Face aux risques croissants en matière de cybersécurité, les députés ont adopté, dans le cadre de l'examen de la loi de programmation militaire, plusieurs dispositions pour renforcer le rôle de l'Agence nationale de sécurité des systèmes d'information (ANSSI), malgré des inquiétudes exprimées par la Nupes en matière de libertés publiques.
Quel équilibre le législateur doit-il trouver entre impératifs de sécurité et libertés fondamentales ? C'est sur cette question que se sont conclus les débats, en première lecture, de la prochaine loi de programmation militaire (LPM), jeudi 1er juin, avant le vote qui aura lieu sur l'ensemble du texte, mercredi 7 juin, dans l'hémicycle de l'Assemblée nationale.
Après l'adoption de la trajectoire budgétaire vendredi 26 mai, les députés ont terminé l'examen du projet de loi, prévoyant 413 milliards d'euros sur la période 2024-2030, afin de renforcer la dissuasion nucléaire, d'augmenter les ressources humaines, et de préparer les armées françaises au retour de la guerre à "haute intensité", ainsi qu'à l'émergence de nouveaux champs de conflictualité (espace, fonds marins, cyber).
Face aux cyberattaques se maintenant à un niveau de "menace élevée", selon un rapport de l'Agence nationale de la sécurité des systèmes d'information, la prochaine programmation militaire prévoit, selon le rapport annexé à l'article 2, "poursuivre le développement d'une cyberdéfense de premier plan". 4 milliards d'euros de la LPM sont chiffrés à cet effet.
Concrètement, le titre V du projet de loi vise à renforcer la sécurité des systèmes d'information en renforçant et en élargissant les prérogatives de l'Agence nationale de sécurité des systèmes d'information (ANSSI), une agence créée en 2009 et rattachée aux services du Premier ministre, notamment chargée de protéger les opérateurs d'importance vitale (OIV).
Par les articles 32 à 35, le projet de loi ouvre ainsi la voie à la possibilité pour l'ANSSI de prendre des mesures jugées nécessaires à la place des titulaires de noms de domaines, comme la suspension de l'accès à ceux-ci ou la réorientation vers des serveurs sécurisés. Pour "garantir la défense et la sécurité nationale", l'ANSSI peut également recevoir des "données techniques non-identifiantes" et utiliser des "dispositifs de marqueurs techniques", afin de limiter le risque d'attaques informatiques.
Sur les bancs de la Nupes, ce renforcement des prérogatives de l'ANSSI suscite de nombreuses inquiétudes. Pour Ugo Bernalicis (La France insoumise), "les nouvelles prérogatives de l'ANSSI ressemblent vachement à ce qu'on fait pour le renseignement". Les inquiétudes ont également été renforcées par le rattachement administratif et politique de l'ANSSI, via le Secrétariat à la Sécurité et à la Défense nationale (SGDSN), aux services du Premier ministre, faisant craindre un "risque de séparation des pouvoirs", selon Jérémie Iordanoff (Ecologiste).
Mélanie Thomin (Socialistes) a, quant à elle, insisté sur la nécessité que "ce renforcement des pouvoirs ne [puisse] être mis en œuvre sans apporter un cadre équilibré afin de fixer les limites que devra respecter l’administration dans le plus strict respect des droits et des libertés", notamment en plaidant pour un renforcement du rôle de l'Autorité de régulation des communications électroniques (Arcep).
En retour, la rapporteure de cette partie du projet de loi, Sabine Thillaye (Démocrate), a plaidé pour une nécessaire "flexibilité" face à l'évolution des menaces informatiques. Une ligne appuyée par le ministre délégué chargé de la Transition numérique et des Télécommunications, Jean-Noël Barrot, qui a défendu un "cadre [...] proportionné à l'objectif suivi."
A l'issue de l'examen du projet de loi, le ministre des Armées, Sébastien Lecornu, ainsi que le rapporteur du texte pour la commission de la défense, Jean-Michel Jacques (Renaissance), ont salué le travail de l'Assemblée nationale sur le projet de loi de programmation militaire qui fera l'objet d'un vote mercredi prochain à 15h, avant d'être transmis au Sénat.