Accueil      En circonscription      Sénat      Bilan de mandat      Revue de Presse          Parcours      Contact     
    

Commission Spéciale Cybersécurité – Audition des Experts Cyber

Ce 23 janvier, avec mes collègues rapporteurs Michel Canévet, Patrick Chaize et Hugues Saury, nous avons entendu les représentants des organisations professionnelles de la cybersécurité :
– l’Alliance pour la confiance numérique, ACN, représenté par son président, M. Daniel Le Coguic, ainsi que M. Yoan Kassianides, Mme Elsa Auriol et M. Farid Lahlou
– le Clusif qui est l’association de la sécurité du numérique en France, représenté par M. Benjamin Leroux
– le CyberCercle, représenté par MM. Christian Daviot, Stéphane Meynet et François Coupez
– et CyberTaskForce, représenté par Sébastien Garnault, M. Philippe Luc et Mme Anne Elise Jolicart.

Comme je l’ai indiqué en conclusion : une transposition intelligente doit être faite par les professionnels pour les professionnels.

J’ai invité ces représentants à nous faire parvenir leurs réflexions par écrit et leurs suggestions d’amendement dans le cadre d’un processus collaboratif, car ils seront en charge d’aider les entreprises à pouvoir répondre aux obligations de NIS2.

Je les remercie pour la qualité et la pertinence de leurs analyses.

Voir l’intégralité de l’audition sur le site du Sénat.

VERBATIM de mon intervention

INTRODUCTION

Mes chers collègues,
Mesdames, Messieurs,

Nous poursuivons ce matin notre cycle d’auditions publiques consacrées au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.

Je rappelle que notre commission spéciale s’est constituée le 12 novembre dernier pour examiner ce texte qui vise la transposition de 3 directives différentes :
> la directive sur la résilience des entités critiques, dite « REC »
> la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 »
> et la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ».

Après avoir entendu en décembre dernier le Mouvement des entreprises de France (Medef), la Confédération des PME (CPME) et M. Vincent Strubel, directeur général de l’ANSSI, nous accueillons aujourd’hui des organisations professionnelles de la cybersécurité :
– l’Alliance pour la confiance numérique, ACN, représenté par son président, M. Daniel Le Coguic, ainsi que M. Yoan Kassianides, Mme Elsa Auriol et M. Farid Lahlou
– le Clusif qui est l’association de la sécurité du numérique en France, représenté par M. Benjamin Leroux
– le CyberCercle, représenté par MM. Christian Daviot, Stéphane Meynet et François Coupez
– et CyberTaskForce, représenté par Sébastien Garnault, M. Philippe Luc et Mme Anne Elise Jolicart.

Je vous remercie d’avoir répondu à notre invitation pour partager votre point de vue sur le projet de loi et l’impact de cette transposition pour les entreprises. Nous serons en particulier intéressés par les dispositions du texte qui vous posent problème et vos éventuelles propositions d’amendement.

Nous pourrons ainsi relayer vos préoccupations à la ministre chargée de l’Intelligence artificielle et du Numérique, Mme Clara Chappaz, que nous entendons lundi 27 janvier prochain.

Avant de vous céder la parole, je rappelle à tous que cette audition fait l’objet d’une captation vidéo qui est retransmise sur le site internet du Sénat, puis consultable en vidéo à la demande.

Je vous propose pour ouvrir cette table ronde que chaque organisation nous présente ses positions sur le texte pour une durée de 10 minutes au maximum, puis je donnerai la parole à chacun des rapporteurs, MM. Michel Canévet pour la commission des Finances, Patrick Chaize pour la commission des Affaires économiques et Hugues Saury pour la commission des Affaires étrangères et de la Défense, puis à ceux de nos collègues qui le souhaitent pour poser leurs questions.

Nous sommes donc ensemble jusqu’à 11h et je vous propose de commencer par l’ordre alphabétique, mais avant toute chose, je voulais dire que vous représentez l’écosystème que vous m’apportez beaucoup en tant que rapporteur du programme 129. Jusqu’à présent on auditionnait surtout nos administrations, c’est votre regard qui représente les entreprises et l’écosystème qui nous a permis de travailler un peu différemment.

Vos propos sont importants, attendus et n’hésitez pas aussi à nous donner votre point de vue éventuel sur la question budgétaire, puisque qui dit NIS2 dit que l’ANSSI doit évoluer

CONCLUSION

Merci beaucoup pour toutes ces informations, je pense que je vais finir avec le premier élément qui avait été annoncé par M. Le Coguic : être ensemble, collaborer.

Je me demande… si nous avions tous été ensemble et si nous avions tous collaboré… si les CSIRT régionaux (*) existeraient aujourd’hui et si l’argent qui a été mis pour ces CSIRT aurait été dépensé ?

Pour ceux qui pensent que la solution c’est « plus de budget », je rappelle cette phrase : travaillons tous ensemble avant de commencer à dépenser l’argent. Posons-nous la question : quel est l’objectif à atteindre ?

Parce que c’est tellement pratique, c’est tellement confortable de se dire qu’en mettant plus d’argent on va régler le problème. Malheureusement, ce n’est pas le cas.

Chers collègues, je vous rappelle que nous entendrons lundi 27 janvier 2025 à 15 heures Mme Clara Chappaz, ministre déléguée chargée de l’Intelligence artificielle et du Numérique. Cet horaire coïncide avec le début de la discussion de la proposition de loi visant à lever les contraintes à l’exercice du métier d’agriculteur. J’espère qu’ils ne nous en voudront pas, mais c’était la seule date possible pour la ministre.

Nous aurons aussi, je vous l’annonce, le 4 février et cela viendra en complément de vos réponses, une table ronde avec les représentants d’organisations d’élus représentatifs : l’AMF, les régions, les départements de France.

Sous réserve de l’approbation de la Conférence des présidents, la semaine prochaine, le texte pourrait être discuté dans l’hémicycle le mardi 11 mars.

En conclusion, je l’avais dit, je souhaite une transposition de NIS2 intelligente. Pour être intelligente, elle doit être faite par les professionnels pour les professionnels.

Je vous invite à nous faire parvenir tous vos éléments par écrit et aussi vos suggestions d’amendement qui seront partagés entre tous les rapporteurs.

C’est peut-être quelque chose qui ne s’est jamais fait : chaque fois que vous nous enverrez des suggestions d’amendements, elles seront anonymisées et partagées pour vous permettre éventuellement de rebondir, afin qu’ils soient conçus de façon collective.

On ne peut pas, on ne peut plus travailler sur de tels sujets, sans consulter et sans associer ceux qui vont être dans l’application du texte. C’est une nouvelle démarche, transparente, parce que c’est vous qui serez en charge d’aider les entreprises à pouvoir répondre à NIS2. Je veux que cela soit un travail interactif dans cet esprit.

Je vous remercie. Votre apport était essentiel à cette préparation. Merci encore et merci à mes collègues.

(*) Computer Security Incident Response Team ou CSIRT

HEBDOLETTRE n°109 – ÉDITO : La menace (cybersécurité) – Semaine AFE : Soirée débat ‘cybersécurité, tous concernés’ / Audition Brexit / Commémoration de la Grande Guerre – GS Mag : Entretien sur la cybersécurité – PLF2019 : Ma question au secrétaire général du MEAE + sa réponse – Forum monde des CCE : 120ème anniversaire – Adoption d’un accord international contre le TRAFIC D’ARMES – L’écho des CIRCOS de Sept 2018 – En circonscription en MOLDAVIE : Chisinau (24-25 septembre 2018) / ROUMANIE : Bucarest (25-26 septembre 2018) / HONGRIE : Budapest (27-28 septembre 2018)

Lire : l’HEBDOLETTRE n°109 – 16 oct. 2018Logo HebdoLettre bleu - Rond75

Edito de l’HebdoLettre n°109

La menace

Lors de la semaine de l’AFE, j’ai eu le plaisir de réunir de nombreux élus autour de ce thème : la cybersécurité, tous concernés. Effectivement, le simple fait de posséder un smartphone non protégé (sans VPN, par exemple) est aussi prudent que de laisser portes et fenêtres ouvertes en quittant votre domicile. Rien de plus terrifiant pour un administrateur réseau qu’une simple clé USB qui peut être piégée. L’inventivité des hackers est sans limite. C’est en résumé le message déroutant et alarmant que nos deux brillants intervenants, venus du ministère de l’Intérieur et de l’Anssi, nous ont délivré ce soir-là.

Si on en veut au portefeuille des particuliers, au fichier-clients et aux brevets des organisations, on monte encore d’un cran lorsqu’il s’agit des états puisque les enjeux deviennent géostratégiques. Les pires prédateurs sur internet sont logiquement les états.

Dans le dernier numéro de Global Security Mag (lire), j’ai souhaité que les pays de l’UE nomment, s’ils le peuvent, les pirates dont ils sont la cible. Jusqu’à présent, l’information se partageait entre initiés et les éventuelles remontrances diplomatiques ne sortaient pas des salons feutrés des ambassades.

Le 4 octobre dernier, , on a appris que des espions des services secrets russes (GRU) s’étaient installés sur un parking dans un véhicule truffé d’électronique pour pénétrer le réseau de l’Organisation pour l’Interdiction des Armes chimiques (OIAC), basée à La Haye. Lorsque les services secrets hollandais et britanniques ont déjoué la cyberattaque russe, les autorités des Pays-Bas ont fait le choix de nommer publiquement leur agresseur. Ce n’est pas une pratique usuelle de la part de nos démocraties européennes. Ce changement de ton préfigure-t-il un changement de comportement vis à vis des états malveillants dûment identifiés ?

Visuel HL101

Je me suis réjoui de ce tournant, peut-être historique, lors de mon intervention à la conférence Hackit à Kiev la semaine dernière. Lorsqu’on dit que les régimes autoritaires, à l’instar de la Russie, font la guerre aux démocraties, ce n’est pas parce qu’ils espionnent, mais parce qu’ils visent à saper les fondements de nos sociétés et nous faire douter de nos valeurs en surutilisant les moyens existants de la lutte informationnelle.

Par le dénigrement et la désinformation, ils font pousser les partis nationalistes comme des champignons dans toute l’Union, incarnés par des leaders qui ne s’embarrassent pas de l’État de droit, comme on l’observe quand ils prennent le pouvoir.

Dans les prochains jours je rendrai visite à l’Anssi, Agence nationale de la sécurité des systèmes d’information et au commandement Cyber. Au Sénat, nous recevrons le directeur du centre d’excellence pour la communication stratégique Stratcom de l’Otan.

A la veille d’échéances électorales cruciales pour l’UE, il nous revient de tout mettre en œuvre pour protéger la démocratie et sensibiliser l’électeur sur une menace qui se fait de plus en plus pesante. Découvrir l’HebdoLettre n°109


 

Semaine AFE – Soirée débat : cybersécurité, tous concernés

Je remercie tous les élus consulaires qui m’ont fait le plaisir de leur présence, le 3 octobre dernier, à la soirée “Cybersécurité, tous concernés” qui leur était dédiée à l’occasion de la semaine de l’AFE.

Diner-débat au Procope, lieu même où les libertés publiques et individuelles ont été forgées par les philosophes des Lumières. Le combat demeure incessant pour préserver nos valeurs, seule la nature des menaces change.

Le lendemain même, la presse internationale titrait sur la cyberattaque russe déjouée par les services secrets hollandais et britanniques visant l’Organisation pour l’Interdiction des Armes chimiques (OIAC), basée à La Haye. Les espions s’étaient installés sur un parking dans un véhicule truffé d’électronique…

Hackers, groupes terroristes et états totalitaires ont aujourd’hui élu domicile dans l’espace numérique, où ils nous livrent une guerre continuelle et multiforme. Cette guerre hybride pourrait même conduire à la fin du numérique, à l’horizon 2020, prédisent gravement certains experts.

Dans les chartes informatiques des grandes entreprises, notamment dans le monde de la finance, les mesures sont désormais draconiennes : la clé USB est bannie et les salariés ont interdiction de se connecter aux réseaux sociaux, d’utiliser leur adresse personnelle ou même de lancer une requête (sauf sur des postes dédiés). Le but est de réduire la surface d’attaque, car les responsables informatiques admettent qu’ils n’y arrivent plus… voici l’état des lieux, résumé en quelques mots, qui nous a été rapporté par le représentant du ministère de l’Intérieur (*).

Pourquoi ne pas nommer un général pour la cyberdéfense qui s’exprimerait devant le Parlement au même titre que les chefs d’Etat-major des trois armes : terre, air, mer ?

Celui-ci nous a expliqué, de manière très pragmatique, à quel point nos outils nomades pouvaient être potentiellement des espions épatants ou des nids à virus.

J’ai alors demandé à l’assistance qui utilisait une application VPN (Virtual Private Network) sur son portable. Quelques mains éparses se sont levées. Pourtant, “c’est le b.a.-ba contre les requêtes malveillantes”, a souligné notre expert, d’autant qu’il y a d’excellents fournisseurs français. Ceux-ci proposent également des solutions de partage et de travail collaboratif pour les organisations.

Grâce à l’intervention suivante de Christian Daviot, nous sommes passés de la pédagogie de terrain aux aspects géostratégiques de la cyberguerre. Le chargé de mission Stratégie à l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a commencé par fustiger les états qui étaient les plus grands prédateurs sur internet.

Cela étant, chaque état agit selon sa propre culture, ce qui détermine des comportements bien différents même si les Chinois, à l’instar des Russes, Coréens du nord et Iraniens, font partie du groupe des quatre suspects habituels en cas de cyberattaque, précise-t-il.

Christian Daviot, chargé de mission Stratégie à l’ANSSI : “Le paradoxe est que les états veulent bâtir leur croissance sur le numérique, mais qu’ils développent, en même temps, des armes sophistiquées qui risquent de tuer le numérique”.

Aux États-Unis, le Cloud Act (**) qui a pris effet sous le président Trump permet à l’administration d’accéder aux données de n’importe quel Américain dans le monde et à toutes les données stockées chez des hébergeurs américains, sans avoir à le notifier aux personnes concernées.

Quant à la France, nous sommes purement défensifs. Il s’agit de protéger nos systèmes d’information (les “Opérateurs d’importance vitale”), car nous sommes universalistes et prônons la paix dans le numérique…

Dans un monde sans foi, ni loi, les grandes entreprises estiment que l’on ne peut plus continuer de la sorte. “Nous sommes le champ de bataille”, dit Microsoft, plaidant pour une sorte de convention de Genève du numérique. Mais il faudrait commencer par définir la notion de territoire numérique pour créer un cadre juridique. Une sacrée gageure !

Questions de l’assistance : Olivier Piton, conseiller consulaire États-Unis (Washington) et président de la commission des Lois de l’AFE (sur le vote électronique) / Roland Raad, conseiller consulaire Arabie Saoudite et président de l’UFE Al khobar (sur une éthique universelle) / Marie-José Caron, conseillère consulaire Danemark et élue AFE Europe du Nord (sur le champ d’action du secrétaire d’État chargé du Numérique).

Si les états voient d’un mauvais œil que le secteur privé se préoccupe de relations internationales, c’est pourtant la seule solution, soutient le responsable de l’ANSSI : il est temps de faire réfléchir collectivement les états, les ONG, le secteur privé et les citoyens… “mais nous n’en prenons pas le chemin”.

Au moment des échanges, la question du vote électronique a été soulevée. Les élus consulaires ont noté que “l’ANSSI ne peut pas techniquement garantir la sincérité du vote par internet, mais que la décision revient au politique”.

Nos deux brillants conférenciers ont montré à quel point nous vivons dans une insécurité chronique et combien le chemin sera long pour pacifier le cybermonde.

Les récentes prises de position de la Commission européenne prouvent pour le moins que l’on est conscient du danger et que seule une réponse au niveau de l’Union sera viable.

Mes remerciements à Bénédicte Pillet, présidente du CyberCercle, qui m’a aidé à construire cette soirée.

Je l’ai répété en qualité de rapporteur des crédits annuels de l’ANSSI (lire PLF), puis de rapporteur des crédits affectés à la cyberdéfense dans la loi de programmation militaire (lire LMP) : n’attendons pas de vivre un cyber 11 Septembre pour combattre ceux qui veulent miner les démocraties de l’intérieur.

Je suis d’accord avec le représentant du ministère de l’Intérieur pour laisser le mot de la fin à Confucius : “Celui dont le regard ne va pas loin verra les ennuis de près”.

(*) Nous ne sommes pas autorisés à publier son nom, ni son service.
(**) Clarifying Lawful Overseas Use of Data Act ou CLOUD Act.