre gouvernemental de détection des attaques informatiques, déploiement des systèmes d’information sécurisés comme le réseau téléphonique Rimbaud ou l’intranet Isis, utilisation des produits certifiés Anssi) doivent être achevés à 81 % en fin d’année. Le gouvernement s’est fixé pour objectif de parvenir à 85 % l’année prochaine. Et à 89 % en 2017.

Si l’Anssi doit donc composer avec les autres priorités ministérielles – à commencer par les réductions de budget -, l’agence elle-même bénéficie d’investissements importants. Elle représente plus de la moitié des budgets de personnel et des efforts d’investissement gérés par le SGDSN (secrétariat général de la défense et de la sécurité nationale), auquel elle est rattachée. Une proportion appelée à encore augmenter, explique le gouvernement.