Système TES : publication du rapport de l'Agence nationale de la sécurité des systèmes d'information et de la direction interministérielle du numérique et du système d'information et de communication de l'État

17 janvier 2017

Le rapport d’audit de sécurité du système « titres électroniques sécurisés » (TES), utilisé pour la gestion des demandes de passeports et demain, dans le cadre du Plan préfectures nouvelle génération, pour celle des cartes nationales d’identité, commandé par mon prédécesseur il y a deux mois à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la Direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC), vient de m’être remis.

Je l’ai immédiatement communiqué aux présidents des commissions des lois de l’Assemblée nationale et du Sénat, conformément aux engagements pris par Bernard CAZENEUVE devant le Parlement et m’en suis entretenu ce jour, successivement avec Messieurs Philippe BAS et Jean-Yves LE BOUILLONNEC.

J’ai décidé, sans attendre, de le rendre public, conformément aux engagements de transparence pris en novembre par le Gouvernement et compte tenu de l’intérêt manifesté par le public et la société civile à ce sujet.

Je prends pleinement acte des conclusions de ce rapport, qui établissent clairement que le système « TES » est « compatible avec la sensibilité des données qu’il contient », dans son architecture comme dans ses conditions d’usage. J’ajoute que le rapport établit que les usages de ce système par les agents de préfecture et ceux de l’Agence nationale des titres sécurisés, le cas échéant à la demande de la police judiciaire ou des autorités judiciaires, sont pleinement conformes aux textes qui régissent ce traitement de données.

Le Gouvernement reprend à son compte l’ensemble des recommandations proposées par cet audit visant à améliorer la protection de l’application contre les risques d’intrusion ainsi que la robustesse du lien unidirectionnel entre ses données alphanumériques et biométriques. J’ai d’ores et déjà mis en œuvre un plan d’action correspondant à ces recommandations, sur la base des échanges permanents intervenus durant l’audit entre les services de mon ministère et les auditeurs de l’ANSSI et de la DINSIC.

J’ai demandé à ce que la commission d’homologation, qui associera, comme décidé par mon prédécesseur, l’ANSSI et la DINSIC, se réunisse sous le délai d’un mois pour se prononcer sur l’analyse des risques et la conformité des mesures de maîtrise de ces risques. Le processus d’homologation de « TES » au titre de la sécurité des systèmes d’information sera ainsi mené à son terme. Je souhaite en outre qu’au-delà de cette étape, le ministère de l’intérieur s’inscrive dans un processus d’amélioration continu de « TES », de sorte que le système bénéficie en permanence d’un niveau de sécurité adapté aux risques et menaces, avec une réévaluation annuelle du dispositif.

Le rapport formule des pistes de réflexion à moyen et long terme dont je souhaite également tenir le plus grand compte. Elles seront travaillées en détail avec les ministères concernés, notamment dans le cadre du processus d’amélioration continu de TES.

La prise en compte des recommandations de ce rapport et l’aboutissement de la procédure d’homologation permettront le respect du calendrier de généralisation de l’utilisation de « TES » pour délivrer des cartes nationales d’identité, à l’issue de la phase pilote actuellement conduite dans le département des Yvelines et la région Bretagne.

Je relève d’ailleurs que le rapport note les apports positifs de la réforme de la délivrance des cartes nationales d’identité portée par le ministère de l’intérieur dans le cadre du plan « préfectures nouvelle génération », en ce qu’elle :

  • est utile en matière de lutte contre la fraude et l’usurpation d’identités ;
  • apporte une plus-value réelle en termes de simplification des démarches des usagers ;
  • va soutenir la réforme du service public, dans les communes comme dans les préfectures, en permettant des gains d’efficience et d’efficacité.

Ainsi, je remercie l’ANSSI et la DINSIC de la plus-value apportée par leur audit de sécurité, et je souhaite pouvoir m’appuyer sur leurs précieuses recommandations pour trouver le juste équilibre entre nos trois préoccupations : protéger les libertés publiques, améliorer la sécurité des Français et simplifier leurs démarches.

Bruno LE ROUX