Accueil      En circonscription      Sénat      Revue de Presse          Parcours      Me Contacter      Mes 31 défis
    

Débat CyberCercle : « sécurité numérique, sécurité économique »

Le 11 juillet, à l’invitation de Bénédicte Pilliet, j’ai eu le plaisir d’intervenir dans le cadre du 80ème petit-déjeuner débat du Cybercercle sur le thème «Sécurité numérique – sécurité économique», aux côtés d’Alain Juillet, spécialiste des questions de cybersécurité et d’intelligence économique.

J’ai exprimé mes vives inquiétudes face au déploiement des équipements 5G fournis par Huawei à Monaco, aux portes du territoire français.

L’Union européenne doit prendre ses responsabilités et défendre sa souveraineté numérique, une démarche qui se heurte à une certaine dispersion de ses membres sur ce sujet pourtant crucial.

De plus, force est de constater que les États européens n’ont pas tous les mêmes capacités technologiques en matière de cybersécurité.

En écho aux recommandations formulées dans un rapport intitulé « Cyberattaque contre Ariane : une expérience qui doit nous servir » du 6 fév. 2019 (Lire), que j’ai coécrit avec mon collègue Rachel Mazuir, j’ai notamment appelé de mes vœux la publication d’un document périodique répertoriant et classant les actes de cybermalveillance les plus fréquemment commis vis à vis nos compatriotes et nos organisations.

Lire aussi :
Mes 3 cyber-priorités pour 2019 – PDJ CyberCercle (janvier 2019)
Soirée débat : cybersécurité, tous concernés – semaine AFE (octobre 2018)
Invité du CyberCercle au sujet de la revue stratégique de cyberdéfense (mars 2018)

Mes 3 cyber-priorités pour 2019

Petit-déjeuner en mode « dialogue libre », organisé par le Cybercercle qui réunit les entreprises soucieuses de partager leur expérience dans le domaine de la cybersécurité.

Sa présidente, Bénédicte Pilliet, avait invité quatre autres parlementaires : Eric Bothorel, député des Côtes d’Armor, Cyrille Isaac-Sibille, député du Rhône, Guillaume Gouffier-Cha, député du Val-de-Marne et Sereine Mauborgne, députée du Var.

Ce fut, l’opportunité d’exposer mes trois cyber-priorités pour 2019.

Ressources Humaines : La première est de contribuer à renforcer les filières de formation en matière de cybersécurité : la pénurie de ressources humaines qualifiées est préoccupante. Il faut relier nos établissements scolaires et nos instituts de formation aux besoins du marché. Pour stimuler les vocations, la France devrait même disposer d’un « champion de la cybersécurité ». J’ai donc proposé la mise en place d’un club de réflexion autour des métiers de la cybersécurité, afin notamment de faire émerger une équipe de France de la cybersécurité propre à concourir lors des Olympiades des Métiers (WorldSkills).

Organisation : Ma deuxième priorité vise à rendre notre cadre législatif plus souple, afin que nos administrations gagnent en agilité face à la multiplication des cyber-menaces. La lutte contre la cybercriminalité ne doit pas se départir du respect des libertés fondamentales, mais elle ne doit pas non plus proliférer du fait des pesanteurs administratives.

Budget dédié : Enfin, dernier point, j’aimerais la mise en œuvre du principe de précaution suivant : pour tout investissement en matière de logiciel, nos administrations doivent lier une somme équivalente à 5% de l’investissement pour l’affecter à la cyber-protection. Un principe qui me tient d’autant plus à cœur que je suis rapporteur des crédits du programme 129  » Coordination du travail gouvernemental  » (gestion de crises, cyberdéfense, renseignement) dans le projet de loi de finances.

Je me suis fait l’écho de nombreux participants pour dire, en conclusion, que la cybersécurité devait devenir l’affaire de tous. Un travail de sensibilisation est plus que jamais nécessaire pour protéger nos démocraties et nos valeurs contre des agresseurs extérieurs.

La démarche initiée par l’ANSSI à travers un dispositif national de prévention et d’assistance aux victimes d’actes de malveillance (www.cybermalveillance.gouv.fr)

Pour être plus réactifs, Israël a lancé un numéro unique d’appel pour toute personne ou entreprise affectée par un problème cyber. Cela doit nous inspirer.

Semaine AFE – Soirée débat : cybersécurité, tous concernés

Je remercie tous les élus consulaires qui m’ont fait le plaisir de leur présence, le 3 octobre dernier, à la soirée « Cybersécurité, tous concernés » qui leur était dédiée à l’occasion de la semaine de l’AFE.

Diner-débat au Procope, lieu même où les libertés publiques et individuelles ont été forgées par les philosophes des Lumières. Le combat demeure incessant pour préserver nos valeurs, seule la nature des menaces change.

Le lendemain même, la presse internationale titrait sur la cyberattaque russe déjouée par les services secrets hollandais et britanniques visant l’Organisation pour l’Interdiction des Armes chimiques (OIAC), basée à La Haye. Les espions s’étaient installés sur un parking dans un véhicule truffé d’électronique…

Hackers, groupes terroristes et états totalitaires ont aujourd’hui élu domicile dans l’espace numérique, où ils nous livrent une guerre continuelle et multiforme. Cette guerre hybride pourrait même conduire à la fin du numérique, à l’horizon 2020, prédisent gravement certains experts.

Dans les chartes informatiques des grandes entreprises, notamment dans le monde de la finance, les mesures sont désormais draconiennes : la clé USB est bannie et les salariés ont interdiction de se connecter aux réseaux sociaux, d’utiliser leur adresse personnelle ou même de lancer une requête (sauf sur des postes dédiés). Le but est de réduire la surface d’attaque, car les responsables informatiques admettent qu’ils n’y arrivent plus… voici l’état des lieux, résumé en quelques mots, qui nous a été rapporté par le représentant du ministère de l’Intérieur (*).

Pourquoi ne pas nommer un général pour la cyberdéfense qui s’exprimerait devant le Parlement au même titre que les chefs d’Etat-major des trois armes : terre, air, mer ?

Celui-ci nous a expliqué, de manière très pragmatique, à quel point nos outils nomades pouvaient être potentiellement des espions épatants ou des nids à virus.

J’ai alors demandé à l’assistance qui utilisait une application VPN (Virtual Private Network) sur son portable. Quelques mains éparses se sont levées. Pourtant, « c’est le b.a.-ba contre les requêtes malveillantes », a souligné notre expert, d’autant qu’il y a d’excellents fournisseurs français. Ceux-ci proposent également des solutions de partage et de travail collaboratif pour les organisations.

Grâce à l’intervention suivante de Christian Daviot, nous sommes passés de la pédagogie de terrain aux aspects géostratégiques de la cyberguerre. Le chargé de mission Stratégie à l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a commencé par fustiger les états qui étaient les plus grands prédateurs sur internet.

Cela étant, chaque état agit selon sa propre culture, ce qui détermine des comportements bien différents même si les Chinois, à l’instar des Russes, Coréens du nord et Iraniens, font partie du groupe des quatre suspects habituels en cas de cyberattaque, précise-t-il.

Christian Daviot, chargé de mission Stratégie à l’ANSSI : « Le paradoxe est que les états veulent bâtir leur croissance sur le numérique, mais qu’ils développent, en même temps, des armes sophistiquées qui risquent de tuer le numérique ».

Aux États-Unis, le Cloud Act (**) qui a pris effet sous le président Trump permet à l’administration d’accéder aux données de n’importe quel Américain dans le monde et à toutes les données stockées chez des hébergeurs américains, sans avoir à le notifier aux personnes concernées.

Quant à la France, nous sommes purement défensifs. Il s’agit de protéger nos systèmes d’information (les « Opérateurs d’importance vitale »), car nous sommes universalistes et prônons la paix dans le numérique…

Dans un monde sans foi, ni loi, les grandes entreprises estiment que l’on ne peut plus continuer de la sorte. « Nous sommes le champ de bataille », dit Microsoft, plaidant pour une sorte de convention de Genève du numérique. Mais il faudrait commencer par définir la notion de territoire numérique pour créer un cadre juridique. Une sacrée gageure !

Questions de l’assistance : Olivier Piton, conseiller consulaire États-Unis (Washington) et président de la commission des Lois de l’AFE (sur le vote électronique) / Roland Raad, conseiller consulaire Arabie Saoudite et président de l’UFE Al khobar (sur une éthique universelle) / Marie-José Caron, conseillère consulaire Danemark et élue AFE Europe du Nord (sur le champ d’action du secrétaire d’État chargé du Numérique).

Si les états voient d’un mauvais œil que le secteur privé se préoccupe de relations internationales, c’est pourtant la seule solution, soutient le responsable de l’ANSSI : il est temps de faire réfléchir collectivement les états, les ONG, le secteur privé et les citoyens… « mais nous n’en prenons pas le chemin ».

Au moment des échanges, la question du vote électronique a été soulevée. Les élus consulaires ont noté que « l’ANSSI ne peut pas techniquement garantir la sincérité du vote par internet, mais que la décision revient au politique ».

Nos deux brillants conférenciers ont montré à quel point nous vivons dans une insécurité chronique et combien le chemin sera long pour pacifier le cybermonde.

Les récentes prises de position de la Commission européenne prouvent pour le moins que l’on est conscient du danger et que seule une réponse au niveau de l’Union sera viable.

Mes remerciements à Bénédicte Pillet, présidente du CyberCercle, qui m’a aidé à construire cette soirée.

Je l’ai répété en qualité de rapporteur des crédits annuels de l’ANSSI (lire PLF), puis de rapporteur des crédits affectés à la cyberdéfense dans la loi de programmation militaire (lire LMP) : n’attendons pas de vivre un cyber 11 Septembre pour combattre ceux qui veulent miner les démocraties de l’intérieur.

Je suis d’accord avec le représentant du ministère de l’Intérieur pour laisser le mot de la fin à Confucius : « Celui dont le regard ne va pas loin verra les ennuis de près ».

(*) Nous ne sommes pas autorisés à publier son nom, ni son service.
(**) Clarifying Lawful Overseas Use of Data Act ou CLOUD Act.

L’invité du CyberCercle au sujet de la revue stratégique de cyberdéfense

En qualité de rapporteur des crédits du programme 129 « Coordination du travail gouvernemental » (gestion de crises, cyberdéfense, renseignement), je travaille sur les questions de cybersécurité, au nom de la commission Défense du Sénat, depuis octobre dernier (lire la dépêche).

J’avais pris la mesure d’un niveau de menace planétaire sans précédent. “Winter is coming”, a dit le patron de la direction nationale de la cyber-sécurité israélienne, fin janvier, lors du Cybertech 2018 devant un gratin mondial d’experts.

L’espionnage, les trafics illicites, la déstabilisation et le sabotage représentent les quatre types d’objectifs des attaquants informatiques, nous explique l’Anssi, Agence nationale de la sécurité des systèmes d’information, dans un document rendu public le 12 février dernier : la revue stratégique de cyberdéfense.

Cette revue est l’équivalent d’un livre blanc, premier du genre et décrit comme « un grand exercice de synthèse stratégique » visant à renforcer la sécurité numérique de nos citoyens et nos les institutions, sur la base de sept axes de travail (télécharger).

Ce document a été établi dans le cadre de la loi de programmation militaire (LPM) qui va prochainement mobiliser notre commission Défense. Au fait, pourquoi ne pas nommer un général pour la cyberdéfense qui vienne devant le Sénat au même titre que les chefs d’Etat-major des trois armes (air, terre, mer) ? Ce fut ma proposition pour donner le ton lors du petit déjeuner débat organisé par le CyberCercle, le 15 février dernier. Sa présidente, Bénédicte Pilliet, avait réuni autour de moi une trentaine de responsables de grandes entreprises et quelques hauts fonctionnaires, tous soucieux d’avoir le regard d’un parlementaire sur cette revue stratégique de cyberdéfense.

Je ne me considère pas comme un expert, ai-je prévenu d’emblée, en soulignant que ce terme était parfois galvaudé et profitait à ceux qui veulent imposer leur vision technocratique de la société, autrement dit en multipliant les obligations réglementaires. Je répète comme un mantra que les politiques doivent reprendre la main et ne pas laisser les experts des ministères à la manœuvre. Les Français de l’étranger ont tous en mémoire l’annulation du vote par internet en 2017… pour cause de « menaces » sur le scrutin. Cette défaite de notre système de défense numérique qui a préféré ne pas mener bataille ne doit pas se renouveler, a annoncé Emmanuel Macron devant l’Assemblée des Français de l’étranger, «sinon la France ne serait plus la France»!

Le 12 février, à la Station F, j’ai assisté à la présentation officielle de la revue stratégique de cyberdéfense par Louis Gautier, secrétaire général de la défense et de la sécurité nationale (SGDSN), en présence de Mounir Mahjoubi, secrétaire d’État chargé du numérique. Présentation suivie de trois tables rondes sur le rôle de l’État.

Reprendre la main pour les parlementaires revient aussi à ne pas sacraliser la revue stratégique, par ailleurs incomplète (quelle stratégie de contre-influence lorsque nos valeurs démocratiques sont attaquées ? quels moyens de lutte contre l’usurpation d’identité numérique de nos institutions de confiance ?…) et peu assurée : « Notre modèle manque encore d’une confirmation de ses principes de base, d’une description précise de sa gouvernance, d’une clarification de son organisation opérationnelle » (p.45)

Au moment des échanges avec la salle, je me suis senti sur la même longueur d’onde que tous ces responsables de sécurité, aux prises avec les normes franco-françaises, les certifications au long-cours ou la déferlante des produits connectés comme autant de chevaux de Troie.

J’ai ressenti un consensus lorsque j’ai avancé que la cybersécurité dans l’entreprise devait se concevoir dans le cadre de sa politique d’assurance-qualité et non en créant de nouvelles obligations réglementaires dédiées, comme le propose le secrétaire d’État chargé du numérique.

Préférer l’efficacité au formalisme apparaît logique et évident pour des entrepreneurs. La preuve que le lien entre les parlementaires et les entreprises doit se renforcer, sous peine de perdre le sens commun.

Crédit photo : Yann Magnan (Ausy group)