Accueil      En circonscription      Sénat      Bilan de mandat      Revue de Presse          Parcours      Contact     
    

Belgique – Bruxelles (10 déc. 2024) – Déplacement Commission Spéciale Cybersécurité

(à l’image) Entouré de Michel Canévet et de Patrick Chaize, rapporteurs de la la commission spéciale chargée d’examiner le projet de loi “relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité”, que je préside.

Les rapporteurs ayant accepté ma proposition de commencer les auditions par la Commission européenne et les autorités belges qui ont déjà transposé NIS 2, notre délégation* s’est rendue à Bruxelles le 10 décembre 2024.

Commission européenne – Cybersécurité

La première étape du déplacement s’est traduite par deux séquences à la Commission européenne.

1 – Entretien avec Christiane Kirketerp de Viron, directrice à la direction générale CONNECT de la Commission européenne, chargée de la cybersécurité

La direction générale des réseaux de communication, du contenu et des technologies (Connect) élabore et met en œuvre des politiques visant à adapter l’Europe à l’ère numérique. Elle s’emploie à faire de l’Europe un leader mondial dans le domaine de l’économie, fondée sur les données et de la cybersécurité.

La directive européenne NIS 2 (Network and Information Security) devait être transposée dans le droit national de chaque État membre de l’Union européenne avant le 17 octobre 2024.

À l’échéance, seules la Belgique et l’Italie ont transposé NIS 2. Depuis octobre, la Croatie, la Lituanie et la Grèce l’ont également transposée. Une transposition partielle a été observée en Allemagne, Lettonie et République Tchèque. Plusieurs États membres, dont la France, ont un processus parlementaire en cours.

Le 28 novembre 2024, la Commission européenne a décidé aujourd’hui d’ouvrir des procédures d’infraction en envoyant une lettre de mise en demeure à 23 États membres, dont la France.

À ma question sur les interrogations concernant une définition commune de la notion « d’incident », la directrice m’a renvoyé au règlement exécutif publié le 17 octobre 2024 qui détaille les mesures de sécurité, et le seuil pour les incidents de certains secteurs : NIS2 : Règlement d’exécution de la Commission relatif aux entités et réseaux critiques

2 – Entretien avec Boris Augustinov de la DG FISMA (direction générale de la stabilité financière, des services financiers et de l’union des marchés des capitaux) et Heike Buss de la DG HOME (direction générale chargée des affaires intérieures) de la Commission européenne.

Cette audition nous a permis de faire le point sur l’avancée de la transposition des directives sur la résilience des entités critiques, dite « REC » et la résilience opérationnelle numérique du secteur financier, dite « DORA ».

Nos interlocuteurs nous ont confié que ces textes permettent de passer de la protection à la résilience. Même avec beaucoup de protection, il est impossible d’éviter les cyber-attaques. Il est fondamental de travailler à la résilience, afin de pouvoir récupérer les informations. +d’images

(*) Délégation de la commission spéciale sur le projet de loi Cybersécurité
Président :
Olivier Cadic, sénateur (Union centriste), VP de la commission des Affaires étrangères, de la Défense et des Forces armées ;
Rapporteurs :
Michel Canévet, sénateur (Union centriste), membre de la commission des Finances ;
Patrick Chaize, sénateur (Les Républicains), membre de la commission des Affaires économiques ;
Hugues Saury, sénateur (Les Républicains), membre de la commission des Affaires étrangères, de la Défense et des Forces armées ;
Administrateurs :
Thomas Braud, administrateur à la commission des Affaires étrangères, de la Défense et des Forces armées
Clément Dugravot, administrateur à la commission des Affaires économiques
Pablo-Vladimir de La Borie de La Batut, administrateur à la commission des Affaires
européennes
Léa Khoury, administratrice-adjointe à l’antenne du Sénat à Bruxelles

Banque nationale de Belgique

Notre rapporteur Michel Canévet, membre de la commission des Finances a souhaité auditionner des représentants* de la Banque nationale de Belgique, sur les impacts de la résilience opérationnelle numérique du secteur financier, dite «DORA».

La Banque nationale de Belgique a régulièrement fait face aux attaques cyber en déni de service ou DDoS, par ransomware sur des fournisseurs, et tiré les leçons de l’attaque contre « Solarwinds ».

L’harmonisation des réglementations et l’identification des entités susceptibles d’être impactées par un incident sont des plus-values de DORA.

Nos interlocuteurs ont attiré notre attention sur les éventuels trous dans la raquette de DORA avec les entités qui font des produits financiers, sans que ce soit une activité majeure, à l’instar de la distribution de contrats d’assurance ou de prêts à la consommation.

Les exigences de DORA paraissent élevées. Elles nécessitent un délai pour tenir compte des engagements contractuels avec les partenaires pour les petits entreprises.

Et de conclure sur la nécessaire prise de conscience de l’évolution législative dans leur profession : « Il y a deux groupes : ceux qui comprennent qu’ils ont un travail à faire, et ceux qui n’ont pas compris ». +d’images

(*) Représentants de la Banque nationale de Belgique :
Thomas Plomteux, Head of IT Prudential Supervision
Liesbeth Denturck, conseillère juridique
Geoffroy Delrée, directeur adjoint gestion des Affaires publiques, institutionnelles et projets stratégiques
Antoine Greindl, juriste, FSMA +d’images

Centre belge pour la cybersécurité (CCB)

Ultime séquence de cette journée d’auditions à Bruxelles, un entretien avec des représentants du centre belge pour la cybersécurité (CCB), dont Valéry Vander Geeten, responsable juridique et coordinateur de la transposition NIS2.

La loi transposant la directive NIS2 dans la législation belge est entrée en vigueur le 18 octobre 2024.

600 entités se sont enregistrées à ce jour sur la plateforme créée à cet effet : 300 Importantes et 300 Essentielles. Le CCB estime que 2500 entreprises sont concernées en Belgique par la directive.

L’évaluation de la conformité des entités Essentielles se fait selon 3 options :

1 – Référentiel Cyfun :
Les mesures de sécurité s’appuient sur le référentiel Cyfun du CCB.
Le label des CyberFundamentals s’obtient par un organisme d’évaluation de la conformité accréditée et organisée par la CCB.

2 – ISO 27000 :
Il est également possible d’obtenir un label CyFun en utilisant une certification ISO 27001 existante, sous réserve que l’organisme d’évaluation de la conformité (CAB) soit accrédité par le CCB.

3 – Inspection par le CCB :
Cette option permet aux experts de la CCB d’inspecter la conformité de l’organisation vis à vis de Cyfun ou de l’ISO 27000.

Un travail a été engagé avec d’autres pays européens intéressés pour reprendre le framework cyber fondamental de la CCB.

Nous avons salué l’approche pragmatique du CCB et remercié nos interlocuteurs pour leur partage d’information. +d’images

Commission Spéciale Cybersécurité – Audition ANSSI

Comment l’ANSSI va-t-elle mettre en œuvre NIS2 ?

La commission spéciale chargée d’examiner le projet de loi “relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité”, que je préside et dont les rapporteurs sont mes collègues Michel Canévet, Patrick Chaize et Hugues Saury, a auditionné, ce 17 décembre, Vincent Strubel, le directeur général de l’ANSSI, l’agence qui a va piloter la mise en œuvre de la directive NIS2.

Voir l’intégralité de l’audition sur le site du Sénat.

J’ai conclu mon propos introductif par des félicitations à l’ANSSI pour le lancement officiel, le matin même, du 17Cyber, dispositif de secours en ligne pour toutes les victimes de cyberdélinquance (lire le billet). Vincent Strubel m’a ainsi retourné le compliment : « permettez-moi de vous remercier pour la constance avec lequelle vous avez soutenu ce dispositif 17Cyber ».

Ensuite, j’ai fait une parenthèse au cours de la discussion pour égrener quelques inquiétudes soulevées par le Medef et la CPME que nous avions auditionnés juste auparavant (coût des contrôles à la charge de l’entreprise, interdiction de gérer…)

Plus tard dans les débats, en me référant à notre déplacement en Belgique, où la directive NIS2 a déjà été transposée, j’ai interrogé le directeur général sur la norme Iso 27001 ; la capacité d’audit de son agence, ; l’application de la directive aux groupements de sociétés et, enfin, la politique de certification des produit et services qui doivent répondre aux besoins des 15.000 entités qui seront concernées à terme par NIS2. Je remercie M. Strubel de ses réponses claires et précises.

Vidéo de mes interventions (Vidéo 11’30)

VERBATIM – Introduction

Mes chers collègues,

Nous poursuivons nos travaux sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité par l’audition de M. Vincent Strubel, directeur général de l’Agence nationale de sécurité des systèmes d’information (ANSSI), que je remercie de venir nous présenter les dispositions de ce texte qui relève de son administration.

Votre venue était attendue car, comme vous le savez, l’audition de Mme Clara Chappaz, secrétaire d’État chargée de l’Intelligence artificielle et du Numérique, qui devait ouvrir nos travaux le 9 décembre dernier a dû être reportée à une date ultérieure.

Avec les rapporteurs, nous nous sommes rendus la semaine dernière à Bruxelles à la rencontre de la Commission européenne et des autorités belges qui ont d’ores et déjà engagé cette transposition.

C’est donc à vous que revient la première prise de parole publique de l’administration française devant nos rapporteurs, MM. Michel Canévet qui nous suit distance, Patrick Chaize et Hugues Saury, et les membres de notre commission spéciale sur cette transposition : ce qu’elle apportera en termes de résilience et de cybersécurité ; et ce qu’elle impliquera pour les entreprises et collectivités dans le cadre de la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 ».

Monsieur le directeur général, je rappelle que cette audition fait l’objet d’une captation vidéo qui est retransmise sur le site internet du Sénat puis consultable en vidéo à la demande.

Avant de vous céder la parole, je voudrais vous féliciter pour le lancement officiel, ce matin, du 17Cyber qui était un dispositif que nous attendions tous. Cyber-malveillance devient maintenant 17Cyber. Peut-être nous en direz-vous deux mots dans le cas de cette audition.Vous avez la parole.

Lire aussi Cybersécurité – Lancement officiel du 17Cyber !

Commission Spéciale Cybersécurité – Audition MEDEF & CPME

Les entreprises et la cybersécurité : 62% des entreprises n’ont pas encore conscience du risque numérique…

Ce 17 décembre, première audition de la commission spéciale, que je préside, en charge d’examiner le projet de loi « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité », dont les rapporteurs sont mes collègues Patrick Chaize, Hugues Saury et Michel Canévet.

Dans le cadre d’une table ronde sur le thème « les entreprises et la cybersécurité », les membres de la commission spéciale ont recueilli les remarques émanant du Medef et de la CPME et posé leurs questions.

Voir l’intégralité de l’audition sur le site du Sénat.

Après mon propos introductif, je suis intervenu à deux reprises dans la discussion afin de prolonger des propos des intervenants sur le financement du réseau et sur les questions de responsabilité de l’État face à la cybercriminalité. Ces deux points vont particulièrement alimenter les réflexions de notre commission spéciale.

Vidéo de mes interventions (Vidéo 5’50)

VERBATIM – Introduction

Mes chers collègues,
Mesdames, Messieurs,

C’est avec un grand plaisir que j’ouvre aujourd’hui le cycle des auditions qui seront consacrées au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.

Je rappelle que notre commission spéciale s’est constituée le 12 novembre dernier pour examiner ce texte qui vise la transposition de 3 directives différentes :
o la directive sur la résilience des entités critiques, dite « REC » ;
o la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 » ;
o et la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ».

Cette transposition devait intervenir avant le 17 octobre de cette année, mais dans le contexte actuel ce n’est pas la seule loi qui connaît du retard. Malgré tout, il y a une vraie attente des entreprises sur les nouveaux objectifs de cybersécurité et les nouvelles obligations qui pèseront sur les entreprises.

C’est pourquoi je remercie le Mouvement des entreprises de France (Medef) et la Confédération des PME (CPME) d’avoir répondu à notre invitation pour partager leur point de vue sur le projet de loi et l’impact de cette transposition ainsi que, le cas échéant, vos propositions. Nous pourrons ainsi relayer vos préoccupations notamment au directeur général de l’ANSSI que nous entendons juste après vous. L’U2P et l’Afep m’ont fait savoir que leur position n’était pas encore arrêtée et qu’elles nous adresseraient ultérieurement leur contribution écrite.

Pour le Medef, nous accueillons :
– Mme Maxence Demerlé, directrice du numérique ;
– M. Maxime Foret, chargé de mission sénior, Pole Affaires publiques ;
– Et Mme Mathilde Briard, chargée de Mission Economie numérique.
Pour la CPME, nous accueillons :
– Mme France Charruyer, membre de la Commission numérique,
– M. Lionel Vignaud, directeur des affaires économiques, juridiques et fiscales,
– M. Jérôme Normand, économiste,
– Et M. Adrien Dufour, responsable des affaires publiques.

Mesdames, Messieurs, avant de vous céder la parole, je rappelle à tous que cette audition fait l’objet d’une captation vidéo qui est retransmise sur le site internet du Sénat puis consultable en vidéo à la demande.

Je vous propose pour ouvrir cette table ronde que chaque organisation nous présente leurs positions sur le texte, puis je donnerai la parole à chacun des rapporteurs, MM. Patrick Chaize, Hugues Saury et Michel Canévet que nous attendons, puis à ceux de nos collègues qui le souhaitent pour poser leurs questions.

Avant de vous céder la parole, je vous informe que nous avons inauguré le 17Cyber ce matin et il a été annoncé que plus de 60% des entreprises ne sont pas conscientes d’être sujettes au risque numérique, aujourd’hui.

Voir l’intégralité de l’audition sur le site du Sénat

Conférence RésiFrance : une certaine idée de la cyber-résilience

Ce 5 décembre, j’ai eu le plaisir d’intervenir en keynote introductive, lors du colloque intitulé « la résilience dans tous ses états », au sein des locaux de Direction générale de la Gendarmerie nationale à Issy les Moulineaux.

J’ai remplacé le secrétaire général de la Défense et de la Sécurité nationale (SGDSN), absent du fait de la démission du Premier ministre la veille.

Ayant dû passer à Thessalonique, 4 jours plus tôt pour suppléer l’absence du ministre des Transports, et participer à l’inauguration du métro, j’ai indiqué en souriant qu’il allait bientôt falloir m’appeler “The Spare”.

Je remercie les participants d’avoir apporté leurs chaleureux applaudissements en commentant qu’il fallait peut-être y voir la démonstration que le Sénat garantissait ainsi la résilience de nos institutions.

J’ai répondu à l’invitation de Hugo Fiora, délégué général de RésiFrance, qui visait à créer un espace de dialogue entre les décideurs publics et privés concernés par les enjeux de la résilience.

Intervenant après le général de corps d’armée Tony Mouchet, j’ai exposé ma vision concrète du sujet à travers mon expérience de parlementaire (1), puis j’ai présenté le programme de travail de la commission spéciale que je préside depuis le mois dernier, en charge de transposer trois directives européennes (2).

Cet objectif s’incarne dans le projet de loi « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité » qui devrait, sous toutes réserves, être discuté en séance, mi-février 2025.

J’ai mis en garde contre une activité cyber de l’Etat qui serait seulement réactive ou défensive, et pourrait être interprétée comme de la passivité.

Il convient d’engager une forte sensibilisation des utilisateurs sur le risque numérique et de conclure que le hasard favorise les esprits les mieux préparés.

C’est la condition pour atteindre une résilience cyber réussie.

Ma collègue Vanina Paoli-Gagin, vice-présidente de la commission spéciale, a participé à la table ronde qui a suivi, intitulée “la résilience : une stratégie nationale”. +d’images

– – – – – – – – – – – – – – –

(1) Depuis 2018, rapporteur pour avis des crédits du programme 129 sur la coordination du travail gouvernemental en matière de sécurité et de défense nationale. Cela recouvre la résilience de la Nation, la cybersécurité (ANSSI) et la lutte contre les menaces hybrides dont les manipulations de l’information (Viginum)

(2) 3 directives européennes :
o la directive (UE) 2022/2557 du parlement européen et du conseil du 14 décembre 2022 sur la résilience des entités critiques, dite « REC ». Celle-ci modifie le code de la défense
o la directive (UE) 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 ». Celle-ci relève du champ de compétence des Affaires économiques mais aussi de la commission de la Défense sur certains articles ;
o la directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 en ce qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ». Cette dernière relève davantage du domaine de la commission des Finances.

Cybersécurité – Lancement officiel du 17Cyber !

C’est fait ! Ce 17 décembre, le site « 17Cyber » a été lancé conjointement par La Police nationale et la Gendarmerie nationale : https://17cyber.gouv.fr

J’ai partagé cette fierté avec (à l’image, g. à d. ) Jérôme Notin, directeur général de Cybermalveillance.gouv.fr (GYP ACYMA) ; le préfet Louis Laugier, directeur général de la Police nationale ; Vincent Strubel, directeur général de l’ANSSI et le général de division Marc Boget, directeur de la stratégie digitale et technologique de la Gendarmerie Nationale.

Comme on compose le 17 en cas d’urgence, le site 17Cyber doit devenir le nouveau réflexe d’assistance en ligne pour toutes les victimes de cyberdélinquance.

En effet, le dispositif 17Cyber est destiné à toutes les victimes d’infractions numériques : particuliers, entreprises, collectivités. Rappelons que 9 Français sur 10 ont déjà été confrontés à une situation de malveillance informatique, notamment à l’hameçonnage (70%).

Disponible 24h/24 et 7j/7, ce guichet unique permet aux victimes de comprendre rapidement, en répondant à quelques questions, à quel type de menace ils sont confrontés et ainsi, recevoir des conseils personnalisés et une assistance technique de la part de l’un des 1200 prestataires référencés ou labellisé par Cybermalveillance.gouv.fr.

Si le diagnostic confirme la gravité de l’atteinte, les victimes peuvent échanger par tchat avec un policier ou un gendarme pour disposer des conseils de première urgence et engager les démarches de judiciarisation.

Je suis heureux de l’aboutissement de ce concept que j’ai cherché à mettre en place depuis janvier 2019, avant qu’il ne soit repris à son compte par le président de la République, début 2022.

Le ministère de l’Intérieur s’est chargé de piloter ce projet en s’appuyant sur Cybermalveillance.gouv.fr, dirigé par Jérôme Notin, pour le volet opérationnel. En effet, créé en 2017 par l’ANSSI, Cybermalveillance.gouv.fr dispose d’une solide expertise dans l’assistance en ligne, puisqu’il a déjà assisté plus de 1,3 million de victimes.

Un chiffre fait frémir : 62% des entreprises ne sont pas conscientes du risque cyber.

J’invite chacun à partager l’information face à la menace numérique croissante.

Pour ce faire, le ministère et Cybermalveillance.gouv.fr mettent à disposition, en complément du site 17cyber.gouv.fr, un module 17Cyber facilement intégrable sur tout site Internet.

Le module 17Cyber est disponible ICI

Le kit de communication est disponible ICI

En circonscription au Royaume-Uni – Londres (20-22 nov. 2024)

Diplomatie économique

Chambre de commerce

Ce 20 novembre, j’ai eu le plaisir d’assister aux cérémonies annuelles des Franco-British Business Awards de la Chambre de commerce franco-britannique, présidée par Fabienne Viala, en présence de Hélène Duchêne, ambassadrice de France au Royaume-Uni, et de plus de 220 chefs d’entreprise et invités.

Lors de son discours d’ouverture, la présidente a rappelé que cette cérémonie se tenait l’année des 120 ans de l’Entente cordiale, les 80 ans du Jour J, et les 30 ans de l’ouverture du tunnel sous la Manche !

La chambre compte 355 membres. La cérémonie a célébré les réalisations exceptionnelles de cinq entreprises, reconnues pour leurs efforts en matière de soutien communautaire, d’innovation, d’action climatique et de renforcement des relations franco-britanniques.

La soirée a salué les accomplissements des entreprises qui conduisent à un changement positif des deux côtés de la Manche.

. Les gagnants pour 2024 étaient Sodexo, qui a remporté deux prix : People & Community et Avenir durable.
. Le prix de l’innovation et la technologie a été remporté par Bouygues UK, celui de la petite entreprise a consacré Ethicronics.
. Enfin le prix de l’Entente Cordiale a été décerné à Djaayz.

Félicitations à tous les gagnants et aux sponsors qui ont contribué au succès de cette soirée : Safran ; Veolia ; Dassault Systèmes ; BNP ; Bouygues UK ; EDHEC et International SOS.

Point d’orgue de la soirée, l’annonce par Fabienne Viala (Bouygues UK) de sa décision de passer le témoin de la présidence. Le duo composé de Peter Alphandery et Pascal Boris, deux anciens présidents de la Chambre, a prononcé un discours très émouvant pour saluer l’action inestimable de Fabienne au service de la chambre.

Chapeau bas ! +d’images

Prix Entente Cordiale – Djaayz

Djaayz, le choix de la détente cordiale

Co-fondé par Raphael Aflalo et Cathy Guetta, Djaayz est une plate-forme qui révolutionne l’industrie de la réservation de DJ, en connectant les organisateurs d’événements avec un large réseau de DJ. Souvent appelé le “Airbnb des DJ”, il simplifie le processus de réservation de talents pour des événements de toutes tailles.

Djaayz a remporté le prix Entente Cordiale pour son rôle dans la promotion des échanges culturels franco-britanniques. En élargissant son réseau de DJ en France et au Royaume-Uni, il a créé de nouvelles opportunités pour les talents de se produire dans les deux pays, renforçant les liens entre eux grâce à la musique.

Le prix Entente Cordiale, parrainé par Bouygues UK, EDHEC et International SOS, a célébré le meilleur de la Grande-Bretagne et le meilleur de la France.

Ce prix « Grand Prix » a honoré les intérêts et les valeurs communes qui unissent la communauté franco-britannique.

Très honoré d’avoir eu le privilège de participer au jury qui a départagé trois candidats de très hauts niveaux qui pouvaient légitimement revendiquer chacun cette reconnaissance. J’ai eu le bonheur de pouvoir féliciter chaleureusement Raphael Aflalo et son équipe.

L’histoire retiendra que le prix spécial pour les 120 ans de l’Entente Cordiale de la chambre de commerce Franco-britannique a été attribué à une start-up qui incarne avant tout une forme de détente cordiale. +d’images

Cybersécurité

Cercle d’outre-Manche

Le Cercle d’outre-Manche est un think-tank, créé en 2004 par Pascal Boris et Arnaud Vaissié (International SOS et Pdt CCIFI). Il a pour objectif de faire du benchmarking entre la France et le Royaume-Uni, en mettant en avant les meilleures pratiques des deux pays.

Pascal Boris et Philippe Chalon, secrétaire général, m’ont invité, ce 22 novembre, au Royal Automobile Club, pour faire une conférence sur la guerre hybride menée contre les démocraties.

Dans un contexte géopolitique marqué par l’exacerbation des tensions internationales et le rapport de force, les campagnes de manipulation de l’information sont devenues un instrument de déstabilisation.

J’ai encouragé les participants à découvrir le guide de la sensibilisation à la menace informationnelle publié par VIGINUM, le service technique et opérationnel de l’État français chargé de la vigilance et de la protection contre les ingérences numériques étrangères.

En matière de menace informationnelle, les entreprises et acteurs économiques peuvent être ciblés par les principaux modes opératoires suivants :
1~ Le raid numérique ;
2~ L’incitation à conduire des actions dans le champ physique ;
3~ L’usurpation d’identité ;

La menace informationnelle peut poser, pour les acteurs économiques ciblés, un risque réputationnel, économique et sécuritaire.

Très heureux d’avoir retrouvé des personnalités, membres du cercle, que j’ai souvent croisées au Royaume-Uni, qui m’ont parfois accompagné ou soutenu durant toutes ces années, et d’en découvrir de nouvelles.

Dans le prolongement du propos introductif de Philippe, les mots prononcés par chaque participant pour rappeler le contact personnel noué avec moi durant ces 28 années passées au Royaume-Uni, m’ont souvent ému.

Le Cercle d’outre-Manche n’a rien perdu de sa fraîcheur et de sa hauteur, depuis que je le suis.

J’ai été très honoré d’avoir eu l’opportunité de cet échange et j’exprime à Pascal et Philippe ma profonde gratitude pour l’invitation, et ma reconnaissance aux participants pour leurs multiples marques d’intérêt. +d’images

Culture

Institut français (IFRU)

“27th South Ken Kids Festival” organisé par l’Institut français, sous le patronage de Sir Quentin Blake, qui promeut le meilleur de la littérature pour enfants des deux côtés de la Manche.

Du 18 au 24 novembre 2024, l’édition de cette année a accueilli les écrivains et les illustrateurs pour une célébration de la littérature pour enfants.

Avec un solide programme de sensibilisation, le South Ken Kids Festival encourage chaque participant à être créatif et à explorer l’art du dessin et de l’illustration.

Les invités participent à un grand éventail d’activités éducatives organisées avec des écoles du Grand Londres – et à des événements publics organisés à l’Institut français, des ateliers, des conférences, des dessins animés et de la narration, aux films, aux concerts et aux dédicaces de livres.

J’ai assisté à la conférence du 22 novembre consacrée à l’histoire des bandes dessinées et des romans graphiques, animée par les célèbres auteurs et illustrateurs de bandes dessinées Posy Simmonds, Jean-Luc Fromental et Joëlle Jolivet.

Félicitations à Anissia Morel, directrice de l’IFRU et toute l’équipe pour cet événement.

Très heureux d’avoir pu échanger avec Catherine Guiat, directrice de l’IF Écosse, et Sophie Defrance, directrice à la British Library pour les ouvrages en français qui contribuent au quotidien à promouvoir le français au Royaume-Uni. +d’images

Coopération

Eurostar – Reconnaissance faciale

J’ai utilisé pour la première fois le dispositif “SmartCheck” pour prendre l’Eurostar à la gare de Londres St Pancras.

Ce dispositif biométrique utilise la reconnaissance faciale pour vérifier l’identité des voyageurs et les associer à leurs billets et passeports, préalablement enregistrés avec leur téléphone, éliminant ainsi le besoin de tickets papier et réduisant les contrôles manuels.

Une voie dédiée permet de passer les contrôles rapidement et sans contact. Ce processus simplifie également la vérification des passeports, côté britannique.

Cependant, un passage par les contrôles des frontières françaises reste requis.

J’ai demandé à la Police de l’air et des frontières (PAF), pourquoi leur contrôle persistait puisque toutes les données étaient saisies, et qu’il suffisait de s’interconnecter pour avoir toutes les données à l’avance ?

Réponse : Cela devait être fait pour la fin de l’année 2024.
C’est repoussé à la fin de l’année prochaine… si tout va bien. +d’images

Cyber – Matignon- Résilience/Cybersécurité

Participation à deux séquences, ce 19 novembre, ayant trait à mon activité dans le domaine cyber.

1️⃣ Tout d’abord, un échange à Matignon avec François Cornut-Gentille, chef du pôle Défense au cabinet du Premier ministre, en présence de Thierry Perardel, conseiller technique défense.

J’ai remercié François Cornut-Gentille de m’offrir, pour la première fois depuis 2017, l’opportunité de partager mon expérience de 7 années, en qualité de co-rapporteur pour avis du programme 129 “Coordination du travail gouvernemental”.

Nous avons évoqué le budget du SGDSN, l’évolution de l’ANSSI et les défis imposés par les conséquences de la transposition de la directive NIS2, la création réussie de Viginum, l’impérative nécessité de lancer le “17 cyber” et de renforcer le GIP ACYMA, les retards du filtre anti-arnaque, l’IHEDN…

2️⃣ première réunion de travail avec Patrick Chaize et Hugues Saury, rapporteurs de la commission spéciale chargée d’examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, ce 19 novembre.

Notre objet était de fixer la répartition des articles entre les rapporteurs et les prochaines dates de réunions et d’auditions.

Résilience/Cybersécurité/NIS2 – Une commission spéciale pour transposer 3 directives européennes

Très honoré d’assumer la présidence de la commission spéciale chargée d’examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, suite à sa séance constitutive du 12 novembre.

Un groupe de travail préfiguratif avait été constitué au mois de juin dernier. Entretemps, la dissolution de l’Assemblée nationale, puis la constitution du nouveau gouvernement ont retardé le processus et ce n’est donc que le 15 octobre dernier que le projet de loi a été déposé sur le Bureau du Sénat en première lecture.

Ce projet de loi vise la transposition de 3 directives distinctes, dont la directive dite « NIS2 » qui a déjà soulevé bien des débats :

o la directive (UE) 2022/2557 du parlement européen et du conseil du 14 décembre 2022 sur la résilience des entités critiques, dite « REC ». Celle-ci modifie le code de la défense ;

o la directive (UE) 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 ». Celle-ci relève du champ de compétence des Affaires économiques mais aussi de la commission de la Défense sur certains articles ;

o la directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 en ce qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ». Cette dernière relève davantage du domaine de la commission
des Finances.

Je souhaite que nous puissions entendre en premier lieu Mme Clara Chappaz, Secrétaire d’État auprès du ministre de l’Enseignement supérieur et de la Recherche, chargée de l’Intelligence artificielle et du Numérique, avec qui je me suis entretenu ces derniers jours.

Nos auditions seront programmées dans les semaines suivantes dans la perspective d’un examen en séance publique qui pourrait avoir lieu mi-février 2025.

La commission spéciale a constitué son Bureau au cours de sa séance constitutive du 12 novembre 2024 :

Le Président :
. Olivier Cadic (UC – Français de l’étranger)

Les Rapporteurs :
. Michel Canevet (UC – Finistère)
. Patrick Chaize (LR – Ain)
. Hugues Saury (LR – Loiret)

Les Vice-présidents :
. Cédric Perrin (LR – Territoire de Belfort)
. Christine Lavarde (LR – Hauts-de-Seine)
. André Reichardt (LR – Bas-Rhin)
. Hélène Conway-Mouret (SER – Français de l’étranger)
. Audrey Linkenheld (SER – Nord)
. Nadège Havet (RDPI – Finistère)
. Vanina Paoli-Gagin (LIRT – Aube)
. Michelle Gréaume (CRCE – Nord)
. Akli Mellouli (GEST, Val de Marne)
. Bernard Fialaire (RDSE – Rhône)

Les Secrétaires :
. Etienne Blanc (LR – Rhône)
. Rémi Cardon (SER – Somme)
. Catherine Morin-Desailly (UC – Seine-Maritime)

Budget 2025 – Gendarmerie – Cyber & IA – Vidéo Q/R (7m)

Au cours de l’audition du général Hubert Bonneau, directeur général de la Gendarmerie, ce 13 novembre, j’ai porté nos discussions sur l’activité cyber des services de gendarmerie, puis sur l’intérêt de recourir à l’intelligence artificielle, comme le démontre la police de la route au Brésil.

Dans le domaine cyber, le général nous a indiqué que 1000 enquêteurs travaillaient sous pseudonyme et que 500 cyber-réservistes complètent son dispositif. Il a insisté sur le rôle essentiel de prévention des gendarmes en la matière, qui vont au contact de toutes les populations, des établissements scolaires aux Ehpad, en passant par les petites mairies.

Au sujet de l’intelligence artificielle, le général Bonneau a mentionné une initiative (CAP IA) qui a pour vocation d’aider et soutenir le gendarme grâce à l’IA. Toutefois, « la vraie difficulté en la matière, c’est notre cadre réglementaire et législatif » auquel les gendarmes ne peuvent évidemment déroger.

Puisque j’ai évoqué le Brésil, le général a mis en avant notre « degré d’acceptabilité », en illustrant le fait que « vous êtes scannés des pieds à la tête quand vous arrivez à l’aéroport de Singapour ou de Dubaï. En France, ce n’est pas le cas ».

VERBATIM de mon intervention

Merci beaucoup pour votre présentation. Félicitations pour la Minute-cyber qui nous informe sur le progrès de vos opérations dans ce domaine et je veux citer l’opération Ghost pour laquelle vous nous avez informés avec cette task-force internationale au sein d’Europol qui a permis d’interpeler, le mois dernier, 50 personnes et saisir drogue, armes et des millions d’euros. Félicitations pour cette action.

Combien de sollicitations pour des attaques cyber enregistrez-vous ? Nous attendons la mise en place du « 17 cyber » pour centraliser justement les demandes des particuliers victimes en matière cyber. Avez-vous des statistiques à nous communiquer dans ce domaine ?

Mon deuxième sujet, qui va compléter certainement votre réponse précédente, est l’utilisation de l’intelligence artificielle. Au Brésil, la police de la route a une formidable efficacité parce qu’ils ont connecté l’intelligence artificielle au système de lecture automatique des plaques d’immatriculation. Cela leur permet d’anticiper, de détecter les véhicules automatiquement par ordinateur, de taguer certaines plaques d’immatriculation pour les placer orange/rouge en fonction des parcours suspects. Ce dispositif facilite les arrestations et la lutte contre le crime organisé au Brésil. Votre prédécesseur regrettait que cela faisait dix ans qu’on essaye d’avancer, je le cite, sur « la mise en commun des LAPI Douanes, Police, Gendarmerie pour pouvoir utiliser les données. Il se déclarait positif pour ce genre de solution. Est-ce que nous avons fait des progrès dans ce domaine pour améliorer notre efficacité et, sinon, comment pouvons-nous vous aider ?

Budget 2025 – Cybersécurité et ingérences étrangères (SGDSN, ANSSI et VIGINUM) – Le dôme cyber a tenu en 2024 ! Q/R Vidéo (15’45)

Le dôme cyber a tenu ! Je n’ai pas manqué l’occasion de féliciter nos services pour leur action émérite durant les Jeux Olympiques et les scrutins électoraux qui a résisté aux attaques cyber et informationnelles à grande échelle observées en 2024.

Ces services étaient représentés par MM. Stéphane Bouillon, secrétaire général du SGDSN, Vincent Strubel, directeur général de l’ANSSI et Marc-Antoine Brillant, chef du Service de vigilance et de protection contre les ingérences numériques étrangères (Viginum), lors de leur audition budgétaire annuelle devant notre commission des Affaires étrangères et de la Défense, le 6 novembre dernier.

Face aux contraintes budgétaires, j’ai interrogé nos responsables sur deux points majeurs :

Sur le Name & Shame :
Stéphane Bouillon (SGDSN) a distingué deux types de réponse : soit l’attribution, lorsqu’on est sûr que tel ou tel état est en cause, soit l’imputation, lorsque l’attaque utilise des « modes d’action habituels des services chinois, russes ou autres ». Quoi qu’il en soit, les dossiers remontent au sommet de l’État, car nommer l’agresseur demeure du ressort de l’autorité politique « dans un système où il y a le jeu des relations internationales ».
Pour sa part, Vincent Strubel (ANSSI) estime que dénoncer publiquement une manipulation de l’information est une réponse très naturelle pour rétablir la vérité, mais que dans le domaine cyber, le Name and Shame « n’est pas forcément très dissuasif ». En revanche, il met en avant la pratique du partage de l’information, associée à celle du « démantèlement d’infrastructures techniques de l’attaquant ». Une pratique « qui se développe de plus en plus, en lien avec nos principaux alliés ».

Sur les ajustements du périmètre de l’ANSSI pour tenir compte des contraintes budgétaires liées à NIS 2
M. Bouillon s’est loué du rôle de coordination interministérielle de l’ANSSI, qui est également une structure opérative. Il faut préserver cette possibilité de réunir tous les ministères, évaluer les cyber-précautions de chacun et, au final, « proposer des orientations et actions à mener au Premier ministre ». Une mission de « chef d’orchestre » également saluée par M. Strubel « qui permet d’intervenir dans tous les champs et qui est garant d’une forme de cohérence dans l’ensemble des réponses de toute nature à la cyber-menace ». Pour ce faire, le directeur de l’ANSSI a mentionné qu’il délègue « énormément au secteur privé le traitement des incidents », tout en gardant la main sur les opérations.

VERBATIM de mon intervention

Je tiens tout d’abord à m’associer aux propos du président pour saluer votre action et celle de vos services au cours de cette année 2024. Vous avez relevé le défi des Jeux olympiques dans un contexte géopolitique extrêmement tendu, rendu encore plus compliqué en politique intérieure par la succession des élections européennes et législatives.

Je veux donc saluer l’action de l’ANSSI, de Viginum et, évidemment, de tout l’écosystème qui vous entourait, ceux qui étaient en première ligne et qui ont répondu aux menaces cyber et informationnelles.

On pourrait dire que le dôme cyber a tenu.

Je disais l’an dernier qu’il n’y aurait pas de médaille d’argent en cas de défaillance de nos systèmes d’information ou de déstabilisation du bon déroulement des opérations électorales. Il n’en a rien été malgré des attaques bien réelles, vous l’avez rappelé. Il faut s’en féliciter et, comme vous M. Strubel, c’est effectivement une médaille d’or pour vos services et toutes vos équipes. Il est important de leur manifester toute notre reconnaissance d’avoir gagné cette bataille.

En qualité de sénateur de Français de l’étranger, je veux en profiter, comme Hélène, de vous exprimer notre gratitude pour le vote internet pour les Français de l’étranger qui a été très performant et qui montre aujourd’hui qu’il est devenu incontournable à l’étranger pour avoir une élection réussie.

Ce satisfecit ne doit pas nous empêcher de penser l’avenir. Ce budget pour 2025 ne répond manifestement pas aux besoins exprimés antérieurement par vos services :
– L’Anssi escomptait une croissance de ces effectifs et de son budget afin d’assumer les missions supplémentaires qui lui seront confiées après l’examen à venir du projet de loi relatif à la résilience des activités d’importance vitale, à la protection des infrastructures critiques, à la cybersécurité et à la résilience opérationnelle numérique du secteur financier. Au lieu de réguler l’activité d’environ 500 entités, cette agence devra changer d’échelle pour en gérer environ 15 000 ;
– Dans le même ordre d’idée, Viginum devait poursuivre sa croissance pour atteindre 65 ETP en 2025. Ce ne sera pas le cas et ses effectifs resteront identiques.

Ces deux cas de figure posent la question des priorités et des ajustements que vous devrez assumer. Cela pose également la question du périmètre des missions de l’ANSSI. Est-ce que l’agence pourra continuer à mener de front ses activités de régulateur, mais aussi d’acteur et parfois de prestataire de sécurité ?
On pourrait parler pour 2025, mais on ne peut pas regarder 2025 sans se projeter dans la suite et c’est ce qui est important.

J’ai une deuxième question sur la procédure. Lorsqu’on a discuté sur les attaquants, on avait dit que s’il y avait un podium, le premier pays des attaquants ce serait la Chine, ensuite la Russie et, en troisième position, l’Iran. Viginum agit aujourd’hui comme une force de réaction rapide pour contrer la désinformation et, on l’a vu, avec efficacité pour anticiper. Vous avez dénoncé, vous avez fait du “Name and Shame”, comme on dit en bon français. Effectivement, il faut nommer qui nous attaque, mais cela n’est pas toujours le cas. J’aimerais donc savoir quelle est la procédure qui détermine le fait que nous allons pouvoir nommer l’attaquant, puisqu’on voit bien que certaines attaques nous arrivent d’un certain endroit, mais elles ne sont pas dénoncées.

Voir l’intégralité de l’audition Budget 2025 : Agence française de développement, du 6 novembre 2024 sur le site du Sénat

CyberSécurité – Le « 17 Cyber » sur la rampe de lancement

En cas d’incendie, vous appelez immédiatement les pompiers. En cas de cyberattaque… personne n’a pas encore de réflexe conditionné.

En notre qualité de co-rapporteur du programme 129 du budget, nous nous sommes rendus avec mon collègue Mickaël Vallet au GIP ACYMA (Groupement d’intérêt public Action contre la Cybermalveillance), où nous avons été accueillis par son directeur, Jérôme Notin.

Après avoir travaillé sur la synthèse budgétaire du GIP, nous avons bénéficié d’une présentation en détail du dispositif « 17Cyber » qui viendra en complément des dispositifs existants pour constituer une réponse aux victimes de cyberattaques qu’il s’agisse d’entreprises, d’organisation ou de tout citoyen.

Ce dispositif 24h/24 permettra successivement de qualifier la menace, poser un constat, donner des conseils, faire la mise en relation avec des prestataires et, enfin, accompagner les victimes dans l’étape de judiciarisation, par le biais d’un policier/gendarme, dans les cas les plus graves (rançongiciel, violation de données, virus, piratage de système informatique…).

Lorsque j’ai accueilli une réunion organisée par le CyberCercle au Sénat, le mois dernier, Jérôme Notin m’avait fait l’honneur de rappeler que j’ai cherché à mettre en place ce concept depuis janvier 2019, cette « très belle idée d’un équivalent numérique du 17 police secours », reprise par le président de la République, début 2022 (compte-rendu).

Cette année, le GIP a mis en place ce dispositif 17Cyber en collaboration avec le ministère de l’Intérieur.

Nous avons pu constater que
. le développement a été achevé en mai ;
. la communication est prête (nous avons vu le spot info) ;
. les délais ont été tenus ;
. le budget a été respecté ;

On attend seulement le feu vert du ministre de l’Intérieur pour effectuer le lancement officiel… depuis mai dernier.

Nos remerciements et nos félicitations à Jérôme Notin et à son équipe qui démontrent une fois encore leur capacité d’innovation et leur efficacité.

Médias – “Russie, Chine : comment ils attaquent nos démocraties” (Public Sénat – 22 oct. 2024)

Ce 22 octobre, Thomas Hugues m’a invité dans son émission Sens Commun pour évoquer les ingérences étrangères qui ciblent nos démocraties. Il s’est appuyé sur le reportage de son collègue, Jonathan Dupriez, intitulé « Ingérences étrangères, des élus pris pour cibles », diffusé quelques jours plus tôt (voir la vidéo).

Sophie de Ravinel, Nicolas Quenel, journalistes, et Anthony Bellanger, éditorialiste à France Info TV sont venus enrichir le débat qui m’a permis de pointer que la Chine constituait le danger majeur, puisque la Russie ou l’Iran sont devenus ses proxys.

Quelque 250.000 personnes travaillent pour les services secrets chinois. Depuis 2017, une loi oblige les Chinois à collaborer avec ces services, ce qui concerne 60 millions de ressortissants résidant à l’étranger. Tous, loin de là, ne sont pas en faveur du Parti communiste chinois. Comment les aider à ne pas être instrumentalisés contre leur gré ?

En matière d’Ingérences étrangères, si la Russie est la tempête, le changement climatique est la Chine.

En guise de solutions, j’ai rappelé sur le plateau que nous avons besoin d’une « force de dissuasion cyber » : face à chaque attaque, il doit y avoir une réaction.

Public Sénat :
« Zoom sur les ingérences étrangères qu’il convient de réaliser après la cyberattaque subie par deux élus français… Russie, Chine, Iran ou Qatar, ces pays ciblent la France et plus particulièrement nos personnalités politiques. Des parlementaires espionnés par la Chine, des élus locaux accusés d’avoir cédé à la corruption de la Russie, des manipulations médiatiques pour peser sur le résultat des élections, la recrudescence d’infox propagées sur les réseaux sociaux… Les exemples se multiplient et permettent de dessiner les contours d’une nouvelle forme d’influence. »

Médias – « Ingérences étrangères, des élus pris pour cibles » (Public Sénat – 19 oct. 2024)

Chaque mois, les journalistes de l’émission “Sénat en action” s’immergent dans les coulisses du Sénat pour montrer le travail des 348 élus de la chambre haute.

Mes plus vives félicitations à Jonathan Dupriez pour son excellent travail d’investigation.

Bande annonce du reportage (vidéo 1m) :

Public Sénat : « Espionnage, hacking, tentative de recrutement, des puissances comme la Russie ou la Chine mènent une guerre feutrée agressive aux intérêts Français avec comme cibles : les élus. Olivier Cadic a été espionné pendant plusieurs années par la Chine, lui et six autres parlementaires français au cœur d’un hacking mondial… ».

Voir le reportage « Ingérences étrangères, des élus pris pour cibles » sur le site Public Sénat (vidéo 27m).

Public Sénat : « L’ingérence politique a pour objet de peser sur la décision d’un état, l’infléchir et éventuellement l’affaiblir. Toujours par des moyens dissimulés. Les élus sont des personnages publics. (…) Leur statut d’élus ne les protège aucunement des actions menées par des services de renseignement étrangers qui ne se priveront d’aucun moyen pour essayer d’entrer en contact avec eux et les influencer si possible

Médias – “CyberTaskForce : face aux cybermenaces pour la sécurité nationale, un projet de loi NIS 2 jugé brouillon” (The Epoch Times – 20 oct. 2024)

Merci à Etienne Fauchaire (The Epoch Times) d’avoir donné écho à mon intervention lors la conférence intitulée “Comment réussir la transposition NIS2 ?” organisée Sébastien Garnault, directeur du CyberTaskForce (compte-rendu).

Extraits :

Olivier Cadic, sénateur représentant les Français établis hors de France, a rappelé qu’il milite depuis 2019 afin que soit enfin mis en place un numéro d’appel, un « 17 cyber », et déploré lui aussi un « problème de gouvernance » : « Napoléon disait qu’un mauvais général vaut mieux que deux bons. Nous, décideurs politiques, avons besoin d’un interlocuteur unique, à l’image de ce qui a été instauré aux États-Unis ».
[…]
Autre problème soulevé : le flou définitionnel du texte, aussi bien concernant la notion d’incident (« Est-on tous d’accord en Europe sur la définition d’incident ? » – Olivier Cadic), celle de vulnérabilité, ou encore de dirigeant (« Dans une collectivité, qui est le dirigeant : le Directeur Général des Services (DGS) ou le maire ? » – Constance Nebbula).
[…]
Le texte ne répond pas non plus efficacement aux objectifs de sécurité nationale, a également relevé Olivier Cadic, puisqu’aucune sanction n’est prévue si le responsable d’une cyberattaque est un État étranger : « En cas de défaillance, une entreprise peut recevoir une amende. Mais qu’en est-il si un État nous attaque ? De quelle mesure de rétorsion le menaçons-nous réellement?»

Lire l’article d’Epoch Times CyberTaskForce : face aux cybermenaces pour la sécurité nationale, un projet de loi NIS 2 jugé brouillon

Euro-Atlantic Resilience Forum 2024 – Il n’y a pas de canon pour détruire un mensonge

Je remercie Romain Le Quiniou, directeur d’Euro Créativ, et les organisateurs de m’avoir invité à ouvrir en anglais, ce 17 septembre, une conférence intitulée « Forward Resilience – The EU and NATO Neighborhood Fighting Malign Foreign Influences », dans les locaux de l’ambassade de Roumanie à Paris, en présence de Ioana Bivolaru, ambassadrice de Roumanie en France et de Dana Gruia-Dufaut, conseillère des Français de l’étranger en Roumanie.

La conférence se tenait simultanément à Paris et Bucarest, dans le cadre du forum « Euro-Atlantic Resilience Forum 2024 ».

J’ai partagé mes alarmes et mes recommandations au sujet des influences étrangères, tout en exposant les récents développements pour renforcer notre lutte contre ces pratiques, en France comme au niveau européen.

Comme Taiwan est le laboratoire de la désinformation chinoise, j’ai suggéré que pour optimiser notre action, nous invitions Taïwan à rejoindre le Centre d’excellence coopératif de cyberdéfense de l’OTAN à Tallin et le Centre d’excellence de communication stratégique de l’OTAN à Riga.

Cette rencontre avait pour objectif d’explorer les stratégies de l’OTAN et de l’Union européenne pour renforcer la résilience des pays voisins des Balkans occidentaux et d’Europe de l’Est (Géorgie, Moldavie, Ukraine en particulier) face aux influences étrangères malveillantes, notamment celles émanant de la Russie. La discussion portait sur des enjeux multiples, tels que la résilience démocratique, la lutte contre les pratiques de guerre hybride et les ingérences étrangères, la réduction des dépendances économiques et énergétiques, ainsi que le renforcement de la sécurité régionale.

VERBATIM

There is no cannon to destroy a lie.

Large-scale information manipulation campaigns constitute the new, hybrid form of foreign interference.

This is a challenge for democracies in the information and reputation war waged by certain authoritarian regimes.

Information manipulation campaigns are not new.

There is a Russian signature when it comes to disinformation that includes the spread of rumors and fake news.

The revisionist strategy dates from the Soviet era.

The Soviets became famous by attributing to the Nazis the execution of Polish officers at Katyn or the assassination of JFK at the CIA

In 2016, living in the UK, I observed the wave of misinformation during the Brexit campaign.

This intensified with the 2016 US presidential election.

Also in preparation for the French military programming law in 2018, I went to the Pentagon. Their hybrid warfare doctrine inspired me to integrate the fight against “Fake news” into the military programming law (LPM) 2019-2025.

But if we have a Russian storm, Climate Change is China… Lire la suite

Cyber Task Force : “Comment réussir la transposition NIS2 ?”

La CyberTaskForce, initiée par Sébastien Garnault, vise à accompagner la transformation numérique de la société en créant un dialogue opérationnel entre les acteurs publics et privés, afin que leurs décideurs aboutissent à des positions communes.

Ce 16 octobre 2024, à l’espace Hamelin à Paris, j’ai participé à une réunion intitulée “Comment réussir la transposition NIS2 ?” organisée à l’occasion du Mois européen de la Cyber.

Le projet de loi sur la transposition des dispositions cyber de la Commission européenne avait été présenté la veille au conseil des ministres. A propos de la « date butoir du 17 octobre », j’ai rappelé que tant qu’un texte n’était pas voté par le Parlement, il ne s’appliquait pas.

NIS 2 se présente comme une opportunité pour les entreprises et les organisations de se mettre à niveau en matière de cybersécurité, mais le texte soulève des questions de fond, sinon de bon sens, comme je l’ai évoqué.

Je souhaite une transposition de NIS2 intelligente. Et pour être intelligente, elle doit être faite avec les professionnels pour les professionnels.

Après mon discours d’ouverture, j’ai participé à une table ronde intitulée “Comprendre et délimiter le périmètre de la directive NIS2”, dans le cadre des “Rendez-vous Cyber Task Force”.

Voici quelques citations fortes d’intervenants :

▶️ “80% des attaques réussies le sont par le facteur humain, complètement absent du projet de loi […] Comment infléchir la courbe en laissant 80% des vulnérabilités de coté dans ce texte” – Philippe Luc, CEO d’Anozr Way

▶️ “NIS2 ne régule pas les systèmes d’information, mais les organisations” – Raphael Marichez, CSO chez Palo Alto Networks

▶️ “Les sanctions sont importantes, mais les collectivités n’accepteront pas ces sanctions si l’État ne prévoit pas l’accompagnement financier” – Constance Nebbula, vice-présidente de la Région Pays de la Loire

▶️ “Nous avons un intérêt collectif à ce que ce texte soit réussi et nous devons aider le Parlement et la ministre” – Sébastien Garnault, fondateur de la CyberTaskForce

En circonscription en Pologne (2/2) – Karpacz (3-5 sept. 2024)

(à l’image) Joanna Jaroch-Pszeniczna, directrice de la CCIFP et Tareck Ouaibi, président.

Le Forum économique de Karpacz, souvent baptisé le Davos des pays d’Europe centrale et orientale, se déroule dans les montagnes polonaises à quelques kilomètres de la frontière avec la République tchèque.

Lors de mon passage à Varsovie, l’an dernier, j’avais promis aux membres de la Chambre de commerce et d’Industrie France Pologne (CCIFP) que je viendrais cette année pour soutenir leur action à l’occasion de cet événement international d’envergure.

Diplomatie économique

33ème Forum économique

Invité au Forum par les organisateurs afin de participer à une table ronde sur la désinformation, j’étais accompagné par une équipe de Public Sénat dans le cadre d’un reportage sur les opérations d’influences étrangères.

Durant 3 jours, l’Hotel Gołębiewski à Karpacz a accueilli plus de 6000 participants et près d’un millier de journalistes et de représentants des médias.

Ce séjour m’a permis de retrouver Frédéric Petit, député de la circonscription et habitué de la conférence, mais aussi de faire de nombreuses rencontres et d’assister à plusieurs tables rondes où intervenaient des compatriotes.

Ainsi la conférence “Power of women in Politics”, modérée par Benedicte Mezeix-Rytwinski, directrice et rédactrice en chef du média Lepetitjournal.com, m’a permis de mesurer la différence de perception du rôle des femmes en politique entre la France et la Pologne.

Je suis reconnaissant envers Benedicte d’avoir pris le temps de m’expliquer les nombreuses différences culturelles entre nos deux pays, de m’avoir aidé à m’orienter durant ce forum et pour ses multiples attentions afin de favoriser la réussite de ma mission.

La conférence sur les relations franco-polonaises animée par Tareck Ouaibi, président de la CCIFP, à laquelle participait Etienne de Poncins, ambassadeur de France en Pologne, a mis en valeur l’apport de la France, second investisseur étranger en Pologne, et la loyauté des entreprises hexagonales qui ont poursuivi leur développement dans le pays, même lorsque ce dernier avait des relations difficiles avec l’Union européenne.

Merci à Karolina Zawitaj, du comité d’organisation du Forum de Karpacz, de m’avoir offert l’opportunité d’intervenir à la faveur de cet événement International prestigieux et de rencontrer Władysław Kosiniak-Kamysz, vice-Premier ministre, ministre de la Défense et Krzysztof Gawkowski, vice-Premier ministre, ministre de la Numérisation, à la faveur des conférences sur la cybersécurité.

+d’images

Forum – Discours / Guerre informationnelle et de réputation

Les organisateurs du forum de Karpacz m’ont invité à participer à une conférence relative aux relations internationales et à la sécurité. J’ai eu l’opportunité de partager mes réflexions lors d’un discours et de participer ensuite à une table ronde.

Mon discours d’une dizaine de minutes avait pour titre : La Russie est la tempête, la Chine est le changement climatique.

J’y ai développé que les régimes autoritaires adeptes de la désinformation sont à l’oeuvre pour bouleverser l’ordre mondial. Face aux démocraties et leur soft power destiné à promouvoir un modèle et des valeurs, ces régimes ont développé un « sharp power » en utilisant des techniques renouvelées pour affaiblir et décrédibiliser leurs adversaires de l’intérieur. +d’images

Lire le DISCOURS

Forum – Table ronde / Lutte contre la désinformation

La table ronde qui a suivi posait la question : La lutte contre la désinformation est-elle aussi importante que les affrontements militaires ?

L’agression de la Russie contre l’Ukraine est allée bien au-delà de la forme traditionnelle d’un affrontement de deux armées. Un conflit tout aussi féroce se déroule dans le cyberespace.

Les armées de l’Ukraine, mais aussi des pays de l’OTAN, doivent faire face chaque jour à l’activité russe créant de faux messages concernant divers aspects de l’agression. Les fausses nouvelles, la manipulation, le trolling ne sont que quelques-unes des techniques de guerre en ligne utilisées à grande échelle.

Chaque participant a donné des pistes pour imaginer la manière dont nous pouvons nous défendre. +d’images

Forum : Chambre de commerce et d’industrie France-Pologne (CCIFP)

À l’invitation de Tareck Ouaibi, président de la CCIFP, et de Joanna Jaroch-Pszeniczna, directrice, j’ai été accueilli au Café France, le pavillon de la CCIFP qui célébrait sa 30ème participation consécutive au Forum économique de Karpacz.

Plus de 400 entreprises sont membres de la CCIFP. La France est le 3ème employeur étranger en Pologne et le deuxième investisseur.

Le Café France est assurément un des pavillons les plus courus pour sa convivialité et la qualité des produits qui y sont consommés.

Afin de marquer sa considération pour les entreprises françaises, Krzysztof Gawkowski, vice-Premier ministre, ministre de la Numérisation, est venu échanger au Café français.

Il a abordé le niveau d’investissement de la Pologne pour la numérisation des entreprises et répondu à de nombreuses questions sur la tech, l’Intelligence artificielle ou le handicap.

Ayant assisté à sa conférence de presse tenue la veille sur le pavillon de la cyber sécurité, j’ai souhaité rebondir sur la politique de son pays dans la lutte informationnelle. Le ministre observe une progression de 100% des attaques chaque année. 400 000 cyber attaques ont été enregistrées en 2023, certaines visant des infrastructures critiques.

Chaque semaine, son ministère consacre une réunion à la cybersécurité. +d’images

Forum : Club VIE

Présidé par Nicolas Pubellier, ce club a pour but de dynamiser la communauté d’expatriés issue du programme Volontaire International qui vit en Pologne.

Le Forum m’a permis de rencontrer Nicolas en compagnie de deux autres VIE, Naomi Tshibuabua et Soufiane Benlamine. J’avais eu l’opportunité de discuter, la veille à Varsovie, avec Paul Bourgeat, un autre membre du club qui réunit 86 VIE.

Beaucoup de fraicheur dans leurs analyses et leurs interrogations, tant sur l’environnement économique que sur la situation politique.

Leur énergie était telle que je n’ai pas eu besoin de Red Bull pour aller suivre la table ronde à laquelle participait Nicolas au sujet de l’irruption des nouvelles technologies dans le monde des affaires. Celle-ci se déroulait de 22h30 à 23h00…

Merci à eux pour leurs idées et leur enthousiasme. +d’images

Matinale du CyberCercle : “17 Cyber” et Cybermoi/s autour de Jérôme Notin

Belle Matinale de rentrée, organisée par le CyberCercle au Sénat, ce 12 septembre, en présence de Jérôme Notin, directeur général du GIP ACYMA (*) (Cybermalveillance.gouv.fr).

Au coeur des discussions le futur “17 Cyber” qui viendra compléter les dispositifs déjà mis en place pour répondre aux victimes (citoyens et organisations) de cyberattaques. Un dispositif d’appel 24h/24 qui, rappelons-le, permettra de qualifier la menace, poser un constat, donner des conseils, faire la mise en relation avec des prestataires et, enfin, accompagner les victimes dans l’étape de judiciarisation.

Je remercie Jérôme Notin d’avoir rappelé que je porte publiquement, depuis janvier 2019, cette « très belle idée d’un équivalent numérique du 17 police secours », reprise par le président de la République, début 2022, qu’il met cette année en place avec le ministère de l’Intérieur.

Ce fut également l’occasion pour les participants d’échanger sur la dynamique du Cybermoi/s. 1200 structures se sont engagées cette année, au mois d’octobre, pour relayer la campagne de sensibilisation auprès de leur réseau (#CyberEngagés).

L’accent a été mis en direction des entreprises, avec des vidéos à relayer, des messages-visuels sur les réseaux sociaux, et un mémento présentant des cas d’attaques et des recommandations issues des résultats d’une étude sur la maturité cyber des TPE-PME. +d’infos sur le site Cybermalveillance

Enfin, les discussions se sont orientées sur l’incontournable sujet de la transposition de NIS 2 qui mobilise toujours toutes les attentions (et passions !). A lire à ce propos Paroles de CyberCercle

Merci à Bénédicte Pilliet, présidente du CyberCercle, et à ses membres pour leur contribution à ma mission de contrôle de l’action du gouvernement.

(*) Créé en 2017, le groupement d’intérêt public Actions contre la Cybermalveillance (GIP ACYMA) a trois grandes missions : assister les victimes d’actes de cybermalveillance / prévenir les risques et sensibiliser les populations sur la cybersécurité / observer et anticiper le risque numérique par la création d’un observatoire.

Cyber-attaques APT 31 : Quand la Chine se lance dans la guerre de la Toile

Une vingtaine d’experts mondiaux de la cybersécurité m’ont fait l’honneur d’accepter d’être auditionnés au Sénat, le 3 juin dernier.

Cette rencontre d’exception a été possible grâce à Sébastien Garnault, fondateur de la Cyber Task Force et du Paris Cyber Summit, colloque auquel participaient tous ces experts à Paris.

Je remercie chaleureusement Philip Stupak, directeur adjoint au bureau du directeur national de la cybersécurité à la Maison Blanche, d’être revenu au sénat, un an après son audition pour la LPM et André Gattolin, ancien sénateur et co-président, comme moi, de la branche française de l’IPAC, l’Alliance interparlementaire sur la Chine, pour avoir brillamment co-animé les débats.

Cette audition grand format avait pour thème : « Menaces du groupe chinois APT : focus sur APT 31 et Storm 0558 ».

En effet, trois mois plus tôt, le ministère américain de la Justice avait dévoilé un acte d’accusation contre 7 ressortissants chinois appartenant au groupe de hackers APT31 qui dépend directement du ministère chinois de la Sécurité d’État. 116 parlementaires, issus de 15 pays, dont 7 Français, ont reçu en janvier 2021 des courriels de la part du groupe APT31 qui contenaient des images piégées (pixel attack), afin de collecter leurs informations. Les parlementaires ciblés, dont je fais partie avec André Gattolin, sont tous membres de l’IPAC.

Nous partageons une même volonté de s’opposer aux cyber-attaques lancées depuis Pékin, Moscou ou bien Téhéran, parce que nous défendons une vision commune de la démocratie et des droits de l’Homme.

Aussi, les responsables de l’administration américaine, canadienne et des plus grandes entreprises américaines ou européennes présentes ont partagé leurs propositions pour élever notre niveau de résilience face aux attaques.

Cyber-solidarité entre états

Il est ressorti des diverses prises de parole que, face à l’ampleur grandissante des cyber-menaces, aucun état, pas même les Etats-Unis, n’avait la « taille critique » pour se protéger seul.

(g à d) Phil Stupak (Maison Blanche) ; André Gattolin ; Olivier Cadic et Marc Schor (Sénat)

Tous les avis ont convergé pour prôner une cyber-solidarité entre les états démocratiques. Je partage naturellement cette vision nouvelle et pertinente pour contrer la Chine qui agit sur nos réseaux et prépare visiblement une guerre sur la toile.

La cyber-solidarité est une relation de confiance à construire entre les démocraties. Le temps presse cependant et il faut trouver des voies de partage sans tarder. En pareil cas, il est toujours judicieux de s’inspirer de l’existant. Ainsi, un intervenant a fait mention du secteur nucléaire parce que ses acteurs ont pris l’habitude de partager leurs nouvelles expertises, comme leurs points de vulnérabilité.

Partenariat public-privé

Une autre réponse a été développée lors de cette rencontre au Sénat, comme une extension logique au principe de cyber-solidarité entre les états : approfondir la collaboration public-privé. Puisqu’on parle de « taille critique » des états pour défendre leur souveraineté, force est de constater qu’une entreprise des GAFAM est plus numériquement plus « puissante » qu’un état comme la Russie.

Justement, l’agression de la Russie contre l’Ukraine a opéré comme un déclencheur pour de nombreux pays et entreprises les conduisant à hausser leur niveau de protection.

Trois jours avant l’invasion russe, les députés ukrainiens avaient voté une loi pour autoriser la localisation des données nationales hors de leur pays, afin de garantir la continuité du fonctionnement de leur administration.

Du reste, Amazon Web Services, va proposer un « European safety cloud » aux entreprises, comme aux administrations, pour faire valoir une vision de la souveraineté numérique qui n’est pas fondée sur l’achat d’une solution nationale, mais sur celui d’un produit qui assure un maximum de sécurité (notamment via le cryptage qui rend les données inaccessibles même au prestataire), de contrôle de la part de l’utilisateur et de garantie juridique.

Dans ce domaine, nous avons récemment progressé au niveau européen avec le règlement européen sur les services numériques (DSA) qui a permis pour la première fois, de confier aux plateformes, en particulier celles des GAFAM, des responsabilités importantes dans la lutte contre la désinformation. Aussi, pour la première fois, des sanctions ont été prises à l’encontre des médias manipulés par le pouvoir russe à des fins de propagande, ce qui a conduit à l’interdiction de Russia Today.

La cyber-solidarité entre états, associée aux partenariats public-privé, doit fonctionner à large échelle dans une guerre d’ordre planétaire. « La désinformation est devenue une véritable arme de guerre », rappelait, quelques jours plus tôt, le ministre de l’Europe, Jean-Noël Barrot, devant une commission du Sénat.

Un point d’alerte soulevé est que chacun doit prendre conscience de son empreinte numérique car les proches des personnes ciblées par une sont également ciblées.

Il faut urgemment rassembler les pièces d’un puzzle géant et multiplier les relais de confiance. Face à l’évolution technologique ou la corruption des individus, rien ne sera jamais acquis, même avec la meilleure volonté du monde ou les meilleurs outils. Une nouvelle page de l’histoire de l’humanité s’est ouverte. On se préparait à la guerre des Etoiles, avec les attaques des services chinois, nous sommes confrontés à la guerre de la Toile.

PARTICIPANTS
Mr Barnaby Page, Vice President, IR & Cyber Risk at SentinelOne
Mr Brett DeWitt, Vice President, Global Cyber & Technology Policy at Mastercard
Ms Christine Bejerasco, CISO at WithSecure
Mr Dan Cimpean, Director of the National Directorate for Cyber Security – DNSC
Mr Daniel Le Coguic, President of the Alliance for Digital Trust
Mr Dara Murphy, Vice President of Rasmussen Global, Former Minister for Europe and Digital Affairs of Ireland
Mr David Lashway, Co-chair at Sidley Austin
Ms Eva Benn, Senior Security Program Manager (Offensive Security, AppSec) at Microsoft
Mr François Deruty, Chief Intelligence Officer at Sekoia
Mr Fred Géraud, Government Affairs & Public Policy at Google Cloud
Ms Heli Tiirmaa-Klaar, former Ambassador, Director of Digital Society Institute of ESMT, Chair of the Ukraine IT Coalition Steering Group
Mr Jonathan Luff, Chief of staff at Recorded Future
Ms Katherine Sutton, Chief Technology Advisor to the Commander and Director of Pentagon Operations at the U.S. Department of Defense
Mr Lionel Benatia, Director Government Affairs Senior at Microsoft France
Mr Marc Raimondi, Chief of Staff to the Executive Chairman at Silverado Policy Accelerator
Mr Max Peterson, Vice President, Sovereign Cloud at AWS
Mr Michael Lashlee, Chief Security Officer at Mastercard
Mr Nils Hansma, Principal Security Assurance Lead – France/Switzerland at AWS
Mr Olivier Esper, Government Affairs Manager at Google
Mr Phil Stupak, Assistant National Cyber Director, Office of the National Cyber Director, Executive Office of the President – The White House
Mr Philippe Luc, CEO of ANOZRWAY
Mr Sami Khoury, Head of the Canadian Centre for Cyber Security
Ms Sandra Joyce, Vice-President, Google Threat Intelligence at Google Cloud
Mr Sean Newell, Chief of the National Security Cyber Section at the U.S. Department of Justice
Mr Vincent Richir, Director of Public Policy for Western Europe at Mastercard
Ms Zoey Stambolliu, Director Global Cybersecurity & Technology Policy at Mastercard

Sénat – Cyber – Table ronde sur la transposition de la directive NIS 2

Dans la perspective de l’examen du projet de loi relatif « à la résilience des activités d’importance vitale, à la protection des infrastructures critiques, à la cybersécurité et à la résilience opérationnelle numérique du secteur financier », le Sénat avait envisagé la création d’une commission spéciale.

Compte tenu de la dissolution de l’Assemblée nationale, les travaux législatifs au Parlement ont été suspendus et le texte n’a toujours pas été adopté en Conseil des ministres.

En qualité de co-rapporteur, avec mon collègue Mickaël Vallet, pour avis sur le volet « Cyber » du programme 129 « Coordination du travail gouvernemental » du projet de loi de finances, j’ai néanmoins souhaité organiser, ce 20 juin, au Sénat, une table ronde réunissant les grands acteurs de la cybersécurité autour de l’Alliance pour la confiance numérique (ACN), du Cybercercle et de la Cyber task force, pour un échange de vues sur les problématiques de la transposition de la directive NIS 2 pour la filière de cybersécurité.

Il y a urgence. Chaque État membre de l’UE dispose d’un délai pour transposer NIS2 dans son droit national qui doit être respecté avant le 17 octobre 2024.

J’ai présidé les débats divisés en deux séquences :
. Démarche et agenda de transposition de la directive NIS 2
. Impact pour les entreprises et pour la filière de cybersécurité

Nos échanges ont permis de croiser les points de vue en donnant la parole aux représentants de l’écosystème des entités essentielles et des entités importantes (BITD, étatiques, collectivités et PME … ) sur la transposition de la directive NIS2 dans le droit français (*).

Cette directive vise à renforcer le principe de responsabilité (accountability) des acteurs économiques, avec des sanctions financières substantielles à la clé.

Aussi, l’intelligence collective, le dialogue et la concertation seront des socles essentiels pour ceux qui auront la responsabilité de mettre oeuvre ces nouveaux dispositifs et pour ceux qui devront les accompagner. « Et, au-delà, la question centrale de la place de la sécurité numérique dans les politiques publiques », a conclu Bénédicte Pilliet.

Je remercie chacun des participants pour avoir contribué à la réussite de cette réunion que j’ai eu le plaisir de co-animer avec Bénédicte Pilliet, présidente du CyberCercle, Yoann Kassianides, délégué général de l’ACN et Sébastien Garnault, fondateur du CyberTaskForce et du Paris Cyber Summit.

(à l’image) Plus tôt dans la matinée, toujours au Sénat, j’avais eu l’honneur de présider la 130ème Matinale mensuelle du CyberCercle, aux côtés de sa présidente Bénédicte Pilliet, sur la stratégie d’intelligence économique et de sécurité numérique développée par la DGA – Direction générale de l’armement – au service de la BITD. A ce titre, nous avons reçu Jean-Baptiste Kerveillant et Camille Lanet de la DGA. +d’images

– – – – –
(*) Julien Lopizzo de Semkel, Muriel de Marcos de MGM Solutions, Marc Bothorel de la CPME nationale, David Dany et Christophe Curtelin de La Preuve Numérique©, Mylene Jarossay du Cesin, Quentin Nicaud d’Elysium Security, Eric Hohbauer de Stormshield, Pierre Kirchner d’Equans Digital, et des représentants de Poste Groupe, le CEA, le ministère des Armées… sans oublier les senior advisors du CyberCercle : Stéphane Meynet, Christian Daviot et Yann Magnan.

Quelle est la date officielle d’entrée en vigueur de NIS 2 ?
La directive NIS 2 a été publiée le 27 décembre 2022 au Journal Officiel de l’Union européenne et elle prévoit un délai de 21 mois pour que chaque Etat membre transpose en droit national les différentes exigences réglementaires. NIS 2 rentrera donc en vigueur en France au plus tard en octobre 2024. Il est utile de préciser que la date d’entrée en vigueur ne correspond pas à la date d’application de l’ensemble des exigences réglementaires qui seront imposées aux entités régulées : certaines exigences seront d’application directe et d’autres seront soumises à un délai de mise en conformité. (Source ANSSI)