À l’occasion de la parution de l’ouvrage « Soldat de la cyberguerre » (Éditions Tallandier), nous avons invité ses deux auteurs, le vice-amiral d’escadre (2S) Arnaud Coustillière, et Aude Leroy, pour un échange autour de la génèse de la cyberdéfense française et sa montée en puissance, puisque l’ouvrage porte sur la période 2002-2020

Dans ce précieux témoignage, Arnaud Coustillière raconte la construction à marche forcée de notre « capacité de combat dans l’espace numérique », sur un plan offensif, défensif et dans la contre-propagande. « Tous les conflits ont désormais un volet cyber », a-t-il rappelé en expliquant l’intégration du cyber aux opérations militaires tactiques, notamment pour leurrer l’adversaire, faisant référence à notre confrontation avec Daech.

Lorsque les questions se sont orientées vers le domaine civil, Arnaud Coustillière a pointé que « le cybercrime s’est structuré de façon effrayante », avec la complicité évidente de certains états. L’occasion pour l’amiral de se montrer scandalisé par l’impunité dont semblent assurés les patrons des deux opérateurs de complémentaires santé (*) victimes d’une cyberattaque, le mois dernier. 33 millions de données de santé volées, « c’est le mépris du citoyen qui confie ses données à l’état ». Ce genre de négligence devrait « relever du pénal », estime-t-il.

Le rôle des parlementaires est venu dans la conversation, d’autant que leur discours rejoint souvent celui des militaires en termes de souveraineté numérique.

Et pourtant, face à l’immensité des enjeux, j’ai évoqué la vision partagée par Nate Fick, ambassadeur itinérant en charge du cyberespace, rencontré le mois dernier à Washington.

Le Département d’État américain (équivalent de notre ministère des Affaires étrangères) met en œuvre une stratégie, définie par la Maison Blanche, fondée sur la coopération internationale en matière de cybersécurité.

En effet, Nate Fick reconnaît le rôle central du secteur privé pour partager la charge de la cyberdéfense et prône donc une cyber solidarité plutôt qu’une cyber souveraineté.

Cela fait longtemps que j’explique qu’aucun état n’a la taille critique pour se confronter seul aux attaques cyber. Pas même les États-Unis d’Amérique. Aussi, je fais mienne cette idée de solidarité numérique venant d’un pays qui partage les mêmes valeurs que nous défendons.

Sommaire :

ÉDITO
. Pauline Carmona, directrice des FDE, accélère le déploiement de France Consulaire

EN CIRCONSCRIPTION
> ÉTATS-UNIS – Washington (11-13 oct. 2023)
. Forum des CCEF : Tous ensemble pour faire gagner la France !
. Accueilli par Laurent Bili, ambassadeur de France aux Etats-Unis et Caroline Monvoisin, consule générale à Washington
. Rencontre avec les conseillers des Français de l’étranger Olivier Piton et Blandine Chantepie (Washington), Gérard Epelbaum (New York) et Dominique Lemoine (Atlanta)

FRANÇAIS DE L’ÉTRANGER
. Protection de nos emprises diplomatiques
. CNED réglementé
. Cadre réglementaire de la commission nationale consultative du STAFE (décret pour 2024)

AU SÉNAT
. Projet de loi pour contrôler l’immigration, améliorer l’intégration : POURQUOI NOUS NOUS ABSTENONS – Communiqué publié par les sénateurs Olivia Richard & Olivier Cadic

CYBERSÉCURITÉ
. Cyber – Les 4 défis de la cybersécurité française en 2024
. Débat CyberCercle – Stratégie nationale pour la cybersécurité
. Journée Cyber à Lyon
. Stratégie dans le traitement de la menace cyber

MÉDIAS
. « Pour les nouveaux arrivants, tout a changé ! » (Inspir’ / Medef Paris : HS Royaume-Uni – Nov. 2023)
. « Situation au Proche-Orient et bilan de la visite d’E. Macron » (Public Sénat – 26 oct. 2023) 
. « Israël-Hamas, plan anti-émeute, déserts médicaux » (Public Sénat – 27/10/2023)
. Olivia Richard : « Je travaille depuis 22 ans pour les Français de l’étranger » (LePetitJournal – 06/11/2023)

Ce fut l’occasion pour les participants d’échanger sur divers projets et actions en cours : le 17Cyber, le filtre anti-arnaque, le label Expert Cyber ou encore la complémentarité des dispositifs dans les territoires.

Début janvier 2022, le président de la République avait annoncé la création d’un nouveau dispositif d’assistance 24h/24 destiné à chaque citoyen, administration ou entreprise face aux actes de cyber-malveillance. Il est déjà surnommé le « 17 cyber » en référence au numéro de police-secours.

Le « 17Cyber va devenir une marque grand public ! », se réjouit Jérôme Notin. Je partage son enthousiasme pour cette plateforme de référence qui permettra aux victimes d’actes de cybermalveillance d’être informés des premiers gestes de secours face à une cyberattaque et d’avoir un parcours de dépôt de plainte facilité, en étant mis en contact avec des policiers ou des gendarmes. Concrètement, une aide pour les particuliers qui seront victimes d’hameçonnage, de cyber-chantage ou bien de piratage de compte et les professionnels qui font surtout face aux rançongiciels.

Nécessité faisant loi, rappelons que la plateforme Cybermalveillance.gouv.fr a vu passer 2,5 millions de visiteurs en 2021…

Le 17Cyber est un module d’assistance qui répondra au pari d’un guichet unique que je prône depuis janvier 2019 (lire le billet Mes 3 cyber-priorités pour 2019). J’ai toujours pris pour référence le Centre de crise et de soutien qu’on l’on appelle « naturellement » en cas de catastrophe. De plus, je trouve rassurant que le ministre de l’Intérieur veuille piloter ce projet.

Autre étape : l’État porte actuellement le filtre anti-arnaque. Capter et qualifier la menace (fausse amende, hameçonnage en tout genre…) doit se doubler d’un courage politique pour imposer des pratiques d’assainissement aux fournisseurs de l’internet, tel Google.

Par ailleurs, le directeur a souligné le succès du label ExpertCyber qui certifie les compétences en cybersécurité. Cette norme de référence distingue déjà des dizaines d’entreprises de services de cybersécurité de toutes tailles, sur l’ensemble du territoire national.

Enfin, véritable un serpent de mer, la question de l’harmonisation des réponses au niveau des territoires se pose toujours. On constate que chaque région a ses propres protocoles et ses ressources en matière de cybersécurité, que les CSIRT se mettent en place avec des organisations et des schémas différents par région, que l’État, à travers ses différents ministères et agences, met en place de nombreux dispositifs d’aide pour les territoires. Ce qui en soi montre que le sujet de la cybersécurité est aujourd’hui un sujet majeur, pris en compte par les instances publiques. Néanmoins, face à ce foisonnement, il serait utile d’être plus clair sur la complémentarité des dispositifs et d’en renforcer la visibilité, et, tout le moins, de disposer de lignes directrices claires pour savoir qui les victimes doivent contacter et comment traiter leurs requêtes.

Comme d’habitude, cette matinale du CyberCercle, présidé par Bénédicte Pilliet, fut très riche d’échanges, de retours d’expérience et de propositions.

– – –

Lire aussi : Pour une coordination de la cyberdéfense plus offensive dans la loi de programmation militaire 2024-2030, rapport d’information des sénateurs Olivier Cadic et Mickaël Vallet, au nom de la Commission des Affaires étrangères, de la Défense et des Forces armées du Sénat

Ce fut l’occasion d’avoir un échange privilégié dans le cadre de la rédaction du rapport d’informations sur la coordination du travail gouvernemental (cyberdéfense – SGDSN).

Une cinquantaine d’experts ont partagé leur expérience et leur regard pour enrichir notre rapport budgétaire.

Edito de l’InfoLettre n°136

L’esprit d’équipe

Nous avons étudié collectivement la mise en application de mes deux propositions avec Renaud Bentegeat, président du réseau CCI Françaises à l’International (CCIFI) lors d’un webinaire en compagnie de son directeur Charles Maridor, et des responsables de chambres de commerce d’Europe, d’Asie, d’Afrique ou du Moyen-Orient.

Première idée : puisque l’AFD offre aux institutions financières locales (en Asie, Afrique, Amérique) un partage de risque (dispositif Ariz) pour les emprunts des TPE/PME locales, je propose d’en réserver une partie aux entrepreneurs français. Les représentants des CCIFI et des CCEF veilleraient à cette affectation au sein des comités de prêts.

Seconde proposition : créer un fonds de soutien en France (en puisant dans le fonds Covid et en l’abondant par des institutions privées) administré par la CCIFI et les CCEF. Ce fonds pourrait être garant d’emprunts réalisés par des entreprises françaises à l’international, également sur la base d’une gestion des dossiers par les structures locales des CCIFI et des CCEF. Il renforcerait le tissu de nos entreprises implantées à l’international.

Véritable colonne vertébrale de notre dispositif économique à l’export, le réseau CCIFI a l’habitude de compter sur ses propres forces, en vendant des services et en organisant des événements, puisqu’il ne bénéficie d’aucun financement public. On observe que nos pays voisins accordent, eux, des aides directes et généreuses à leur propre réseau de chambres. Elles sont, par exemple, le bras armé des Landers allemands pour faire rayonner l’industrie germanique sur la planète.

Si nos chambres et leurs membres ne coûtent rien au contribuable, à l’inverse, l’État les sollicite de plus en plus au travers de mécénat pour permettre à la France de tenir son rang à l’international (voir mon édito du 29 juillet 2019).

Aujourd’hui, ce business-model fondé exclusivement sur l’initiative privée conduit certaines de nos chambres à réduire leur budget de fonctionnement d’un bon tiers, pour l’instant. Les plus fragiles d’entre-elles pourraient voir leur activité suspendue.

C’est en combinant l’image positive d’Emmanuel Macron à l’international et des moyens publics (crédits d’impôts, subventions…) bien ajustés aux attentes des entreprises étrangères privées que Pascal Cagni et Christophe Lecourtier, respectivement président et directeur de Business France, ont obtenu l’excellent résultat du dispositif “Choose France”. La France est ainsi devenue le premier pays européen d’accueil des investissements étrangers en 2019.

Les conséquences de la crise sanitaire justifient aujourd’hui d’apporter un soutien ponctuel de 3M€ à la structure centrale du réseau CCIFI à Paris. Cela lui permettrait de consolider son réseau mondial de chambres de commerce et de sortir de la crise en capacité de favoriser la reprise de nouvelles parts de marché, dont nous aurons besoin pour relancer notre économie.

Le geste attendu peut paraître bien modeste comparé aux sommes investies dans le plan d’urgence de 220M€ annoncé par le MEAE pour l’action sociale et l’enseignement français à l’étranger.

Lancé début 2018 et salué par tous, le dispositif Team France Export vise à rassembler nos forces pour aider nos PME à vendre ou s’implanter hors frontières.

Aux yeux des nombreux présidents et administrateurs bénévoles qui animent ce réseau des CCIFI, il serait réconfortant de ne pas avoir une relation de partenariat où les efforts seraient à sens unique.

Aucune “team” n’existe sans esprit d’équipe. La prochaine loi de finances rectificative doit être l’opportunité de le démontrer. Découvrir l’InfoLettre n°136

J’ai aussi été sensible à la présence et aux contributions de mes collègues députés : Eric Bothorel (Côte d’Armor) et Sereine Mauborgne (Var).

En cette période compliquée où toute l’économie française a dû basculer, du jour au lendemain, vers le télétravail, les formes numériques d’espionnage, de chantage ou d’escroquerie ont proliféré, cela va s’en dire.

Les citoyens, les PME ou les collectivités n’ont parfois pas conscience des risques qu’ils prennent.

C’est pourquoi mon rapport préconise des campagnes de sensibilisation, à grande échelle, pour diffuser les “gestes barrières numériques”. Une démarche qui a abouti à un premier succès pour le site Cybermalveillance.gouv.fr, avec la programmation de 4 spots thématiques sur France Télévisions.

Dans le prolongement de cette communication, il me semble essentiel d’unifier la chaîne de recueil et de traitement des plaintes en ligne. Notre problématique consiste à gérer une multitude de petits délits mais à grande échelle, comme on l’a observé avec l’attaque de la plate-forme Ariane.

J’ai également partagé le souhait d’initier une communication régulière d’un top 10 des cyber-crimes constatés sur le territoire. Ce à quoi, un participant m’a suggéré que l’on crée également un top 10 des territoires étrangers, sources de cas de cybermalveillance, pour les inciter à une meilleure coopération.

En termes de politiques publiques de sécurité, j’ai indiqué que le plan santé constituait une opportunité d’investir dans la sécurité informatique des acteurs de la santé afin de compenser un sous-investissement chronique du ministère de la Santé dans ce domaine.

S’il faut se défier des hackers, on se contente trop de simples protestations, sans grand effet, vis-à-vis de certaines puissances étrangères qui propagent sciemment des fake-news destinées à saper les fondements de nos démocraties, comme observées sur le site de l’ambassade de Chine en France.

Je prône donc la création d’une CyberForce pour lutter de manière offensive contre les campagnes de désinformation ou d’influence de la part des puissances étrangères.

J’ai exprimé mes vives inquiétudes face au déploiement des équipements 5G fournis par Huawei à Monaco, aux portes du territoire français.

L’Union européenne doit prendre ses responsabilités et défendre sa souveraineté numérique, une démarche qui se heurte à une certaine dispersion de ses membres sur ce sujet pourtant crucial.

De plus, force est de constater que les États européens n’ont pas tous les mêmes capacités technologiques en matière de cybersécurité.

En écho aux recommandations formulées dans un rapport intitulé « Cyberattaque contre Ariane : une expérience qui doit nous servir » du 6 fév. 2019 (Lire), que j’ai coécrit avec mon collègue Rachel Mazuir, j’ai notamment appelé de mes vœux la publication d’un document périodique répertoriant et classant les actes de cybermalveillance les plus fréquemment commis vis à vis nos compatriotes et nos organisations.

Sa présidente, Bénédicte Pilliet, avait invité quatre autres parlementaires : Eric Bothorel, député des Côtes d’Armor, Cyrille Isaac-Sibille, député du Rhône, Guillaume Gouffier-Cha, député du Val-de-Marne et Sereine Mauborgne, députée du Var.

Ce fut, l’opportunité d’exposer mes trois cyber-priorités pour 2019.

Ressources Humaines : La première est de contribuer à renforcer les filières de formation en matière de cybersécurité : la pénurie de ressources humaines qualifiées est préoccupante. Il faut relier nos établissements scolaires et nos instituts de formation aux besoins du marché. Pour stimuler les vocations, la France devrait même disposer d’un “champion de la cybersécurité”. J’ai donc proposé la mise en place d’un club de réflexion autour des métiers de la cybersécurité, afin notamment de faire émerger une équipe de France de la cybersécurité propre à concourir lors des Olympiades des Métiers (WorldSkills).

Organisation : Ma deuxième priorité vise à rendre notre cadre législatif plus souple, afin que nos administrations gagnent en agilité face à la multiplication des cyber-menaces. La lutte contre la cybercriminalité ne doit pas se départir du respect des libertés fondamentales, mais elle ne doit pas non plus proliférer du fait des pesanteurs administratives.

Budget dédié : Enfin, dernier point, j’aimerais la mise en œuvre du principe de précaution suivant : pour tout investissement en matière de logiciel, nos administrations doivent lier une somme équivalente à 5% de l’investissement pour l’affecter à la cyber-protection. Un principe qui me tient d’autant plus à cœur que je suis rapporteur des crédits du programme 129 ” Coordination du travail gouvernemental ” (gestion de crises, cyberdéfense, renseignement) dans le projet de loi de finances.

Je me suis fait l’écho de nombreux participants pour dire, en conclusion, que la cybersécurité devait devenir l’affaire de tous. Un travail de sensibilisation est plus que jamais nécessaire pour protéger nos démocraties et nos valeurs contre des agresseurs extérieurs.

La démarche initiée par l’ANSSI à travers un dispositif national de prévention et d’assistance aux victimes d’actes de malveillance (www.cybermalveillance.gouv.fr)

Diner-débat au Procope, lieu même où les libertés publiques et individuelles ont été forgées par les philosophes des Lumières. Le combat demeure incessant pour préserver nos valeurs, seule la nature des menaces change.

Le lendemain même, la presse internationale titrait sur la cyberattaque russe déjouée par les services secrets hollandais et britanniques visant l’Organisation pour l’Interdiction des Armes chimiques (OIAC), basée à La Haye. Les espions s’étaient installés sur un parking dans un véhicule truffé d’électronique…

Hackers, groupes terroristes et états totalitaires ont aujourd’hui élu domicile dans l’espace numérique, où ils nous livrent une guerre continuelle et multiforme. Cette guerre hybride pourrait même conduire à la fin du numérique, à l’horizon 2020, prédisent gravement certains experts.

Dans les chartes informatiques des grandes entreprises, notamment dans le monde de la finance, les mesures sont désormais draconiennes : la clé USB est bannie et les salariés ont interdiction de se connecter aux réseaux sociaux, d’utiliser leur adresse personnelle ou même de lancer une requête (sauf sur des postes dédiés). Le but est de réduire la surface d’attaque, car les responsables informatiques admettent qu’ils n’y arrivent plus… voici l’état des lieux, résumé en quelques mots, qui nous a été rapporté par le représentant du ministère de l’Intérieur (*).

Pourquoi ne pas nommer un général pour la cyberdéfense qui s’exprimerait devant le Parlement au même titre que les chefs d’Etat-major des trois armes : terre, air, mer ?

Celui-ci nous a expliqué, de manière très pragmatique, à quel point nos outils nomades pouvaient être potentiellement des espions épatants ou des nids à virus.

J’ai alors demandé à l’assistance qui utilisait une application VPN (Virtual Private Network) sur son portable. Quelques mains éparses se sont levées. Pourtant, “c’est le b.a.-ba contre les requêtes malveillantes”, a souligné notre expert, d’autant qu’il y a d’excellents fournisseurs français. Ceux-ci proposent également des solutions de partage et de travail collaboratif pour les organisations.

Grâce à l’intervention suivante de Christian Daviot, nous sommes passés de la pédagogie de terrain aux aspects géostratégiques de la cyberguerre. Le chargé de mission Stratégie à l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a commencé par fustiger les états qui étaient les plus grands prédateurs sur internet.

Cela étant, chaque état agit selon sa propre culture, ce qui détermine des comportements bien différents même si les Chinois, à l’instar des Russes, Coréens du nord et Iraniens, font partie du groupe des quatre suspects habituels en cas de cyberattaque, précise-t-il.

Christian Daviot, chargé de mission Stratégie à l’ANSSI : “Le paradoxe est que les états veulent bâtir leur croissance sur le numérique, mais qu’ils développent, en même temps, des armes sophistiquées qui risquent de tuer le numérique”.

Aux États-Unis, le Cloud Act (**) qui a pris effet sous le président Trump permet à l’administration d’accéder aux données de n’importe quel Américain dans le monde et à toutes les données stockées chez des hébergeurs américains, sans avoir à le notifier aux personnes concernées.

Quant à la France, nous sommes purement défensifs. Il s’agit de protéger nos systèmes d’information (les “Opérateurs d’importance vitale”), car nous sommes universalistes et prônons la paix dans le numérique…

Dans un monde sans foi, ni loi, les grandes entreprises estiment que l’on ne peut plus continuer de la sorte. “Nous sommes le champ de bataille”, dit Microsoft, plaidant pour une sorte de convention de Genève du numérique. Mais il faudrait commencer par définir la notion de territoire numérique pour créer un cadre juridique. Une sacrée gageure !

Questions de l’assistance : Olivier Piton, conseiller consulaire États-Unis (Washington) et président de la commission des Lois de l’AFE (sur le vote électronique) / Roland Raad, conseiller consulaire Arabie Saoudite et président de l’UFE Al khobar (sur une éthique universelle) / Marie-José Caron, conseillère consulaire Danemark et élue AFE Europe du Nord (sur le champ d’action du secrétaire d’État chargé du Numérique).

Si les états voient d’un mauvais œil que le secteur privé se préoccupe de relations internationales, c’est pourtant la seule solution, soutient le responsable de l’ANSSI : il est temps de faire réfléchir collectivement les états, les ONG, le secteur privé et les citoyens… “mais nous n’en prenons pas le chemin”.

Au moment des échanges, la question du vote électronique a été soulevée. Les élus consulaires ont noté que “l’ANSSI ne peut pas techniquement garantir la sincérité du vote par internet, mais que la décision revient au politique”.

Nos deux brillants conférenciers ont montré à quel point nous vivons dans une insécurité chronique et combien le chemin sera long pour pacifier le cybermonde.

Les récentes prises de position de la Commission européenne prouvent pour le moins que l’on est conscient du danger et que seule une réponse au niveau de l’Union sera viable.

Mes remerciements à Bénédicte Pillet, présidente du CyberCercle, qui m’a aidé à construire cette soirée.

Je l’ai répété en qualité de rapporteur des crédits annuels de l’ANSSI (lire PLF), puis de rapporteur des crédits affectés à la cyberdéfense dans la loi de programmation militaire (lire LMP) : n’attendons pas de vivre un cyber 11 Septembre pour combattre ceux qui veulent miner les démocraties de l’intérieur.

Je suis d’accord avec le représentant du ministère de l’Intérieur pour laisser le mot de la fin à Confucius : “Celui dont le regard ne va pas loin verra les ennuis de près”.

J’avais pris la mesure d’un niveau de menace planétaire sans précédent. “Winter is coming”, a dit le patron de la direction nationale de la cyber-sécurité israélienne, fin janvier, lors du Cybertech 2018 devant un gratin mondial d’experts.

L’espionnage, les trafics illicites, la déstabilisation et le sabotage représentent les quatre types d’objectifs des attaquants informatiques, nous explique l’Anssi, Agence nationale de la sécurité des systèmes d’information, dans un document rendu public le 12 février dernier : la revue stratégique de cyberdéfense.

Cette revue est l’équivalent d’un livre blanc, premier du genre et décrit comme “un grand exercice de synthèse stratégique” visant à renforcer la sécurité numérique de nos citoyens et nos les institutions, sur la base de sept axes de travail (télécharger).

Ce document a été établi dans le cadre de la loi de programmation militaire (LPM) qui va prochainement mobiliser notre commission Défense. Au fait, pourquoi ne pas nommer un général pour la cyberdéfense qui vienne devant le Sénat au même titre que les chefs d’Etat-major des trois armes (air, terre, mer) ? Ce fut ma proposition pour donner le ton lors du petit déjeuner débat organisé par le CyberCercle, le 15 février dernier. Sa présidente, Bénédicte Pilliet, avait réuni autour de moi une trentaine de responsables de grandes entreprises et quelques hauts fonctionnaires, tous soucieux d’avoir le regard d’un parlementaire sur cette revue stratégique de cyberdéfense.

Au moment des échanges avec la salle, je me suis senti sur la même longueur d’onde que tous ces responsables de sécurité, aux prises avec les normes franco-françaises, les certifications au long-cours ou la déferlante des produits connectés comme autant de chevaux de Troie.

J’ai ressenti un consensus lorsque j’ai avancé que la cybersécurité dans l’entreprise devait se concevoir dans le cadre de sa politique d’assurance-qualité et non en créant de nouvelles obligations réglementaires dédiées, comme le propose le secrétaire d’État chargé du numérique.

Préférer l’efficacité au formalisme apparaît logique et évident pour des entrepreneurs. La preuve que le lien entre les parlementaires et les entreprises doit se renforcer, sous peine de perdre le sens commun.