Sa présidente, Bénédicte Pilliet, avait invité quatre autres parlementaires : Eric Bothorel, député des Côtes d’Armor, Cyrille Isaac-Sibille, député du Rhône, Guillaume Gouffier-Cha, député du Val-de-Marne et Sereine Mauborgne, députée du Var.

Ce fut, l’opportunité d’exposer mes trois cyber-priorités pour 2019.

Ressources Humaines : La première est de contribuer à renforcer les filières de formation en matière de cybersécurité : la pénurie de ressources humaines qualifiées est préoccupante. Il faut relier nos établissements scolaires et nos instituts de formation aux besoins du marché. Pour stimuler les vocations, la France devrait même disposer d’un “champion de la cybersécurité”. J’ai donc proposé la mise en place d’un club de réflexion autour des métiers de la cybersécurité, afin notamment de faire émerger une équipe de France de la cybersécurité propre à concourir lors des Olympiades des Métiers (WorldSkills).

Organisation : Ma deuxième priorité vise à rendre notre cadre législatif plus souple, afin que nos administrations gagnent en agilité face à la multiplication des cyber-menaces. La lutte contre la cybercriminalité ne doit pas se départir du respect des libertés fondamentales, mais elle ne doit pas non plus proliférer du fait des pesanteurs administratives.

Budget dédié : Enfin, dernier point, j’aimerais la mise en œuvre du principe de précaution suivant : pour tout investissement en matière de logiciel, nos administrations doivent lier une somme équivalente à 5% de l’investissement pour l’affecter à la cyber-protection. Un principe qui me tient d’autant plus à cœur que je suis rapporteur des crédits du programme 129 ” Coordination du travail gouvernemental ” (gestion de crises, cyberdéfense, renseignement) dans le projet de loi de finances.

Je me suis fait l’écho de nombreux participants pour dire, en conclusion, que la cybersécurité devait devenir l’affaire de tous. Un travail de sensibilisation est plus que jamais nécessaire pour protéger nos démocraties et nos valeurs contre des agresseurs extérieurs.

La démarche initiée par l’ANSSI à travers un dispositif national de prévention et d’assistance aux victimes d’actes de malveillance (www.cybermalveillance.gouv.fr)

Ce rôle m’a permis de défendre les crédits de l’Agence nationale de sécurité des systèmes d’information (ANSSI) dans le budget 2019.

A ce titre, j’ai rappelé que la cyberdéfense était un enjeu majeur pour notre pays. Je me réjouis que les prérogatives et les crédits accordés à l’ANSSI soient en progression en 2019.

Le journal revient sur la remise en question des crédits de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

” (…) L’amendement est déjà combattu par le sénateur Olivier Cadic, rapporteur pour avis de la commission des Affaires étrangères et de la Défense. Relais assidu de l’ANSSI au Sénat, l’élu s’inquiète d’une réduction du plafond d’emploi des effectifs de l’agence, alors qu’elle doit recruter massivement pour répondre aux nouvelles menaces.”

Le monde est de plus en plus connecté et donc de plus en plus vulnérable. Le rapport Symantec 2018 classe la France au 9ème rang des pays où la cybercriminalité est la plus active. Les réseaux criminels se partagent le cyberespace avec des acteurs étatiques qui, eux, se livrent à l’espionnage et parfois même à l’ingérence et la déstabilisation.

Pour contrer ces menaces, la France dispose de l’ANSSI, l’autorité nationale en matière de sécurité et de défense des systèmes d’information (prévention, réaction, formation et labellisation), créée en 2009.

Avec mon collègue Rachel Mazuir, également rapporteur, nous nous sommes montrés globalement satisfaits de l’évolution des moyens de l’ANSSI en 2019. Ses effectifs passeront de 555 à 595 ETP (+ 40) et ses crédits de 72,9 à 79,4M€ en Crédits de paiement (+8,8 %) et de 70,2 à 94,7M€ (+35 %) en Autorisations d’engagement.

J’ai toutefois marqué quelques points de préoccupation en proposant des solutions :

– Il faut s’alarmer de la vulnérabilité persistante de nos ministères non régaliens, faute d’investissements de cybersécurité. Ceux-ci devraient être obligatoires lors du développement de tout nouveau programme informatique.

– Le ministère de l’Enseignement supérieur doit jouer un rôle d’orientation des universités et des grandes écoles vers le développement de filières produisant des spécialistes de la cybersécurité. Les difficultés de recrutement et de fidélisation des ingénieurs sont criantes. L’ANSSI affronte un turn-over supérieur à 15 % et une inflation des exigences salariales…

– Il est nécessaire de mettre en place un réseau de veille au niveau européen, ce qui veut dire une coopération fluide entre États disposant d’opérateurs comme l’ANSSI – ils sont rares – et la mise à niveau des États qui n’en disposent pas avec l’appui de l’Union européenne.

La publication fait le compte-rendu de ma présentation en commission Défense : “La cybersécurité est devenue ” un enjeu majeur “, martelait le sénateur Olivier Cadic (UC), co-rapporteur du programme 129 pour le PLF 2019. À ce titre, l’ANSSI devrait recevoir davantage de moyens en 2019, explique-t-il. Hélas, à l’image de la saga budgétaire du ministère des Armées, cela ne se fera pas sans mal.”

J’ai rappelé quelques modes opératoires liés à la cyber-délinquance qui visent à extorquer financièrement les victimes. Puis, j’ai interrogé le général sur le « top 10 » des arnaques les plus fréquentes en France et sur la nécessité de les médiatiser afin de renforcer la sensibilisation de l’opinion sur ces problématiques.

En réponse, ne disposant pas de statistiques de ce type, le général Lizurey m’a incité à visiter les installations du Centre de lutte contre la criminalité numérique (C3N), basée à Pontoise, qui est notamment en charge de surveiller le “darknet”.

La Loi de programmation militaire a prévu un effort important en matière de création de postes dans les domaines clés du renseignement, de la cyberdéfense et du numérique. J’ai demandé à Florence Parly de nous préciser combien d’emplois seront créés en 2019 pour cette mission et dans quelles entités du ministère.

Dans sa réponse, Florence Parly a détaillé les créations de postes au sein du service du renseignement du ministère et de la fonction renseignement dans les armées.

>> Ma QUESTION en vidéo (1m30)

Diner-débat au Procope, lieu même où les libertés publiques et individuelles ont été forgées par les philosophes des Lumières. Le combat demeure incessant pour préserver nos valeurs, seule la nature des menaces change.

Le lendemain même, la presse internationale titrait sur la cyberattaque russe déjouée par les services secrets hollandais et britanniques visant l’Organisation pour l’Interdiction des Armes chimiques (OIAC), basée à La Haye. Les espions s’étaient installés sur un parking dans un véhicule truffé d’électronique…

Hackers, groupes terroristes et états totalitaires ont aujourd’hui élu domicile dans l’espace numérique, où ils nous livrent une guerre continuelle et multiforme. Cette guerre hybride pourrait même conduire à la fin du numérique, à l’horizon 2020, prédisent gravement certains experts.

Dans les chartes informatiques des grandes entreprises, notamment dans le monde de la finance, les mesures sont désormais draconiennes : la clé USB est bannie et les salariés ont interdiction de se connecter aux réseaux sociaux, d’utiliser leur adresse personnelle ou même de lancer une requête (sauf sur des postes dédiés). Le but est de réduire la surface d’attaque, car les responsables informatiques admettent qu’ils n’y arrivent plus… voici l’état des lieux, résumé en quelques mots, qui nous a été rapporté par le représentant du ministère de l’Intérieur (*).

Pourquoi ne pas nommer un général pour la cyberdéfense qui s’exprimerait devant le Parlement au même titre que les chefs d’Etat-major des trois armes : terre, air, mer ?

Celui-ci nous a expliqué, de manière très pragmatique, à quel point nos outils nomades pouvaient être potentiellement des espions épatants ou des nids à virus.

J’ai alors demandé à l’assistance qui utilisait une application VPN (Virtual Private Network) sur son portable. Quelques mains éparses se sont levées. Pourtant, “c’est le b.a.-ba contre les requêtes malveillantes”, a souligné notre expert, d’autant qu’il y a d’excellents fournisseurs français. Ceux-ci proposent également des solutions de partage et de travail collaboratif pour les organisations.

Grâce à l’intervention suivante de Christian Daviot, nous sommes passés de la pédagogie de terrain aux aspects géostratégiques de la cyberguerre. Le chargé de mission Stratégie à l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a commencé par fustiger les états qui étaient les plus grands prédateurs sur internet.

Cela étant, chaque état agit selon sa propre culture, ce qui détermine des comportements bien différents même si les Chinois, à l’instar des Russes, Coréens du nord et Iraniens, font partie du groupe des quatre suspects habituels en cas de cyberattaque, précise-t-il.

Christian Daviot, chargé de mission Stratégie à l’ANSSI : “Le paradoxe est que les états veulent bâtir leur croissance sur le numérique, mais qu’ils développent, en même temps, des armes sophistiquées qui risquent de tuer le numérique”.

Aux États-Unis, le Cloud Act (**) qui a pris effet sous le président Trump permet à l’administration d’accéder aux données de n’importe quel Américain dans le monde et à toutes les données stockées chez des hébergeurs américains, sans avoir à le notifier aux personnes concernées.

Quant à la France, nous sommes purement défensifs. Il s’agit de protéger nos systèmes d’information (les “Opérateurs d’importance vitale”), car nous sommes universalistes et prônons la paix dans le numérique…

Dans un monde sans foi, ni loi, les grandes entreprises estiment que l’on ne peut plus continuer de la sorte. “Nous sommes le champ de bataille”, dit Microsoft, plaidant pour une sorte de convention de Genève du numérique. Mais il faudrait commencer par définir la notion de territoire numérique pour créer un cadre juridique. Une sacrée gageure !

Questions de l’assistance : Olivier Piton, conseiller consulaire États-Unis (Washington) et président de la commission des Lois de l’AFE (sur le vote électronique) / Roland Raad, conseiller consulaire Arabie Saoudite et président de l’UFE Al khobar (sur une éthique universelle) / Marie-José Caron, conseillère consulaire Danemark et élue AFE Europe du Nord (sur le champ d’action du secrétaire d’État chargé du Numérique).

Si les états voient d’un mauvais œil que le secteur privé se préoccupe de relations internationales, c’est pourtant la seule solution, soutient le responsable de l’ANSSI : il est temps de faire réfléchir collectivement les états, les ONG, le secteur privé et les citoyens… “mais nous n’en prenons pas le chemin”.

Au moment des échanges, la question du vote électronique a été soulevée. Les élus consulaires ont noté que “l’ANSSI ne peut pas techniquement garantir la sincérité du vote par internet, mais que la décision revient au politique”.

Nos deux brillants conférenciers ont montré à quel point nous vivons dans une insécurité chronique et combien le chemin sera long pour pacifier le cybermonde.

Les récentes prises de position de la Commission européenne prouvent pour le moins que l’on est conscient du danger et que seule une réponse au niveau de l’Union sera viable.

Mes remerciements à Bénédicte Pillet, présidente du CyberCercle, qui m’a aidé à construire cette soirée.

Je l’ai répété en qualité de rapporteur des crédits annuels de l’ANSSI (lire PLF), puis de rapporteur des crédits affectés à la cyberdéfense dans la loi de programmation militaire (lire LMP) : n’attendons pas de vivre un cyber 11 Septembre pour combattre ceux qui veulent miner les démocraties de l’intérieur.

Je suis d’accord avec le représentant du ministère de l’Intérieur pour laisser le mot de la fin à Confucius : “Celui dont le regard ne va pas loin verra les ennuis de près”.

A cette occasion, j’expose les actions que je compte mener ces prochains mois en matière de cybersécurité.

Le 23 mai 2018, lors du débat en hémicycle, j’ai rappelé que Jean-Claude Juncker, président de la Commission européenne, avait déclaré que les cyberattaques étaient plus dangereuses pour la stabilité des démocraties que les chars et les fusils.

Les nombreux intervenants sur le projet ont accueilli avec beaucoup de fierté ce score sans appel. J’ai travaillé en qualité de rapporteur délégué sur la cyberdéfense, auprès de la commission des Affaires étrangères, de la Défense et des forces armées (Lire : mon rapport présenté devant de la commission Défense – 16 mai 2018).

Mon objectif a été de convaincre mes collègues que la cyberdéfense devait être l’une des grandes priorités de la LPM. Si un conflit à grande échelle devait avoir lieu, il commencerait par des opérations dans le cyberespace. C’est déjà le lieu de prédilection de certaines puissances, comme la Russie, pour mener des actions de désinformation et de propagande.

J’ai ainsi proposé que “la manipulation de l’opinion publique par l’utilisation massive des médias numériques et des réseaux sociaux avec pour objectif l’altération du fonctionnement normal des institutions démocratiques”, soit prise en compte dans le rapport annexé de la LPM.

Le 16 mai 2018, la commission Défense a approuvé le rapport que je présentais sur la cyberdéfense, convaincue d’un véritable enjeu de sécurité nationale.

Je n’ai pas été démenti dans mes convictions lorsque je me suis rendu au Pentagone, le 8 mai dernier, à Washington. Pour les responsables du Département de la Défense, les fake news sont la principale menace en termes de guerre hybride (lire).

Lors de l’examen du projet de loi, je suis intervenu en séance pour évoquer cette menace et inciter mes collègues à ne pas attendre un “11 septembre” dans le domaine cyber pour prendre conscience que les démocraties doivent désormais s’allier pour combattre un ennemi qui utilise déjà de puissants moyens numériques pour les détruire de l’intérieur. Voir la vidéo (2m) ou Lire mon intervention.

Je me réjouis que l’adoption de la LPM permette de multiplier par deux le montant des crédits affectés à la cyberdéfense, par rapport à la précédente LPM, avec un volume global d’investissements de l’ordre de 1,6 milliards.

Le 17 mai 2018, notre président Christian Cambon a prôné devant Florence Parly, ministre des Armées, un renforcement des pouvoirs de contrôle parlementaires pour suivre l’exécution la LPM (2019-2025).

Cette LPM récompense des mois d’efforts collectifs et consacre aussi d’autres priorités, comme l’amélioration de la condition du soldat et des familles, le renouvellement d’équipements ou la modernisation des deux composantes de la dissuasion nucléaire.

Je suis intervenu à propos de cyberdéfense, thème dont je suis le rapporteur délégué au sein de ma commission Affaires étrangères et Défense, présidée par Christian Cambon. Une responsabilité qui a motivé ma visite au Pentagone, le 8 mai, à Washington.

Mon intervention a eu pour but de souligner le niveau de menace actuel. N’attendons pas de vivre un “11 septembre” de la cyber pour comprendre que les démocraties doivent lutter de concert contre un ennemi qui a déjà commencé son travail de déstabilisation et de propagande sur les réseaux.

J’avais pris la mesure d’un niveau de menace planétaire sans précédent. “Winter is coming”, a dit le patron de la direction nationale de la cyber-sécurité israélienne, fin janvier, lors du Cybertech 2018 devant un gratin mondial d’experts.

L’espionnage, les trafics illicites, la déstabilisation et le sabotage représentent les quatre types d’objectifs des attaquants informatiques, nous explique l’Anssi, Agence nationale de la sécurité des systèmes d’information, dans un document rendu public le 12 février dernier : la revue stratégique de cyberdéfense.

Cette revue est l’équivalent d’un livre blanc, premier du genre et décrit comme “un grand exercice de synthèse stratégique” visant à renforcer la sécurité numérique de nos citoyens et nos les institutions, sur la base de sept axes de travail (télécharger).

Ce document a été établi dans le cadre de la loi de programmation militaire (LPM) qui va prochainement mobiliser notre commission Défense. Au fait, pourquoi ne pas nommer un général pour la cyberdéfense qui vienne devant le Sénat au même titre que les chefs d’Etat-major des trois armes (air, terre, mer) ? Ce fut ma proposition pour donner le ton lors du petit déjeuner débat organisé par le CyberCercle, le 15 février dernier. Sa présidente, Bénédicte Pilliet, avait réuni autour de moi une trentaine de responsables de grandes entreprises et quelques hauts fonctionnaires, tous soucieux d’avoir le regard d’un parlementaire sur cette revue stratégique de cyberdéfense.

Au moment des échanges avec la salle, je me suis senti sur la même longueur d’onde que tous ces responsables de sécurité, aux prises avec les normes franco-françaises, les certifications au long-cours ou la déferlante des produits connectés comme autant de chevaux de Troie.

J’ai ressenti un consensus lorsque j’ai avancé que la cybersécurité dans l’entreprise devait se concevoir dans le cadre de sa politique d’assurance-qualité et non en créant de nouvelles obligations réglementaires dédiées, comme le propose le secrétaire d’État chargé du numérique.

Préférer l’efficacité au formalisme apparaît logique et évident pour des entrepreneurs. La preuve que le lien entre les parlementaires et les entreprises doit se renforcer, sous peine de perdre le sens commun.

Les crédits du programme 129 (gestion de crises, cyberdéfense, renseignement) progressent de 1,2 % en autorisations d’engagement et de 3 % en crédits de paiement. Il faut s’en réjouir, car ils portent les moyens de services indispensables à la politique de défense et de sécurité de notre pays. C’est pourquoi la commission s’est déclarée, à l’unanimité, favorable à l’adoption des crédits de cette mission.

J’ai concentré mes propos sur les crédits attribués à la cybersécurité en formulant plusieurs observations, en particulier sur les missions et les moyens de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

L’instrumentalisation des réseaux sociaux est désormais considérée par le Pentagone comme la plus grande menace militaire des années à venir dans le domaine des guerres hybrides.

Je me suis montré inquiet devant l’absence d’exposé de stratégies de contre-influence et de promotion de nos valeurs démocratiques dans la Revue stratégique.

Voir la VIDÉO

Le numérique a transformé le monde en un village global. Cela ne nous empêche pas de construire notre “République numérique” bien à nous, française, avec notre conception de l’ouverture des données ou de la protection des données individuelles. On comprend mieux pourquoi la France promulgue cinq fois plus de lois que le Royaume-Uni ou l’Allemagne, par exemple.

Après avoir adopté 155 amendements, le Sénat a voté le 3 mai, en première lecture, le projet de loi du gouvernement par 323 voix pour et 1 contre.

Quels ont été les apports du Sénat ? Citons l’obligation aux plateformes collaboratives de transmettre les données de leurs clients à l’administration fiscale ; l’obligation pour les plateformes de location de logement de s’assurer que leurs utilisateurs ne louent pas leur résidence principale plus de 120 jours par an ; une franchise de 5000€ pour les particuliers qui tirent des revenus de plateformes collaboratives ; l’obligation pour les opérateurs télécoms de développer leur couverture numérique ; la prévention contre le cyber harcèlement dès l’école ; la qualification de pratique anticoncurrentielle pour les moteurs de recherche qui favorisent leurs propres services.

Ma collègue Catherine Morin-Desailly a pris la parole au nom du groupe UDI-UC. (à propos du rachat de Withings – santé connectée) “A défaut d’un schéma de développement français et européen du numérique, c’est l’une de nos pépites qui nous échappe. C’est donc un pilotage industriel et financier qui se fera encore depuis la Californie !”.

Et aussi, la mise en place “expérimentale” d’un CDD pour les joueurs de jeux vidéo compétitifs. Puisqu’on vous le dit que le Sénat s’est rajeuni…

Mon amendement, quant à lui, visait à ne pas obliger l’Afnor à mettre en libre disposition sur internet et gratuitement certains de ses documents, notamment ceux issus du processus de normalisation de cette association.

En effet, la mise en ligne de ces données provoquerait la mise à l’index de l’Afnor par la communauté internationale, voire son exclusion des instances internationales de normalisation (ISO, CEN…), où elle siège au nom de la France pour défendre notre compétitivité.

« Nouvellement élu au Sénat, Olivier Cadic fait partie des 12 sénateurs représentant les Français établis hors de France, soit environ 2.200.000 ressortissants. Ardent défenseur du vote électronique, il estime que cette façon de voter est suffisamment sûre et permet surtout l’accès au vote au plus grand nombre. Quant à la cybersécurité, ses principales préoccupations sont le vol d’identité et la géolocalisation des ressortissants français, notamment dans les pays à risques. Face à ces menaces, il estime que la réponse est la sensibilisation.

(…)

Olivier Cadic : « Le principe d’une erreur, c’est qu’au moment où on la commet, on ne sait pas que c’est une erreur. Sinon, on ne la ferait pas. Il faut donc anticiper les comportements à risques et informer le plus largement possible pour éviter l’irréparable, tout en sachant que le risque zéro n’existe pas. »