Accueil      En circonscription      Sénat      Bilan de mandat      Revue de Presse          Parcours      Contact     
    

Cyber-attaques APT 31 : Quand la Chine se lance dans la guerre de la Toile

Une vingtaine d’experts mondiaux de la cybersécurité m’ont fait l’honneur d’accepter d’être auditionnés au Sénat, le 3 juin dernier.

Cette rencontre d’exception a été possible grâce à Sébastien Garnault, fondateur de la Cyber Task Force et du Paris Cyber Summit, colloque auquel participaient tous ces experts à Paris.

Je remercie chaleureusement Philip Stupak, directeur adjoint au bureau du directeur national de la cybersécurité à la Maison Blanche, d’être revenu au sénat, un an après son audition pour la LPM et André Gattolin, ancien sénateur et co-président, comme moi, de la branche française de l’IPAC, l’Alliance interparlementaire sur la Chine, pour avoir brillamment co-animé les débats.

Cette audition grand format avait pour thème : « Menaces du groupe chinois APT : focus sur APT 31 et Storm 0558 ».

En effet, trois mois plus tôt, le ministère américain de la Justice avait dévoilé un acte d’accusation contre 7 ressortissants chinois appartenant au groupe de hackers APT31 qui dépend directement du ministère chinois de la Sécurité d’État. 116 parlementaires, issus de 15 pays, dont 7 Français, ont reçu en janvier 2021 des courriels de la part du groupe APT31 qui contenaient des images piégées (pixel attack), afin de collecter leurs informations. Les parlementaires ciblés, dont je fais partie avec André Gattolin, sont tous membres de l’IPAC.

Nous partageons une même volonté de s’opposer aux cyber-attaques lancées depuis Pékin, Moscou ou bien Téhéran, parce que nous défendons une vision commune de la démocratie et des droits de l’Homme.

Aussi, les responsables de l’administration américaine, canadienne et des plus grandes entreprises américaines ou européennes présentes ont partagé leurs propositions pour élever notre niveau de résilience face aux attaques.

Cyber-solidarité entre états

Il est ressorti des diverses prises de parole que, face à l’ampleur grandissante des cyber-menaces, aucun état, pas même les Etats-Unis, n’avait la « taille critique » pour se protéger seul.

(g à d) Phil Stupak (Maison Blanche) ; André Gattolin ; Olivier Cadic et Marc Schor (Sénat)

Tous les avis ont convergé pour prôner une cyber-solidarité entre les états démocratiques. Je partage naturellement cette vision nouvelle et pertinente pour contrer la Chine qui agit sur nos réseaux et prépare visiblement une guerre sur la toile.

La cyber-solidarité est une relation de confiance à construire entre les démocraties. Le temps presse cependant et il faut trouver des voies de partage sans tarder. En pareil cas, il est toujours judicieux de s’inspirer de l’existant. Ainsi, un intervenant a fait mention du secteur nucléaire parce que ses acteurs ont pris l’habitude de partager leurs nouvelles expertises, comme leurs points de vulnérabilité.

Partenariat public-privé

Une autre réponse a été développée lors de cette rencontre au Sénat, comme une extension logique au principe de cyber-solidarité entre les états : approfondir la collaboration public-privé. Puisqu’on parle de « taille critique » des états pour défendre leur souveraineté, force est de constater qu’une entreprise des GAFAM est plus numériquement plus « puissante » qu’un état comme la Russie.

Justement, l’agression de la Russie contre l’Ukraine a opéré comme un déclencheur pour de nombreux pays et entreprises les conduisant à hausser leur niveau de protection.

Trois jours avant l’invasion russe, les députés ukrainiens avaient voté une loi pour autoriser la localisation des données nationales hors de leur pays, afin de garantir la continuité du fonctionnement de leur administration.

Du reste, Amazon Web Services, va proposer un « European safety cloud » aux entreprises, comme aux administrations, pour faire valoir une vision de la souveraineté numérique qui n’est pas fondée sur l’achat d’une solution nationale, mais sur celui d’un produit qui assure un maximum de sécurité (notamment via le cryptage qui rend les données inaccessibles même au prestataire), de contrôle de la part de l’utilisateur et de garantie juridique.

Dans ce domaine, nous avons récemment progressé au niveau européen avec le règlement européen sur les services numériques (DSA) qui a permis pour la première fois, de confier aux plateformes, en particulier celles des GAFAM, des responsabilités importantes dans la lutte contre la désinformation. Aussi, pour la première fois, des sanctions ont été prises à l’encontre des médias manipulés par le pouvoir russe à des fins de propagande, ce qui a conduit à l’interdiction de Russia Today.

La cyber-solidarité entre états, associée aux partenariats public-privé, doit fonctionner à large échelle dans une guerre d’ordre planétaire. « La désinformation est devenue une véritable arme de guerre », rappelait, quelques jours plus tôt, le ministre de l’Europe, Jean-Noël Barrot, devant une commission du Sénat.

Un point d’alerte soulevé est que chacun doit prendre conscience de son empreinte numérique car les proches des personnes ciblées par une sont également ciblées.

Il faut urgemment rassembler les pièces d’un puzzle géant et multiplier les relais de confiance. Face à l’évolution technologique ou la corruption des individus, rien ne sera jamais acquis, même avec la meilleure volonté du monde ou les meilleurs outils. Une nouvelle page de l’histoire de l’humanité s’est ouverte. On se préparait à la guerre des Etoiles, avec les attaques des services chinois, nous sommes confrontés à la guerre de la Toile.

PARTICIPANTS
Mr Barnaby Page, Vice President, IR & Cyber Risk at SentinelOne
Mr Brett DeWitt, Vice President, Global Cyber & Technology Policy at Mastercard
Ms Christine Bejerasco, CISO at WithSecure
Mr Dan Cimpean, Director of the National Directorate for Cyber Security – DNSC
Mr Daniel Le Coguic, President of the Alliance for Digital Trust
Mr Dara Murphy, Vice President of Rasmussen Global, Former Minister for Europe and Digital Affairs of Ireland
Mr David Lashway, Co-chair at Sidley Austin
Ms Eva Benn, Senior Security Program Manager (Offensive Security, AppSec) at Microsoft
Mr François Deruty, Chief Intelligence Officer at Sekoia
Mr Fred Géraud, Government Affairs & Public Policy at Google Cloud
Ms Heli Tiirmaa-Klaar, former Ambassador, Director of Digital Society Institute of ESMT, Chair of the Ukraine IT Coalition Steering Group
Mr Jonathan Luff, Chief of staff at Recorded Future
Ms Katherine Sutton, Chief Technology Advisor to the Commander and Director of Pentagon Operations at the U.S. Department of Defense
Mr Lionel Benatia, Director Government Affairs Senior at Microsoft France
Mr Marc Raimondi, Chief of Staff to the Executive Chairman at Silverado Policy Accelerator
Mr Max Peterson, Vice President, Sovereign Cloud at AWS
Mr Michael Lashlee, Chief Security Officer at Mastercard
Mr Nils Hansma, Principal Security Assurance Lead – France/Switzerland at AWS
Mr Olivier Esper, Government Affairs Manager at Google
Mr Phil Stupak, Assistant National Cyber Director, Office of the National Cyber Director, Executive Office of the President – The White House
Mr Philippe Luc, CEO of ANOZRWAY
Mr Sami Khoury, Head of the Canadian Centre for Cyber Security
Ms Sandra Joyce, Vice-President, Google Threat Intelligence at Google Cloud
Mr Sean Newell, Chief of the National Security Cyber Section at the U.S. Department of Justice
Mr Vincent Richir, Director of Public Policy for Western Europe at Mastercard
Ms Zoey Stambolliu, Director Global Cybersecurity & Technology Policy at Mastercard

Sénat – Cyber – Table ronde sur la transposition de la directive NIS 2

Dans la perspective de l’examen du projet de loi relatif « à la résilience des activités d’importance vitale, à la protection des infrastructures critiques, à la cybersécurité et à la résilience opérationnelle numérique du secteur financier », le Sénat avait envisagé la création d’une commission spéciale.

Compte tenu de la dissolution de l’Assemblée nationale, les travaux législatifs au Parlement ont été suspendus et le texte n’a toujours pas été adopté en Conseil des ministres.

En qualité de co-rapporteur, avec mon collègue Mickaël Vallet, pour avis sur le volet « Cyber » du programme 129 « Coordination du travail gouvernemental » du projet de loi de finances, j’ai néanmoins souhaité organiser, ce 20 juin, au Sénat, une table ronde réunissant les grands acteurs de la cybersécurité autour de l’Alliance pour la confiance numérique (ACN), du Cybercercle et de la Cyber task force, pour un échange de vues sur les problématiques de la transposition de la directive NIS 2 pour la filière de cybersécurité.

Il y a urgence. Chaque État membre de l’UE dispose d’un délai pour transposer NIS2 dans son droit national qui doit être respecté avant le 17 octobre 2024.

J’ai présidé les débats divisés en deux séquences :
. Démarche et agenda de transposition de la directive NIS 2
. Impact pour les entreprises et pour la filière de cybersécurité

Nos échanges ont permis de croiser les points de vue en donnant la parole aux représentants de l’écosystème des entités essentielles et des entités importantes (BITD, étatiques, collectivités et PME … ) sur la transposition de la directive NIS2 dans le droit français (*).

Cette directive vise à renforcer le principe de responsabilité (accountability) des acteurs économiques, avec des sanctions financières substantielles à la clé.

Aussi, l’intelligence collective, le dialogue et la concertation seront des socles essentiels pour ceux qui auront la responsabilité de mettre oeuvre ces nouveaux dispositifs et pour ceux qui devront les accompagner. « Et, au-delà, la question centrale de la place de la sécurité numérique dans les politiques publiques », a conclu Bénédicte Pilliet.

Je remercie chacun des participants pour avoir contribué à la réussite de cette réunion que j’ai eu le plaisir de co-animer avec Bénédicte Pilliet, présidente du CyberCercle, Yoann Kassianides, délégué général de l’ACN et Sébastien Garnault, fondateur du CyberTaskForce et du Paris Cyber Summit.

(à l’image) Plus tôt dans la matinée, toujours au Sénat, j’avais eu l’honneur de présider la 130ème Matinale mensuelle du CyberCercle, aux côtés de sa présidente Bénédicte Pilliet, sur la stratégie d’intelligence économique et de sécurité numérique développée par la DGA – Direction générale de l’armement – au service de la BITD. A ce titre, nous avons reçu Jean-Baptiste Kerveillant et Camille Lanet de la DGA. +d’images

– – – – –
(*) Julien Lopizzo de Semkel, Muriel de Marcos de MGM Solutions, Marc Bothorel de la CPME nationale, David Dany et Christophe Curtelin de La Preuve Numérique©, Mylene Jarossay du Cesin, Quentin Nicaud d’Elysium Security, Eric Hohbauer de Stormshield, Pierre Kirchner d’Equans Digital, et des représentants de Poste Groupe, le CEA, le ministère des Armées… sans oublier les senior advisors du CyberCercle : Stéphane Meynet, Christian Daviot et Yann Magnan.

Quelle est la date officielle d’entrée en vigueur de NIS 2 ?
La directive NIS 2 a été publiée le 27 décembre 2022 au Journal Officiel de l’Union européenne et elle prévoit un délai de 21 mois pour que chaque Etat membre transpose en droit national les différentes exigences réglementaires. NIS 2 rentrera donc en vigueur en France au plus tard en octobre 2024. Il est utile de préciser que la date d’entrée en vigueur ne correspond pas à la date d’application de l’ensemble des exigences réglementaires qui seront imposées aux entités régulées : certaines exigences seront d’application directe et d’autres seront soumises à un délai de mise en conformité. (Source ANSSI)

PLF2024 – Publication de notre rapport sur la cybersécurité (programme 129)

Avec mon collègue Mickaël Vallet, en qualité de rapporteurs du programme 129 “Coordination du travail gouvernemental” (gestion de crises, cyberdéfense, renseignement), nous avons présenté notre avis budgétaire devant notre commission des Affaires des étrangères et de la Défense, le 15 novembre dernier.

Notre rapport a été publié et il en ressort que l’exercice 2024 se caractérise par un renforcement des moyens de l’agence nationale de la sécurité des systèmes d’information (ANSSI) et du service de vigilance et de protection contre les ingérences numériques étrangères (Viginum), constituant ainsi le volet civil de l’effort prévu par la loi de programmation militaire 2024-2030 (4 milliards d’euros de besoins programmés sur la période).

Pour répondre au « changement d’échelle » annoncé par l’ANSSI qui est de passer à une cybersécurité de masse, nous avons ont identifié 4 principaux défis à relever :

assurer la cybersécurité des Jeux olympiques et paralympiques 2024. Pour l’image internationale de la France, il n’y aura pas de médaille d’argent ;
– coordonner l’ensemble des acteurs publics et privés de l’écosystème cyber autour d’une révision de la stratégie nationale de cybersécurité (la dernière datant de 2018) et du lancement de la plateforme numérique « 17 Cyber » en mars 2024 ;
réussir la transformation de l’ANSSI en vue de la transposition de la directive NIS 2 (Network and Information Security3(*)). Celle-ci prévoit un accroissement du périmètre de compétence de l’agence de quelque 500 OIV à environ 15 000 entreprises dont le suivi constitue un changement d’échelle pour l’agence et nécessite une reconfiguration de son offre de services ;
réorganiser le dispositif de coordination en s’inspirant de la grande cause nationale de la sécurité routière qui a permis de réduire drastiquement le nombre de morts sur nos routes en confiant à un coordinateur interministériel clairement identifié la responsabilité de coordonner tous les moyens disponibles.

Lire le RAPPORT

Cyber – Les 4 défis de la cybersécurité française en 2024

Ce 15 novembre, en qualité de co-rapporteur pour avis avec mon collègue Mickaël Vallet, j’ai défendu le budget du programme 129 « Coordination du travail gouvernemental » devant notre commission des Affaires étrangères, de la Défense et des Forces armées, qui a été approuvé à l’unanimité.

Les crédits du programme 129 que nous présentons chaque année portent sur l’action relative à la coordination de la sécurité et de la défense, et plus précisément sur la cybersécurité et la lutte contre les manipulations de l’information.

La cybersécurité mérite d’être érigée au rang de grande cause nationale et d’être dotée d’une stratégie nationale, incluant tout l’écosystème, pour répondre à 4 défis criants.

Mon intervention

Après consultation de personnalités de la sphère publique comme du secteur privé, nous voyons quatre défis principaux pour la cyber française en 2024 :

Défi 1 – D’abord, assurer la cybersécurité des Jeux olympiques et paralympiques 2024. Il n’y aura pas de médaille d’argent ou de bronze pour la France dans cette discipline ;

Défi 2 – Ensuite, coordonner l’ensemble des acteurs publics et privés de l’écosystème cyber autour d’une révision de la stratégie nationale de cybersécurité (la dernière datant de 2018) et du lancement de la plateforme numérique « 17 Cyber » en mars 2024 ;

Défi 3 – Dans le prolongement,  réussir la transformation de l’ANSSI en vue de la transposition de la directive NIS 2 (Network and Information Security). Celle-ci prévoit un accroissement du périmètre de compétence de l’agence de quelque 500 OIV à environ 15 000 entreprises dont le suivi constitue un changement d’échelle pour l’agence et nécessite une reconfiguration de son offre de services ;

Défi 4 – Enfin, s’ajoute un 4ème défi que nous avions développé dans notre rapport préparatoire à la LPM et qui concerne l’organisation, ou plutôt la réorganisation du dispositif de coordination pour répondre au « changement d’échelle » annoncé par l’ANSSI qui est de passer à une cybersécurité de masse.

Cette nécessité de refonte de la stratégie résulte des nombreux points d’attention que les services et entreprises que nous avons auditionnées ont soulevés :
– À commencer par un brouillard quant à l’organisation de la réponse aux incidents cyber entre l’ANSSI responsable des systèmes de l’Etat et des opérateurs d’importance vitale, la plateforme cybermalveillance responsable de tout le reste mais sans les moyens associés, et l’amorçage par l’ANSSI de centres régionaux ou sectoriels dont ni les services, ni le financement ne sont à ce jour garantis dans leur efficacité et leur pérennité.
– En réalité, chaque ministère et chaque entité s’est doté d’un coordinateur : l’ANSSI qui est à la fois un régulateur et un acteur, le Secrétariat général pour l’investissement dont nous avons rencontré ce matin le coordinateur, M. Florent Kirchner, mais aussi Cybermalveillance dont c’est le rôle d’être à la croisée de tous les chemins, et maintenant le ministère de l’Intérieur qui a pris la charge financière de la création de la future plateforme « 17 cyber » en application des annonces du Président de la République.

Le fait que la menace cyber soit largement prise en compte va en soi dans le bon sens comme le rappelait le directeur général de la Gendarmerie nationale. En revanche, il nous semble qu’une chaîne claire de traitement et d’escalade des incidents soit définie. Il nous a été certifié que ce travail était en cours. Nous prenons date pour le lancement du « 17 cyber » prévu en mars 2014. Mais à quelques mois de ce rendez-vous important il reste encore à définir les services offerts par cette plateforme numérique apportera à la population, et surtout comment la population sera informée de sa mise en service, selon quelle communication, avec quels crédits ?

Le message de l’ANSSI est de dire qu’il est encore trop tôt pour dessiner un « jardin à la française » et qu’il faut d’abord laisser l’écosystème public/privé de la cybersécurité se développer avant de tailler les haies. C’est une approche qui laisse certaines entreprises sur leur faim (Orange ou Thales), car elles ont besoin d’une feuille de route claire et d’y être associées notamment pour la transposition de la directive NIS 2 qui interviendra en octobre 2024.

Nous partageons ce besoin de clarification. Pour reprendre la métaphore du jardin à la française, il nous semble au contraire urgent de définir une organisation de coordination et de suivi de la qualité, bref de dessiner les allées du jardin dès maintenant, sinon le risque est de voir se développer une jungle. Si cette orientation perdure, il est à craindre que tout le monde soit perdu en cas d’incident national majeur et que  l’engorgement de nos services sera amplifié par des sollicitations multiples à différents endroits. J’ajoute que l’enjeu de sécurité des Jeux Olympiques justifie l’urgence de la concertation, ce qui est un métier nouveau pour l’ANSSI.

C’est pourquoi, parmi nos propositions figurent celles :
– Tout d’abord d’actualiser la stratégie nationale de cybersécurité (l’actuelle date de 2018) en y associant en amont tout l’écosystème sans oublier les collectivités locales, ni vos serviteurs ;
– Et de s’inspirer de la grande cause nationale de la sécurité routière qui a permis de réduire drastiquement le nombre de morts sur nos routes en confiant à un coordinateur unique la responsabilité de coordonner tous les moyens disponibles.

Est-ce le rôle de l’ANSSI ou d’un délégué interministériel clairement identifié ? C’est à l’exécutif de le décider mais c’est à nous de signaler que l’année 2024 est le bon moment pour le faire.

Au bénéfice de ces observations, nous vous proposons l’adoption des crédits de la mission « Direction de l’action du gouvernement ».

Débat CyberCercle – Stratégie nationale pour la cybersécurité

Très heureux d’avoir accueilli au Sénat, avec mon collègue Mickaël Vallet, la Matinale du CyberCercle présidé Bénédicte Pilliet, afin de préparer notre rapport budgétaire annuel sur la cybersécurité.

Notre invité était Florent Kirchner, coordinateur la Stratégie nationale d’accélération (SNA) cybersécurité du Secrétariat général pour l’investissement.

Le monde cyber “est le terrain de jeux le plus complexe jamais imaginé par l’homme et il va en explosant”, dit Florent Kirchner. Comment gagner ? “En menant une politique innovante dans une course internationale”, répond-il, dans le cadre d’un pilotage interministériel.

C’est l’un des axes majeurs de la philosophie de cette politique publique : l’innovation participera à la réponse aux besoins de cybersécurité et aux défis à venir, dont notamment l’enjeu de l’IA et le nombre croissant de structures à protéger, dans un contexte géopolitique fragmenté qui favorise l’aguerrissement des cyber-attaquants.

Une nécessité pour optimiser cette politique publique d’investissement : diffuser l’information auprès des acteurs présents sur l’ensemble des territoires.

PLF2024 – Gendarmerie – Stratégie dans le traitement de la menace cyber – Vidéo 3’40

Ce 8 novembre, lors de l’audition du général d’armée Christian Rodriguez, directeur général de la Gendarmerie nationale par notre commission des Affaires étrangères, de la Défense et des Forces armées, j’ai porté l’attention sur la coordination nationale de nos moyens face aux cybermenaces et l’idée d’un coordinateur unique.

Le général estime que la coordination des multiples acteurs du cyber doit se faire sous l’autorité de l’ANSSI. Il a conclu en disant : « les enjeux sont juste phénoménaux, je vous rejoins complètement ».

VERBATIM

Question : La Gendarmerie nationale est citée en exemple pour l’avance qu’elle a prise, notamment par rapport à la Police nationale, dans la prévention et le traitement de la menace cyber. Vous avez évoqué vos moyens techniques et humains, de la discussion avec le ComCyber et l’ANSSI (*), mais vous n’avez pas cité les collectivités locales et les C-SIRT. A cet égard, que pensez-vous de cette organisation, des C-SIRT, mais aussi de la coordination entre les acteurs. N’y-a-t-il pas un trop grand nombre d’acteurs avec un risque de confusion et de dispersion des moyens ? La question se pose sur les coordinateurs avec les ministères concernés : services de la Première ministre, ministère de l’intérieur, ministère du numérique… A l’image de la Sécurité routière érigée cause nationale en 2002 par le Président de l’époque, Jacques Chirac, ne pensez-vous pas que l’état de la menace cyber ne justifierait-il pas de clarifier le dispositif autour d’un coordinateur unique et d’une nouvelle stratégie de cybersécurité ?

(*) l’Agence nationale de sécurité des systèmes d’information (ANSSI)

Audition – Cybersécurite et lutte contre les menaces hybrides – Q/R Vidéo 16m

Ce 18 octobre, la commission des Affaires étrangères, de la Défense et des Forces armées, présidée par Cédric Perrin, a consacré une audition à la cybersécurité et la lutte contre les menaces hybrides, en invitant les responsables du SGDSN, de l’ANSSI et de Viginum.

Avec mon collègue Mickaël Vallet, nous sommes intervenus en qualité de rapporteur pour avis sur les crédits du programme 129 « Coordination du travail gouvernemental » (gestion de crises, cyberdéfense, renseignement).

Mes questions ont porté sur quatre points principaux :
– La mise en œuvre de la directive européenne dite NIS 2 qui devrait conduire l’ANSSI à décupler son champ d’intervention
– La protection du grand public, des collectivités et des PME/TPE au travers du GIP ACYMA Cybermalveillance
– La définition des missions des CSIRT régionaux et leur coordination
– Le déploiement des activités de Viginum et sa visibilité

Je remercie chaleureusement nos interlocuteurs pour leurs réponses précises et circonstanciées à nos interrogations :
> Stéphane Bouillon, secrétaire général de la défense et de la sécurité nationale (SGDSN)
> Emmanuel Naëgelen, général de brigade aérienne, directeur adjoint de l’Agence nationale de sécurité des systèmes d’information (ANSSI)
> Marc-Antoine Brillant, chef du service de vigilance et de protection contre les ingérences numériques étrangères (Viginum)

VERBATIM

Merci monsieur le Président. Avant de commencer mon propos, je voudrais vous remercier, M. le Secrétaire général, vous trois, pour la clarté de votre propos. L’audition est captée, mais vous n’avez pas hésité à appeler un chat, un chat et caractérisé effectivement les états qui ne nous veulent pas que du bien. Je pense que c’est intéressant que vous puissiez le faire de la sorte.

Deuxième propos, c’est vous dire que lors des éditions précédentes, car cela fait maintenant plusieurs années que nous nous voyons, je veux vous dire que nous avons l’impression d’être écoutés et entendus. A ce titre, je voudrais vous remercier doublement.

Pour la première partie, entre les quelque 831 intrusions répertoriées en 2022 par l’ANSSI dans sa publication annuelle du panorama de la cybermenace, dont vous avez fait état, et les 170 000 demandes d’assistance reçues par le GIP Acyma Cybermalveillance, une clarification doit être apportée pour bien comprendre la stratégie du SGDSN pour atteindre l’objectif de la revue nationale stratégique d’une « résilience cyber de premier rang » aussi bien pour les opérateurs d’intérêt vital (OIV), les PME, les collectivités et les particuliers.

On a bien compris que pour le « haut du panier », l’application de la directive européenne dite NIS 2 devrait conduire l’ANSSI à décupler son champ de compétence. On part bien d’environ 700 OIV actuellement suivis par l’agence et d’après les estimations, vous nous dites désormais 15.000 entreprises pourraient être concernées lorsque la directive sera transposée d’ici fin 2024. Comment allez-vous vous confronter à ce défi pour réaliser ce passage de la cybersécurité à l’échelle industrielle, prévu par l’ANSSI ?
Avez-vous un calendrier de transposition de cette directive, une liste des obligations nouvelles qui pèseront sur les entreprises et une estimation du coût qu’elles devront supporter ? Quels services l’ANSSI leur apportera-t-elle ?

La semaine dernière, j’étais à Washington, où l’ancien président de PayPal était là. Il nous dit qu’ils subissaient 3 à 4 millions d’attaques par jour !

À l’autre extrémité du spectre, nous avons le grand public, nous avons les PME, les TPE et à peine une quinzaine de personnes et un budget de seulement 2 millions d’euros sont les moyens du GIP Cybermalveillance. Tout cela nous semble dérisoire pour couvrir les besoins du grand public, des collectivités, des PME et de ces associations. Quels objectifs fixez-vous à ce groupement notamment s’il est appelé à gérer le futur guichet unique « 17 cyber » que nous appelons de nos vœux au Sénat depuis maintenant cinq ans ? Je rappelle que le Président de la République l’a aussi demandé, il y a deux ans.

Entre les deux, vous avez fait la création de centres régionaux de réponse cyber. Ils ont été encouragés et financés dans le cadre du plan de relance. Leur montée en puissance est lente et leurs services très inégaux, d’après les remontées de terrain. Leur financement par l’État n’est pas pérenne et l’on comprend mieux pourquoi une région (Auvergne-Rhône-Alpe) n’est pas entrée dans le dispositif. Les autres régions (notamment la Nouvelle Aquitaine) redoutent de devoir reprendre à leur charge des missions de sécurité qu’elles estiment régaliennes. Quelles réponses apportez-vous sur le financement et la coordination de ces centres régionaux ? Disposez-vous d’un bilan de leurs actions ?

Enfin, je voudrais partager une réflexion, puisque j’étais il y a trois semaines à Taïwan et j’ai rencontré votre interlocuteur le SGDSN. Taïwan est certainement aujourd’hui la première destination des attaques où l’influence se combine avec l’ingérence, ces attaques venant de la Chine. Il s’avère que c’est le laboratoire des attaques cyber pour le monde et lorsqu’on a vu ces attaques testées sur Taïwan on les retrouve partout dans le monde. Taïwan organise des exercices internationaux cyber, je ne vais pas vous demander ici si vous allez y participer, mais je voudrais savoir si vous participez à des exercices internationaux au niveau de la cyber. Je vous remercie.

Il y avait aussi une question sur Viginum. Depuis la création de Viginum en 2021, il nous a semblé que ce service s’est montré très discret dans sa montée en puissance et la communication de ses résultats. À part une communication notable faite par le ministère des Affaires étrangères sur une affaire, vous l’avez évoquée, qui venait de Russie en Afrique, quelles actions pouvez-vous nous décrire pour justifier l’activité et le développement du service ?

Matinale du CyberCercle : point de situation, projets et défis de Cybermalveillance.gouv.fr autour de son DG, Jérôme Notin

Une belle matinale de rentrée organisée par le CyberCercle au Sénat, ce 14 septembre, en présence de Jérôme Notin, directeur général du GIP ACYMA (1) – Cybermalveillance.gouv.fr, devant une cinquantaine de représentants d’organisations publiques et privées engagées sur les sujets de confiance et sécurité numériques.

Ce fut l’occasion pour les participants d’échanger sur divers projets et actions en cours : le 17Cyber, le filtre anti-arnaque, le label Expert Cyber ou encore la complémentarité des dispositifs dans les territoires.

Début janvier 2022, le président de la République avait annoncé la création d’un nouveau dispositif d’assistance 24h/24 destiné à chaque citoyen, administration ou entreprise face aux actes de cyber-malveillance. Il est déjà surnommé le « 17 cyber » en référence au numéro de police-secours.

Le « 17Cyber va devenir une marque grand public ! », se réjouit Jérôme Notin. Je partage son enthousiasme pour cette plateforme de référence qui permettra aux victimes d’actes de cybermalveillance d’être informés des premiers gestes de secours face à une cyberattaque et d’avoir un parcours de dépôt de plainte facilité, en étant mis en contact avec des policiers ou des gendarmes. Concrètement, une aide pour les particuliers qui seront victimes d’hameçonnage, de cyber-chantage ou bien de piratage de compte et les professionnels qui font surtout face aux rançongiciels.

Nécessité faisant loi, rappelons que la plateforme Cybermalveillance.gouv.fr a vu passer 2,5 millions de visiteurs en 2021…

Le 17Cyber est un module d’assistance qui répondra au pari d’un guichet unique que je prône depuis janvier 2019 (lire le billet Mes 3 cyber-priorités pour 2019). J’ai toujours pris pour référence le Centre de crise et de soutien qu’on l’on appelle « naturellement » en cas de catastrophe. De plus, je trouve rassurant que le ministre de l’Intérieur veuille piloter ce projet.

Autre étape : l’État porte actuellement le filtre anti-arnaque. Capter et qualifier la menace (fausse amende, hameçonnage en tout genre…) doit se doubler d’un courage politique pour imposer des pratiques d’assainissement aux fournisseurs de l’internet, tel Google.

Par ailleurs, le directeur a souligné le succès du label ExpertCyber qui certifie les compétences en cybersécurité. Cette norme de référence distingue déjà des dizaines d’entreprises de services de cybersécurité de toutes tailles, sur l’ensemble du territoire national.

Enfin, véritable un serpent de mer, la question de l’harmonisation des réponses au niveau des territoires se pose toujours. On constate que chaque région a ses propres protocoles et ses ressources en matière de cybersécurité, que les CSIRT se mettent en place avec des organisations et des schémas différents par région, que l’État, à travers ses différents ministères et agences, met en place de nombreux dispositifs d’aide pour les territoires. Ce qui en soi montre que le sujet de la cybersécurité est aujourd’hui un sujet majeur, pris en compte par les instances publiques. Néanmoins, face à ce foisonnement, il serait utile d’être plus clair sur la complémentarité des dispositifs et d’en renforcer la visibilité, et, tout le moins, de disposer de lignes directrices claires pour savoir qui les victimes doivent contacter et comment traiter leurs requêtes.

Comme d’habitude, cette matinale du CyberCercle, présidé par Bénédicte Pilliet, fut très riche d’échanges, de retours d’expérience et de propositions.

– – –

Lire aussi : Pour une coordination de la cyberdéfense plus offensive dans la loi de programmation militaire 2024-2030, rapport d’information des sénateurs Olivier Cadic et Mickaël Vallet, au nom de la Commission des Affaires étrangères, de la Défense et des Forces armées du Sénat

(1) Créé en 2017, le groupement d’intérêt public Actions contre la Cybermalveillance (GIP ACYMA) a trois grandes missions : assister les victimes d’actes de cybermalveillance / prévenir les risques et sensibiliser les populations sur la cybersécurité / observer et anticiper le risque numérique par la création d’un observatoire.

LPM – Pour une coordination de la cyberdéfense plus offensive – Notre rapport

En 2022, plus de 170 000 demandes d’assistance ont été reçues par Cybermalveillance, dont 90% émanant de collectivités territoriales… Toute vulnérabilité des systèmes (établissements de santé, collectivités territoriales et PME) est désormais exploitée par les cybercriminels.

Avec mon collègue Mickaël Vallet, nous proposons de faire évoluer notre doctrine à travers un rapport intitulé “une coordination de la cyberdéfense plus offensive dans la loi de programmation militaire 2024-2030”. Ce travail a été conduit au nom de la commission des Affaires étrangères, de la Défense et des Forces armées du Sénat, présidée par Christian Cambon.

Si la chaîne de commandement militaire intègre une fonction offensive, c’est sans équivalent en cas de cyber-attaque sur des objectifs civils. C’est pourquoi la nouvelle loi de programmation militaire (LPM) prévoit un soutien militaire à l’Agence nationale de sécurité des systèmes d’information (ANSSI), en cas de crise majeure et un renforcement de ses capacités d’analyse.

Ainsi, en s’appuyant sur le potentiel de l’ANSSI et la caractérisation des attaques informationnelles relevant de Viginum, nous souhaitons, avec Mickaël Vallet, inciter le gouvernement à adopter une stratégie plus offensive, une « cyber dissuasion ».

A ce titre, nous saluons la dénonciation claire, mi-juin, du ministère de l’Europe et des Affaires étrangères d’une campagne de désinformation en provenance de Russie, liée à l’action de la France en Ukraine, qui doit préfigurer une « diplomatie de combat ».

Concernant la LPM 2024-2030, nous constatons un effort sans précédent au profit de la cyberdéfense des armées avec 4 milliards d’euros de besoins programmés (effectifs et technologies), contre 1,6 milliard d’euros pour la LPM 2019-2025.

L’enjeu qui perdure est celui de former aux métiers de la cyber-sécurité !

La synthèse du rapport (PDF)

Le rapport en HTML ou en PDF

RÉSUMÉ DES RECOMMANDATIONS 

LPM 2024-2030
> Accompagner le développement de la cyberdéfense régalienne autour de l’écosystème de Rennes en renforçant l’offre de formation.
> Encourager les acteurs français du cloud et de la cybersécurité.
> Prioriser les recrutements sur les postes non encore « armés ».
> Harmoniser les pratiques de recrutement sur la base du référentiel de rémunération des 56 métiers de la filière numérique et des systèmes d’information et de communication pour fidéliser les agents en poste et recruter des profils expérimentés (direction interministérielle du numérique).
> Veiller à la complémentarité de l’ensemble des pôles cyber existants en rapprochant le futur pôle d’excellence de formation cyber de Polytechnique avec l’écosystème et l’académie de la cyberdéfense de Rennes.

COORDINATION CIVILO-MILITAIRE
> Clarifier le périmètre de la transposition en France de la directive NIS 2.
> Établir un plan de progression des moyens de l’ANSSI, de l’OSIIC et de Viginum en rapport avec l’augmentation du périmètre de protection de la directive NIS 2.
> Lancer une réflexion sur l’opportunité de mieux intégrer les 3 fonctions de LID, LIO et L2I dans le domaine civil.
> Affirmer une stratégie de cyber dissuasion s’appuyant sur les capacités de cybersécurité de l’ANSSI et de caractérisation des attaques informationnelles relevant de Viginum.
> Envisager la nomination d’un responsable qualité des activités de cyberdéfense.

VOLET RÉGIONAL DE LA CYBERSÉCURITÉ
> Rationnaliser l’organisation cyber vers un guichet unique « 17 cyber » pour orienter les victimes en cas d’attaque ou de conflit majeur.
> Évaluer une organisation alternative aux CSIRT en concentrant les moyens publics sur le GIP ACYMA, tout en prévoyant une contractualisation État- Région pour les régions qui souhaitent pérenniser leurs centres de réponse.
> Harmoniser, en coordination avec le GIP ACYMA, les modalités d’appel des CSIRT régionaux et les services de cybersécurité rendus.

CP – Guerre hybride : le ministère de l’Europe et des Affaires étrangères et Viginum font tomber le rideau sur les manipulations russes contre la France

COMMUNIQUE DE PRESSE

Guerre hybride : le ministère de l’Europe et des Affaires étrangères et Viginum font tomber le rideau sur les manipulations russes contre la France

Le Sénateur Olivier Cadic se réjouit de l’action primordiale menée par Viginum dans la détection d’une campagne de désinformation orchestrée par des acteurs russes contre la France.
Le Sénateur salue également le rôle de notre diplomatie dans la dénonciation ouverte de ces agissements. “La France prend position de manière claire et courageuse en nommant ouvertement les auteurs de ces actes malveillants.
Je soutiens vivement cette diplomatie de combat menée par la ministre Catherine Colonna pour lutter contre les pratiques indignes de la diplomatie russe”, a ajouté le Sénateur Cadic.
“Je tiens à féliciter VIGINUM pour sa vigilance et son efficacité exemplaires. Son action proactive a démontré l’importance de cette agence dans la protection de nos institutions et de nos citoyens contre les tentatives de manipulation de l’information”, a déclaré le Sénateur Cadic.
VIGINUM, agence gouvernementale chargée de la détection des opérations de désinformation en ligne, a pu contrecarrer des tentatives d’usurpation d’identité sur des sites de médias nationaux et des sites gouvernementaux, allant même jusqu’à tenter d’usurper l’identité du Ministère de l’Europe et des Affaires étrangères (diplomatie.gouv.fr)
“La synthèse des enquêtes menées par VIGINUM est disponible sur les sites de France Diplomatie et du Secrétariat Général à la Défense et la Sécurité Nationale (SGDSN), et j’encourage tout le monde à en prendre connaissance”, a conclu le Sénateur Cadic.

À propos de VIGINUM : VIGINUM est l’agence de cybersécurité française responsable de la détection et de la prévention des attaques numériques visant la France. Son rôle essentiel dans la protection des intérêts nationaux et la préservation de la souveraineté numérique est reconnu à l’échelle internationale.

À propos d’Olivier Cadic : Olivier Cadic est Sénateur des Français établis hors de France ; Vice-Président de la Commission des Affaires étrangères de la Défense et des Forces armées, Rapporteur sur le budget du programme 129 sur la coordination du travail gouvernemental (Cyberdéfense et SGDSN – Secrétariat Général à la Défense et à la Sécurité Nationale).

LPM – Mon rapport sur la Cyberdéfense

À l’occasion de la préparation de la loi de programmation militaire, j’ai présenté, ce 24 mai, devant la commission des Affaires étrangères et de la Défense, mon rapport sur la cyberdéfense en compagnie de mon collègue Mickaël Vallet.

Texte de mon intervention

Mes chers collègues,

Le programme 129 que je rapporte avec mon collègue Mickaël Vallet sur la coordination de la sécurité et de la défense relève de la mission « Direction de l’action du Gouvernement », c’est-à-dire les services de la Première ministre, et non de la mission « Défense ». Nous y examinons chaque année en loi de finances le budget du Secrétariat général de la défense et de la sécurité nationale (SGDSN), dont relèvent notamment l’Agence nationale de sécurité des systèmes d’information (ANSSI).

Ce programme comporte toutefois plusieurs liens avec la LPM en cours d’examen et je remercie le Président de la commission d’avoir bien voulu renouveler la mise en place d’un groupe de travail sur le thème de la coordination de la cyberdéfense, comme pour la LPM précédente. Je remercie André Gattolin d’avoir rejoint et contribué aux travaux du groupe.

« Il va falloir être plus connectés et moins vulnérables », a dit Eric Trappier, Pdt Dassault Aviation, ce matin. Cet objectif guide nos réflexions.

Quels sont ces points de contact entre l’ANSSI et la LPM ?
En premier lieu, la résilience cyber a été érigée en objectif stratégique par la Revue nationale stratégique et le Président de la République a annoncé dans son discours sur la LPM son souhait de voir doubler notre capacité de traitement des attaques cyber majeures.
A notre sens, cet objectif ne peut s’inscrire que dans une coordination entre les milieux civils et militaires, le public et le privé, le national et le local.
S’y ajoute un enjeu de coordination entre le bouclier (lutte informatique défensive) et le glaive (lutte informatique offensive) qui caractérise la dichotomie du dispositif français :
– avec d’une part la compétence de l’ANSSI sur le volet défensif des réseaux interministériels, des opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE) au nombre desquels figurent par exemple 142 centre hospitaliers ;
– et d’autre part la compétence de lutte informatique offensive dont l’existence est reconnue mais dont les acteurs et les moyens relèvent du ministère des armées et donc in fine du Président de la République si une action devait être déclenchée.

On se demande d’ailleurs si le seul objectif de doublement de capacité est suffisant quand on sait la progression exponentielle des menaces répertoriées par l’ANSSI (831 intrusions avérées) et Cybermalveillance (plus de 170 000 demandes d’assistance dont plus de 90% émanent de collectivités territoriales).

Sur le volet militaire de la lutte informatique défensive (LID), le commandement de la cyberdéfense (COMCYBER) a traité en une année 150 événements de sécurité numérique touchant au périmètre du ministère des armées (hors services de renseignements).

Le second point de contact a trait à la coordination civilo-militaire entre ANSSI d’une part et le COMCYBER, la DGA-MI (Délégation générale à l’armement « maîtrise de l’information ») et la DGSE d’autre part.
Le groupe de travail s’est rendu à Rennes à la rencontre du Pôle d’excellence cyber et dans les locaux du ComCyber et de la DGA-MI. Il nous y a été relaté la relation très directe et quasi quotidienne entre l’ANSSI et la DGA-MI cette dernière apportant son expertise technique dans le traitement des données et la conception de programmes dédiés.

Comment véritablement inscrire dans la prochaine LPM la nécessité de rapprocher les fonctions défensives et offensives (qui sont traditionnellement et structurellement séparées dans notre organisation actuelle) pour que la défense de nos intérêts soit mieux intégrée, notamment entre l’ANSSI pour le volet civil (en métropole et dans les outre-mer) et le ComCyber pour le volet militaire ?

Le troisième point de contact entre ANSSI et LPM se matérialise par 4 articles normatifs :
– l’article 32 visent à demander aux opérateurs un filtrage des noms de domaine afin d’entraver une menace susceptible de porter atteinte à la sécurité nationale ;
– l’article 33 prévoit la transmission à l’ANSSI de données lui permettant d’identifier les serveurs et infrastructure des pirates informatiques ;
– l’article 34 vise à obliger les éditeurs de logiciels informatiques à informer l’ANSSI et les utilisateurs de tous incidents ou vulnérabilité de leur produit ;
– enfin, l’article 35 vise à renforcer les capacités de détection des cyberattaques en permettant à l’ANSSI l’accès au contenu des communications et à l’identité des victimes présumées de cyberattaques.
J’attire votre vigilance sur ces articles qui soulèveront certainement un débat sur la question de l’accès aux contenus des communications, alors que jusqu’à présent le leitmotiv de l’ANSSI est d’accéder aux réseaux, c’est-à-dire les contenants, mais pas aux contenus proprement-dit.
On pourra s’interroger sur la compétence de l’ARCEP en tant qu’autorité de contrôle a priori sur les avis autorisant l’accès aux données de contenu. Alors même que le projet de loi propose la suppression de l’assermentation judiciaire des agents de l’ANSSI, celle-ci emploierait des techniques d’accès au contenu jusqu’alors réservées aux services de renseignement, ce que n’est pas l’agence.

S’agissant du financement, le rapport annexé à la LPM prévoit 4 milliards d’euros de besoins programmés pour la cyberdéfense afin d’augmenter les effectifs, de s’adapter aux évolutions technologiques, d’accompagner les entreprises du secteur de la défense et d’appuyer l’ANSSI en cas de crise cyber nationale.
Il faut rappeler que le ComCyber est susceptible de mettre à disposition quelques cybercombattants pour soutenir directement l’ANSSI, mais pas dans des proportions annoncées pour faire face à un doublement des cyberattaques.
Cela pose la question de la cible d’augmentation des effectifs pour la période 2024-2030 : le ministre des armées a annoncé une hausse de 953 ETP pour le seul ministère des armées répartis entre la DGSE, la DGA et les armées. C’est moins que les 1 500 postes prévus dans le domaine cyber pour la LPM 2019-2025.

J’en viens maintenant à quelques observations assorties de propositions :
– Ainsi que le ministre des armées l’a précisé lors de son audition, aucun des 4 milliards de crédit de la LPM n’est destiné à l’ANSSI. La LPM ne vise aucunement à financer le passage de l’ANSSI de 660 agents en 2023 à 800 agents en 2027.
Cette augmentation sera financée par le budget du SGDSN.
Une question se pose si ces 4 milliards d’euros sont principalement fléchés vers la DGSE, la DGA-MI et le COMCYBER, en partie dans le but de pouvoir davantage contribuer à l’action défensive.
La raison serait d’organiser l’emploi des ressources publiques et privées en cas de dépassement des capacités de l’Etat à faire face à une crise cyber d’ampleur.
Mais alors pourquoi ne serait-ce pas à l’ANSSI, au lieu de l’armée, de monter davantage en puissance afin de coordonner directement les capacités cyberdéfensives publiques et privées du pays pour faire face à la massification des attaques ?
– Enfin, je souhaite formuler deux observations plus générales sur les stratégies de réponse. S’il existe bien une comitologie de niveau stratégique (le C4 strat est mensuel) et opérationnel (le C4 TechOps est quasi quotidien), on peut s’interroger sur les conditions de contrôle de l’efficience globale du dispositif.
Ensuite, je ne partage pas, et d’autres pays alliés non plus, la stratégie de la revue nationale stratégique selon laquelle, je cite, « l’application d’une logique dissuasive dans le cyberespace qui forcerait tout attaquant à la retenue contre la France est illusoire ».
Comme l’a dit le Président de la République, le 9/11/23, « Une attitude qui serait seulement réactive, voire défensive, pourrait passer pour une forme de passivité ».
Voilà pourquoi je pense qu’il faut absolument faire évoluer l’action de l’ANSSI vers un rôle plus offensif, a minima plus proactif, ainsi que le prévoient certains des articles de la LPM.

Cybersécurité & Cyberdéfense – BITD – (vidéo 5″50)

Ce 17 mai, la commission des Affaires étrangères, de la Défense et des forces armées du Sénat a auditionné Marc Darmon, président du GICAT (Groupement des Industries Françaises de Défense et de Sécurité terrestres et aéroterrestres), Guillaume Faury, président du GIFAS (Groupement des Industries Françaises Aéronautiques et Spatiales ainsi que Pierre Éric Pommellet, président du GICAN (Groupement des Industries de Construction et Activités Navales) sur le projet de loi de programmation militaire.

J’ai saisi l’occasion pour poser plusieurs question en matière cyber, notamment sur l’initiative lancée par le département de la défense américain en juillet 2022 pour un cloud de défense intitulé “Zero Trust reference architecture”.

J’ai également demandé si la Loi de Programmation Militaire (LPM) nous permettra de disposer d’un cloud de défense suffisamment sécurisé au regard des investissements que les États-Unis consacrent à cet objectif.

VERBATIM de mon intervention

Messieurs les présidents,

Concernant la cyber-sécurité et la cyber défense, nous avons visité la semaine dernière la DGA et le cyber command à Rennes, en compagnie de mes collègues Mickaël Vallet et André Gattolin.

Nous avons été très agréablement surpris, et cela va aller dans le sens de vos propos, et rassuré par le niveau des capacités présentées pour répondre aux défis futurs dans le cyber.
Je voudrais d’ailleurs féliciter Thales, qui a réussi à neutraliser un satellite de démonstration en orbite dans le cadre d’un défi lancé par l’Agence spatiale européenne à des experts de la cybersécurité de l’écosystème spatial.
Ce hacking satellitaire est une première mondiale et c’est important de le souligner.

La principale inquiétude dans notre dispositif est quand même la vulnérabilité de la BITD en matière cyber.
On nous fait une guerre cyber. Les 14 affaires d’espionnage cyber en 2021 dont 9 sont d’origine chinoises en témoignent. Nos agresseurs sont à l’initiative.
En répondant à mon collègue Michael Vallet sur les défis en ressources humaines concernant la cyber, le Président Darmon a répondu par anticipation à une question que j’avais prévue, pour savoir ce qui était prévu pour que la BITD ne soit pas le maillon faible de notre dispositif en cyber.

J’aimerais poser une question complémentaire par rapport à votre réponse.
Le département de la défense américain a lancé une initiative en juillet 22 pour un cloud de défense intitulé Zero Trust reference architecture qui prévoit d’associer les grands noms américains comme Microsoft.
Comment analysez-vous cette initiative ?
Pensez-vous que la LPM nous permette de disposer d’un cloud de défense suffisamment sécurisé au regard des investissements que les États-Unis consacrent à cet objectif ?

AFE – Audition Cybersécurité

Ce 28 mars, à l’invitation d’Avraham Benhaim, président de la commission Sécurité et Risques Sanitaires, et de Pierre Leducq, vice-président, je suis intervenu une seconde fois lors des travaux de l’AFE sur le thème de la cybersécurité.

J’ai remercié les membres de la commission de faire de la cybersécurité un fil rouge de leur action.

Chargé du suivi de la cybersécurité au Sénat, qui relève du programme 129, je les ai informés sur les événements de la veille. Les sites de l’Assemblée nationale et du Sénat avaient subi une cyber-attaque venant d’un groupement russe. Le site des députés est resté inaccessible pendant 4 heures et l’attaque avait été parée au Sénat.

J’ai demandé à la commission de recommander que tous les sites des consulats disposent d’un lien vers cybermalveillance.gouv.fr pour indiquer à nos compatriotes comment réagir et se protéger avec les outils numériques.

J’ai également recommandé que chacun soit équipé d’un VPN lors de connexion sur les réseaux wifi, surtout dans les aéroports. J’ai découvert que seule une minorité des membres de la commission en disposait.

J’ai partagé nombre d’observations recueillies dans le cadre de ma mission. À titre d’exemple, en matière de désinformation, j’ai décrit les procédures de réaction de Taiwan qui me paraissent les plus évoluées.

Pour la sécurité des données personnelles, l’Estonie me paraît proposer un système très intéressant.

Résilience cyber & Lutte d’influence  – Audition FRS & IFRI – Vidéo Q/R 3’40

Ce 8 mars, audition conjointe de Bruno Tertrais, directeur adjoint de la Fondation pour la Recherche stratégique (FRS) et de Thomas Gomart, directeur de l’Institut français des relations internationales (IFRI) par notre commission des Affaires étrangères et de la Défense.

Mes deux questions ont porté sur la résilience cyber et la nécessité de rapprocher les fonctions défensives et offensives, puis sur la guerre informationnelle.

Sur la guerre informationnelle, Bruno Tertrais (FRS) a mis ma question en perspective avec les JO2024, tandis que Thomas Gomart (IFRI) a préféré utiliser la notion de “guerre cognitive”, faisant référence à des applications telles que TikTok, “qui régissent à la fois nos comportements de consommateurs et nos comportements politiques”.

➡️ VERBATIM

Monsieur le Président, deux questions, une relative à la résilience Cyber et l’autre à la guerre informationnelle.

La résilience cyber a été érigée en objectif stratégique par la Revue nationale stratégique et le Président de la République a annoncé dans son discours sur la LPM son souhait de voir doubler notre capacité de traitement des attaques cyber majeures.
On se demande d’ailleurs si le seul objectif de doublement de capacité est suffisant quand on sait la progression exponentielle des menaces répertoriées par l’ANSSI et Cybermalveillance.
Au-delà de ces chiffres, comment véritablement inscrire dans la prochaine LPM la nécessité de rapprocher les fonctions défensives et offensives (traditionnellement, structurellement, séparées dans notre organisation actuelle) pour que la défense de nos intérêts civils et militaires soit mieux assurée ?

Concernant la guerre informationnelle, nous étions avec le général Morel à l’instant qui s’occupait de nos forces de sécurité au Qatar pendant la coupe du monde et s’il y a bien un endroit ou les autorités qataris étaient débordées, c’est justement la guerre informationnelle qui leur a été faite pendant la coupe du monde.
À l’échelle de la LPM, la création de Viginum peut sembler une réponse encore modeste pour mettre en œuvre la fonction stratégique qui a été définie par le revue nationale stratégique. D’ailleurs, c’est au Ministère des affaires étrangères que cette fonction a été confiée pour ce qui concerne notre influence extérieure. Je voudrais dire que par exemple, Taiwan, qui est à mon avis le plus performant dans ce domaine, ce n’est pas du tout le choix qu’ils ont fait.
Ces réponses institutionnelles se situent d’ailleurs en marge de la LPM en tant que telle alors même que l’on peut dire que notre retrait militaire du Mali et du Burkina Faso sont des défaites sur le champ de bataille de l’influence.
Quelle analyse vous suggère ce constat et quelles réponses pouvez-vous suggérer ?

Cybersécurité – La plateforme Cybermalveillance.gouv.fr fête ses 5 ans

Depuis cinq ans, face à une cybermenace qui ne cesse de croître et se sophistiquer, le dispositif Cybermalveillance.gouv.fr a largement démontré sa capacité à répondre au besoin d’assistance et de sensibilisation auprès des particuliers, des entreprises et des collectivités, puisque plus de 250.000 victimes ont été assistées en 2022 et 4 millions de personnes ont visité la plateforme cette même année.

J’ai répondu avec plaisir à l’invitation de Jérôme Notin, directeur général du Groupement d’Intérêt Public Actions contre la Cybermalveillance (GIP ACYMA), de venir célébrer ce 5ème anniversaire, le 1er décembre, au cours d’une soirée en présence de Jean-Noël Barrot, ministre délégué chargé de la Transition numérique et des Télécommunications et de Guillaume Poupard, directeur général de l’ANSSI et président du GIP ACYMA (à l’image).

Face aux nouveaux enjeux et fort de sa position acquise au sein de l’écosystème cyber français, Cybermalveillance.gouv.fr prépare de nouvelles solutions (lutte contre les arnaques, “17Cyber”…), “autant de projets et d’efforts qui feront demain de Cybermalveillance.gouv.fr, le premier réflexe Cyber de tous les Français”, ambitionne Jérôme Notin.

J’adresse toute mes félicitations à l’équipe de Cybermalveillance.gouv.fr et je continuerai à me faire le relais de leurs messages.

PLF2023 – Mon rapport sur les crédits de la coordination du travail gouvernemental (CYBERDÉFENSE, SGDSN)

Ce 16 novembre, avec mon collègue Mickaël Vallet, nous sommes intervenus devant la commission des Affaires étrangères, de la Défense et des Forces armées, présidée par Christian Cambon, en qualité de rapporteur pour avis sur les crédits du programme 129 «Coordination du travail gouvernemental», plus précisément sur la cyberdéfense et les stratégies d’influence.

Je me suis félicité du fait que l’enjeu de la guerre informationnelle, que j’avais mentionné lors des débats sur la LPM en 2018, soit désormais été élevé au rang de “nouvelle fonction stratégique” par le Président de la République, dans son discours de Toulon du 9 novembre dernier.

Allons-nous nous contenter de regarder chaque année le compteur des cyber-attaques s’affoler ?

Nos principaux partenaires, américains et britanniques, ont compris qu’aller entraver les cybercriminels sur leur terrain, c’est aussi prévenir les attaques avant qu’elles n’arrivent et pratiquer une forme de dissuasion numérique.

Je formule donc la proposition que nous nous dotions d’une stratégie offensive face aux cyber-attaques, que nous nous dotions d’un directeur national de la cybersécurité et que nous nous coordonnions avec nos principaux partenaires, car c’est un combat sans frontières.

Je voudrais insister sur deux points :

  • La nécessité de former et responsabiliser tous les acteurs en cybersécurité, à commencer par les simples utilisateurs ;
  • Alerter sur la nocivité du paiement des rançons. Ceux qui sont contraints de payer pour sauver leur entreprise doivent savoir qu’ils alimentent les revenus de la cybercriminalité qui dépassent désormais ceux du narcotrafic. Ils contribuent également au financement du terrorisme.

Tous les pays occidentaux sont dépassés par l’échelle des attaques. On nous fait une guerre cyber. Les 14 affaires d’espionnage cyber en 2021 dont 9 sont d’origine chinoises en témoignent. Nos agresseurs sont à l’initiative. Nous avons un retard à rattraper.

VERBATIM de mon intervention

Sénat – Monténégro – Cybersécurité

Nous avons reçu une visite d’une délégation de députés monténégrins, dans le cadre du programme européen Inter Pares au Sénat, ce 2 novembre.

Cette délégation souhaitait échanger autour de la thématique de la cybersécurité, j’ai pensé à un dialogue avec mon collègue Mickaël Vallet et moi autour de notre rapport relatif à la Coordination du travail gouvernemental en matière de cyberdéfense.

Le Monténégro a subi une cyberattaque majeure il y a trois mois. 17 systèmes différents localisés dans 10 ministères ont été corrompus. 3000 ordinateurs d’état doivent être réinstallés. La délégation a remercié l’engagement de la France pour les aider, à commencer par l’ANSSI, qui a vite dépêché 15 agents.

Sulfo Mustafic, député du Monténégro, membre de la commission Sécurité et Défense, remercie le Sénat pour sa coopération.

Deux groupes organisés ont mené ces attaques. Ils soupçonnent que les Russes en soient à l’origine.

Ces attaques sont un prolongement de toutes les actions malicieuses subies par le Monténégro depuis son adhésion à l’OTAN, comme la multiplication de sites internet développant des fake news pour déstabiliser leur pays.

En 2018, le Montenegro a créé un centre d’expertise pour distinguer les fake news venant de la Russie.

J’ai recommandé à Sulfo Mustafic, député du Monténégro, de rencontrer Jérôme Notin, directeur de la plateforme Cybermalveillance.

Une adaptation de ce site en langue locale offrirait un excellent outil pour faciliter l’information sur les menaces cyber et la formation des Monténégrins sur les bonnes pratiques en cybersécurité. +d’images

La Défense – Visite du Cyber Campus

Ce 25 octobre, découverte du Cyber Campus avec mon collègue Mickaël Vallet : un écosystème fédérant ingéniosité, innovation et enthousiasme au service de la cybersécurité.

Projet initié par le Président de la République, le Campus Cyber prévoit de mettre en place des actions visant à fédérer la communauté de la cybersécurité et à développer des synergies entre ces différents acteurs.

L’Agence nationale de la sécurité des systèmes d’information (ANSSI), objet de notre rapport sénatorial annuel sur le programme 129, participe à la gouvernance du cyber campus et occupe un plateau de la tour.
➡️ Rencontre avec EPITA
➡️ Rencontre avec le Cyber Booster (start up studio)
➡️ Visite du Showroom avec Rencontre Yes We Hack (démo casque VR)
➡️ Rencontre Sekoia
➡️ Présentation base CTI – communs du Campus
➡️ Rencontre avec Michel Van Den Berghe, président du Cyber Campus +d’images

LOPMI – Cyber-attaques : ne payez jamais de rançon ! – Vidéo 3m

Lors des débats sur le projet de loi Orientation et programmation du ministère de l’intérieur (LOPMI), ce 12 octobre, j’ai défendu un amendement pour obtenir la suppression d’un article qui légitime de fait le remboursement des cyber-rançons par les assureurs, ce qui est en rupture avec la doctrine constante de l’ANSSI (*) selon laquelle la France ne paie pas de rançon !

Tout versement de rançon finance le terrorisme et incite les criminels à poursuivre leurs activités.

Je regrette que le Sénat se soit rangé à la vision d’une opportunité de marché pour les assurances afin de justifier le versement de rançons.

(*) Agence nationale de la sécurité des systèmes d’information

Débat CyberCercle – Politique publique de sécurité

Ravi d’accueillir au Sénat, ce 6 octobre, une réunion du CyberCercle, présidé par Bénédicte Pilliet, aux côtés de mon collègue Mickaël Vallet.

Ce fut l’occasion d’avoir un échange privilégié dans le cadre de la rédaction du rapport d’informations sur la coordination du travail gouvernemental (cyberdéfense – SGDSN).

Une cinquantaine d’experts ont partagé leur expérience et leur regard pour enrichir notre rapport budgétaire.

Cyberassurance, rançongiciel, responsabilité, collectivités, lutte informationnelle… autant d’angles qui ont été abordés lors de cette matinale. +d’images