Je me suis félicité du fait que l’enjeu de la guerre informationnelle, que j’avais mentionné lors des débats sur la LPM en 2018, soit désormais été élevé au rang de “nouvelle fonction stratégique” par le Président de la République, dans son discours de Toulon du 9 novembre dernier.

Allons-nous nous contenter de regarder chaque année le compteur des cyber-attaques s’affoler ?

Nos principaux partenaires, américains et britanniques, ont compris qu’aller entraver les cybercriminels sur leur terrain, c’est aussi prévenir les attaques avant qu’elles n’arrivent et pratiquer une forme de dissuasion numérique.

Je formule donc la proposition que nous nous dotions d’une stratégie offensive face aux cyber-attaques, que nous nous dotions d’un directeur national de la cybersécurité et que nous nous coordonnions avec nos principaux partenaires, car c’est un combat sans frontières.

Je voudrais insister sur deux points :

• La nécessité de former et responsabiliser tous les acteurs en cybersécurité, à commencer par les simples utilisateurs ;
• Alerter sur la nocivité du paiement des rançons. Ceux qui sont contraints de payer pour sauver leur entreprise doivent savoir qu’ils alimentent les revenus de la cybercriminalité qui dépassent désormais ceux du narcotrafic. Ils contribuent également au financement du terrorisme.

Tous les pays occidentaux sont dépassés par l’échelle des attaques. On nous fait une guerre cyber. Les 14 affaires d’espionnage cyber en 2021 dont 9 sont d’origine chinoises en témoignent. Nos agresseurs sont à l’initiative. Nous avons un retard à rattraper.

Ce programme comprend les moyens destinés au Secrétariat général de la défense et de la sécurité nationale (SGDSN), les fonds spéciaux et les crédits du groupement interministériel de contrôle (GIC).

Nos remarques et suggestions ont été reprises par la presse :

– La Lettre A : Les cyberattaques contre les ministères en hausse de 58 % en 2020. (02-12-2021)

Extrait : Chargée de contrer les attaques informatiques visant les réseaux de l’Etat, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a connu une année 2020 particulièrement chargée. Selon les données que l’agence dirigée par Guillaume Poupard a transmises au sénateur Olivier Cadic, les cyberpompiers ont traité 128 incidents informatiques ciblant les ministères, contre 81 en 2019, soit une hausse de 58 %.
(…)
L’agence est beaucoup moins intervenue pour le compte du ministère des armées, une diminution qui ne laisse pas présager un nombre d’attaques en baisse. Le périmètre de l’Hôtel de Brienne est en effet couvert par le commandement de la cyberdéfense, mené par le général Didier Tisseyre. Or contrairement à celui portant sur l’année 2019, le rapport du sénateur Olivier Cadic occulte le nombre d’interventions réalisées par les cybermilitaires pour défendre leur ministère.
(…)
Enfin, si Olivier Cadic a vanté la réponse de l’Etat face aux cybermenaces, il a toutefois déploré le manque de financement du groupement d’intérêt public Acyma. Lire l’article

– L’Usine digitale : Les ministères ont connu une hausse des cyberattaques de 58% en 2020. (02-12-2021)

Extrait : Les cyberattaques visant les ministères ont connu une augmentation notable pendant la pandémie de Covid-19 en 2020 (…) 128 incidents ont été relevés par l’Agence nationale de la sécurité des systèmes d’information (Anssi), contre 81 en 2019 (+58%).
(…)
La pression ne faiblit pas en 2021, bien au contraire. “Selon le Secrétariat général de la défense et de la sécurité nationale, sur les neuf premiers mois de l’année 2021, le nombre de cyberattaques recensées a doublé par rapport à celui qui avait été dénombré sur l’ensemble de l’année 2020”, a précisé Olivier Cadic, toutes cibles confondues. Lire l’article

– Next Impact : Cybermalveillance.gouv.fr : un rapport parlementaire demande plus de moyens pour le GIP Acyma. (03-12-2021)

Extrait : Les sénateurs Olivier Cadic et Mickaël Vallet applaudissent le travail du groupement d’intérêt public (GIP) Actions contre la Cybermalveillance. Ce GIP ACYMA est derrière cybermalveillance.gouv.fr, site lancé en 2017 qui a connu une progression fulgurante.
(…)
Pour les auteurs du rapport parlementaire, il est désormais “urgent d’augmenter significativement ses moyens », pour les porter à au moins 3 millions d’euros. “Au vu des enjeux et de l’ampleur des risques encourus dans le champ cyber, un tel effort est indispensable et ne paraît pas hors de portée, surtout s’il est partagé entre ses différents membres”. Lire l’article

– Siècle Digital : Les cyberattaques visent plus régulièrement les ministères français. (06-12-2021)

Extrait : 20 millions d’euros seront consacrés à la mise en place de solutions nationales automatisées comme la création d’une plateforme antivirus qui devrait être utile pour les ministères. En parallèle, le gouvernement souhaite également accélérer le déploiement de l’open source au sein de l’administration.
(…)
Pour ce qui est de 2021, les résultats sont déjà alarmants alors que l’année n’est pas encore terminée. “Selon le Secrétariat général de la défense et de la sécurité nationale, sur les neuf premiers mois de l’année 2021, le nombre de cyberattaques recensées a doublé par rapport à celui qui avait été dénombré sur l’ensemble de l’année 2020”, a précisé Olivier Cadic, l’un des sénateurs ayant travaillé sur ce rapport. Lire l’article

Ce programme du projet de loi de finances 2022 comprend les moyens destinés au Secrétariat général de la défense et de la sécurité nationale (SGDSN), les fonds spéciaux et les crédits du groupement interministériel de contrôle (GIC) qui gère les demandes d’autorisation de mise en œuvre des techniques de renseignement émises par les services. Pour l’essentiel :

> Les moyens du SGDSN, qui comprend l’Agence nationale de la sécurité des systèmes d’information (ANSSI) sont confortés pour ce budget 2022. Cette progression du budget permettra une augmentation des effectifs de 77 ETP pour la cybersécurité et le financement de nouvelles missions.
> Nous saluons la création de l’agence VIGINUM qui aura pour mission de lutter contre les ingérences numériques étrangères et d’en informer les pouvoirs publics. Sa mise en place, à quelques mois de l’élection présidentielle était plus que nécessaire.
> La Présidence française de l’Union européenne au premier semestre 2022 doit constituer une fenêtre d’opportunité pour faire avancer les dossiers cyber au plan européen.
“Face à cette menace en expansion, l’Etat ne cesse d’adapter sa réponse, qui vise à renforcer la sécurité des acteurs publics et à accompagner les acteurs privés dans leur démarche de sécurisation. Mais beaucoup reste à faire.”

Mes interrogations ont porté sur deux sujets :

1- Quel a été le nombre d’attaques de nos ministères ayant nécessité l’intervention de l’ANSSI en 2019 ? En 2018, l’Agence avait été amenée à traiter 78 événements de sécurité, consécutifs à des attaques informatiques visant des ministères français.

Réponses clés :

“On a une stabilité des événements”.

“La menace criminelle, les rançongiciels, touchent peu aujourd’hui les administrations”.

“La menace principale dans les administrations centrales reste l’espionnage”.

2- Où en est-on du projet de Cyber-campus qui devrait s’ouvrir en 2021 dans le quartier de la Défense ? Nous nous attendons à une coopération exemplaire entre le public et le privé.

Réponses clés :

“L’idée c’est d’avoir une coopération public-privé, ce qui existe déjà du côté de Rennes (…) Il nous manquait un tel lieu en région parisienne”.

“Il y aura des mécanismes incitatifs pour permettre à des petits acteurs de venir s’y installer, des aides en termes de bail”.

“Nous allons nous mettre en phase avec l’ensemble des pays européens qui appliquent la même nomenclature”.
“Il s’agit de préparer les gens à la culture du secret défense et à la manière de se comporter et d’apprendre”.
“Il y aura moins de documents classifiés, mais que la classification sera plus ciblée, donc plus efficace pour le futur”.

2- Pour 2021, la subvention destinée à l’IHEDN est en légère diminution. Or, l’Institut doit désormais assumer seul certaines charges qu’il mutualisait jusqu’à l’année dernière avec l’INHESJ, dont notre commission a regretté la suppression. La crise sanitaire affecte-t-elle son équilibre financier ?

Réponse clé :

Notre rapport se veut alarmant car la crise a enclenché une guerre de la communication entretenue par certaines puissances étrangères. Ainsi, comme chacun peut l’observer sur le site de leur ambassade à Paris, la Chine distille des informations inexactes ou tronquées, afin de se prévaloir d’un succès contre la pandémie ou montrer son caractère indispensable dans la lutte mondiale, grâce à la fourniture de produits sanitaires.

Voilà pourquoi il faut d’urgence que notre gouvernement instaure une force de réaction « cyber » pour lutter contre les campagnes de désinformation ou d’influence d’États totalitaires ou autoritaires qui s’en prennent aux démocraties.

Nous avons également estimé que les systèmes d’information des acteurs de la santé doivent être mieux protégés : ils sont vulnérables (18 attaques par rançongiciels en 2019 d’après l’ANSSI), conséquence d’un sous-investissement chronique en dépense de sécurité informatique.

Depuis le début de la crise, des attaques par déni de service ont eu lieu contre l’AP-HP (Paris) le 22 mars dernier et contre l’AP-HM (Marseille), ainsi qu’une attaque par rançongiciel contre l’établissement public de santé de Lomagne (Gers).

Pour leur part, les cyber-attaquants ont tout de suite exploité l’inquiétude ambiante en multipliant les opérations d’hameçonnage. Les sites de vente en ligne proposant médicaments, masques, gels hydro-alcooliques et autres produits de santé ont proliféré, avec pour objectif, outre une escroquerie à la vente, de récupérer des numéros de cartes bancaires. Désormais les attaques par “rançongiciel” se développent (déblocage contre rançon des systèmes d’information d’une entreprise).

Afin d’anticiper et de réagir aux menaces cyber, il nous apparaît fondamental d’organiser une communication à grande échelle pour mieux faire connaître  la plateforme cybermalveillance.gouv.fr.  en diffusant plus largement les “gestes barrière numériques”.  J’ai alerté Thomas Courbe, directeur général des entreprises, à cet effet.

CINQ RECOMMANDATIONS
de l’étude intitulée
“Désinformation, cyberattaques, cybermalveillance : l’autre guerre du covid 19”

1 – Mettre en œuvre une force de réaction cyber afin de répondre aux fausses informations dans le domaine sanitaire, aux attaques contre les valeurs démocratiques et pour lutter contre les campagnes de désinformation ou d’influence de certains acteurs étrangers ;
2 – Investir dans la sécurité informatique des acteurs de la santé ;
3 – Lancer sans tarder une campagne de communication à grande échelle pour promouvoir la plateforme cybermalveillance.gouv.fr et diffuser les « gestes barrière numériques » ;
4 – Initier une communication régulière, au travers des médias, d’un top 10 des cyber-crimes constatés sur le territoire ;
5 – Unifier la chaîne de recueil et de traitement des plaintes en ligne, aujourd’hui de la compétence des autorités de police et de gendarmerie locales.

Lire le rapport Désinformation, cyberattaques, cybermalveillance : l’autre guerre du covid 19, de Rachel Mazuir et Olivier Cadic, publié le 16 avril 2020.

Lire le communiqué de presse.

Pour faire face à une menace qui s’accroît en fréquence et en intensité, le gouvernement a décidé, cette année, de stimuler la croissance des effectifs de l’ANSSI qui s’était ralentie ces deux dernières années.

En 2018, l’Agence a été amenée à traiter 78 événements, consécutifs à des attaques informatiques visant des ministères français.

Suite à la cyberattaque dont a été victime la plateforme Ariane du ministère de l’Europe et des Affaires étrangères, en décembre 2018, nous avions effectué avec Rachel un audit au nom du Sénat avec l’idée qu’un retour d’expérience pouvait être riche d’enseignements (rapport).

Aujourd’hui, les trois ministères les plus ciblés par des attaques pirates sont l’Éducation nationale, puis la Défense et enfin les Affaires étrangères. Toutefois, en termes d’intensité, ce sont les ministères des Armées et celui des Affaires étrangères qui ont été les plus menacés.

A l’issue de la réunion (compte-rendu), je me réjouis que notre commission, présidée par Christian Cambon, ait donné son avis favorable, à l’unanimité, pour l’adoption des crédits de la mission du programme 129. Ces crédits feront l’objet d’un examen en séance publique dans les prochains jours.

Le 2 octobre, notre commission des Affaires étrangères et de la Défense a auditionné Claire Landais, secrétaire générale de la Défense et de la Sécurité nationale (SGDSN), pour faire le point sur l’évolution des crédits du programme 129 «Coordination du travail gouvernemental» (gestion de crises, cyberdéfense, renseignement), dont je suis le rapporteur.

Puisque le Projet annuel de performance pointait les “faibles moyens dédiés aux enjeux de sécurité des système d’information de certains ministères”, j’ai voulu savoir quel étaient les ministères les plus “faibles”. Une question dans le prolongement de nos recommandations avec Rachel Mazuir pour renforcer les capacités d’intervention de l’ANSSI (*), suite à la cyberattaque dont a été victime la plate-forme Ariane.

J’ai également voulu savoir si la France soutenait un projet équivalent au site de Beer-Sheva que j’ai visité en Israël, réunissant les agences de cyberdéfense, les pôles universitaires et les unités de R&D des entreprises dans un même écosystème.

Claire Landais a fait immédiatement remarquer que le niveau de menace allait croissant avec des attaquants de plus en plus forts. La secrétaire générale m’a honnêtement répondu que tous les ministères n’avaient pas fait l’effort suffisant pour que nous soyons aujourd’hui sereins, en précisant que tous ne méritent pas le même niveau de protection.

Avec la création de la direction générale du numérique, l’avis de l’ANSSI est requis avant tout projet informatique majeur au sein des services de l’état, a-t-elle rappelé.

Enfin, bonne nouvelle, nous avons appris qu’à la demande du président de la République, les services de Mme Landais travaillent sur un projet de création d’un “campus cybersécurité à la française” qui serait d’abord porté par le monde industriel, où l’ANSSI aurait toute sa place en termes de formations, de qualifications et de solutions.

(*) ANSSI : Agence nationale de la sécurité des systèmes d’information

Le monde est de plus en plus connecté et donc de plus en plus vulnérable. Le rapport Symantec 2018 classe la France au 9ème rang des pays où la cybercriminalité est la plus active. Les réseaux criminels se partagent le cyberespace avec des acteurs étatiques qui, eux, se livrent à l’espionnage et parfois même à l’ingérence et la déstabilisation.

Pour contrer ces menaces, la France dispose de l’ANSSI, l’autorité nationale en matière de sécurité et de défense des systèmes d’information (prévention, réaction, formation et labellisation), créée en 2009.

Avec mon collègue Rachel Mazuir, également rapporteur, nous nous sommes montrés globalement satisfaits de l’évolution des moyens de l’ANSSI en 2019. Ses effectifs passeront de 555 à 595 ETP (+ 40) et ses crédits de 72,9 à 79,4M€ en Crédits de paiement (+8,8 %) et de 70,2 à 94,7M€ (+35 %) en Autorisations d’engagement.

J’ai toutefois marqué quelques points de préoccupation en proposant des solutions :

– Il faut s’alarmer de la vulnérabilité persistante de nos ministères non régaliens, faute d’investissements de cybersécurité. Ceux-ci devraient être obligatoires lors du développement de tout nouveau programme informatique.

– Le ministère de l’Enseignement supérieur doit jouer un rôle d’orientation des universités et des grandes écoles vers le développement de filières produisant des spécialistes de la cybersécurité. Les difficultés de recrutement et de fidélisation des ingénieurs sont criantes. L’ANSSI affronte un turn-over supérieur à 15 % et une inflation des exigences salariales…

– Il est nécessaire de mettre en place un réseau de veille au niveau européen, ce qui veut dire une coopération fluide entre États disposant d’opérateurs comme l’ANSSI – ils sont rares – et la mise à niveau des États qui n’en disposent pas avec l’appui de l’Union européenne.

J’avais pris la mesure d’un niveau de menace planétaire sans précédent. “Winter is coming”, a dit le patron de la direction nationale de la cyber-sécurité israélienne, fin janvier, lors du Cybertech 2018 devant un gratin mondial d’experts.

L’espionnage, les trafics illicites, la déstabilisation et le sabotage représentent les quatre types d’objectifs des attaquants informatiques, nous explique l’Anssi, Agence nationale de la sécurité des systèmes d’information, dans un document rendu public le 12 février dernier : la revue stratégique de cyberdéfense.

Cette revue est l’équivalent d’un livre blanc, premier du genre et décrit comme “un grand exercice de synthèse stratégique” visant à renforcer la sécurité numérique de nos citoyens et nos les institutions, sur la base de sept axes de travail (télécharger).

Ce document a été établi dans le cadre de la loi de programmation militaire (LPM) qui va prochainement mobiliser notre commission Défense. Au fait, pourquoi ne pas nommer un général pour la cyberdéfense qui vienne devant le Sénat au même titre que les chefs d’Etat-major des trois armes (air, terre, mer) ? Ce fut ma proposition pour donner le ton lors du petit déjeuner débat organisé par le CyberCercle, le 15 février dernier. Sa présidente, Bénédicte Pilliet, avait réuni autour de moi une trentaine de responsables de grandes entreprises et quelques hauts fonctionnaires, tous soucieux d’avoir le regard d’un parlementaire sur cette revue stratégique de cyberdéfense.

Au moment des échanges avec la salle, je me suis senti sur la même longueur d’onde que tous ces responsables de sécurité, aux prises avec les normes franco-françaises, les certifications au long-cours ou la déferlante des produits connectés comme autant de chevaux de Troie.

J’ai ressenti un consensus lorsque j’ai avancé que la cybersécurité dans l’entreprise devait se concevoir dans le cadre de sa politique d’assurance-qualité et non en créant de nouvelles obligations réglementaires dédiées, comme le propose le secrétaire d’État chargé du numérique.

Préférer l’efficacité au formalisme apparaît logique et évident pour des entrepreneurs. La preuve que le lien entre les parlementaires et les entreprises doit se renforcer, sous peine de perdre le sens commun.

Les crédits du programme 129 (gestion de crises, cyberdéfense, renseignement) progressent de 1,2 % en autorisations d’engagement et de 3 % en crédits de paiement. Il faut s’en réjouir, car ils portent les moyens de services indispensables à la politique de défense et de sécurité de notre pays. C’est pourquoi la commission s’est déclarée, à l’unanimité, favorable à l’adoption des crédits de cette mission.

J’ai concentré mes propos sur les crédits attribués à la cybersécurité en formulant plusieurs observations, en particulier sur les missions et les moyens de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Edito de l’HebdoLettre n°94

L’UFE fête ses 90 ans !

Dès l’origine, la cause était claire, comme le stipule l’article premier des statuts : “l’Union pour les Français de l’étranger a pour but de créer et de maintenir un contact étroit entre les Français du dehors et la France.”

Lorsque Gabriel Wernlé, journaliste franco-suisse, décide en 1927 de fonder l’UFE, les droits de ceux que l’on qualifie, avec un charme désuet, de “Français du dehors” sont balbutiants. Ils n’ont pourtant pas démérité lors du conflit de 1914 : des milliers d’entre-eux sont morts sur le sol de la patrie qu’ils foulaient pour la première fois.

Pour créer du lien, l’UFE publia une revue qui perdure : La Voix de France. Le premier numéro date de mars 1928.

De ce papier jauni, il se dégage un sentiment familier. Déjà le même souci de dénoncer les estafilades à l’égalité républicaine et de faire reculer les stéréotypes sur les expatriés : “Il s’en faut de peu que l’on nous considère comme des aventuriers, des indésirables”.

Gabriel Wernlé trempe sa plume dans l’acide en intitulant son article : “Les Français de l’étranger sont-ils des citoyens de deuxième zone ?”. Il nous raconte une savoureuse anecdote à la clé. Chaque année, les conscrits français sont invités au consulat à passer leur visite médicale d’aptitude. On commence par leur demander de payer le médecin agréé. “Que penseraient en France les conscrits si on leur faisait verser vingt-cinq francs afin de rétribuer le conseil de révision qui les déclare bons pour le service ? Ils feraient un beau tapage ; ils auraient raison !”, tonne le journaliste… Lire la suite et découvrir l’HebdoLettre n°94