Discours du ministre de l'Intérieur Bruno le Roux lors de son audition devant la commission des Lois du Sénat sur le rapport d’audit de sécurité de l’ANSSI et de la DINSIC concernant le Fichier TES, le 15 février 2017
Monsieur le Président,
Mesdames et Messieurs,
Je veux tout d’abord vous remercier de m’avoir invité à m’exprimer devant votre Commission au sujet du rapport d’audit de sécurité réalisé par l’Agence nationale de la Sécurité des Systèmes d’information (ANSSI) et la Direction interministérielle du Numérique et des Systèmes d’information et de communication (DINSIC) sur le fichier TES. À mes yeux, il est en effet très important que, sur un sujet d’intérêt général tel que celui-ci, nous puissions échanger en toute transparence. C’est là une exigence à laquelle je tiens, tout comme mon prédécesseur, désormais Premier ministre.
Bernard CAZENEUVE s’était en effet exprimé devant vous en novembre dernier, pour les raisons que je viens de rappeler, ce qui avait donné lieu à des échanges particulièrement riches et constructifs, notamment sur les conditions de sécurité du système TES.
Face aux interrogations, il avait alors pris deux engagements importants.
Tout d’abord, il s’agissait de faire évoluer les textes pour permettre aux citoyens qui en font la demande de s’opposer au versement de leur empreintes digitales – dont le recueil reste obligatoire, j’y insiste – dans la base de données centralisée TES. Cela ne vaut, je le rappelle, que pour les cartes nationales d’identité, puisque, pour les passeports, le versement est rendu obligatoire par la législation européenne. Je précise également que notre objectif initial, concernant la conservation des empreintes digitales qui seront numérisées pour les CNI, était d'apporter une garantie de protection et de traçabilité équivalente à celle qui est offerte par le système TES, soit un progrès notable par rapport au mode de conservation actuel des documents sous forme papier. Sur ce premier engagement, le travail est aujourd’hui presque achevé. Un projet de décret en Conseil d’Etat a été élaboré et transmis à la CNIL en décembre pour examen.
Le second engagement consistait à faire réaliser un audit du dispositif par les experts reconnus de l’ANSSI et de la DINSIC.
La lettre de mission, arrêtée le 17 novembre, était claire : il s’agissait de concentrer l’expertise : d’une part, sur la protection de l’application TES contre les risques d’intrusion ou de piratage ; et, d’autre part, sur le renforcement du lien unidirectionnel permettant de passer des données alphanumériques aux données biométriques – et non pas l’inverse. Par avance, nous nous étions engagés à rendre public le rapport, de même que nous nous étions engagés à tenir compte de ses conclusions avant toute généralisation du recours à TES pour délivrer des cartes nationales d’identité. La réévaluation de l’homologation du système constituait, à cet égard, une condition sine qua non.
L’ANSSI et la DINSIC ont donc produit un rapport précis et fort éclairant qu’ils m’ont remis le 13 janvier dernier. Conformément à nos engagements en matière de transparence, je l’ai moi-même rendu public dès le 17 janvier, après en avoir retenu les décisions qui s’imposaient.
Les engagements pris par le Gouvernement et par Bernard CAZENEUVE devant le Parlement ont donc été tenus.
Aujourd’hui, je veux donc vous rendre compte de la façon dont nous avons intégré dans notre réflexion les conclusions et les recommandations du rapport de l’ANSSI et de la DINSIC, et vous présenter les décisions que nous avons prises en conséquence.
Je vous le dis d’emblée : les 11 recommandations du rapport de l’ANSSI et de la DINSIC seront pleinement mises en œuvre, dans la mesure où elles s’inscrivent dans la continuité des mesures de sécurisation renforcée du dispositif déjà prises par le ministère de l’Intérieur.
Ces préconisations visent toutes, comme c’était l’objectif, soit à améliorer la sécurité anti-intrusion de l’application, soit à renforcer la protection du lien unidirectionnel. C’est la raison pour laquelle nous les avons retenues et nous allons les mettre en œuvre sans délai.
À cet égard, le rapport souligne deux éléments importants parfaitement complémentaires. Par là même, ils ne sauraient être envisagés indépendamment l’un de l’autre.
D’une part, le rapport établit, de façon explicite, que le système TES est, et je cite, « compatible avec la sensibilité des données qu’il contient », dans son architecture comme dans ses conditions d’usage.
D’autre, part, il conclut que la sécurité du système TES est perfectible. C’est vrai, il faut le reconnaître : TES était perfectible. Et c’est pourquoi nous allons le perfectionner.
Cependant, je veux être clair : même après avoir perfectionné et renforcé la sécurité de TES, dans les prochaines semaines, puis en continu, nous ne pourrons pas prétendre que les risques sont nuls. Car, en ce domaine, le risque zéro n’existe pas, tout simplement.
Pour autant, faut-il renoncer à agir et prendre le risque de paralyser l’action publique ? Je ne le crois pas. Comme le Directeur général de l’ANSSI l’a dit le 18 janvier devant la Commission des Lois de l’Assemblée nationale, il nous faut « renoncer au concept de sécurité absolue », et s’adapter aux menaces selon une démarche de sécurité dynamique.
Et c’est bien là tout l’enjeu de la procédure d’homologation : analyser les risques, déterminer les actions engagées pour réduire ces risques et définir les risques résiduels acceptables. D’ailleurs, et je tiens à le souligner, la question de la sécurité de TES était déjà une préoccupation du ministère de l’Intérieur bien avant novembre dernier, dans une démarche d’évolution progressive des versions de l’application, laquelle date de 2008. Ainsi, à titre d’exemple, un test d’intrusion avait été programmé par l’Agence nationale des titres sécurisés bien avant les débats qui nous occupent, et a été mis en œuvre en novembre 2016.
Le débat engagé à l’automne dernier a permis d’accélérer cette démarche de sécurisation permanente.
C’est bien pourquoi, dans le droit fil des engagements de mon prédécesseur, j’ai décidé, comme je l’ai dit, de conditionner la généralisation du recours à TES pour les CNI à la réévaluation du processus d’homologation.
Toutes les mesures utiles pour réduire ces risques ont été mises en œuvre ou bien sont en train de l’être, sur la base des échanges permanents intervenus durant l’audit entre les services du ministère et les auditeurs de l’ANSSI et de la DINSIC. A l’heure où je vous parle, 94 % des mesures du plan d’action sont achevées. Les 6 % restant correspondent à une mesure qui sera mise en œuvre dès le 28 février prochain.
Aujourd’hui, je souhaite revenir dans le détail sur plusieurs éléments importants du rapport, de telle sorte que nous abordions ce sujet complexe avec précision.
Je veux revenir plus particulièrement sur deux sujets susceptibles d’inquiéter nos concitoyens : le risque d’intrusion et le risque de détournement de notre système.
Je veux d’abord rappeler ce que contient le fichier TES. Il s’agit, outre des pièces justificatives produites pour l'obtention du titre :
Le risque d’intrusion, c’est, concrètement, celui que le système TES soit piraté, et que les données qu’il contient soient exposées à un tiers mal intentionné.
L’objectif est donc de réduire au maximum ce risque. C’est là ce à quoi s’emploie pour partie le plan d’action en cours de mise en œuvre, nourri de l’expérience du test d’intrusion que je viens d’évoquer. Et j’entends bien, à l’avenir, dans le cadre du processus continu d’amélioration de la sécurité de TES, reproduire ce type de démarches. Car il nous faut, en la matière, agir comme en matière de lutte contre la délinquance : tenir compte de l’évolution des moyens qui nous sont opposés pour nous nuire, et, en conséquence, adapter et moderniser constamment nos propres moyens de sécurité. Etre dans la réactivité et l’anticipation permanentes.
J’ajoute, car c’est là un élément fondamental de protection contre l’intrusion, que TES est maintenu à distance des réseaux Internet ouverts au public et qu'il a été élaboré dans une logique de cloisonnement des informations et des opérations. C’est en soi un élément de sécurité très important, de nature à considérablement réduire les risques.
L’autre risque dont il a pu être question, c’est celui du « détournement » de TES à des fins d’identification et non d’authentification.
Conformément à la jurisprudence du Conseil constitutionnel, le Gouvernement n’a jamais souhaité et ne souhaite certainement pas mettre en place un système d’identification systématique, qui reposerait sur la recension exhaustive des données personnelles utiles à la délivrance de titres d’identité. TES permet exclusivement d’authentifier l’identité des personnes à partir de leur nom, et en aucun cas de les identifier à partir de leurs seules données biométriques.
Parce qu’authentifier l’identité revient à s’assurer que la personne qui sollicite la délivrance ou le renouvellement d’un titre est bien la personne connue sous cette identité, et ce par comparaison des données enregistrées sous cette même identité. C’est ainsi que l’on préserve les usagers du risque d’usurpation d’identité.
Le rapport fait donc le point sur le risque de « détournement » de TES à des fins d’authentification.
En premier lieu – et c’est très important – le rapport confirme l’existence d’un lien unidirectionnel entre données alphanumériques et données biométriques. TES ne peut pas être exploité à des fins d’identification, c’est-à-dire en passant des données biométriques aux données alphanumériques.
Dès lors, la nouvelle question qui se pose est la suivante : cette asymétrie est-elle contournable ? Peut-elle être dévoyée ?
Ce que dit le rapport sur ce point crucial est simple : ce n’est qu’en disposant de la clé de déchiffrement de ce lien et en reconstituant une autre base, fiche par fiche et en dehors de TES, que ce risque de dévoiement pourrait apparaître.
Or, toutes les recommandations ont été pleinement entendues et mises en œuvre pour faire obstacle à d’éventuelles tentatives de ce genre. Le chiffrement de ce lien sera renforcé, l’analyse des risques approfondie, et les mécanismes de « défense en profondeur » contre un tel détournement seront eux aussi consolidés, grâce au chiffrement des empreintes numérisées et à la mise en place de mécanismes de détection d’usages anormaux du lien unidirectionnel.
Enfin, je veux souligner un point fondamental, susceptible lui aussi de rassurer nos concitoyens : l’audit a démontré que, depuis la mise en œuvre de TES en 2008, aucun cas de dévoiement de son usage n’a été identifié.
Le rapport note ainsi, vous l’aurez sans doute remarqué, que les usages de TES par les agents de préfecture et ceux de l’Agence nationale des titres sécurisés, le cas échéant à la demande de la Police judiciaire ou bien des autorités judiciaires, sont pleinement conformes aux textes qui régissent ce traitement de données.
Cela doit-il vraiment nous surprendre ? Évidemment que non. Nous sommes dans un État de droit, il y a des lois et des règles précises, et nous les respectons.
Les agents de l’État, et notamment ceux du ministère de l’Intérieur, agissent conformément au droit. C’est là cette vérité simple de l’État de droit que le rapport est aussi venu, s’il en était besoin, nous rappeler. La place Beauvau n’est plus depuis longtemps l’antre de FOUCHÉ – elle ne l’a d’ailleurs jamais été, si l’on veut être conforme à la réalité historique. Encore une fois, les femmes et les hommes du ministère de l’Intérieur sont avant tout des défenseurs de nos lois et de nos libertés publiques.
Les travaux de l’ANSSI et de la DINSIC nous ont donc été très utiles pour faire évoluer TES vers des conditions de sécurité optimales, garantissant un niveau de protection des données personnelles élevé.
D’une manière plus générale, c’est le débat même qui a eu lieu au Parlement qui s’est avéré fort utile. Mais je ne souhaite pas m’en contenter.
Aussi, je souhaite que le ministère de l’Intérieur s’inscrive dans un processus d’amélioration continu de TES, afin que le système bénéficie en permanence d’un niveau de sécurité adapté aux risques, avec une réévaluation à haute fréquence du dispositif. C’est pourquoi j’ai décidé qu’un réexamen aura lieu chaque année, tandis que les services interministériels compétents continueront à accompagner le ministère dans ces travaux absolument indispensables.
J’en viens à présent aux conséquences que les décisions prises emporte pour la réforme dont TES n’est, au fond, que l’outil. Je veux bien sûr parler du « Plan Préfectures Nouvelle génération » (PPNG).
Je souhaite que cette réforme structurelle de l’activité des préfectures et des sous-préfectures – auxquelles je vous sais, Mesdames et Messieurs, très attachés, tout comme moi – puisse être généralisée dans les délais escomptés.
C’est la raison pour laquelle j’ai demandé à ce que la Commission d’homologation se réunisse rapidement, après la remise du rapport, pour se prononcer sur l’analyse des risques et la conformité des mesures de maîtrise de ces risques. Cette réunion a eu lieu le 8 février dernier et m’a permis, au vu de la stratégie de sécurisation et du plan d’action mis en œuvre, de prendre une décision d’homologation : le processus d’homologation de TES au titre de la sécurité des systèmes d’information est, aujourd’hui, achevé.
Dès lors, la généralisation de cette réforme, et l’utilisation de TES pour la délivrance des CNI, interviendront du 20 février au 27 mars prochains, dans les conditions prévues par arrêté ministériel. Ainsi, comme je l’indiquais, l’homologation ne marque pas la fin du processus de sécurisation qui, je le répète, est dynamique, mais elle ouvre la voie à la mise en œuvre de la réforme.
Plusieurs sénateurs se sont d’ailleurs rapprochés de mon cabinet ou de celui du Premier ministre pour prendre connaissance des conditions dans lesquelles ce déploiement allait s’opérer. Pour assurer leur bonne information, j’ai moi-même transmis, le 10 février, aux Présidents du Sénat et de l’Assemblée nationale, l’instruction adressée le 30 janvier dernier aux préfets concernant la mise en œuvre opérationnelle.
Comme c’est déjà le cas depuis le début de l’hiver dans les départements pilotes des Yvelines et de la région Bretagne, nous allons donc pouvoir dématérialiser, sous forme numérique, les échanges entre, d’une part, les mairies, qui accueillent le public, et, d’autre part, les 27 plateformes préfectorales où l’on instruit les demandes de CNI et de passeports, les fameux Centres d’expertise et de ressources titres (CERT).
Par ailleurs, je note que le rapport de l’ANSSI et de la DINSIC confirme sur le plan technique les apports positifs de TES au service des trois grands objectifs de la réforme de la délivrance des CNI portée par le ministère de l’Intérieur dans le cadre du PPNG.
Tout d’abord, cette évolution va soutenir la réforme du service public, dans les communes comme dans les préfectures, en nous faisant gagner en efficacité. Pour ce qui concerne le réseau des préfectures, la réforme des titres dans son ensemble va nous permettre, je le rappelle, de réinvestir un millier d’emplois dans les territoires, sur des missions à forte valeur ajoutée telles que la prévention et la gestion des crises, le conseil juridique et le contrôle de légalité, la lutte contre la fraude ou encore la coordination de l’action de l’État et le développement territorial.
Ensuite, cette réforme apportera un réel bénéfice en termes de simplification des démarches des usagers. Avec les télé-procédures qui accompagnent l’évolution du traitement des CNI vers TES, de nouveaux services pourront être offerts à nos concitoyens : pré-demande en ligne, paiement en ligne du timbre dématérialisé, renouvellement simplifié de la CNI, etc. Cette simplification, que rend possible le recours à TES, s’accompagnera également d’un raccourcissement des délais de délivrance du titre, grâce à la suppression des échanges papiers entre les mairies, les préfectures et les services de production des titres.
Enfin, cette réforme, en s’appuyant sur TES, permettra de renforcer la sécurité des titres délivrés et de réduire les risques de fraude et d’usurpation d’identité. En s’appuyant sur une base centrale d’empreintes numérisées, TES permet en effet de rapprocher les éléments produits, y compris biométriques, lors d’une demande de titre concernant une même identité. Cette opération de rapprochement automatique permet de maîtriser efficacement le risque d’usurpation d’identité. En outre, TES limite les risques de fraude dès lors qu’il permet d’interagir avec des données authentifiées et sécurisées d’état civil.
Mesdames et Messieurs, Bernard CAZENEUVE et moi-même avons, depuis plusieurs mois, fait preuve d’une véritable transparence dans la conduite de ce chantier, avec la volonté de contribuer de manière constructive au débat public sur le sujet. Je crois également, qu’en rendant public le rapport de l’ANSSI et de la DINSIC et en modifiant le décret du 28 octobre 2016, nous avons largement tenu compte des interrogations qui se sont exprimées.
Aujourd’hui, ce sont essentiellement des questions de sécurité des systèmes d’information que j’ai évoquées devant vous. Dans ce domaine, comme l’a indiqué le rapport et comme l’a confirmé le Directeur général de l’ANSSI, il existe et il existera toujours des risques. Ces risques nous conduisent à prendre les mesures adaptées qui permettent de les réduire, de les rendre sinon résiduels, du moins « acceptables ».
Nous luttons contre les risques, j’espère vous avoir rassurés sur ce point, et c’est ainsi que nous pouvons retirer de TES tous les bénéfices que nous en attendons. Ceux qui résultent de la mise en œuvre du PPNG dans le domaine de la délivrance des CNI sont importants, et ils sont incontestables. Nous améliorons l’efficacité du service public. Nous simplifions les démarches que les Français doivent accomplir. Nous renforçons la protection contre les risques de fraude et d’usurpation d’identité. Voilà ce que nous faisons grâce au PPNG et grâce à TES. A cet égard, le retour d’expérience des deux sites-pilotes, dans les Yvelines et en région Bretagne, est extrêmement satisfaisant. Tout cela est donc très prometteur.
C’est précisément la raison pour laquelle je souhaite aller au bout de ce sujet, en poussant l’expertise non seulement sur les recommandations du rapport, mais également sur les orientations de long terme qu’il formule. Parmi des orientations, deux sont significatives : d’une part, le fait de passer d’empreintes digitales brutes à des gabarits, d’autre part, le fait, dans l’hypothèse où nous retiendrions des gabarits, ce qui offre une probabilité de résultats et non un résultat certain, de pouvoir conserver l’intégralité des empreintes digitales dans un fichier distinct de TES. Je suis, pour ne rien pour cacher, très intéressé à connaître les résultats de la première expertise, que j’ai souhaité lancer dès à présent, en étant très attentif à son impact sur notre action en matière de lutte contre la fraude et, surtout, à ses conséquences pour l’autorité judiciaire, qui est la première utilisatrice des empreintes digitales dans le cadre, notamment, de lutte contre le terrorisme. Je suis, je l’avoue, beaucoup plus réservé sur la seconde, car ce fichier serait assimilable à un fichier de police, et je sais, comme vous, la sensibilité des débats auxquels elle nous conduirait. J’ai cependant souhaité pouvoir l’approfondir également, en lien avec le Garde des Sceaux.
Voilà, Mesdames et Messieurs, ce que je souhaitais vous dire. Je suis bien entendu à votre disposition pour répondre à vos questions. Je vous remercie.