Jean-Noël Barrot : Une diplomatie française en mouvement, entre modernité et ambition

Madame, Monsieur, chers élus, chers amis,

La France, puissance d’équilibre et de dialogue, doit incarner une diplomatie à la hauteur des défis du XXIᵉ siècle. Dans un monde marqué par les tensions géopolitiques, les crises climatiques et les ingérences étrangères, une diplomatie moderne exige des moyens à la mesure de ses ambitions.

La diplomatie est à la Défense ce que la justice est à l’Intérieur : un pilier indispensable. Depuis son arrivée à la tête du Quai d’Orsay, Jean-Noël Barrot a impulsé une dynamique sans précédent. La stratégie French Response contre la désinformation, la lutte renforcée contre les narco-trafics, ou encore le sommet France-Afrique au Kenya en 2026 illustrent une volonté claire : réinventer notre partenariat avec l’Afrique et renforcer notre influence. Les Assises de la diplomatie parlementaire et de la coopération décentralisée complètent cette vision, en mobilisant tous les acteurs de notre rayonnement.

Ces avancées méritent d’être amplifiées.

Pourtant, un domaine cristallise les tensions : l’Agence pour l’enseignement français à l’étranger (AEFE). Avec 12 % du budget de l’action extérieure et des subventions passées de 200 à 400 millions d’euros en 15 ans, son modèle économique est devenu insoutenable.

Seuls 20 % des élèves scolarisés dans son réseau sont français, et les classes moyennes en sont progressivement exclues. La réforme engagée par Jean-Noël Barrot doit reposer sur trois principes : un juste coût, un juste prix, et une cohérence tarifaire internationale.

L’enjeu ? Réorienter les subventions vers les bourses et les outils garantissant l’accès à la langue et à la culture pour tous les enfants français.

Nos compatriotes de l’étranger, souvent sous-estimés, forment un réseau d’influence unique. Leur engagement quotidien renforce le rayonnement de la France. Il est temps de les considérer comme des partenaires stratégiques, et non comme des bénéficiaires passifs.

Si l’augmentation symbolique de 0,01 % des crédits (3,45 milliards d’euros) peut sembler modeste, l’ambition portée par Jean-Noël Barrot transcende ces contraintes. Preuve en est : il a été récompensé ce 10 décembre par le prix CEPR du décideur politique de l’année 2025, en reconnaissance de sa contribution exceptionnelle à l’élaboration des politiques publiques.

Sous son impulsion, j’observe que la diplomatie française avance, alliant rigueur budgétaire et vision stratégique. Le cap est tracé : celui d’une France offensive, moderne et solidaire.

Fidèlement,

Olivier Cadic

Sommaire :

HOMMAGE
. Attentats du 13-Novembre 2015

SÉNAT – COMMISSION DES AFFAIRES ÉTRANGÈRES, DE LA DÉFENSE ET DES FORCES ARMÉES
. PLF2026 – Action Extérieure de l’État – Discussion générale
. MEAE – Assises de la diplomatie parlementaire
. Budget 2026 – DFAE, AEFE, projets immobiliers
. IPAC – Procès de Jimmy Lai – Réponse du Président de la République

FRANÇAIS DE L’ÉTRANGER
. Face aux risques : lancement du guide « Tous responsables »
. Enseignement du français : ma question écrite sur l’avenir du dispositif “PELF”
. CA de l’AEFE (27/11/25) – Déclaration de l’ANEFE
. Accueil des élèves du Collège du Léman – International School
. TV5Monde au service du rayonnement culturel francophone

EN CIRCONSCRIPTION
> ÉTATS-UNIS – Floride / Miami (24-27 oct. 2025)
> ÉTATS-UNIS – Illinois / Chicago (28-29 oct. 2025)
> ÉTATS-UNIS – Massachusetts / Boston (30 oct. – 01 nov. 2025)
> ÉTATS-UNIS – New York (2-4 nov. 2025)
> PAYS-BAS – Amsterdam (6-7 nov. 2025)
> ROYAUME-UNI – Londres (8-12 Nov. 2025)
> DANEMARK – Copenhague (12 nov. 2025)

SÉNAT – CYBERSÉCURITÉ & IA
. Cybersécurité – L’État doit renforcer sa culture qualité
. Cybersécurité et ingérences étrangères – SGDSN, ANSSI et VIGINUM
. Cybersécurité – Olvid

SÉNAT – BUDGET & IA
. PLF2026 – Mon amendement pour supprimer le CEHR
. PLF2026 – Mon amendement en faveur d’un “Bouclier fiscaL”

SÉNAT – RELATIONS INTERNATIONALES – GROUPES D’AMITIÉ
. Institut français – Lancement de la Saison de l’Ukraine
. Taiwan – Visite du ministre François Wu
. Taiwan – Un budget de défense exceptionnel
. La France au rendez-vous de la nouvelle économie irakienne
. Roumanie – Fête nationale
. Japon – Hommage à S.E. Makita Shimokawa
. Liban – Fête nationale

MÉDIAS
. Olivier Cadic : “Les Jeux Olympiques ont réussi puisqu’on les a préparés, la guerre c’est pareil” (Public Sénat – 03/12/2025)
. Le Service volontaire sera-t-il utile ? (France24 – 27/11/2025)
. “Déploiement d’un service militaire volontaire ?” (Public Sénat – 21/11/2025)
. Olivier Cadic : “Flam est ce que la démocratie participative peut faire dans sa plus belle expression” (Françaisdanslemonde.fr – 15 nov. 2025)
. “Nouvelle pratique mafieuse à Marseille ?”– Le Temps (Suisse) – 14 nov. 2025)
. Olivier Cadic : « “La France, comme tous les autres pays, est victime d’ingérences étrangères extérieures” (Public Sénat – 06/11/2025)

Ce programme repose sur trois piliers essentiels : la résilience cyber, l’autonomie d’appréciation et la capacité d’action dans les champs hybrides. Les crédits du SGDSN augmentent de 23 millions d’euros, incluant l’ANSSI, Viginum et l’OSIIC, tandis que ceux dédiés au renseignement progressent légèrement.

Mon exposé a pointé plusieurs préoccupations majeures. L’absence de publication des stratégies nationales de cybersécurité et de lutte contre les manipulations informationnelles, pourtant annoncées depuis un an, demeure inexpliquée.

L’ANSSI, de son côté, ne fournit pas suffisamment de retours d’expérience sur les cyberattaques massives ayant frappé France Travail, la DGFiP ou encore l’Urssaf. J’ai d’ailleurs proposé de lancer une mission flash sur le dernier incident concernant l’Urssaf, après avoir projeté le reportage de France Télévision (lien).

Alerté également sur le retard pris par la France dans la transposition des directives NIS2 et REC, un décalage susceptible d’entraîner une sanction européenne de 50 millions d’euros. S’agissant des ingérences numériques, on observe un contraste entre la capacité d’analyse de Viginum sur des élections à l’étranger et l’insuffisance d’investigations équivalentes lorsque cela se passe sur notre propre territoire.

Pour conclure, j’ai appelé à davantage de transparence, de réactivité et de culture qualité au sein de l’action publique.

Mon intervention s’est articulée autour de plusieurs axes : la stratégie nationale de cybersécurité et la stratégie de lutte contre les manipulations de l’information ; l’organisation nationale du dispositif cyber français en me référant aux Etats-Unis ; certains choix budgétaires de l’ANSSI ; la transposition de NIS2 ; les recommandations du rapport de la Cour des comptes et les mesures concrètes attendues, comme le filtre « anti-arnaque ».

Monsieur le Secrétaire général,

Votre rôle est central dans l’élaboration des stratégies nationales de défense et de sécurité de notre pays.

Après l’actualisation de la Revue nationale stratégique que vous étiez venu nous présenter au printemps dernier, comme notre président l’a rappelé, je me réjouis de vous entendre, cette fois en audition publique, sur les crédits de la coordination de la sécurité et de la défense du programme 129 de « coordination du travail gouvernemental ».

Le grand public ne vous connait pas. Pourtant vos services rendent des services essentiels à la population contre les cyberattaques et les ingérences étrangères ;

je pense évidemment à l’Agence nationale de sécurité des systèmes d’information (ANSSI) pour la cybersécurité, de l’ensemble des organismes d’intérêts vitaux (infrastructures, énergies, transports, etc.), des hôpitaux, des services publics et au sens large de tout le tissu socio-économique ;

et au service VIGINUM de lutte contre les ingérences numériques étrangères qui dévoile des menaces très concrètes orchestrées depuis l’étranger, que M. le chef de service de Viginum vient d’illustrer parfaitement.

D’après les données budgétaires pour 2026 les crédits de paiement de la coordination de la sécurité et de la défense soient confortés (et même en hausse de 6 % à 431 millions d’euros, contre 406,1 M€ en 2025).

On pourrait s’en réjouir, cependant à titre de comparaison, le budget cyber de la seule banque JP Morgan est de 1 milliard de dollars sur un budget IT de 15 milliards de dollars.

J’ai plusieurs questions sur l’utilisation de nos crédits.

– En premier lieu, à la même époque l’an dernier, il nous avait été annoncé pour 2025 d’abord l’actualisation de la stratégie nationale de cybersécurité, ensuite l’élaboration d’une stratégie de lutte contre les manipulations de l’information.
C’était également une demande de notre excellent collègue Rachid Temal en qualité de rapporteur de la commission d’enquête sur les politiques publiques face aux influences étrangères.

Qu’en est-il des stratégies de cybersécurité et de lutte contre les manipulations de l’information ?

Quand seront-elles publiées et a minima communiquées au Parlement ?

Cette question de la stratégie rejoint un constat que nous avons déjà fait sur l’organisation qui apparaît anarchique et inutilement coûteuse : nous avons des points d’entrée avec une multiplication des interlocuteurs institutionnels face aux cyberattaques : ANSSI, cyber-malveillance, les CERT sectoriels (computer emergency response team), et les CSIRT régionaux (computer security incident response team).

À titre de comparaison, aux Etats-Unis, le bureau local du FBI est le seul point d’entrée. Les USA ont unifié l’ensemble du dispositif pour tracer les cyber-attaquants.
On remplit une plainte et le FBI bloque les transactions de paiement des rançons.

Nous pensions que la création du 17Cyber et que le projet de loi Résilience & Cybersécurité allait conduire l’ANSSI à mettre de l’ordre et de la lisibilité sur le rôle des différents acteurs.

Bien au contraire, nous avons appris au cours de nos auditions préparatoires que l’ANSSI avait lancé pendant l’été 2025 un appel à manifestation d‘intérêt (AMI) pour le renforcement de l’accompagnement local aux enjeux de cybersécurité, doté de quelque 7 millions d’euros.

Ces fonds contribuent au financement des CSIRT, alors même que le directeur de l’Anssi avait pris l’engagement en juillet devant le président Philippe Latombe de la commission spéciale à l’AN, de ne plus les financer.

Par contre pour GIP ACyma : rien.

Pourquoi ce revirement et ce dispositif qui ne figurait pas au PLF 2025 ?

Quels sont les résultats attendus qui justifient cette dépense et l’arrivée de nouveaux intervenants ?

Concernant la mise en œuvre du projet de loi relatif à la résilience des entités critiques et au renforcement de la cybersécurité, le Sénat a rempli sa mission.

Il a adopté dès mars dernier, sous ma présidence, un texte modifié en première lecture, qui attend toujours de passer à l’Assemblée nationale…

L’ANSSI n’a toujours pas indiqué en quoi consisterait NIS2 pour les entreprises françaises.

Ne craignez vous pas de mettre nos entreprises en retard ou en danger en faisant planer l’incertitude, voire en ne leur suggérant pas d’être certifiés ISO 27001, pour s’aligner sur nos voisins belges puisque nous parlons d’une directive européenne ?

Pour nos banques qui officient aux Etats-Unis, les attentes du régulateur américain sont supérieures au règlement européen Dora.

À titre d’exemple, pour le Vulnérability Patch Management, le délai de réponse exigé par la FED est d’une semaine.

Il est de 3 mois chez nous.

Comment justifier cette distorsion qui fait courir un risque de responsabilité important à nos établissements financiers vis à vis des autorités américaines ?

Enfin, la cour des comptes a publié un rapport relatif à “La réponse de l’État aux cybermenaces sur les systèmes d’information civils”, dont plusieurs des 11 recommandations rejoignent nos sujets de préoccupation, notamment la nécessité de mettre en place à court terme un observatoire national de la cybermenace, centralisant à l’échelle nationale les données et analyses utiles.

Les vols de données massives chez France Travail, DGFIP, Santé nous inquiètent et révèlent des échecs cuisants pour nos systèmes qui affectent des dizaines de millions de compatriotes.

Quand disposerons-nous de cet observatoire pour suivre concrètement l’efficacité de notre réponse aux attaques cyber ?

Le filtre « anti-arnaque » qui existe dans de nombreux pays a été voté en France en 2024 dans la loi SREN promulguée depuis 18 mois. Nous déplorons 50 800 dépôt de plainte via la plateforme dédiée aux e-escroqueries en 2024. Quand est-ce que le filtre entrera en vigueur ?

Cela fait déjà beaucoup de questions, principalement dans le domaine cyber, et mon collègue Mickaël Vallet pourra les compléter.

Toute ma gratitude à Martin Briens, ambassadeur de France en Italie pour son accueil au palais Farnese et à Fabrice Maïolino (à l’image), consul général de France à Rome, qui m’a accompagné tout au long de ce déplacement.

Diplomatie économique

CCEF – Réunion régionale Europe du sud

Deux jours de réflexion pour augmenter la visibilité des entreprises françaises en Italie.

Dans le majestueux cadre du Palais Farnèse qui accueille l’ambassade de France en Italie, j’ai suivi l’intervention volontariste de Martin Briens, ambassadeur de France. L’ambassadeur décrit l’Europe comme un moteur à explosion qui avance au gré des crises.

La France est le premier investisseur en Italie, 2 ou 3ème client ou fournisseur. Nos structures industrielles sont très complémentaires et lorsque nous observons nos performances respectives en commerce extérieur (excédent de 7 milliards d’euros pour l’Italie et déficit de 80 milliards pour la France), cela devrait nous inciter à rechercher toutes les opportunités de développer notre relation bilatérale.

Marcel Patrignani, président CCEF Italie a rappelé que le comité était présent sur tout le pays et que chaque district économique avait ses secteurs industriels de prédilection.
La section est organisée en trois groupes de travail : attractivité pour aider les entreprises italiennes à s’implanter en France, les accompagnements des VIE et la formation.

Accompagné ensuite de Stella Fau Clarke, présidente CCEF Europe et Emmanuel Montanié, délégué général des CCEF, les trois représentants ont détaillé le fonctionnement du réseau qui réunit 4900 CCEF dans 150 pays.

Merci à Cécile André pour avoir lancé cette invitation à Stockholm et à tous les organisateurs et participants qui ont partagé avec moi leurs regards sur l’évolution des affaires. +d’images

Cybersécurité

Mon intervention devant les CCEF

Très honoré d’avoir été invité par les conseillers du commerce extérieur de la France (CCEF) à m’exprimer, sur les enjeux de cybersécurité et de cyber-résilience, dans le cadre prestigieux du palais Farnese, à la faveur de leur rencontre régionale Europe du Sud.

J’ai évoqué :

1- l’arrivée du 17Cyber depuis le 17/12/24, et notre travail en cours pour permettre le dépôt de plainte en ligne depuis l’étranger, au travers de cette plate-forme.
2- l’action de Viginum pour permettre aux entreprises d’anticiper les actions susceptibles de les déstabiliser.
En matière de menace informationnelle, les entreprises et acteurs économiques peuvent être ciblés par les principaux modes opératoires suivants :
•⁠ ⁠Le raid numérique
•⁠ ⁠L’incitation à conduire des actions dans le champ physique
•⁠ ⁠L’usurpation d’identité d’entreprise
3 – Projet de loi Résilience & Cybersécurité pour transposer 3 directives européennes (NIS2, DORA, REC)
4 – L’Artificial Intelligence Act (AI Act) encadre l’utilisation et le développement de l’intelligence artificielle dans l’UE. L’Union européenne a créé le premier cadre juridique global au monde dédié à l’IA.

Merci aux organisateurs de m’avoir offert l’opportunité de partager les défis et nos progrès en matière de cyber. +d’images

Agence nationale pour la Cybersécurité (ACN)

Visite de l’Agence nationale pour la Cybersécurité (ACN), pour un entretien avec Massimo Marotti, directeur général pour la stratégie et la coopération internationale, qui avait participé à la Paris Cyber Week, l’an passé.

L’ACN est une jeune agence indépendante, qui relève du Conseil italien. Sa forme et ses missions sont semblables à celles de l’ANSSI, avec laquelle une coopération très étroite et modèle a été établie.

336 personnes collaborent au sein de l’ACN. Ils devraient être 500 fin 2025.

L’Italie fait partie des premiers pays européens à avoir mis en œuvre la directive NIS2. Le décret d’application date du 4 septembre 2024. 22 000 entreprises sont déjà enregistrées sur la plateforme des entreprises concernées par la loi.

Si la loi est destinée à élever le niveau de résilience des entreprises en cyber, Massimo s’interroge avec pertinence sur la signification du mot “résilience”. À partir du moment où “augmenter la résilience” est un objectif de la loi, il convient en effet de connaître les indicateurs qui nous permettent de mesurer nos progrès. +d’images

Communauté française

Réunion avec les élus

Le consulat général de France à Rome réunit la partie Centre et Sud de l’Italie et compte 16500 inscrits (Rome 10500 ; Florence 3500 et Naples 2500), tandis que la partie Nord, qui relève du consulat général de Milan, compte 18000 inscrits.

À l’invitation de Fabrice Maïolino, consul général de France à Rome, j’ai eu un entretien privilégié avec deux des cinq conseillers des Français de l’étranger de Rome qui ont pu se rendre disponibles.

Carole de Blesson est une élue qui s’est engagée en faveur de l’associatif au sein de Rome Accueil et qui organise des réunions sur les problèmes de la vie quotidienne.
Olivier Lebel, retraité très actif dans le soutien aux start-ups, est devenu conseiller des Français de l’étranger en février 2024. Il est également suppléant de Caroline Yadan, députée de la circonscription.

Les deux élus ont fait part de la vive préoccupation de nos compatriotes retraités qui se sont trouvés redressés de fortes sommes par le fisc italien. Un article du Figaro de février 2025 intitulé “L’Italie, le nouvel eldorado des exilés fiscaux français” est susceptible d’entraîner nos compatriotes dans de graves difficultés. Nos élus rappellent que l’Italie impose les revenus à des taux bien plus élevés que la France. Elle applique également des impôts sur le patrimoine immobilier et mobilier situés à l’étranger.

Pour éviter les déconvenues, le consulat général et les élus organisent régulièrement des conférences avec des experts comptables et fiscaux.

Un grand merci au consul général et à nos deux élus pour leur mobilisation.

Enseignement

Lycée international Chateaubriand

Constitué de trois sites, Strohl-Fern, Malpighi et Patrizi, l’établissement scolarise 1500 élèves de la petite section de maternelle jusqu’à la terminale.

En 2023, le lycée a célébré son 120e anniversaire. À cette occasion, une campagne de travaux d’une durée de 10 ans a été menée pour améliorer la qualité d’accueil et les infrastructures de l’établissement.

Accueilli en compagnie de Fabrice Maïolino, consul général de France, par le proviseur adjoint, Christophe Chades, j’ai découvert les aménagements réalisés depuis mon précédent déplacement.

Situé sur le site de la Villa Strohl-Fern, le bâtiment historique « Casone » a été entièrement rénové. Les nouvelles salles de classe sont plus spacieuses. Le bâtiment « Moresco » a également fait l’objet d’une restructuration complète.

La visite a été suivie de deux réunions dans la médiathèque, avec les représentants des enseignants puis des parents d’élèves.

Les effectifs en maternelle fléchissent, car les parents attendent plus de souplesse sur les horaires. Pour le reste, les effectifs sont de 23 à 29 élèves par classe en secondaire, et les listes d’attente se reconstituent.

Le 29 janvier, la Commission des Affaires étrangères et de la Défense a voté en faveur du projet de loi, présenté par ma collègue Sylvie Goy-Chavent, autorisant l’approbation de l’accord portant sur la création du Centre de développement des capacités cyber dans les Balkans occidentaux (C3BO).

L’accord vise à créer un Centre de développement des capacités cyber dans les Balkans occidentaux (Albanie, Bosnie-Herzégovine, Kosovo, Macédoine du Nord, Monténégro, Serbie) en lui octroyant le statut d’organisation internationale (C3BO). Le siège du centre est prévu au Monténégro, à Podgorica.

Cet accord signé par trois pays qualifiés de « fondateurs » a pour objet de renforcer la cyber-résilience des Balkans par des activités de formation et de sensibilisation. Les objectifs du C3BO sont de renforcer les capacités opérationnelles des services de police et de justice, la prévention des attaques cyber et la gestion des risques.

Le C3BO vise à former des experts, au sein des agences, administrations, forces de police et de sécurité régionales. Il permettra d’approfondir la coopération entre tous les acteurs régionaux et d’harmoniser les normes applicables dans la perspective de leur adhésion future à l’Union européenne.

En novembre 2022, nous avions accueilli une délégation de députés monténégrins (compte-rendu) suite à la cyberattaque majeure subie par le Monténégro à l’été 2022. 17 systèmes différents localisés dans 10 ministères avaient été corrompus et 3000 ordinateurs d’état avaient dû être réinstallés. L’ANSSI avait dépêché 15 agents à Podgorica pour la circonstance.

La commission spéciale chargée d’examiner le projet de loi “relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité”, que je préside et dont les rapporteurs sont mes collègues Michel Canévet, Patrick Chaize et Hugues Saury, a auditionné, ce 17 décembre, Vincent Strubel, le directeur général de l’ANSSI, l’agence qui a va piloter la mise en œuvre de la directive NIS2.

Voir l’intégralité de l’audition sur le site du Sénat.

J’ai conclu mon propos introductif par des félicitations à l’ANSSI pour le lancement officiel, le matin même, du 17Cyber, dispositif de secours en ligne pour toutes les victimes de cyberdélinquance (lire le billet). Vincent Strubel m’a ainsi retourné le compliment : « permettez-moi de vous remercier pour la constance avec lequelle vous avez soutenu ce dispositif 17Cyber ».

Ensuite, j’ai fait une parenthèse au cours de la discussion pour égrener quelques inquiétudes soulevées par le Medef et la CPME que nous avions auditionnés juste auparavant (coût des contrôles à la charge de l’entreprise, interdiction de gérer…)

Plus tard dans les débats, en me référant à notre déplacement en Belgique, où la directive NIS2 a déjà été transposée, j’ai interrogé le directeur général sur la norme Iso 27001 ; la capacité d’audit de son agence, ; l’application de la directive aux groupements de sociétés et, enfin, la politique de certification des produit et services qui doivent répondre aux besoins des 15.000 entités qui seront concernées à terme par NIS2. Je remercie M. Strubel de ses réponses claires et précises.

Mes chers collègues,

Nous poursuivons nos travaux sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité par l’audition de M. Vincent Strubel, directeur général de l’Agence nationale de sécurité des systèmes d’information (ANSSI), que je remercie de venir nous présenter les dispositions de ce texte qui relève de son administration.

Votre venue était attendue car, comme vous le savez, l’audition de Mme Clara Chappaz, secrétaire d’État chargée de l’Intelligence artificielle et du Numérique, qui devait ouvrir nos travaux le 9 décembre dernier a dû être reportée à une date ultérieure.

Avec les rapporteurs, nous nous sommes rendus la semaine dernière à Bruxelles à la rencontre de la Commission européenne et des autorités belges qui ont d’ores et déjà engagé cette transposition.

C’est donc à vous que revient la première prise de parole publique de l’administration française devant nos rapporteurs, MM. Michel Canévet qui nous suit distance, Patrick Chaize et Hugues Saury, et les membres de notre commission spéciale sur cette transposition : ce qu’elle apportera en termes de résilience et de cybersécurité ; et ce qu’elle impliquera pour les entreprises et collectivités dans le cadre de la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 ».

Monsieur le directeur général, je rappelle que cette audition fait l’objet d’une captation vidéo qui est retransmise sur le site internet du Sénat puis consultable en vidéo à la demande.

Avant de vous céder la parole, je voudrais vous féliciter pour le lancement officiel, ce matin, du 17Cyber qui était un dispositif que nous attendions tous. Cyber-malveillance devient maintenant 17Cyber. Peut-être nous en direz-vous deux mots dans le cas de cette audition.Vous avez la parole.

J’ai partagé cette fierté avec (à l’image, g. à d. ) Jérôme Notin, directeur général de Cybermalveillance.gouv.fr (GYP ACYMA) ; le préfet Louis Laugier, directeur général de la Police nationale ; Vincent Strubel, directeur général de l’ANSSI et le général de division Marc Boget, directeur de la stratégie digitale et technologique de la Gendarmerie Nationale.

Comme on compose le 17 en cas d’urgence, le site 17Cyber doit devenir le nouveau réflexe d’assistance en ligne pour toutes les victimes de cyberdélinquance.

En effet, le dispositif 17Cyber est destiné à toutes les victimes d’infractions numériques : particuliers, entreprises, collectivités. Rappelons que 9 Français sur 10 ont déjà été confrontés à une situation de malveillance informatique, notamment à l’hameçonnage (70%).

Disponible 24h/24 et 7j/7, ce guichet unique permet aux victimes de comprendre rapidement, en répondant à quelques questions, à quel type de menace ils sont confrontés et ainsi, recevoir des conseils personnalisés et une assistance technique de la part de l’un des 1200 prestataires référencés ou labellisé par Cybermalveillance.gouv.fr.

Si le diagnostic confirme la gravité de l’atteinte, les victimes peuvent échanger par tchat avec un policier ou un gendarme pour disposer des conseils de première urgence et engager les démarches de judiciarisation.

Je suis heureux de l’aboutissement de ce concept que j’ai cherché à mettre en place depuis janvier 2019, avant qu’il ne soit repris à son compte par le président de la République, début 2022.

Le ministère de l’Intérieur s’est chargé de piloter ce projet en s’appuyant sur Cybermalveillance.gouv.fr, dirigé par Jérôme Notin, pour le volet opérationnel. En effet, créé en 2017 par l’ANSSI, Cybermalveillance.gouv.fr dispose d’une solide expertise dans l’assistance en ligne, puisqu’il a déjà assisté plus de 1,3 million de victimes.

Un chiffre fait frémir : 62% des entreprises ne sont pas conscientes du risque cyber.

J’invite chacun à partager l’information face à la menace numérique croissante.

Pour ce faire, le ministère et Cybermalveillance.gouv.fr mettent à disposition, en complément du site 17cyber.gouv.fr, un module 17Cyber facilement intégrable sur tout site Internet.

Le module 17Cyber est disponible ICI

1️⃣ Tout d’abord, un échange à Matignon avec François Cornut-Gentille, chef du pôle Défense au cabinet du Premier ministre, en présence de Thierry Perardel, conseiller technique défense.

J’ai remercié François Cornut-Gentille de m’offrir, pour la première fois depuis 2017, l’opportunité de partager mon expérience de 7 années, en qualité de co-rapporteur pour avis du programme 129 “Coordination du travail gouvernemental”.

Nous avons évoqué le budget du SGDSN, l’évolution de l’ANSSI et les défis imposés par les conséquences de la transposition de la directive NIS2, la création réussie de Viginum, l’impérative nécessité de lancer le “17 cyber” et de renforcer le GIP ACYMA, les retards du filtre anti-arnaque, l’IHEDN…

2️⃣ première réunion de travail avec Patrick Chaize et Hugues Saury, rapporteurs de la commission spéciale chargée d’examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, ce 19 novembre.

Ces services étaient représentés par MM. Stéphane Bouillon, secrétaire général du SGDSN, Vincent Strubel, directeur général de l’ANSSI et Marc-Antoine Brillant, chef du Service de vigilance et de protection contre les ingérences numériques étrangères (Viginum), lors de leur audition budgétaire annuelle devant notre commission des Affaires étrangères et de la Défense, le 6 novembre dernier.

Face aux contraintes budgétaires, j’ai interrogé nos responsables sur deux points majeurs :

Sur le Name & Shame :
Stéphane Bouillon (SGDSN) a distingué deux types de réponse : soit l’attribution, lorsqu’on est sûr que tel ou tel état est en cause, soit l’imputation, lorsque l’attaque utilise des « modes d’action habituels des services chinois, russes ou autres ». Quoi qu’il en soit, les dossiers remontent au sommet de l’État, car nommer l’agresseur demeure du ressort de l’autorité politique « dans un système où il y a le jeu des relations internationales ».
Pour sa part, Vincent Strubel (ANSSI) estime que dénoncer publiquement une manipulation de l’information est une réponse très naturelle pour rétablir la vérité, mais que dans le domaine cyber, le Name and Shame « n’est pas forcément très dissuasif ». En revanche, il met en avant la pratique du partage de l’information, associée à celle du « démantèlement d’infrastructures techniques de l’attaquant ». Une pratique « qui se développe de plus en plus, en lien avec nos principaux alliés ».

Je tiens tout d’abord à m’associer aux propos du président pour saluer votre action et celle de vos services au cours de cette année 2024. Vous avez relevé le défi des Jeux olympiques dans un contexte géopolitique extrêmement tendu, rendu encore plus compliqué en politique intérieure par la succession des élections européennes et législatives.

Je veux donc saluer l’action de l’ANSSI, de Viginum et, évidemment, de tout l’écosystème qui vous entourait, ceux qui étaient en première ligne et qui ont répondu aux menaces cyber et informationnelles.

On pourrait dire que le dôme cyber a tenu.

Je disais l’an dernier qu’il n’y aurait pas de médaille d’argent en cas de défaillance de nos systèmes d’information ou de déstabilisation du bon déroulement des opérations électorales. Il n’en a rien été malgré des attaques bien réelles, vous l’avez rappelé. Il faut s’en féliciter et, comme vous M. Strubel, c’est effectivement une médaille d’or pour vos services et toutes vos équipes. Il est important de leur manifester toute notre reconnaissance d’avoir gagné cette bataille.

En qualité de sénateur de Français de l’étranger, je veux en profiter, comme Hélène, de vous exprimer notre gratitude pour le vote internet pour les Français de l’étranger qui a été très performant et qui montre aujourd’hui qu’il est devenu incontournable à l’étranger pour avoir une élection réussie.

Ce satisfecit ne doit pas nous empêcher de penser l’avenir. Ce budget pour 2025 ne répond manifestement pas aux besoins exprimés antérieurement par vos services :
– L’Anssi escomptait une croissance de ces effectifs et de son budget afin d’assumer les missions supplémentaires qui lui seront confiées après l’examen à venir du projet de loi relatif à la résilience des activités d’importance vitale, à la protection des infrastructures critiques, à la cybersécurité et à la résilience opérationnelle numérique du secteur financier. Au lieu de réguler l’activité d’environ 500 entités, cette agence devra changer d’échelle pour en gérer environ 15 000 ;
– Dans le même ordre d’idée, Viginum devait poursuivre sa croissance pour atteindre 65 ETP en 2025. Ce ne sera pas le cas et ses effectifs resteront identiques.

Ces deux cas de figure posent la question des priorités et des ajustements que vous devrez assumer. Cela pose également la question du périmètre des missions de l’ANSSI. Est-ce que l’agence pourra continuer à mener de front ses activités de régulateur, mais aussi d’acteur et parfois de prestataire de sécurité ?
On pourrait parler pour 2025, mais on ne peut pas regarder 2025 sans se projeter dans la suite et c’est ce qui est important.

J’ai une deuxième question sur la procédure. Lorsqu’on a discuté sur les attaquants, on avait dit que s’il y avait un podium, le premier pays des attaquants ce serait la Chine, ensuite la Russie et, en troisième position, l’Iran. Viginum agit aujourd’hui comme une force de réaction rapide pour contrer la désinformation et, on l’a vu, avec efficacité pour anticiper. Vous avez dénoncé, vous avez fait du “Name and Shame”, comme on dit en bon français. Effectivement, il faut nommer qui nous attaque, mais cela n’est pas toujours le cas. J’aimerais donc savoir quelle est la procédure qui détermine le fait que nous allons pouvoir nommer l’attaquant, puisqu’on voit bien que certaines attaques nous arrivent d’un certain endroit, mais elles ne sont pas dénoncées.

S’il existe différents dispositifs pour prévenir ou contrer ces actions, les auteurs de la proposition de loi constatent que « ces outils demeurent parfois insuffisants au regard de l’intensification de la menace que font peser les ingérences étrangères sur l’exercice de la souveraineté nationale ».

Je suis intervenu à différentes reprises lors des débats.

Pour appuyer un amendement communiste afin d’obtenir un rapport annuel du gouvernement sur les ingérences étrangères, plutôt que tous les deux ans.

Ou pour faire échouer un amendement communiste et écologiste destiné à s’opposer à l’utilisation d’algorithmes par nos services pour détecter automatiquement des ingérences étrangères.

L’objectif de ce texte est louable. Il faut effectivement combattre les ingérences étrangères et nous en sommes tous les témoins : de plus en plus, on voit que notre démocratie est attaquée. Pas seulement notre démocratie, toutes les démocraties.

Pour rejoindre M. Savoldelli, on a fait un texte, on va voter des articles, mais il y a aujourd’hui un organisme qui fait de l’ingérence étrangère, ouvertement, qui s’appelle le site de l’ambassade de la république de Chine qui a déclaré, en son temps, que nous laissions mourir nos retraités dans les EHPAD, qui attaque directement la liberté de la presse suite à l’émission « Envoyé spécial » qui faisait part des menaces contre une personne qui allait être emmenée en Chine.

Je vous invite à lire l’article : c’est une attaque en règle, une leçon sur la liberté de la presse venant d’un État qui pointe pratiquement à l’avant-dernière place en termes de liberté de la presse dans le monde.

Cette ingérence étrangère est là, elle existe et on ne fait rien. C’est ce que je vois et c’est ce qui m’inquiète.

Candidat le plus avancé pour l’adhésion à l’UE, membre de l’OTAN, j’ai souhaité interroger le ministre sur le retour d’expérience de son pays face aux attaques cyber répétées de la part de la Russie.

VERBATIM de l’échange :

Olivier Cadic – En novembre 2022, nous avons reçu une délégation parlementaire monténégrine pour échanger, notamment, sur la question de la cybersécurité à la suite de l’attaque que vous avez subie en août 2022. Je me réjouis de l’ouverture prochaine du centre régional pour la cybersécurité et je vous remercie d’avoir souligné le rôle positif de l’Anssi.

L’attaque de 2022 était un prolongement des attaques malicieuses subies par le Monténégro depuis son adhésion à l’Otan, comme le développement de sites internet répandant des fake news pour déstabiliser le pays. En 2018, le Monténégro a créé un centre d’expertise pour distinguer les fake news d’origine russe. Quels enseignements tirez-vous de votre expérience ? Comment contrer ces tentatives d’influence russe destinées à déstabiliser nos pays ?

Notre rapport a été publié et il en ressort que l’exercice 2024 se caractérise par un renforcement des moyens de l’agence nationale de la sécurité des systèmes d’information (ANSSI) et du service de vigilance et de protection contre les ingérences numériques étrangères (Viginum), constituant ainsi le volet civil de l’effort prévu par la loi de programmation militaire 2024-2030 (4 milliards d’euros de besoins programmés sur la période).

Pour répondre au « changement d’échelle » annoncé par l’ANSSI qui est de passer à une cybersécurité de masse, nous avons ont identifié 4 principaux défis à relever :

– assurer la cybersécurité des Jeux olympiques et paralympiques 2024. Pour l’image internationale de la France, il n’y aura pas de médaille d’argent ;
– coordonner l’ensemble des acteurs publics et privés de l’écosystème cyber autour d’une révision de la stratégie nationale de cybersécurité (la dernière datant de 2018) et du lancement de la plateforme numérique « 17 Cyber » en mars 2024 ;
– réussir la transformation de l’ANSSI en vue de la transposition de la directive NIS 2 (Network and Information Security3(*)). Celle-ci prévoit un accroissement du périmètre de compétence de l’agence de quelque 500 OIV à environ 15 000 entreprises dont le suivi constitue un changement d’échelle pour l’agence et nécessite une reconfiguration de son offre de services ;
– réorganiser le dispositif de coordination en s’inspirant de la grande cause nationale de la sécurité routière qui a permis de réduire drastiquement le nombre de morts sur nos routes en confiant à un coordinateur interministériel clairement identifié la responsabilité de coordonner tous les moyens disponibles.

Question : La Gendarmerie nationale est citée en exemple pour l’avance qu’elle a prise, notamment par rapport à la Police nationale, dans la prévention et le traitement de la menace cyber. Vous avez évoqué vos moyens techniques et humains, de la discussion avec le ComCyber et l’ANSSI (*), mais vous n’avez pas cité les collectivités locales et les C-SIRT. A cet égard, que pensez-vous de cette organisation, des C-SIRT, mais aussi de la coordination entre les acteurs. N’y-a-t-il pas un trop grand nombre d’acteurs avec un risque de confusion et de dispersion des moyens ? La question se pose sur les coordinateurs avec les ministères concernés : services de la Première ministre, ministère de l’intérieur, ministère du numérique… A l’image de la Sécurité routière érigée cause nationale en 2002 par le Président de l’époque, Jacques Chirac, ne pensez-vous pas que l’état de la menace cyber ne justifierait-il pas de clarifier le dispositif autour d’un coordinateur unique et d’une nouvelle stratégie de cybersécurité ?

Avec mon collègue Mickaël Vallet, nous sommes intervenus en qualité de rapporteur pour avis sur les crédits du programme 129 « Coordination du travail gouvernemental » (gestion de crises, cyberdéfense, renseignement).

Mes questions ont porté sur quatre points principaux :
– La mise en œuvre de la directive européenne dite NIS 2 qui devrait conduire l’ANSSI à décupler son champ d’intervention
– La protection du grand public, des collectivités et des PME/TPE au travers du GIP ACYMA Cybermalveillance
– La définition des missions des CSIRT régionaux et leur coordination
– Le déploiement des activités de Viginum et sa visibilité

Avec mon collègue Mickaël Vallet, nous proposons de faire évoluer notre doctrine à travers un rapport intitulé “une coordination de la cyberdéfense plus offensive dans la loi de programmation militaire 2024-2030”. Ce travail a été conduit au nom de la commission des Affaires étrangères, de la Défense et des Forces armées du Sénat, présidée par Christian Cambon.

Si la chaîne de commandement militaire intègre une fonction offensive, c’est sans équivalent en cas de cyber-attaque sur des objectifs civils. C’est pourquoi la nouvelle loi de programmation militaire (LPM) prévoit un soutien militaire à l’Agence nationale de sécurité des systèmes d’information (ANSSI), en cas de crise majeure et un renforcement de ses capacités d’analyse.

Ainsi, en s’appuyant sur le potentiel de l’ANSSI et la caractérisation des attaques informationnelles relevant de Viginum, nous souhaitons, avec Mickaël Vallet, inciter le gouvernement à adopter une stratégie plus offensive, une « cyber dissuasion ».

A ce titre, nous saluons la dénonciation claire, mi-juin, du ministère de l’Europe et des Affaires étrangères d’une campagne de désinformation en provenance de Russie, liée à l’action de la France en Ukraine, qui doit préfigurer une « diplomatie de combat ».

Concernant la LPM 2024-2030, nous constatons un effort sans précédent au profit de la cyberdéfense des armées avec 4 milliards d’euros de besoins programmés (effectifs et technologies), contre 1,6 milliard d’euros pour la LPM 2019-2025.

L’enjeu qui perdure est celui de former aux métiers de la cyber-sécurité !

La synthèse du rapport (PDF)

RÉSUMÉ DES RECOMMANDATIONS 

LPM 2024-2030
> Accompagner le développement de la cyberdéfense régalienne autour de l’écosystème de Rennes en renforçant l’offre de formation.
> Encourager les acteurs français du cloud et de la cybersécurité.
> Prioriser les recrutements sur les postes non encore « armés ».
> Harmoniser les pratiques de recrutement sur la base du référentiel de rémunération des 56 métiers de la filière numérique et des systèmes d’information et de communication pour fidéliser les agents en poste et recruter des profils expérimentés (direction interministérielle du numérique).
> Veiller à la complémentarité de l’ensemble des pôles cyber existants en rapprochant le futur pôle d’excellence de formation cyber de Polytechnique avec l’écosystème et l’académie de la cyberdéfense de Rennes.

COORDINATION CIVILO-MILITAIRE
> Clarifier le périmètre de la transposition en France de la directive NIS 2.
> Établir un plan de progression des moyens de l’ANSSI, de l’OSIIC et de Viginum en rapport avec l’augmentation du périmètre de protection de la directive NIS 2.
> Lancer une réflexion sur l’opportunité de mieux intégrer les 3 fonctions de LID, LIO et L2I dans le domaine civil.
> Affirmer une stratégie de cyber dissuasion s’appuyant sur les capacités de cybersécurité de l’ANSSI et de caractérisation des attaques informationnelles relevant de Viginum.
> Envisager la nomination d’un responsable qualité des activités de cyberdéfense.

VOLET RÉGIONAL DE LA CYBERSÉCURITÉ
> Rationnaliser l’organisation cyber vers un guichet unique « 17 cyber » pour orienter les victimes en cas d’attaque ou de conflit majeur.
> Évaluer une organisation alternative aux CSIRT en concentrant les moyens publics sur le GIP ACYMA, tout en prévoyant une contractualisation État- Région pour les régions qui souhaitent pérenniser leurs centres de réponse.
> Harmoniser, en coordination avec le GIP ACYMA, les modalités d’appel des CSIRT régionaux et les services de cybersécurité rendus.

Je me suis félicité du fait que l’enjeu de la guerre informationnelle, que j’avais mentionné lors des débats sur la LPM en 2018, soit désormais été élevé au rang de “nouvelle fonction stratégique” par le Président de la République, dans son discours de Toulon du 9 novembre dernier.

Allons-nous nous contenter de regarder chaque année le compteur des cyber-attaques s’affoler ?

Nos principaux partenaires, américains et britanniques, ont compris qu’aller entraver les cybercriminels sur leur terrain, c’est aussi prévenir les attaques avant qu’elles n’arrivent et pratiquer une forme de dissuasion numérique.

Je formule donc la proposition que nous nous dotions d’une stratégie offensive face aux cyber-attaques, que nous nous dotions d’un directeur national de la cybersécurité et que nous nous coordonnions avec nos principaux partenaires, car c’est un combat sans frontières.

Je voudrais insister sur deux points :

• La nécessité de former et responsabiliser tous les acteurs en cybersécurité, à commencer par les simples utilisateurs ;
• Alerter sur la nocivité du paiement des rançons. Ceux qui sont contraints de payer pour sauver leur entreprise doivent savoir qu’ils alimentent les revenus de la cybercriminalité qui dépassent désormais ceux du narcotrafic. Ils contribuent également au financement du terrorisme.

Tous les pays occidentaux sont dépassés par l’échelle des attaques. On nous fait une guerre cyber. Les 14 affaires d’espionnage cyber en 2021 dont 9 sont d’origine chinoises en témoignent. Nos agresseurs sont à l’initiative. Nous avons un retard à rattraper.

Cette délégation souhaitait échanger autour de la thématique de la cybersécurité, j’ai pensé à un dialogue avec mon collègue Mickaël Vallet et moi autour de notre rapport relatif à la Coordination du travail gouvernemental en matière de cyberdéfense.

Le Monténégro a subi une cyberattaque majeure il y a trois mois. 17 systèmes différents localisés dans 10 ministères ont été corrompus. 3000 ordinateurs d’état doivent être réinstallés. La délégation a remercié l’engagement de la France pour les aider, à commencer par l’ANSSI, qui a vite dépêché 15 agents.

Sulfo Mustafic, député du Monténégro, membre de la commission Sécurité et Défense, remercie le Sénat pour sa coopération.

Deux groupes organisés ont mené ces attaques. Ils soupçonnent que les Russes en soient à l’origine.

Ces attaques sont un prolongement de toutes les actions malicieuses subies par le Monténégro depuis son adhésion à l’OTAN, comme la multiplication de sites internet développant des fake news pour déstabiliser leur pays.

En 2018, le Montenegro a créé un centre d’expertise pour distinguer les fake news venant de la Russie.

J’ai recommandé à Sulfo Mustafic, député du Monténégro, de rencontrer Jérôme Notin, directeur de la plateforme Cybermalveillance.

Une adaptation de ce site en langue locale offrirait un excellent outil pour faciliter l’information sur les menaces cyber et la formation des Monténégrins sur les bonnes pratiques en cybersécurité. +d’images