Cette rencontre d’exception a été possible grâce à Sébastien Garnault, fondateur de la Cyber Task Force et du Paris Cyber Summit, colloque auquel participaient tous ces experts à Paris.

Je remercie chaleureusement Philip Stupak, directeur adjoint au bureau du directeur national de la cybersécurité à la Maison Blanche, d’être revenu au sénat, un an après son audition pour la LPM et André Gattolin, ancien sénateur et co-président, comme moi, de la branche française de l’IPAC, l’Alliance interparlementaire sur la Chine, pour avoir brillamment co-animé les débats.

Cette audition grand format avait pour thème : « Menaces du groupe chinois APT : focus sur APT 31 et Storm 0558 ».

En effet, trois mois plus tôt, le ministère américain de la Justice avait dévoilé un acte d’accusation contre 7 ressortissants chinois appartenant au groupe de hackers APT31 qui dépend directement du ministère chinois de la Sécurité d’État. 116 parlementaires, issus de 15 pays, dont 7 Français, ont reçu en janvier 2021 des courriels de la part du groupe APT31 qui contenaient des images piégées (pixel attack), afin de collecter leurs informations. Les parlementaires ciblés, dont je fais partie avec André Gattolin, sont tous membres de l’IPAC.

Nous partageons une même volonté de s’opposer aux cyber-attaques lancées depuis Pékin, Moscou ou bien Téhéran, parce que nous défendons une vision commune de la démocratie et des droits de l’Homme.

Aussi, les responsables de l’administration américaine, canadienne et des plus grandes entreprises américaines ou européennes présentes ont partagé leurs propositions pour élever notre niveau de résilience face aux attaques.

Cyber-solidarité entre états

Il est ressorti des diverses prises de parole que, face à l’ampleur grandissante des cyber-menaces, aucun état, pas même les Etats-Unis, n’avait la « taille critique » pour se protéger seul.

(g à d) Phil Stupak (Maison Blanche) ; André Gattolin ; Olivier Cadic et Marc Schor (Sénat)

Tous les avis ont convergé pour prôner une cyber-solidarité entre les états démocratiques. Je partage naturellement cette vision nouvelle et pertinente pour contrer la Chine qui agit sur nos réseaux et prépare visiblement une guerre sur la toile.

La cyber-solidarité est une relation de confiance à construire entre les démocraties. Le temps presse cependant et il faut trouver des voies de partage sans tarder. En pareil cas, il est toujours judicieux de s’inspirer de l’existant. Ainsi, un intervenant a fait mention du secteur nucléaire parce que ses acteurs ont pris l’habitude de partager leurs nouvelles expertises, comme leurs points de vulnérabilité.

Partenariat public-privé

Une autre réponse a été développée lors de cette rencontre au Sénat, comme une extension logique au principe de cyber-solidarité entre les états : approfondir la collaboration public-privé. Puisqu’on parle de « taille critique » des états pour défendre leur souveraineté, force est de constater qu’une entreprise des GAFAM est plus numériquement plus « puissante » qu’un état comme la Russie.

Justement, l’agression de la Russie contre l’Ukraine a opéré comme un déclencheur pour de nombreux pays et entreprises les conduisant à hausser leur niveau de protection.

Trois jours avant l’invasion russe, les députés ukrainiens avaient voté une loi pour autoriser la localisation des données nationales hors de leur pays, afin de garantir la continuité du fonctionnement de leur administration.

Du reste, Amazon Web Services, va proposer un « European safety cloud » aux entreprises, comme aux administrations, pour faire valoir une vision de la souveraineté numérique qui n’est pas fondée sur l’achat d’une solution nationale, mais sur celui d’un produit qui assure un maximum de sécurité (notamment via le cryptage qui rend les données inaccessibles même au prestataire), de contrôle de la part de l’utilisateur et de garantie juridique.

Dans ce domaine, nous avons récemment progressé au niveau européen avec le règlement européen sur les services numériques (DSA) qui a permis pour la première fois, de confier aux plateformes, en particulier celles des GAFAM, des responsabilités importantes dans la lutte contre la désinformation. Aussi, pour la première fois, des sanctions ont été prises à l’encontre des médias manipulés par le pouvoir russe à des fins de propagande, ce qui a conduit à l’interdiction de Russia Today.

La cyber-solidarité entre états, associée aux partenariats public-privé, doit fonctionner à large échelle dans une guerre d’ordre planétaire. « La désinformation est devenue une véritable arme de guerre », rappelait, quelques jours plus tôt, le ministre de l’Europe, Jean-Noël Barrot, devant une commission du Sénat.

Un point d’alerte soulevé est que chacun doit prendre conscience de son empreinte numérique car les proches des personnes ciblées par une sont également ciblées.

Il faut urgemment rassembler les pièces d’un puzzle géant et multiplier les relais de confiance. Face à l’évolution technologique ou la corruption des individus, rien ne sera jamais acquis, même avec la meilleure volonté du monde ou les meilleurs outils. Une nouvelle page de l’histoire de l’humanité s’est ouverte. On se préparait à la guerre des Etoiles, avec les attaques des services chinois, nous sommes confrontés à la guerre de la Toile.

À la demande de Philip Stupak, Assistant National Cyber Director à la Maison Blanche, et Sébastien Garnault, fondateur de la Cyber Task Force en 2016 et du Paris Cyber Summit, j’ai eu l’honneur de conduire avec Louise Morel, une délégation* composée de parlementaires et d’experts, à Washington du 26 au 28/02/24.

Louise Morel

Louise Morel, députée du Bas-Rhin, est rapporteur de la Commission spéciale chargée d’examiner le projet de loi visant à sécuriser et réguler l’espace numérique.

Sébastien Garnault

Rapporteur de la Coordination du travail gouvernemental (cyberdéfense, SGDSN) depuis 2017, ce déplacement m’a permis de recueillir des informations qui viendront nourrir utilement la réflexion du Sénat pour évaluer l’action du gouvernement en matière de cybersécurité et de cyberdéfense.

Merci à Sébastien Garnault (Garnault & Associés) pour le programme de très haut niveau proposé.

J’adresse toute ma gratitude à Chad Sweet, co-fondateur et CEO de The Chertoff Group, pour avoir accueilli notre délégation pour compléter nos échanges avec les experts rencontrés lors de notre séjour.

*Délégation Cyber Task Force
Co-présidents : Olivier Cadic (Sénateur) / Louise Morel (Députée) / Sébastien Garnault (G&A)
Députés : Michael Bouloux (Ille-et-Vilaine)/ Laurent Esquenet-Goxes (Haute-Garonne)/ Denis Masséglia (Maine-et-Loire) / Stéphane Vojetta (Français de l’étranger)
Experts : Daniel Le Coguic – Pdt Alliance pour la confiance numérique (ACN) / Adrien Basdevant (Avocat) / Baptiste Robert (Prédicta Lab) / Cédric Thevenet (Capgemini) / Patrick Trinkler (CYSEC) / Pierre-Alexandre Houver (G&A)

Diplomatie parlementaire

Maison Blanche – Cyber Task Force

J’avais eu le privilège d’auditionner Philip Stupak dans le cadre de la Loi de programmation militaire en juin 2023 au Sénat.

À la faveur de cette visite, Philip m’a fait visiter la “West Wing” de la Maison Blanche et permis d’accéder au bureau ovale occupé par le président Joe Biden.

Philip nous a ensuite fait visiter le building office Eisenhower qui accueille le bureau de la vice-présidente et de toute l’équipe exécutive de la Maison Blanche.

Merci à Philip pour cette visite mémorable que nous avons pu immortaliser ensemble dans la fameuse salle de presse James Brady. +d’images

Maison Blanche – Bureau du directeur cyber fédéral

Réunion de la Cyber Task Force à la Maison Blanche avec Harry Coker, Jr., National Cyber Director, Philip Stupak, Assistant National Cyber Director.

The Office of the National Cyber Director (ONCD) conseille le président des Etats-Unis sur la politique et la stratégie en matière de cybersécurité.

Créé en 2021 par le Congrès, l’ONCD est une composante du bureau exécutif de la Maison Blanche. L’ONCD a été le fer de lance du développement de la stratégie de la cybersécurité annoncée par Joe Biden en mars 2023.

La Counter Ransomware Initiative (CRI) de la Maison Blanche est une réponse internationale pour lutter contre la menace croissante des attaques de rançongiciels.

Harry Cocker a rappelé l’importance d’une diplomatie de la cyber. La CRI réunit 48 pays, l’Union européenne et Interpol. Il a mis également en avant la nécessité de partage des informations et de collaboration public-privé pour lutter contre les acteurs du rançongiciel. +d’images

Department of Justice

Notre délégation Cyber Task Force s’est rendue au ministère de la Justice pour un entretien avec plusieurs interlocuteurs* qui a porté sur plusieurs sujets.

Un briefing des menaces cyber par le FBI ; un compte-rendu des menaces cyber par la nouvelle section du ministère de la Justice intitulé « NatSec Cybersecurity » ; un état des attaques en espionnage économique et les techniques utilisées par la Chine ; les forces de frappe de technologie de rupture employées ; et enfin les mesures de protection contre les investissements étrangers pour prendre le contrôle d’entreprises sensibles.

Nous avons évoqué la diplomatie du renseignement et un décret américain à venir pour limiter toute activité étrangère qui aurait accès aux données de citoyens américains. +d’images

*Department of Justice
– Mr Sean Newell, Acting Chief, National Security Cyber Section (NatSec Cyber), U.S. Department of Justice
– Mr Matthew McKenzie, Deputy Chief, Counterintelligence, Counterintelligence and Export Control Section, U.S. Department of Justice
– Mr Nate Swinton, Senior Counsel to the Assistant Attorney General for National Security, U.S. Department of Justice
– Mr Eric S. Johnson, Principal Deputy Chief, Foreign Investment Review Section, U.S. Department of Justice

Department of State – Ministère des Affaires étrangères

Rencontre au Département d’État* avec Nate Fick, ambassadeur itinérant en charge du cyberespace et la politique digitale. Avant d’être ambassadeur, il a dirigé une société de logiciel de cybersécurité.

Le Département d’État met en œuvre la nouvelle stratégie mondiale de coopération en matière de cybersécurité définie par la Maison Blanche et fondée sur la coopération internationale.

L’agression de la Russie contre l’Ukraine a entraîné de nombreux pays et entreprises à s’allier pour élever leur niveau de défense. Chacun est désormais également conscient de la campagne menée par le Parti communiste chinois pour renverser le monde démocratique sur internet, en s’alliant à la Russie, l’Iran et la Corée du Nord.

Les entreprises de pointe ont joué un rôle important dans la défense contre les récentes cybermenaces. Nate Fick reconnaît le rôle central du secteur privé pour partager la charge de la cyberdéfense et prône une cyber solidarité plutôt qu’une cyber souveraineté.

Je partage cette vision. Elle peut nous permettre d’avoir la taille critique pour nous confronter à la menace cyber. +d’images

*Department of State
– Ambassador at large, Nate Fick
– Ms Jennifer Bachus, Principal Deputy Assistant Secretary, Bureau of Cyberspace and Digital Policy, U.S. Department of State
– Mr Fort Felker, Senior Cyber Policy Advisor, U.S. Department of State

Department of Homeland Security – Ministère de l’Intérieur

Rencontre de notre délégation de la Cyber task force avec le Department of Homeland Security* qui a la main sur la CISA (Cybersecurity and Infrastructure Security Agency), agence de sécurité cyber équivalente de notre ANSSI.

La Chine est identifiée comme la plus grande menace existentielle, en matière de cyber sécurité pour les États-Unis. Comme nous l’observons en France, la Chine progresse dans le ciblage des infrastructures critiques. Son activité dépasse le simple vol de propriété intellectuelle.

L’intelligence artificielle est vue par l’administration américaine comme un outil pour simplifier la bureaucratie et renforcer la cyber sécurité. Elle est déjà utilisée pour automatiser des processus comme les contrôles TSA (Transport Security Administration) et la détection de vulnérabilités logicielles.

Les États-Unis se sont inspirés de la résilience cybernétique en Ukraine pour tirer des leçons en matière de défense et de gestion des attaques cybernétique. +d’images

*Department of Homeland Security
– Mr Thomas M. McDermott, Deputy Assistant Secretary for Cyber Policy
– Mr Brent Schuliger, Policy analyst
– And office

CISA (Cybersecurity and Infrastructure Security Agency)

Échanges durant plus de trois heures au CISA* (Cybersecurity and Infrastructure Security Agency), agence de sécurité cyber fédérale.

À la différence de l’ANSSI qui est directement rattachée au Premier Ministre, le CISA est sous la tutelle du Department of Homeland Security.

Le CISA a vanté la qualité de sa relation avec notre Agence nationale. Il souhaite mettre en avant toutes les opportunités de collaboration pour accélérer notre temps de réponse et présente des idées nouvelles pour y parvenir.

Nous avons évoqué le décret (Executive order) de la Maison Blanche sur le développement et l’utilisation sûrs, sécurisés et fiables de l’IA. Le CISA a élaboré des directives pour garantir le développement sécurisé des systèmes d’intelligence artificielle. Il a été souligné que la sécurité de l’IA doit être conforme aux lois sur la protection des données.

Le CISA joue un rôle central dans la promotion de la cyber sécurité au sein des collectivités locales et des villes. N’ayant pas de compétences directes, le CISA promeut des recommandations, des bonnes pratiques et propose un soutien. +d’images

*CISA
– Mr Trent Frazier, Deputy Assistant Director, CISA Stakeholder Engagement Division
– Ms Lisa Einstein, Senior Advisor for Artificial Intelligence and Executive Director, CISA Cybersecurity Advisory Committee
– Mr Andrew Seiffert, Senior Counselor for Infrastructure Security, Infrastructure Security Division (ISD)
– Mr Todd Klessman, Infrastructure Security Division
– Mr Bill Ryan, Regional Director for CISA Region 3
– Ms Patricia Soler, Section Chief, International Office, JCDC

Google

Visite chez Google* où nous avons beaucoup parlé des enjeux autour du Cloud. Nous avons également évoqué la lutte contre la haine en ligne chez Google qui s’efforce de supprimer les contenus haineux de ses plates-formes, notamment YouTube.

Les directives communautaires définissent clairement ce qui est considéré comme un discours haineux.

Des vidéos qui font la promotion de la suprématie d’un groupe qui discrimine ou qui dénigre un individu ou un groupe sur la base de ces caractéristiques sont interdites.

Google, collabore souvent avec des organisations de la société civile et des experts pour comprendre les tendances actuelles en matière de discours haineux et pour améliorer ses politiques et ses pratiques de modération.

Google garde des relations proches pour aider l’Ukraine. Signe des temps, il m’a été déclaré que si la Russie est plus grande que l’Ukraine sur le terrain, dans le domaine informatique et cyber, la Russie n’est pas plus grande que Google… +d’images

*Google
– Ms Rita Balogh, Government Affairs & Public Policy
– Mr Marcus Jadotte, Vice President, Government Affairs & Public Policy
– Mr Chris Cornillie, Manager, Cloud Security Policy | Government Affairs & Public Policy
– Mr Christopher Porter, Head of International Security Cooperation, Google Cloud
– Mr Fred Geraud, Government Affairs & Public Policy France, Google cloud

Amazon Web Services

Visite du siège d’Amazon Web Services* qui abrite 80% des sociétés du CAC40 sur ses clouds.

AWS a démarré ses services en 2006 pour répondre aux besoins de la société Amazon. Le marché mondial des services de cloud public est estimé à 663 milliards de dollars en 2023, dont AWS détient 31%.

Nous avons échangé sur les questions de sécurité. Toutes les données clients situées sur leurs serveurs sont encryptées. Il faut une data key pour décrypter les données détenues par le client.

Les requêtes d’accès à des données de la part des gouvernements se sont élevées à 1456 pour AWS contre 26577 chez Amazon. Aucun gouvernement n’a demandé d’accès à des données se situant sur un serveur à l’étranger.

AWS crée le Cloud souverain européen, car 82% des clients veulent maitriser la localisation de leurs données.

Afin de montrer sa capacité d’assister les États, Max Peterson, vice-président, nous a confié que 3 jours avant l’invasion russe, les députés ukrainiens ont voté une loi pour autoriser la localisation des données nationales dans un autre pays que l’Ukraine. Suite à l’attaque, toutes les données gouvernementales ont été transférées sur des serveurs AWS à l’étranger. L’administration ukrainienne a pu poursuivre son action sans difficulté. +d’images

*AWS
– Mr Max Peterson, Vice President, Sovereignty cloud
– Ms Anitha Ibrahim, Data Protection & Cybersecurity Lead
– Mr Nils Hansma, Security Principal – Security Assurance Lead
– Mr Cédric Mora, Public Policy Manager: Cybersecurity, Health & AI / Cybersécurité, Santé & IA
– Mr Dan Roth, Vice President, Distinguished Scientist
– Mr Dominic Delmolino, Public sector

IBM

Visite de la société IBM* où nous avons pu assister à une présentation de la situation des ordinateurs quantiques. La meilleure manière de se protéger est de crypter ses données.

La cryptographie quantique consiste à utiliser les propriétés de la physique quantique pour établir des protocoles de cryptographie qui permettent d’atteindre des niveaux de sécurité optimums. Certains états collectent toutes les données encryptées disponibles pour leur permettre de les décrypter le jour où ils disposeront d’ordinateurs quantiques suffisamment puissants pour y parvenir.

La mission d’IBM est d’apporter un ordinateur quantique utile au monde pour rendre ce dernier plus sûr. Pour y parvenir, les ordinateurs ont besoin de processeurs quantiques pour effectuer des calculs complexes avec facilité.

Lors de l’IBM Quantum Summit 2023 qui s’est tenu le 4 décembre 2023, IBM a dévoilé la puce Condor, un processeur quantique de 1121 qubits. Sa conception démontre l’avance technologique d’IBM qui ne parait pas vouloir en rester là. +d’images

*IBM
– Ms Katie Ignaszewski, Cybersecurity Policy Executive
– Mr Mason Molesky, Cyber and Cloud policy executive
– Mr Koos Lodewijkx, Vice President, CISO
– Ms Dimple Ahluwalia, VP & Global Managing Partner