Cette rencontre d’exception a été possible grâce à Sébastien Garnault, fondateur de la Cyber Task Force et du Paris Cyber Summit, colloque auquel participaient tous ces experts à Paris.

Je remercie chaleureusement Philip Stupak, directeur adjoint au bureau du directeur national de la cybersécurité à la Maison Blanche, d’être revenu au sénat, un an après son audition pour la LPM et André Gattolin, ancien sénateur et co-président, comme moi, de la branche française de l’IPAC, l’Alliance interparlementaire sur la Chine, pour avoir brillamment co-animé les débats.

Cette audition grand format avait pour thème : « Menaces du groupe chinois APT : focus sur APT 31 et Storm 0558 ».

En effet, trois mois plus tôt, le ministère américain de la Justice avait dévoilé un acte d’accusation contre 7 ressortissants chinois appartenant au groupe de hackers APT31 qui dépend directement du ministère chinois de la Sécurité d’État. 116 parlementaires, issus de 15 pays, dont 7 Français, ont reçu en janvier 2021 des courriels de la part du groupe APT31 qui contenaient des images piégées (pixel attack), afin de collecter leurs informations. Les parlementaires ciblés, dont je fais partie avec André Gattolin, sont tous membres de l’IPAC.

Nous partageons une même volonté de s’opposer aux cyber-attaques lancées depuis Pékin, Moscou ou bien Téhéran, parce que nous défendons une vision commune de la démocratie et des droits de l’Homme.

Aussi, les responsables de l’administration américaine, canadienne et des plus grandes entreprises américaines ou européennes présentes ont partagé leurs propositions pour élever notre niveau de résilience face aux attaques.

Cyber-solidarité entre états

Il est ressorti des diverses prises de parole que, face à l’ampleur grandissante des cyber-menaces, aucun état, pas même les Etats-Unis, n’avait la « taille critique » pour se protéger seul.

(g à d) Phil Stupak (Maison Blanche) ; André Gattolin ; Olivier Cadic et Marc Schor (Sénat)

Tous les avis ont convergé pour prôner une cyber-solidarité entre les états démocratiques. Je partage naturellement cette vision nouvelle et pertinente pour contrer la Chine qui agit sur nos réseaux et prépare visiblement une guerre sur la toile.

La cyber-solidarité est une relation de confiance à construire entre les démocraties. Le temps presse cependant et il faut trouver des voies de partage sans tarder. En pareil cas, il est toujours judicieux de s’inspirer de l’existant. Ainsi, un intervenant a fait mention du secteur nucléaire parce que ses acteurs ont pris l’habitude de partager leurs nouvelles expertises, comme leurs points de vulnérabilité.

Partenariat public-privé

Une autre réponse a été développée lors de cette rencontre au Sénat, comme une extension logique au principe de cyber-solidarité entre les états : approfondir la collaboration public-privé. Puisqu’on parle de « taille critique » des états pour défendre leur souveraineté, force est de constater qu’une entreprise des GAFAM est plus numériquement plus « puissante » qu’un état comme la Russie.

Justement, l’agression de la Russie contre l’Ukraine a opéré comme un déclencheur pour de nombreux pays et entreprises les conduisant à hausser leur niveau de protection.

Trois jours avant l’invasion russe, les députés ukrainiens avaient voté une loi pour autoriser la localisation des données nationales hors de leur pays, afin de garantir la continuité du fonctionnement de leur administration.

Du reste, Amazon Web Services, va proposer un « European safety cloud » aux entreprises, comme aux administrations, pour faire valoir une vision de la souveraineté numérique qui n’est pas fondée sur l’achat d’une solution nationale, mais sur celui d’un produit qui assure un maximum de sécurité (notamment via le cryptage qui rend les données inaccessibles même au prestataire), de contrôle de la part de l’utilisateur et de garantie juridique.

Dans ce domaine, nous avons récemment progressé au niveau européen avec le règlement européen sur les services numériques (DSA) qui a permis pour la première fois, de confier aux plateformes, en particulier celles des GAFAM, des responsabilités importantes dans la lutte contre la désinformation. Aussi, pour la première fois, des sanctions ont été prises à l’encontre des médias manipulés par le pouvoir russe à des fins de propagande, ce qui a conduit à l’interdiction de Russia Today.

La cyber-solidarité entre états, associée aux partenariats public-privé, doit fonctionner à large échelle dans une guerre d’ordre planétaire. « La désinformation est devenue une véritable arme de guerre », rappelait, quelques jours plus tôt, le ministre de l’Europe, Jean-Noël Barrot, devant une commission du Sénat.

Un point d’alerte soulevé est que chacun doit prendre conscience de son empreinte numérique car les proches des personnes ciblées par une sont également ciblées.

Il faut urgemment rassembler les pièces d’un puzzle géant et multiplier les relais de confiance. Face à l’évolution technologique ou la corruption des individus, rien ne sera jamais acquis, même avec la meilleure volonté du monde ou les meilleurs outils. Une nouvelle page de l’histoire de l’humanité s’est ouverte. On se préparait à la guerre des Etoiles, avec les attaques des services chinois, nous sommes confrontés à la guerre de la Toile.

Compte tenu de la dissolution de l’Assemblée nationale, les travaux législatifs au Parlement ont été suspendus et le texte n’a toujours pas été adopté en Conseil des ministres.

En qualité de co-rapporteur, avec mon collègue Mickaël Vallet, pour avis sur le volet « Cyber » du programme 129 « Coordination du travail gouvernemental » du projet de loi de finances, j’ai néanmoins souhaité organiser, ce 20 juin, au Sénat, une table ronde réunissant les grands acteurs de la cybersécurité autour de l’Alliance pour la confiance numérique (ACN), du Cybercercle et de la Cyber task force, pour un échange de vues sur les problématiques de la transposition de la directive NIS 2 pour la filière de cybersécurité.

Il y a urgence. Chaque État membre de l’UE dispose d’un délai pour transposer NIS2 dans son droit national qui doit être respecté avant le 17 octobre 2024.

J’ai présidé les débats divisés en deux séquences :
. Démarche et agenda de transposition de la directive NIS 2
. Impact pour les entreprises et pour la filière de cybersécurité

Nos échanges ont permis de croiser les points de vue en donnant la parole aux représentants de l’écosystème des entités essentielles et des entités importantes (BITD, étatiques, collectivités et PME … ) sur la transposition de la directive NIS2 dans le droit français (*).

Cette directive vise à renforcer le principe de responsabilité (accountability) des acteurs économiques, avec des sanctions financières substantielles à la clé.

Aussi, l’intelligence collective, le dialogue et la concertation seront des socles essentiels pour ceux qui auront la responsabilité de mettre oeuvre ces nouveaux dispositifs et pour ceux qui devront les accompagner. « Et, au-delà, la question centrale de la place de la sécurité numérique dans les politiques publiques », a conclu Bénédicte Pilliet.

Je remercie chacun des participants pour avoir contribué à la réussite de cette réunion que j’ai eu le plaisir de co-animer avec Bénédicte Pilliet, présidente du CyberCercle, Yoann Kassianides, délégué général de l’ACN et Sébastien Garnault, fondateur du CyberTaskForce et du Paris Cyber Summit.

(à l’image) Plus tôt dans la matinée, toujours au Sénat, j’avais eu l’honneur de présider la 130ème Matinale mensuelle du CyberCercle, aux côtés de sa présidente Bénédicte Pilliet, sur la stratégie d’intelligence économique et de sécurité numérique développée par la DGA – Direction générale de l’armement – au service de la BITD. A ce titre, nous avons reçu Jean-Baptiste Kerveillant et Camille Lanet de la DGA. +d’images

– – – – –
(*) Julien Lopizzo de Semkel, Muriel de Marcos de MGM Solutions, Marc Bothorel de la CPME nationale, David Dany et Christophe Curtelin de La Preuve Numérique©, Mylene Jarossay du Cesin, Quentin Nicaud d’Elysium Security, Eric Hohbauer de Stormshield, Pierre Kirchner d’Equans Digital, et des représentants de Poste Groupe, le CEA, le ministère des Armées… sans oublier les senior advisors du CyberCercle : Stéphane Meynet, Christian Daviot et Yann Magnan.

Quelle est la date officielle d’entrée en vigueur de NIS 2 ?
La directive NIS 2 a été publiée le 27 décembre 2022 au Journal Officiel de l’Union européenne et elle prévoit un délai de 21 mois pour que chaque Etat membre transpose en droit national les différentes exigences réglementaires. NIS 2 rentrera donc en vigueur en France au plus tard en octobre 2024. Il est utile de préciser que la date d’entrée en vigueur ne correspond pas à la date d’application de l’ensemble des exigences réglementaires qui seront imposées aux entités régulées : certaines exigences seront d’application directe et d’autres seront soumises à un délai de mise en conformité. (Source ANSSI)

À la demande de Philip Stupak, Assistant National Cyber Director à la Maison Blanche, et Sébastien Garnault, fondateur de la Cyber Task Force en 2016 et du Paris Cyber Summit, j’ai eu l’honneur de conduire avec Louise Morel, une délégation* composée de parlementaires et d’experts, à Washington du 26 au 28/02/24.

Louise Morel

Louise Morel, députée du Bas-Rhin, est rapporteur de la Commission spéciale chargée d’examiner le projet de loi visant à sécuriser et réguler l’espace numérique.

Sébastien Garnault

Rapporteur de la Coordination du travail gouvernemental (cyberdéfense, SGDSN) depuis 2017, ce déplacement m’a permis de recueillir des informations qui viendront nourrir utilement la réflexion du Sénat pour évaluer l’action du gouvernement en matière de cybersécurité et de cyberdéfense.

Merci à Sébastien Garnault (Garnault & Associés) pour le programme de très haut niveau proposé.

J’adresse toute ma gratitude à Chad Sweet, co-fondateur et CEO de The Chertoff Group, pour avoir accueilli notre délégation pour compléter nos échanges avec les experts rencontrés lors de notre séjour.

*Délégation Cyber Task Force
Co-présidents : Olivier Cadic (Sénateur) / Louise Morel (Députée) / Sébastien Garnault (G&A)
Députés : Michael Bouloux (Ille-et-Vilaine)/ Laurent Esquenet-Goxes (Haute-Garonne)/ Denis Masséglia (Maine-et-Loire) / Stéphane Vojetta (Français de l’étranger)
Experts : Daniel Le Coguic – Pdt Alliance pour la confiance numérique (ACN) / Adrien Basdevant (Avocat) / Baptiste Robert (Prédicta Lab) / Cédric Thevenet (Capgemini) / Patrick Trinkler (CYSEC) / Pierre-Alexandre Houver (G&A)

Diplomatie parlementaire

Maison Blanche – Cyber Task Force

J’avais eu le privilège d’auditionner Philip Stupak dans le cadre de la Loi de programmation militaire en juin 2023 au Sénat.

À la faveur de cette visite, Philip m’a fait visiter la “West Wing” de la Maison Blanche et permis d’accéder au bureau ovale occupé par le président Joe Biden.

Philip nous a ensuite fait visiter le building office Eisenhower qui accueille le bureau de la vice-présidente et de toute l’équipe exécutive de la Maison Blanche.

Merci à Philip pour cette visite mémorable que nous avons pu immortaliser ensemble dans la fameuse salle de presse James Brady. +d’images

Maison Blanche – Bureau du directeur cyber fédéral

Réunion de la Cyber Task Force à la Maison Blanche avec Harry Coker, Jr., National Cyber Director, Philip Stupak, Assistant National Cyber Director.

The Office of the National Cyber Director (ONCD) conseille le président des Etats-Unis sur la politique et la stratégie en matière de cybersécurité.

Créé en 2021 par le Congrès, l’ONCD est une composante du bureau exécutif de la Maison Blanche. L’ONCD a été le fer de lance du développement de la stratégie de la cybersécurité annoncée par Joe Biden en mars 2023.

La Counter Ransomware Initiative (CRI) de la Maison Blanche est une réponse internationale pour lutter contre la menace croissante des attaques de rançongiciels.

Harry Cocker a rappelé l’importance d’une diplomatie de la cyber. La CRI réunit 48 pays, l’Union européenne et Interpol. Il a mis également en avant la nécessité de partage des informations et de collaboration public-privé pour lutter contre les acteurs du rançongiciel. +d’images

Department of Justice

Notre délégation Cyber Task Force s’est rendue au ministère de la Justice pour un entretien avec plusieurs interlocuteurs* qui a porté sur plusieurs sujets.

Un briefing des menaces cyber par le FBI ; un compte-rendu des menaces cyber par la nouvelle section du ministère de la Justice intitulé « NatSec Cybersecurity » ; un état des attaques en espionnage économique et les techniques utilisées par la Chine ; les forces de frappe de technologie de rupture employées ; et enfin les mesures de protection contre les investissements étrangers pour prendre le contrôle d’entreprises sensibles.

Nous avons évoqué la diplomatie du renseignement et un décret américain à venir pour limiter toute activité étrangère qui aurait accès aux données de citoyens américains. +d’images

*Department of Justice
– Mr Sean Newell, Acting Chief, National Security Cyber Section (NatSec Cyber), U.S. Department of Justice
– Mr Matthew McKenzie, Deputy Chief, Counterintelligence, Counterintelligence and Export Control Section, U.S. Department of Justice
– Mr Nate Swinton, Senior Counsel to the Assistant Attorney General for National Security, U.S. Department of Justice
– Mr Eric S. Johnson, Principal Deputy Chief, Foreign Investment Review Section, U.S. Department of Justice

Department of State – Ministère des Affaires étrangères

Rencontre au Département d’État* avec Nate Fick, ambassadeur itinérant en charge du cyberespace et la politique digitale. Avant d’être ambassadeur, il a dirigé une société de logiciel de cybersécurité.

Le Département d’État met en œuvre la nouvelle stratégie mondiale de coopération en matière de cybersécurité définie par la Maison Blanche et fondée sur la coopération internationale.

L’agression de la Russie contre l’Ukraine a entraîné de nombreux pays et entreprises à s’allier pour élever leur niveau de défense. Chacun est désormais également conscient de la campagne menée par le Parti communiste chinois pour renverser le monde démocratique sur internet, en s’alliant à la Russie, l’Iran et la Corée du Nord.

Les entreprises de pointe ont joué un rôle important dans la défense contre les récentes cybermenaces. Nate Fick reconnaît le rôle central du secteur privé pour partager la charge de la cyberdéfense et prône une cyber solidarité plutôt qu’une cyber souveraineté.

Je partage cette vision. Elle peut nous permettre d’avoir la taille critique pour nous confronter à la menace cyber. +d’images

*Department of State
– Ambassador at large, Nate Fick
– Ms Jennifer Bachus, Principal Deputy Assistant Secretary, Bureau of Cyberspace and Digital Policy, U.S. Department of State
– Mr Fort Felker, Senior Cyber Policy Advisor, U.S. Department of State

Department of Homeland Security – Ministère de l’Intérieur

Rencontre de notre délégation de la Cyber task force avec le Department of Homeland Security* qui a la main sur la CISA (Cybersecurity and Infrastructure Security Agency), agence de sécurité cyber équivalente de notre ANSSI.

La Chine est identifiée comme la plus grande menace existentielle, en matière de cyber sécurité pour les États-Unis. Comme nous l’observons en France, la Chine progresse dans le ciblage des infrastructures critiques. Son activité dépasse le simple vol de propriété intellectuelle.

L’intelligence artificielle est vue par l’administration américaine comme un outil pour simplifier la bureaucratie et renforcer la cyber sécurité. Elle est déjà utilisée pour automatiser des processus comme les contrôles TSA (Transport Security Administration) et la détection de vulnérabilités logicielles.

Les États-Unis se sont inspirés de la résilience cybernétique en Ukraine pour tirer des leçons en matière de défense et de gestion des attaques cybernétique. +d’images

*Department of Homeland Security
– Mr Thomas M. McDermott, Deputy Assistant Secretary for Cyber Policy
– Mr Brent Schuliger, Policy analyst
– And office

CISA (Cybersecurity and Infrastructure Security Agency)

Échanges durant plus de trois heures au CISA* (Cybersecurity and Infrastructure Security Agency), agence de sécurité cyber fédérale.

À la différence de l’ANSSI qui est directement rattachée au Premier Ministre, le CISA est sous la tutelle du Department of Homeland Security.

Le CISA a vanté la qualité de sa relation avec notre Agence nationale. Il souhaite mettre en avant toutes les opportunités de collaboration pour accélérer notre temps de réponse et présente des idées nouvelles pour y parvenir.

Nous avons évoqué le décret (Executive order) de la Maison Blanche sur le développement et l’utilisation sûrs, sécurisés et fiables de l’IA. Le CISA a élaboré des directives pour garantir le développement sécurisé des systèmes d’intelligence artificielle. Il a été souligné que la sécurité de l’IA doit être conforme aux lois sur la protection des données.

Le CISA joue un rôle central dans la promotion de la cyber sécurité au sein des collectivités locales et des villes. N’ayant pas de compétences directes, le CISA promeut des recommandations, des bonnes pratiques et propose un soutien. +d’images

*CISA
– Mr Trent Frazier, Deputy Assistant Director, CISA Stakeholder Engagement Division
– Ms Lisa Einstein, Senior Advisor for Artificial Intelligence and Executive Director, CISA Cybersecurity Advisory Committee
– Mr Andrew Seiffert, Senior Counselor for Infrastructure Security, Infrastructure Security Division (ISD)
– Mr Todd Klessman, Infrastructure Security Division
– Mr Bill Ryan, Regional Director for CISA Region 3
– Ms Patricia Soler, Section Chief, International Office, JCDC

Google

Visite chez Google* où nous avons beaucoup parlé des enjeux autour du Cloud. Nous avons également évoqué la lutte contre la haine en ligne chez Google qui s’efforce de supprimer les contenus haineux de ses plates-formes, notamment YouTube.

Les directives communautaires définissent clairement ce qui est considéré comme un discours haineux.

Des vidéos qui font la promotion de la suprématie d’un groupe qui discrimine ou qui dénigre un individu ou un groupe sur la base de ces caractéristiques sont interdites.

Google, collabore souvent avec des organisations de la société civile et des experts pour comprendre les tendances actuelles en matière de discours haineux et pour améliorer ses politiques et ses pratiques de modération.

Google garde des relations proches pour aider l’Ukraine. Signe des temps, il m’a été déclaré que si la Russie est plus grande que l’Ukraine sur le terrain, dans le domaine informatique et cyber, la Russie n’est pas plus grande que Google… +d’images

*Google
– Ms Rita Balogh, Government Affairs & Public Policy
– Mr Marcus Jadotte, Vice President, Government Affairs & Public Policy
– Mr Chris Cornillie, Manager, Cloud Security Policy | Government Affairs & Public Policy
– Mr Christopher Porter, Head of International Security Cooperation, Google Cloud
– Mr Fred Geraud, Government Affairs & Public Policy France, Google cloud

Amazon Web Services

Visite du siège d’Amazon Web Services* qui abrite 80% des sociétés du CAC40 sur ses clouds.

AWS a démarré ses services en 2006 pour répondre aux besoins de la société Amazon. Le marché mondial des services de cloud public est estimé à 663 milliards de dollars en 2023, dont AWS détient 31%.

Nous avons échangé sur les questions de sécurité. Toutes les données clients situées sur leurs serveurs sont encryptées. Il faut une data key pour décrypter les données détenues par le client.

Les requêtes d’accès à des données de la part des gouvernements se sont élevées à 1456 pour AWS contre 26577 chez Amazon. Aucun gouvernement n’a demandé d’accès à des données se situant sur un serveur à l’étranger.

AWS crée le Cloud souverain européen, car 82% des clients veulent maitriser la localisation de leurs données.

Afin de montrer sa capacité d’assister les États, Max Peterson, vice-président, nous a confié que 3 jours avant l’invasion russe, les députés ukrainiens ont voté une loi pour autoriser la localisation des données nationales dans un autre pays que l’Ukraine. Suite à l’attaque, toutes les données gouvernementales ont été transférées sur des serveurs AWS à l’étranger. L’administration ukrainienne a pu poursuivre son action sans difficulté. +d’images

*AWS
– Mr Max Peterson, Vice President, Sovereignty cloud
– Ms Anitha Ibrahim, Data Protection & Cybersecurity Lead
– Mr Nils Hansma, Security Principal – Security Assurance Lead
– Mr Cédric Mora, Public Policy Manager: Cybersecurity, Health & AI / Cybersécurité, Santé & IA
– Mr Dan Roth, Vice President, Distinguished Scientist
– Mr Dominic Delmolino, Public sector

IBM

Visite de la société IBM* où nous avons pu assister à une présentation de la situation des ordinateurs quantiques. La meilleure manière de se protéger est de crypter ses données.

La cryptographie quantique consiste à utiliser les propriétés de la physique quantique pour établir des protocoles de cryptographie qui permettent d’atteindre des niveaux de sécurité optimums. Certains états collectent toutes les données encryptées disponibles pour leur permettre de les décrypter le jour où ils disposeront d’ordinateurs quantiques suffisamment puissants pour y parvenir.

La mission d’IBM est d’apporter un ordinateur quantique utile au monde pour rendre ce dernier plus sûr. Pour y parvenir, les ordinateurs ont besoin de processeurs quantiques pour effectuer des calculs complexes avec facilité.

Lors de l’IBM Quantum Summit 2023 qui s’est tenu le 4 décembre 2023, IBM a dévoilé la puce Condor, un processeur quantique de 1121 qubits. Sa conception démontre l’avance technologique d’IBM qui ne parait pas vouloir en rester là. +d’images

*IBM
– Ms Katie Ignaszewski, Cybersecurity Policy Executive
– Mr Mason Molesky, Cyber and Cloud policy executive
– Mr Koos Lodewijkx, Vice President, CISO
– Ms Dimple Ahluwalia, VP & Global Managing Partner

9 juin : invité d’honneur au déjeuner VIP

J’ai répondu à l’invitation de Sébastien Garnault pour présider le déjeuner VIP consacrée à la cybersécurité. Ce fut l’occasion d’exprimer publiquement plusieurs motifs de satisfaction en matière de cybersécurité en France, en particulier :
– l’augmentation des crédits consacrés à la cyber sous le contrôle étroit du Parlement,
– l’accomplissement de progrès considérables sous l’égide de l’ANSSI depuis dix ans.

J’ai également évoqué les menaces qui pèsent sur nos infrastructures numériques, comme l’attestent la multiplication des actes de cyberguerre et de cybermalveillance.

Des progrès doivent encore être effectués, notamment avec la mise en place d’un service “Cyber Assistance” accessible à tout moment et doté d’un numéro d’appel d’urgence, à l’image de ce qui existe en Israël.

Une de mes priorités est de contribuer à renforcer les filières de formation en matière de cybersécurité. Il faut davantage stimuler les vocations et relier nos établissements scolaires et nos instituts de formation aux besoins de ce marché.

8 juin : diner en présence des ministres

J’ai participé au dîner Décideurs de la Paris Cyber Week, dont les invités d’honneur étaient Andres Sutt, ministre estonien de l’Entrepreneuriat et des Systèmes d’information, ainsi que notre ministre de l’Europe et des Affaires étrangères, Jean-Yves Le Drian.

L’allocution du ministre a porté sur le programme de la présidence française de l’Union européenne en matière de souveraineté numérique. « L’Europe doit prendre toute sa place et peser du poids qui est le sien pour défendre ses intérêts et ses valeurs de manière souveraine, y compris dans le monde numérique », a résumé Jean-Yves Le Drian. Lire son discours ou voir la vidéo.

La Paris Cyber Week a été l’occasion pour lui de rappeler l’attachement de la France et de l’Union européenne à la défense d’un internet ouvert, neutre, transparent et sûr. Pour cela, la sécurité dans notre cyberespace est essentielle pour assurer notre souveraineté numérique et défendre nos valeurs.

8 juin : réception à l’ambassade du Luxembourg

Accueilli par Martine Schommer, ambassadrice du Grand-Duché de Luxembourg, j’ai eu le privilège d’échanger avec les représentants d’entreprises spécialisées dans la cybersécurité.

Cette rencontre a été l’occasion de rappeler l’engagement profond du Luxembourg dans les nouvelles technologies, ainsi que les enjeux liés à la cybersécurité et à la cyberdéfense.

A ce titre, j’ai eu l’opportunité d’échanger avec Pascal Steichen, CEO de Securitymadein.lu.