Accueil      En circonscription      Sénat      Revue de Presse          Parcours      Me Contacter      Mes 31 défis
    

PFL2020 – Cybersécurité dans nos ministères / Cyber-campus – Vidéo (3:45)

Le 2 octobre, notre commission des Affaires étrangères et de la Défense a auditionné Claire Landais, secrétaire générale de la Défense et de la Sécurité nationale (SGDSN), pour faire le point sur l’évolution des crédits du programme 129 «Coordination du travail gouvernemental» (gestion de crises, cyberdéfense, renseignement), dont je suis le rapporteur.

Puisque le Projet annuel de performance pointait les « faibles moyens dédiés aux enjeux de sécurité des système d’information de certains ministères », j’ai voulu savoir quel étaient les ministères les plus « faibles ». Une question dans le prolongement de nos recommandations avec Rachel Mazuir pour renforcer les capacités d’intervention de l’ANSSI (*), suite à la cyberattaque dont a été victime la plate-forme Ariane.

J’ai également voulu savoir si la France soutenait un projet équivalent au site de Beer-Sheva que j’ai visité en Israël, réunissant les agences de cyberdéfense, les pôles universitaires et les unités de R&D des entreprises dans un même écosystème.

Claire Landais a fait immédiatement remarquer que le niveau de menace allait croissant avec des attaquants de plus en plus forts. La secrétaire générale m’a honnêtement répondu que tous les ministères n’avaient pas fait l’effort suffisant pour que nous soyons aujourd’hui sereins, en précisant que tous ne méritent pas le même niveau de protection.

Avec la création de la direction générale du numérique, l’avis de l’ANSSI est requis avant tout projet informatique majeur au sein des services de l’état, a-t-elle rappelé.

Enfin, bonne nouvelle, nous avons appris qu’à la demande du président de la République, les services de Mme Landais travaillent sur un projet de création d’un « campus cybersécurité à la française » qui serait d’abord porté par le monde industriel, où l’ANSSI aurait toute sa place en termes de formations, de qualifications et de solutions.

(*) ANSSI : Agence nationale de la sécurité des systèmes d’information

HEBDOLETTRE n°121 – ÉDITO : Les massacrés de Tiananmen – VENEZUELA – Audition de Lorent Saleh – Débat sur le CANNABIS thérapeutique – Cybersécurité : parution de mon rapport « Cyberattaque contre ARIANE : une expérience qui doit nous servir » – Cybersécurité : « Les relais de l’ANSSI au Parlement » (Lettre A) – La Commission Défense du Sénat à Cherbourg : Remorqueur d’urgence & Programme BARRACUDA (SNA) – La Chambre de commerce franco-norvégienne fête ses 100 ANS ! – Océan indien : Rencontre régionale des CCEF à La Réunion (10-12 mai 2019) – Madagascar – La MODERNITÉ au pouvoir – En circonscription à MADAGASCAR : Antananarivo (8-9 mai 2019) / en Espagne : Séville (2-3 mai 2019) / au PORTUGAL : Région Algarve (1-2 mai 2019)

Lire : l’HEBDOLETTRE n°121 – 03 juin 2019Logo HebdoLettre bleu - Rond75

Edito de l’HebdoLettre n°121

Les massacrés de Tiananmen

Je remercie les agents du ministère de l’Europe et des Affaires étrangères pour l’organisation des élections européennes à l’étranger, les bénévoles qui ont offert leur dimanche pour faire vivre la démocratie représentative et les électeurs qui se sont déplacés pour voter.

Nous pouvons nous réjouir de la progression de la participation à ces élections. Elle passe de 11,04% en 2014 à 18,36% en 2019.

Les 40,4% d’Emmanuel Macron du 1er tour de la Présidentielle se retrouvent dans les 40,21% du cumul des listes Renaissance (36,84%) et Les Européens (3,37%). Désormais Europe Écologie pointe en seconde position avec plus de 20% (14,74% en 2014).

Alain Lamassoure, qui conduisait la liste UMP en 2014, a quitté Les Républicains. Il n’est pas le seul. La liste conduite par François-Xavier Bellamy, figure de la tendance droite ultra-conservatrice perd 2/3 des électeurs de 2014 (8,33%). Enfin, le RN (ex-FN) recule également à l’étranger (7,1% contre 8,94% en 2014), même si l’extrême droite est placée en tête par les électeurs de Thaïlande à Pattaya (48,88%) et Phuket (45,72%) ou encore au sud du Portugal dans l’Algarve (33,71%).

Après avoir tellement abimé l’image de la France à l’étranger, les gilets jaunes se sont évaporés dans les urnes. Ces soi-disant adeptes de la démocratie participative ne participent pas à la démocratie. Comprenne qui pourra.

Assesseur du bureau de vote à Ashford, dans le Kent, ce dimanche d’élection m’a offert l’opportunité de voir la démocratie à l’œuvre, 15 heures durant, comme un grand cérémonial citoyen.

Pour combien de temps encore, allons-nous pouvoir poursuivre son exercice ? En effet, la Chine qui affirme vouloir dominer le monde d’ici à 2050, ne reconnait pas la démocratie et les droits de l’Homme comme valeurs universelles.

Dans la nuit du 3 au 4 juin 1989, il y a trente ans exactement, le pouvoir chinois massacrait ses étudiants sur la place Tiananmen parce qu’ils réclamaient l’instauration de la démocratie.
Visuel HL120

C’est pour le même motif que Liu Xiabo, leader modéré de Tiananmen, faisait signer la « charte 08 » par 303 intellectuels en 2008. prix Nobel de la Paix 2010, il est mort en détention il y a moins de deux ans.

Définie par sa constitution comme un « État socialiste de dictature démocratique populaire », la Chine compte plusieurs dizaines de milliers de prisonniers politiques et un million de musulmans détenu dans des camps au Xinjiang.

Sa maîtrise de la technologie lui a permis de créer un cyber-mur pour imposer un contrôle social de sa population en combinant réseaux sociaux, caméras à reconnaissance faciale et intelligence artificielle.

Cette dictature 2.0 utilise ses Routes de la soie pour tenter de prendre subrepticement le contrôle de pays en liant son aide à la signature de contrats d’équipements technologiques.

Après Djibouti, la Chine aura installé 10.000 caméras à Maurice, d’ici fin juin…

La révolte des diplômés chinois de la tech, qui protestent contre la norme 996, autrement dit, une journée de travail allant de 9 heures du matin à 9 heures du soir, 6 jours par semaine, ne devrait donc pas aller très loin. Ali Baba et Huaweï, tenants du « 996 », ont l’intention de prendre définitivement l’ascendant sur Amazon, Google et Microsoft, praticiens du « 955 » (9 heures à 17 heures, 5 jours par semaine).

A Singapour, lors de la conférence internationale sur la sécurité indopacifique, Florence Parly a rappelé avec raison que la France voulait « promouvoir le multilatéralisme, la démocratie et le respect du droit ».

La Chine pratique très exactement l’inverse. Le souvenir des massacrés de Tiananmen nous le rappelle. Découvrir l’HebdoLettre n°121

HEBDOLETTRE n°120 – ÉDITO : Rendre une cyber attaque utile (plateforme Ariane) – HOMMAGE national à C. de Pierrepont et A. Bertoncello – BREXIT saison 2 : nouvel avatar – Notre groupe de suivi BREXIT interroge les collectivités locales – JT de France2 : mon intervention sur les NORMES européennes – Protection consulaire : Carlos GHOSN (JDD du 12 mai 2019 & Canard Enchainé du 15 mai 2019) – Audition de Louis Gautier : l’EUROPE de la Défense – APPRENTISSAGE : les encouragements du Président Macron à WorldSkills France – WorldSkills2023 à LYON : lancement officiel de la candidature française – Droit des femmes : Interview de Laurence Helaili-Chapuis, conseillère consulaire Irlande (LPJ) – En circonscription au JAPON : Tokyo (16-18 avril 2019) / en CORÉE du SUD : Séoul & Daejon (19-23 avril 2019).

Lire : l’HEBDOLETTRE n°120 – 21 mai 2019Logo HebdoLettre bleu - Rond75

Edito de l’HebdoLettre n°120

Rendre une cyber attaque utile

Le 5 décembre 2018, la plateforme de service ARIANE du ministère de l’Europe et des Affaires étrangères (MEAE) a été victime d’une cyberattaque (lire édito : ‘Ariane perd un fil‘). Ce service d’inscription en ligne permet aux ressortissants français de recevoir des consignes de sécurité, lors de leurs voyages à l’étranger. Des données personnelles enregistrées lors de l’inscription sur la plateforme ont été dérobées.

Sitôt l’incident connu, le 13 décembre, la commission des Affaires étrangères, de la Défense et des Forces armées du Sénat demandait à mon collègue Rachel Mazuir et à moi-même, en qualité de rapporteurs des crédits du SGDSN (en charge de la politique de sécurité des systèmes d’information de l’Etat) et de l’ANSSI, de recueillir des éléments d’information sur cette cyberattaque.

En déroulant patiemment le fil d’une cyberattaque comme celle d’ARIANE, nous avons analysé comment le MEAE avait réagi, puis déposé au Sénat, ce 20 mai, un rapport d’information intitulé : Cyberattaque contre ARIANE : une expérience qui doit nous servir.

Le but de ce rapport d’information est, à partir d’un cas de cyberattaque aux conséquences fort heureusement limitées, de tirer des enseignements qui permettront d’améliorer la résilience des administrations de l’État.

Nous souhaitons favoriser l’émergence, en leur sein, d’une culture de la cybersécurité en affectant les moyens nécessaires à la protection de leurs systèmes d’information.

En cas de crise, il est nécessaire de garantir la fluidité des relations entre les différents acteurs de la prévention et de la protection (ANSSI, DSI des ministères, CNIL) mais aussi de la judiciarisation.
Visuel HL120

Nous avons formulé une série de recommandations pour y parvenir. Parmi elles, à l’image du service mis en place en Israël, nous souhaiterions que les professionnels et les citoyens, confrontés à un incident cyber, bénéficient d’un numéro vert unique. Si, selon les circonstances, chacun sait s’il doit appeler les pompiers, la police ou le Samu, beaucoup sont démunis lorsqu’ils sont confrontés à un incident cyber.

La création du site internet www.cybermalveillance.gouv.fr est utile et offre de nombreux conseils. Cela ne peut constituer la seule réponse.

La semaine dernière, une importante faille de sécurité touchant la fonction « appel téléphonique » de WhatsApp a été corrigée. Selon l’entreprise, propriété de Facebook, cette faille pouvait permettre d’installer, à l’insu de l’utilisateur, un logiciel espion sur son téléphone, si l’utilisateur ne décrochait pas lorsqu’il recevait l’appel « infecté ».

Trois jours plus tard, Europol annonçait de son côté avoir démantelé un réseau criminel international qui avait volé 100M$ en installant le maliciel GozNym (logiciel malveillant) sur des ordinateurs pour récupérer les identifiants bancaires.

En visitant VivaTech 2019, le salon consacré aux nouvelles technologies, j’ai pu observer avec quelle facilité les hackers pouvaient récupérer les données d’utilisateurs imprudents.

Voilà pourquoi il revient à l’État de garantir un réseau internet propre, au même titre qu’il lui appartient d’offrir un réseau d’eau potable. Découvrir l’HebdoLettre n°120

HEBDOLETTRE n°115 – ÉDITO : L’éternelle détérioration encourageante (commerce extérieur) – UNION EUROPÉENNE – Interview de JC Lagarde (pdt UDI) – Élections à l’étranger : mon intervention salue les ÉLUS CONSULAIRES – CYBERSECURITE : ma communication au sujet de la cyberattaque de la plateforme Ariane du MEAE / Ma question à Jean-Yves Le Drian + réponse / Mes 3 cyber-priorités pour 2019 – BREXIT : ma question à Nathalie Loiseau + sa réponse – Colloque HYDRO-DIPLOMATIE : mon discours d’ouverture (Tigre et Euphrate) – L’écho des CIRCOS de Janvier 2018 – En circonscription en ÉTHIOPIE – Addis Abeba (9-11 janv. 2019) – En circonscription à DJIBOUTI (05-08 janv. 2019) – MEDIAS : France 2 : JT 20H / TV5 (24 heures chrono de l’International) / Ici Londres / French Morning London

Lire : l’HEBDOLETTRE n°116 – 12 fév. 2019Logo HebdoLettre bleu - Rond75

Edito de l’HebdoLettre n°116

L’éternelle détérioration encourageante

Annoncé le 7 février dernier à -59,9 Mds d’euros, le déficit du commerce extérieur s’aggrave. Le solde 2018 est le 4ème plus mauvais résultat enregistré au cours des 30 dernières années, derrière les années de crise (2011-2013).

Jean-Baptiste Lemoyne, secrétaire d’État auprès du ministre de l’Europe et des Affaires étrangères, s’est pourtant félicité d’une performance « encourageante ». Et d’ajouter dans un communiqué que « les exportations françaises continuent de progresser. Hors facture énergétique, le déficit commercial se résorbe de plus de 12% ».

En fait, ce déficit commercial hors énergie 2018 est notre deuxième plus mauvais résultat dans ce domaine. En matière de commerce extérieur français, la seule certitude est la tonalité constamment positive de nos déclarations pour annoncer… des résultats décevants.

Voici comment Christine Lagarde, ministre déléguée au Commerce extérieur présentait ses résultats devant l’Assemblée nationale le 14 février 2007 : « Le montant du déficit est donc de 29 milliards d’euros, soit 7 milliards de plus qu’en 2005 – mais moins que l’augmentation de la facture pétrolière entre 2005 et 2006. Ainsi, hors aggravation de la facture pétrolière, la tendance est à la réduction du déficit. »

Erreur ! Un an plus tard, la balance du commerce extérieur hors énergie avait chuté de plus de 15 Mds€. Fin 2012, Nicolas Sarkozy laissera à son successeur un déficit pointant à -15,3 Mds€.

En septembre 2013 à Londres, Nicole Bricq, alors ministre du Commerce extérieur, annonçait qu’elle devait équilibrer la balance commerciale (hors énergie) de la France, d’ici la fin du quinquennat de François Hollande. Objectif : combler le trou créé sous Nicolas Sarkozy. Raté !

Le gouvernement socialiste a renouvelé la performance de ses prédécesseurs et doublé le déficit dans ce domaine avec -36,2 Mds€ en 2017. Un record ! Match nul entre les protagonistes des deux quinquennats dans tous les sens du terme.

Visuel HL110

Il y a près d’un an, j’accueillais Christophe Lecourtier, DG de Business France, et Arnaud Vaissié, président du réseau CCIFI, pour débattre avec nos conseillers consulaires de la stratégie gouvernementale en faveur de l’export des PME, présentée par Edouard Philippe. Le double objectif annoncé par le Premier ministre était de rationaliser le réseau d’appui à l’exportation, à travers la création d’un guichet unique, et aussi d’augmenter le nombre des entreprises exportatrices en visant le chiffre de 200.000 d’ici la fin du quinquennat.

Dans son communiqué, Jean-Baptiste Lemoyne déclare que « le nombre d’entreprises exportatrices est à son plus haut niveau depuis 2003. » Ce nombre est de 125.283 en 2018… soit seulement 206 de plus qu’en 2014.

Si les mesures techniques décidées en faveur de l’export par le gouvernement vont dans le bon sens, j’avais pointé, dès l’an dernier, l’absence de corrélation entre les mesures proposées et le nécessaire rétablissement de la balance commerciale à court terme.

Sans décisions fiscales et sociales fortes, nos entreprises persisteront à organiser leurs opérations internationales depuis des pays à l’environnement plus favorable, tandis que nos ministres continueront à commenter quelques statistiques flatteuses pour cacher la forêt du déficit. Découvrir l’HebdoLettre n°116

Cybersécurité – Ma communication au sujet de la cyberattaque de la plateforme Ariane

Le 13 décembre dernier, un communiqué de presse nous a appris que le site Ariane du ministère de l’Europe et des Affaires étrangères (MEAE) avait subi une cyberattaque (le 5 décembre 2018). Cela s’est traduit par un vol de données des personnes désignées comme « contacts à prévenir » par nos concitoyens qui voyagent à l’étranger.

Si les informations dérobées se restreignent au nom + téléphone + courriel, on parle tout de même de 540.563 personnes concernées ! Celles-ci ont été invitées par le MEAE à la vigilance contre tout risque d’usurpation d’identité ou d’hameçonnage.

Le jour même, j’ai demandé à Christian Cambon, Président de la commission des Affaires étrangères et de la Défense du Sénat, l’autorisation de lancer une mission pour analyser les failles qui avaient permis à cette attaque de prospérer.

Six jours seulement après la révélation de l’incident, soit le 19 décembre 2018, nous avons entamé avec mon collègue Rachel Mazuir (à l’image), une série d’auditions auprès des responsables de l’ANSSI (Agence nationale pour la sécurité des systèmes d’information), et de la Direction des Systèmes d’information du MEAE. Début 2019, nous avons entendu la CNIL (Commission nationale de l’informatique et des libertés), la DGSI (Direction générale de la sécurité intérieure), et la section spécialisée Cyber du parquet de Paris.

Nous avons fait, ce 6 février, une première communication au Sénat devant notre commission des Affaires étrangères et de la Défense.

M’exprimant sur le pilotage de la gestion de crise en cas de cyberattaque, j’ai mis en avant les fragilités existantes entre les différents ministères, tant dans la transmission que la communication externe des informations.

La nécessité de respecter les nouvelles règles liées au RGPD (Règlement Général sur la Protection des Données) entrées en application en mai 2018 et, l’absence de procédure coordonnée entre les différents protagonistes pour agir en cas d’incidents ont conduit à des enchainements malheureux.

Le but de la commission n’est pas de chercher des coupables, mais de faire un retour d’expérience.

Le MEAE est reconnu comme étant un des ministères les plus vigilants en matière de cybersécurité. Il serait injuste de chercher à l’accabler suite à cette attaque.

J’ai apprécié le professionnalisme de chacun des acteurs auditionnés. Ils ont été transparents sur leurs limites actuelles et ont tous exprimé leur ouverture pour travailler en concertation avec l’extérieur.

Nous voulons susciter une prise de conscience générale au niveau des ministères et des services du premier ministre pour que de nouvelles règles soient mises en place.

Nous allons poursuivre nos investigations qui nous permettront, le cas échéant, de produire un rapport dans le but d’améliorer l’efficacité de nos systèmes de sécurité numérique.

Lire la COMMUNICATION du 03/02/2019 (R. Mazuire et O. Cadic)

HEBDOLETTRE n°114 – ÉDITO : Ariane perd un fil – SÉCURITÉ : Discours au 12th Parliamentary Intelligence Security Forum – WORLDSKILLS 2023 : En route pour la candidature de Lyon (Caen, Sénat, Élysée, Ministère de l’Éducation) – Convention fiscale franco-MOLDAVE (question écrite) – Conseil d’administration de l’UFE-MONDE – CFE : la réforme votée par l’Assemblée nationale – L’ÉCHOS DES CIRCOS / Décembre 2018 – En circonscription en LITUANIE : Vilnius (30 nov – 02 déc. 2018) / MADAGASCAR : Antananarivo (Sécurité de nos compatriotes – 22-24 nov. 2018) / ÉTATS-UNIS : Washington (6-7 déc.2018) – Européennes : une liste UDI

Lire : l’HEBDOLETTRE n°114 – 24 déc. 2018Logo HebdoLettre bleu - Rond75

Edito de l’HebdoLettre n°114

Ariane perd un fil

Le 4 décembre dernier, je lançais un cri d’alarme depuis la tribune du Sénat : « Les administrations multiplient les programmes informatiques pour réaliser des économies, mais au détriment des investissements de cybersécurité. »

Le lendemain, le ministère de l’Europe et des Affaires étrangères (MEAE) se faisait dérober des données personnelles enregistrées par des Français voyageant à l’étranger sur sa plateforme Ariane, en l’occurrence les coordonnées des personnes à prévenir en cas d’urgence.

J’ai appris la nouvelle le 13 décembre, comme tout le monde, en lisant le communiqué de presse du MEAE. Pour le gouvernement, c’était la 3ème fuite de données de la semaine.

Sur injonction de la CNIL, le MEAE a dû envoyer un courriel aux 540.563 personnes concernées par la fuite pour les inciter à redoubler de vigilance dans les prochains mois face à des tentatives d’usurpation d’identité ou des campagnes de hameçonnage par SMS ou courriel.

Mais l’enfer est pavé de bonnes intentions. Comme les données personnelles des « contacts à prévenir en cas d’urgence » avaient été saisies dans Ariane par le voyageur, les victimes de la fuite n’ont généralement pas compris pourquoi ils recevaient ce courriel du MEAE. Joyeuse pagaille !

En qualité de rapporteur pour avis sur les crédits du programme 129 « Coordination du travail gouvernemental » (gestion de crises, cyberdéfense, renseignement), pour la commission des Affaires étrangères et de la Défense, j’ai donc naturellement voulu entendre les responsables de la sécurité informatique du MEAE et ceux de l’ANSSI, notre autorité nationale en matière de sécurité et de défense des systèmes d’information.

Ces auditions ont eu lieu au Sénat le 19 décembre, soit six jours après le communiqué de presse du MEAE. D’autres auditions suivront en janvier, et une communication sera ensuite présentée devant notre commission avec nos recommandations.

Visuel HL110

Nous avons appris le lendemain qu’en s’introduisant dans le système du gouvernement de la république de Chypre, des pirates ont eu accès aux mots de passe pour accéder à la base de données de l’Union européenne.

Une société de cybersécurité américaine avait révélé que le réseau diplomatique européen était piraté depuis trois ans selon des techniques utilisées par l’armée de Chine populaire. Les hackers auraient également infiltré les réseaux des Nations Unies et plusieurs ministères des Affaires étrangères et des Finances à travers le monde.

L’Union européenne a réagi en assurant que les communications classées « confidentielles » n’avaient pas été affectées.

Demain, au pied du sapin, des enfants vont ouvrir leurs cadeaux et découvrir parfois des poupées parlantes, des montres GPS, des petits robots intelligents, autant de jouets connectés fabriqués en Chine à bas coût qui posent de sérieux problèmes en matière de sécurité.

A titre d’exemple, dans le but de pirater un casino, des hackeurs se sont infiltrés par un thermomètre situé dans un aquarium et relié aux ordinateurs de la réception du casino.

Voilà pourquoi je souhaite que l’on associe à tout investissement en matière de programme informatique d’un ministère un « budget cybersécurité » adéquat pour le rendre durablement invulnérable. Découvrir l’HebdoLettre n°114