Texte de la question
M. Arnaud Leroy attire l'attention de M. le ministre des affaires étrangères et du développement international sur l'information transmise par le site The Intercept qui indique que l'entreprise Gemalto a subi, en 2010, des attaques informatiques par les services secrets britanniques et américains. Au-delà de la question légitime de savoir comment une attaque de ce genre peut se produire entre pays alliés et de plus entre pays membres de l'Union européenne, la question de la prévention des risques liés à l'espionnage industriel se pose. En effet, il existe de nombreuses entreprises françaises qui ont des positions majeures sur des secteurs sensibles (carte à puce, réseau internet, armement, data center), et il semble confirmé que les attaques liées à des services secrets étrangers ou à des entreprises tiers se multiplient. S'il est évident que la sécurité doit être une préoccupation tout d'abord de l'entreprise elle-même, il est aussi nécessaire que les services de l'État prennent toutes la mesure de tous les risques liés à ces attaques afin de protéger les entreprises exerçant sur son territoire, ses intérêts, et ceux des citoyens. Il souhaite connaître tout d'abord la position de la France sur l'attaque dont a été victime l'entreprise franco-néerlandaise Gemalto, mais aussi savoir quelles sont les mesures envisagées, dans les limites de la divulgation permise sur des sujets sensibles comme celui-ci, par les services de l'État pour préserver les intérêts français.
Texte de la réponse
La France, consciente des risques accrus dans le domaine de la cybersécurité s'est engagée depuis plusieurs années dans un renforcement de ses capacités nationales de sécurité et de défense de ses systèmes d'information comme en témoigne la création en 2009 d'une Agence nationale de sécurité des systèmes d'information qui soutient activement l'industrie nationale de cybersécurité. Les mesures législatives votées en décembre 2013 par le Parlement permettent de renforcer significativement la sécurité des systèmes d'information des opérateurs d'importance vitale. Sur le plan européen, la négociation en cours du paquet législatif relatif à la protection des données personnelles est pour la France une réforme majeure, qui devra garantir un haut degré de protection des données personnelles, renforcer la confiance dans la numérique et relever les défis de la mondialisation et des nouvelles technologies. La France se réjouit des différents accords partiels obtenus depuis 2014 et espère vivement qu'un accord global pourra être atteint en 2015, conformément au voeu du Conseil européen. En outre, la France veille à ce que les données personnelles restent exclues de toute négociation commerciale et soutient un renforcement des règles européennes de sécurité des communications électroniques. La France prend une part active aux discussions sur une proposition de directive de l'UE en matière de sécurité des réseaux et de l'information, texte qui fait aujourd'hui l'objet de discussions avancées entre le Parlement et le Conseil. L'importance de cette initiative a d'ailleurs été rappelée à l'occasion du Conseil européen informel du 12 février 2015. Les autorités françaises se sont prononcées en faveur d'une inclusion des « services internet » dans le champ d'application de ce texte et d'un principe de coopération entre Etats membres. Il est prévu qu'un certain nombre d'opérateurs économiques auront l'obligation de notifier les incidents informatiques significatifs. Le texte en discussion devrait également introduire la possibilité pour l'autorité nationale de cybersécurité ou pour des prestataires qualifiés de conduire des audits réguliers, et permettre le cas échéant de sanctionner le non-respect des dispositions.