Mon entretien dans Global Security Mag, revue des professionnels de la sécurité informatique, m’a permis de revenir sur les cinq enseignements majeurs de notre audit consécutif à la cyberattaque de la plateforme de services Ariane du MEAE, il y a un an.
Je rappelle qu’en 2018, l’Agence nationale de sécurité des systèmes d’information (ANSSI) a été amenée à traiter 78 événements de sécurité relatifs à des attaques informatiques ayant touché des ministères français !
Lire l’article
Le 28 novembre, en ma qualité de rapporteur des crédits du programme 129 «Coordination du travail gouvernemental» (gestion de crise, cybersécurité, renseignement), et au nom de mon collègue Rachel Mazuir, je suis intervenu en séance publique pour donner un avis favorable au crédit du programme 129, en me réjouissant du renforcement des moyens de l’ANSSI et en encourageant le gouvernement dans cette direction.
Par ailleurs, j’ai regretté le manque de transparence dans la présentation des crédits de personnel du programme, qui sont en baisse alors que les effectifs augmentent.
J’ai aussi relayé, au nom de mon collègue Rachel, notre incompréhension face à la décision de suppression de l’INHESJ et nos inquiétudes quant aux moyens de l’IHEDN.
ANSSI : Agence nationale de sécurité des systèmes d’information
INHESJ : Institut des hautes études de Défense nationale
IHEDN : Institut national des hautes études de la sécurité et de la justice
Le 13 novembre, en qualité de co-rapporteur avec mon collègue Rachel Mazuir, j’ai défendu le budget du programme 129 «Coordination du travail gouvernemental» (gestion de crises, cyberdéfense, renseignement) devant notre commission des Affaires étrangères, de la Défense et des Forces armées.
Ce programme comprend les crédits affectés à l’ANSSI (Agence nationale de Sécurité des systèmes d’information), dont j’ai abordé l’évolution des effectifs et la politique de protection des systèmes d’information de l’État, face au risque de cyberattaques.
Pour faire face à une menace qui s’accroît en fréquence et en intensité, le gouvernement a décidé, cette année, de stimuler la croissance des effectifs de l’ANSSI qui s’était ralentie ces deux dernières années.
En 2018, l’Agence a été amenée à traiter 78 événements, consécutifs à des attaques informatiques visant des ministères français.
Suite à la cyberattaque dont a été victime la plateforme Ariane du ministère de l’Europe et des Affaires étrangères, en décembre 2018, nous avions effectué avec Rachel un audit au nom du Sénat avec l’idée qu’un retour d’expérience pouvait être riche d’enseignements (rapport).
Aujourd’hui, les trois ministères les plus ciblés par des attaques pirates sont l’Éducation nationale, puis la Défense et enfin les Affaires étrangères. Toutefois, en termes d’intensité, ce sont les ministères des Armées et celui des Affaires étrangères qui ont été les plus menacés.
A l’issue de la réunion (compte-rendu), je me réjouis que notre commission, présidée par Christian Cambon, ait donné son avis favorable, à l’unanimité, pour l’adoption des crédits de la mission du programme 129. Ces crédits feront l’objet d’un examen en séance publique dans les prochains jours.
Le 13 décembre dernier, un communiqué de presse nous a appris que le site Ariane du ministère de l’Europe et des Affaires étrangères (MEAE) avait subi une cyberattaque (le 5 décembre 2018). Cela s’est traduit par un vol de données des personnes désignées comme “contacts à prévenir” par nos concitoyens qui voyagent à l’étranger.
Si les informations dérobées se restreignent au nom + téléphone + courriel, on parle tout de même de 540.563 personnes concernées ! Celles-ci ont été invitées par le MEAE à la vigilance contre tout risque d’usurpation d’identité ou d’hameçonnage.
Le jour même, j’ai demandé à Christian Cambon, Président de la commission des Affaires étrangères et de la Défense du Sénat, l’autorisation de lancer une mission pour analyser les failles qui avaient permis à cette attaque de prospérer.
Six jours seulement après la révélation de l’incident, soit le 19 décembre 2018, nous avons entamé avec mon collègue Rachel Mazuir (à l’image), une série d’auditions auprès des responsables de l’ANSSI (Agence nationale pour la sécurité des systèmes d’information), et de la Direction des Systèmes d’information du MEAE. Début 2019, nous avons entendu la CNIL (Commission nationale de l’informatique et des libertés), la DGSI (Direction générale de la sécurité intérieure), et la section spécialisée Cyber du parquet de Paris.
Nous avons fait, ce 6 février, une première communication au Sénat devant notre commission des Affaires étrangères et de la Défense.
M’exprimant sur le pilotage de la gestion de crise en cas de cyberattaque, j’ai mis en avant les fragilités existantes entre les différents ministères, tant dans la transmission que la communication externe des informations.
La nécessité de respecter les nouvelles règles liées au RGPD (Règlement Général sur la Protection des Données) entrées en application en mai 2018 et, l’absence de procédure coordonnée entre les différents protagonistes pour agir en cas d’incidents ont conduit à des enchainements malheureux.
Le but de la commission n’est pas de chercher des coupables, mais de faire un retour d’expérience.
Le MEAE est reconnu comme étant un des ministères les plus vigilants en matière de cybersécurité. Il serait injuste de chercher à l’accabler suite à cette attaque.
J’ai apprécié le professionnalisme de chacun des acteurs auditionnés. Ils ont été transparents sur leurs limites actuelles et ont tous exprimé leur ouverture pour travailler en concertation avec l’extérieur.
Nous voulons susciter une prise de conscience générale au niveau des ministères et des services du premier ministre pour que de nouvelles règles soient mises en place.
Nous allons poursuivre nos investigations qui nous permettront, le cas échéant, de produire un rapport dans le but d’améliorer l’efficacité de nos systèmes de sécurité numérique.
Lire la COMMUNICATION du 03/02/2019 (R. Mazuire et O. Cadic)
Lire : l’HEBDOLETTRE n°114 – 24 déc. 2018
Edito de l’HebdoLettre n°114
Ariane perd un fil
Le 4 décembre dernier, je lançais un cri d’alarme depuis la tribune du Sénat : “Les administrations multiplient les programmes informatiques pour réaliser des économies, mais au détriment des investissements de cybersécurité.”
Le lendemain, le ministère de l’Europe et des Affaires étrangères (MEAE) se faisait dérober des données personnelles enregistrées par des Français voyageant à l’étranger sur sa plateforme Ariane, en l’occurrence les coordonnées des personnes à prévenir en cas d’urgence.
J’ai appris la nouvelle le 13 décembre, comme tout le monde, en lisant le communiqué de presse du MEAE. Pour le gouvernement, c’était la 3ème fuite de données de la semaine.
Sur injonction de la CNIL, le MEAE a dû envoyer un courriel aux 540.563 personnes concernées par la fuite pour les inciter à redoubler de vigilance dans les prochains mois face à des tentatives d’usurpation d’identité ou des campagnes de hameçonnage par SMS ou courriel.
Mais l’enfer est pavé de bonnes intentions. Comme les données personnelles des “contacts à prévenir en cas d’urgence” avaient été saisies dans Ariane par le voyageur, les victimes de la fuite n’ont généralement pas compris pourquoi ils recevaient ce courriel du MEAE. Joyeuse pagaille !
En qualité de rapporteur pour avis sur les crédits du programme 129 “Coordination du travail gouvernemental” (gestion de crises, cyberdéfense, renseignement), pour la commission des Affaires étrangères et de la Défense, j’ai donc naturellement voulu entendre les responsables de la sécurité informatique du MEAE et ceux de l’ANSSI, notre autorité nationale en matière de sécurité et de défense des systèmes d’information.
Ces auditions ont eu lieu au Sénat le 19 décembre, soit six jours après le communiqué de presse du MEAE. D’autres auditions suivront en janvier, et une communication sera ensuite présentée devant notre commission avec nos recommandations.
Nous avons appris le lendemain qu’en s’introduisant dans le système du gouvernement de la république de Chypre, des pirates ont eu accès aux mots de passe pour accéder à la base de données de l’Union européenne.
Une société de cybersécurité américaine avait révélé que le réseau diplomatique européen était piraté depuis trois ans selon des techniques utilisées par l’armée de Chine populaire. Les hackers auraient également infiltré les réseaux des Nations Unies et plusieurs ministères des Affaires étrangères et des Finances à travers le monde.
L’Union européenne a réagi en assurant que les communications classées “confidentielles” n’avaient pas été affectées.
Demain, au pied du sapin, des enfants vont ouvrir leurs cadeaux et découvrir parfois des poupées parlantes, des montres GPS, des petits robots intelligents, autant de jouets connectés fabriqués en Chine à bas coût qui posent de sérieux problèmes en matière de sécurité.
A titre d’exemple, dans le but de pirater un casino, des hackeurs se sont infiltrés par un thermomètre situé dans un aquarium et relié aux ordinateurs de la réception du casino.
Voilà pourquoi je souhaite que l’on associe à tout investissement en matière de programme informatique d’un ministère un “budget cybersécurité” adéquat pour le rendre durablement invulnérable. Découvrir l’HebdoLettre n°114
Intervention en qualité de rapporteur pour avis sur les crédits du programme 129 «Coordination du travail gouvernemental» (gestion de crises, cyberdéfense, renseignement), pour la commission des Affaires étrangères, de la Défense et des Forces armées.
Ce rôle m’a permis de défendre les crédits de l’Agence nationale de sécurité des systèmes d’information (ANSSI) dans le budget 2019.
A ce titre, j’ai rappelé que la cyberdéfense était un enjeu majeur pour notre pays. Je me réjouis que les prérogatives et les crédits accordés à l’ANSSI soient en progression en 2019.
Nous demeurons toutefois inquiets sur le retard persistant de mise en œuvre de la politique de sécurité des systèmes d’information de l’État, ainsi que du difficile recrutement des ingénieurs spécialisés en cybersécurité.
Lien vidéo
Le 07 novembre, dans le cadre du projet de loi de finances 2019, je suis intervenu devant la commission des Affaires étrangères, de la Défense et des Forces armées, présidée par Christian Cambon, en qualité de rapporteur pour avis sur les crédits du programme 129 «Coordination du travail gouvernemental» (gestion de crises, cyberdéfense, renseignement).
Le monde est de plus en plus connecté et donc de plus en plus vulnérable. Le rapport Symantec 2018 classe la France au 9ème rang des pays où la cybercriminalité est la plus active. Les réseaux criminels se partagent le cyberespace avec des acteurs étatiques qui, eux, se livrent à l’espionnage et parfois même à l’ingérence et la déstabilisation.
Pour contrer ces menaces, la France dispose de l’ANSSI, l’autorité nationale en matière de sécurité et de défense des systèmes d’information (prévention, réaction, formation et labellisation), créée en 2009.
Avec mon collègue Rachel Mazuir, également rapporteur, nous nous sommes montrés globalement satisfaits de l’évolution des moyens de l’ANSSI en 2019. Ses effectifs passeront de 555 à 595 ETP (+ 40) et ses crédits de 72,9 à 79,4M€ en Crédits de paiement (+8,8 %) et de 70,2 à 94,7M€ (+35 %) en Autorisations d’engagement.
J’ai toutefois marqué quelques points de préoccupation en proposant des solutions :
– Il faut s’alarmer de la vulnérabilité persistante de nos ministères non régaliens, faute d’investissements de cybersécurité. Ceux-ci devraient être obligatoires lors du développement de tout nouveau programme informatique.
– Le ministère de l’Enseignement supérieur doit jouer un rôle d’orientation des universités et des grandes écoles vers le développement de filières produisant des spécialistes de la cybersécurité. Les difficultés de recrutement et de fidélisation des ingénieurs sont criantes. L’ANSSI affronte un turn-over supérieur à 15 % et une inflation des exigences salariales…
– Il est nécessaire de mettre en place un réseau de veille au niveau européen, ce qui veut dire une coopération fluide entre États disposant d’opérateurs comme l’ANSSI – ils sont rares – et la mise à niveau des États qui n’en disposent pas avec l’appui de l’Union européenne.
Notre commission a donné son avis favorable à l’adoption des crédits de la mission du programme 129. Ces crédits feront l’objet d’un examen en séance publique le 4 décembre prochain. Lire ma présentation et mes réponses aux questions.
Le 29 mai 2018, au cours d’un vote solennel, le Sénat a adopté le projet de loi de Programmation militaire (LPM), dont Christian Cambon était le rapporteur, par 326 voix POUR et 15 CONTRE. Cette LPM fixe les orientations de notre politique de défense nationale pour les sept prochaines années (Lire : Synthèse du rapport de C. Cambon, fait au nom de la commission Défense – 16 mai 2018).
Le 23 mai 2018, lors du débat en hémicycle, j’ai rappelé que Jean-Claude Juncker, président de la Commission européenne, avait déclaré que les cyberattaques étaient plus dangereuses pour la stabilité des démocraties que les chars et les fusils.
Les nombreux intervenants sur le projet ont accueilli avec beaucoup de fierté ce score sans appel. J’ai travaillé en qualité de rapporteur délégué sur la cyberdéfense, auprès de la commission des Affaires étrangères, de la Défense et des forces armées (Lire : mon rapport présenté devant de la commission Défense – 16 mai 2018).
Mon objectif a été de convaincre mes collègues que la cyberdéfense devait être l’une des grandes priorités de la LPM. Si un conflit à grande échelle devait avoir lieu, il commencerait par des opérations dans le cyberespace. C’est déjà le lieu de prédilection de certaines puissances, comme la Russie, pour mener des actions de désinformation et de propagande.
J’ai ainsi proposé que “la manipulation de l’opinion publique par l’utilisation massive des médias numériques et des réseaux sociaux avec pour objectif l’altération du fonctionnement normal des institutions démocratiques”, soit prise en compte dans le rapport annexé de la LPM.
Le 16 mai 2018, la commission Défense a approuvé le rapport que je présentais sur la cyberdéfense, convaincue d’un véritable enjeu de sécurité nationale.
Je n’ai pas été démenti dans mes convictions lorsque je me suis rendu au Pentagone, le 8 mai dernier, à Washington. Pour les responsables du Département de la Défense, les fake news sont la principale menace en termes de guerre hybride (lire).
Lors de l’examen du projet de loi, je suis intervenu en séance pour évoquer cette menace et inciter mes collègues à ne pas attendre un “11 septembre” dans le domaine cyber pour prendre conscience que les démocraties doivent désormais s’allier pour combattre un ennemi qui utilise déjà de puissants moyens numériques pour les détruire de l’intérieur. Voir la vidéo (2m) ou Lire mon intervention.
Je me réjouis que l’adoption de la LPM permette de multiplier par deux le montant des crédits affectés à la cyberdéfense, par rapport à la précédente LPM, avec un volume global d’investissements de l’ordre de 1,6 milliards.
Le 17 mai 2018, notre président Christian Cambon a prôné devant Florence Parly, ministre des Armées, un renforcement des pouvoirs de contrôle parlementaires pour suivre l’exécution la LPM (2019-2025).
Cette LPM récompense des mois d’efforts collectifs et consacre aussi d’autres priorités, comme l’amélioration de la condition du soldat et des familles, le renouvellement d’équipements ou la modernisation des deux composantes de la dissuasion nucléaire.
Il doit revenir aux parlementaires de veiller à sa mise en œuvre sur le long terme (2019-2025), c’est-à-dire préserver la volonté politique qui nous a tous guidés jusqu’à présent. La commission Défense a formellement regretté “l’absence de trajectoire financière pour les infrastructures ou d’indicateurs annuels”. C’est pourquoi, le 17 mai, lors d’une réunion avec Florence Parly, ministres des Armées, j’ai totalement approuvé Christian Cambon dans sa volonté de renforcer les pouvoirs de contrôle parlementaires pour l’exécution de cette loi.
Lire : l’HEBDOLETTRE n°96 – 14 décembre 2017
Edito de l’HebdoLettre n°96
Comme chaque année, lors de la discussion budgétaire au Sénat, nous débattons de l’enseignement français à l’étranger. La France y consacre plus d’un demi-milliard d’euros d’argent public.
Et comme chaque année, résonnent les trompettes de la renommée : excellence pédagogique, instrument de rayonnement, réseau unique au monde…
Rien à redire, sinon de rappeler que le réseau AEFE accueille moins de 25 % des enfants français résidant à l’étranger (51 % en 1980).Le gâchis est déjà immense : des dizaines de milliers d’enfants français nés à l’étranger ne parlent pas notre langue, faute d’avoir accès à son apprentissage dans leur pays d’accueil.
Lors des débats, j’ai proposé à notre ministre Jean-Yves Le Drian de fixer deux objectifs à notre enseignement à l’étranger :
1 – Viser la maîtrise du français par 100 % des enfants français vivant à l’étranger, en créant un chèque éducation,
2 – Doubler le nombre d’écoles françaises d’ici à cinq ans, pour que le réseau compte 1000 écoles, puis 2000 écoles d’ici à dix ans, en libérant le système.C’est en libérant le système que l’on fera éclore l’initiative privée, seule capable de prendre le relais d’un modèle économique à bout de souffle, construit sur de l’argent public. Lire la suite et découvrir l’HebdoLettre n°96
Je suis intervenu le 30 novembre en qualité de rapporteur pour avis de la commission des Affaires étrangères, de la Défense et des Forces armées pour le programme 129 « Coordination du travail gouvernemental ».
Les crédits du programme 129 (gestion de crises, cyberdéfense, renseignement) progressent de 1,2 % en autorisations d’engagement et de 3 % en crédits de paiement. Il faut s’en réjouir, car ils portent les moyens de services indispensables à la politique de défense et de sécurité de notre pays. C’est pourquoi la commission s’est déclarée, à l’unanimité, favorable à l’adoption des crédits de cette mission.
J’ai concentré mes propos sur les crédits attribués à la cybersécurité en formulant plusieurs observations, en particulier sur les missions et les moyens de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Voir la VIDÉO (3:30) ou lire l’intervention
Dans le cadre du projet de loi de finances 2018, la commission des Affaires des étrangères et de la Défense a entendu divers rapports pour avis. En qualité de rapporteur du programme 129 “Coordination du travail gouvernemental” (gestion de crises, cyberdéfense, renseignement), je suis intervenu avec mon collègue Rachel Mazuir, le 8 novembre, pour commenter les crédits affectés à ce programme (qui s’intègre plus globalement à la Mission “Direction de l’action du Gouvernement”).
(g. à d.) Olivier Cadic et Rachel Mazuir, rapporteurs ; Christian Cambon, président de la commission.
J’ai centré mes observations sur le rôle de l’ANSSI, l’autorité nationale en matière de sécurité et de défense des systèmes d’information (prévention, réaction, formation et labellisation). J’ai rappelé que la France figurait au 8ème rang mondial des pays où la cybercriminalité était la plus active et au 4ème rang en Europe.
La cybercriminalité est de plus en plus puissante et virulente, comme l’atteste l’inflation dramatique des rançongiciels. Notre pays n’est pas épargné, non plus, par les vols d’identifiants : avec 85,3 millions d’identifiants volés, elle pointe à la 2ème place mondiale.
Globalement, nous nous sommes montrés satisfaits de l’évolution en hausse des crédits du programme 129 (73,39 M€, soit + 11,4%). En 2018, l’Agence sera ainsi en mesure de recruter 25 personnes, même si celle-ci considère que son effectif devrait compter une centaine d’agents supplémentaires. La principale opération d’investissement concernera le centre de stockage des données pour traiter et conserver les données recueillies lors des cyberattaques.
Nous avons proposé, avec succès, à la commission d’exprimer un avis favorable. Lire mon intervention
