Accueil      En circonscription      Sénat      Bilan de mandat      Revue de Presse          Parcours      Contact     
    

Cyber – Les 4 défis de la cybersécurité française en 2024

Ce 15 novembre, en qualité de co-rapporteur pour avis avec mon collègue Mickaël Vallet, j’ai défendu le budget du programme 129 « Coordination du travail gouvernemental » devant notre commission des Affaires étrangères, de la Défense et des Forces armées, qui a été approuvé à l’unanimité.

Les crédits du programme 129 que nous présentons chaque année portent sur l’action relative à la coordination de la sécurité et de la défense, et plus précisément sur la cybersécurité et la lutte contre les manipulations de l’information.

La cybersécurité mérite d’être érigée au rang de grande cause nationale et d’être dotée d’une stratégie nationale, incluant tout l’écosystème, pour répondre à 4 défis criants.

Mon intervention

Après consultation de personnalités de la sphère publique comme du secteur privé, nous voyons quatre défis principaux pour la cyber française en 2024 :

Défi 1 – D’abord, assurer la cybersécurité des Jeux olympiques et paralympiques 2024. Il n’y aura pas de médaille d’argent ou de bronze pour la France dans cette discipline ;

Défi 2 – Ensuite, coordonner l’ensemble des acteurs publics et privés de l’écosystème cyber autour d’une révision de la stratégie nationale de cybersécurité (la dernière datant de 2018) et du lancement de la plateforme numérique « 17 Cyber » en mars 2024 ;

Défi 3 – Dans le prolongement,  réussir la transformation de l’ANSSI en vue de la transposition de la directive NIS 2 (Network and Information Security). Celle-ci prévoit un accroissement du périmètre de compétence de l’agence de quelque 500 OIV à environ 15 000 entreprises dont le suivi constitue un changement d’échelle pour l’agence et nécessite une reconfiguration de son offre de services ;

Défi 4 – Enfin, s’ajoute un 4ème défi que nous avions développé dans notre rapport préparatoire à la LPM et qui concerne l’organisation, ou plutôt la réorganisation du dispositif de coordination pour répondre au « changement d’échelle » annoncé par l’ANSSI qui est de passer à une cybersécurité de masse.

Cette nécessité de refonte de la stratégie résulte des nombreux points d’attention que les services et entreprises que nous avons auditionnées ont soulevés :
– À commencer par un brouillard quant à l’organisation de la réponse aux incidents cyber entre l’ANSSI responsable des systèmes de l’Etat et des opérateurs d’importance vitale, la plateforme cybermalveillance responsable de tout le reste mais sans les moyens associés, et l’amorçage par l’ANSSI de centres régionaux ou sectoriels dont ni les services, ni le financement ne sont à ce jour garantis dans leur efficacité et leur pérennité.
– En réalité, chaque ministère et chaque entité s’est doté d’un coordinateur : l’ANSSI qui est à la fois un régulateur et un acteur, le Secrétariat général pour l’investissement dont nous avons rencontré ce matin le coordinateur, M. Florent Kirchner, mais aussi Cybermalveillance dont c’est le rôle d’être à la croisée de tous les chemins, et maintenant le ministère de l’Intérieur qui a pris la charge financière de la création de la future plateforme « 17 cyber » en application des annonces du Président de la République.

Le fait que la menace cyber soit largement prise en compte va en soi dans le bon sens comme le rappelait le directeur général de la Gendarmerie nationale. En revanche, il nous semble qu’une chaîne claire de traitement et d’escalade des incidents soit définie. Il nous a été certifié que ce travail était en cours. Nous prenons date pour le lancement du « 17 cyber » prévu en mars 2014. Mais à quelques mois de ce rendez-vous important il reste encore à définir les services offerts par cette plateforme numérique apportera à la population, et surtout comment la population sera informée de sa mise en service, selon quelle communication, avec quels crédits ?

Le message de l’ANSSI est de dire qu’il est encore trop tôt pour dessiner un « jardin à la française » et qu’il faut d’abord laisser l’écosystème public/privé de la cybersécurité se développer avant de tailler les haies. C’est une approche qui laisse certaines entreprises sur leur faim (Orange ou Thales), car elles ont besoin d’une feuille de route claire et d’y être associées notamment pour la transposition de la directive NIS 2 qui interviendra en octobre 2024.

Nous partageons ce besoin de clarification. Pour reprendre la métaphore du jardin à la française, il nous semble au contraire urgent de définir une organisation de coordination et de suivi de la qualité, bref de dessiner les allées du jardin dès maintenant, sinon le risque est de voir se développer une jungle. Si cette orientation perdure, il est à craindre que tout le monde soit perdu en cas d’incident national majeur et que  l’engorgement de nos services sera amplifié par des sollicitations multiples à différents endroits. J’ajoute que l’enjeu de sécurité des Jeux Olympiques justifie l’urgence de la concertation, ce qui est un métier nouveau pour l’ANSSI.

C’est pourquoi, parmi nos propositions figurent celles :
– Tout d’abord d’actualiser la stratégie nationale de cybersécurité (l’actuelle date de 2018) en y associant en amont tout l’écosystème sans oublier les collectivités locales, ni vos serviteurs ;
– Et de s’inspirer de la grande cause nationale de la sécurité routière qui a permis de réduire drastiquement le nombre de morts sur nos routes en confiant à un coordinateur unique la responsabilité de coordonner tous les moyens disponibles.

Est-ce le rôle de l’ANSSI ou d’un délégué interministériel clairement identifié ? C’est à l’exécutif de le décider mais c’est à nous de signaler que l’année 2024 est le bon moment pour le faire.

Au bénéfice de ces observations, nous vous proposons l’adoption des crédits de la mission « Direction de l’action du gouvernement ».

Matinale du CyberCercle : point de situation, projets et défis de Cybermalveillance.gouv.fr autour de son DG, Jérôme Notin

Une belle matinale de rentrée organisée par le CyberCercle au Sénat, ce 14 septembre, en présence de Jérôme Notin, directeur général du GIP ACYMA (1) – Cybermalveillance.gouv.fr, devant une cinquantaine de représentants d’organisations publiques et privées engagées sur les sujets de confiance et sécurité numériques.

Ce fut l’occasion pour les participants d’échanger sur divers projets et actions en cours : le 17Cyber, le filtre anti-arnaque, le label Expert Cyber ou encore la complémentarité des dispositifs dans les territoires.

Début janvier 2022, le président de la République avait annoncé la création d’un nouveau dispositif d’assistance 24h/24 destiné à chaque citoyen, administration ou entreprise face aux actes de cyber-malveillance. Il est déjà surnommé le « 17 cyber » en référence au numéro de police-secours.

Le « 17Cyber va devenir une marque grand public ! », se réjouit Jérôme Notin. Je partage son enthousiasme pour cette plateforme de référence qui permettra aux victimes d’actes de cybermalveillance d’être informés des premiers gestes de secours face à une cyberattaque et d’avoir un parcours de dépôt de plainte facilité, en étant mis en contact avec des policiers ou des gendarmes. Concrètement, une aide pour les particuliers qui seront victimes d’hameçonnage, de cyber-chantage ou bien de piratage de compte et les professionnels qui font surtout face aux rançongiciels.

Nécessité faisant loi, rappelons que la plateforme Cybermalveillance.gouv.fr a vu passer 2,5 millions de visiteurs en 2021…

Le 17Cyber est un module d’assistance qui répondra au pari d’un guichet unique que je prône depuis janvier 2019 (lire le billet Mes 3 cyber-priorités pour 2019). J’ai toujours pris pour référence le Centre de crise et de soutien qu’on l’on appelle « naturellement » en cas de catastrophe. De plus, je trouve rassurant que le ministre de l’Intérieur veuille piloter ce projet.

Autre étape : l’État porte actuellement le filtre anti-arnaque. Capter et qualifier la menace (fausse amende, hameçonnage en tout genre…) doit se doubler d’un courage politique pour imposer des pratiques d’assainissement aux fournisseurs de l’internet, tel Google.

Par ailleurs, le directeur a souligné le succès du label ExpertCyber qui certifie les compétences en cybersécurité. Cette norme de référence distingue déjà des dizaines d’entreprises de services de cybersécurité de toutes tailles, sur l’ensemble du territoire national.

Enfin, véritable un serpent de mer, la question de l’harmonisation des réponses au niveau des territoires se pose toujours. On constate que chaque région a ses propres protocoles et ses ressources en matière de cybersécurité, que les CSIRT se mettent en place avec des organisations et des schémas différents par région, que l’État, à travers ses différents ministères et agences, met en place de nombreux dispositifs d’aide pour les territoires. Ce qui en soi montre que le sujet de la cybersécurité est aujourd’hui un sujet majeur, pris en compte par les instances publiques. Néanmoins, face à ce foisonnement, il serait utile d’être plus clair sur la complémentarité des dispositifs et d’en renforcer la visibilité, et, tout le moins, de disposer de lignes directrices claires pour savoir qui les victimes doivent contacter et comment traiter leurs requêtes.

Comme d’habitude, cette matinale du CyberCercle, présidé par Bénédicte Pilliet, fut très riche d’échanges, de retours d’expérience et de propositions.

– – –

Lire aussi : Pour une coordination de la cyberdéfense plus offensive dans la loi de programmation militaire 2024-2030, rapport d’information des sénateurs Olivier Cadic et Mickaël Vallet, au nom de la Commission des Affaires étrangères, de la Défense et des Forces armées du Sénat

(1) Créé en 2017, le groupement d’intérêt public Actions contre la Cybermalveillance (GIP ACYMA) a trois grandes missions : assister les victimes d’actes de cybermalveillance / prévenir les risques et sensibiliser les populations sur la cybersécurité / observer et anticiper le risque numérique par la création d’un observatoire.