Accueil      En circonscription      Sénat      Bilan de mandat      Revue de Presse          Parcours      Contact     
    

PLF 2026– Cybersécurité : Mais où sont les stratégies promises ? – Vidéo 3’

12 décembre, 2025
Au Sénat, Cyber
0 commentaire

Dans le cadre du projet de loi de finances 2026, je suis intervenu ce 10 décembre en qualité de rapporteur pour avis de la commission des Affaires étrangères, de la Défense et des Forces armées pour le programme 129 « Coordination du travail gouvernemental » (gestion de crises, cyberdéfense, renseignement).

VERBATIM

Cela fait neuf ans que je présente le budget du programme 129 « Coordination du travail gouvernemental », et désormais, nul besoin d’expliquer son utilité : chacun connaît ou a subi une cyberattaque, qu’elle vise France Travail, l’Urssaf, un hôpital ou prenne la forme d’un faux message bancaire ou d’un faux colis.

L’objet de l’action n°2 « Coordination de la sécurité et de la défense » entre dans le champ de compétence de la commission des Affaires étrangères, de la Défense et des Forces armées au titre des fonctions de cybersécurité, de protection contre les ingérences numériques étrangères et de soutien aux services de renseignement, prévus par la Revue nationale stratégique 2025.

C’est d’ailleurs par ce qu’il concerne la défense et la sécurité nationale que ce budget est l’un des rares à augmenter par rapport à 2025, avec 431 millions d’euros pour 2026.

Seront donc confortés les moyens du SGDSN et avec lui : l’ANSSI, Viginum, l’OSSIC et les fonds spéciaux pour le financement des actions couvertes par le secret de la défense nationale.

La commission a proposé l’adoption des crédits de la mission « direction de l’action du Gouvernement ».

Je voudrais pour conclure évoquer plusieurs questions restées sans réponses qui sont autant de points d’alerte :

– de nouvelles stratégies nationales de cybersécurité et de lutte contre les manipulations de l’information avaient été annoncées l’an dernier.

Quand nous seront-elles communiquées et publiées ?

– les cyberattaques et les manipulations de l’information concernent toute la population, quand aurons-nous les retours d’expériences de l’ANSSI sur les attaques massives que j’ai évoquées ?

– en ma qualité également de président de la commission spéciale relative au projet de loi « Résilience et cybersécurité », j’évoque le problème des points d’entrée dans le dispositif de lutte contre les cyberattaques et surtout la manière dont l’ANSSI envisage la mise en œuvre réglementaire de la directive NIS 2.

Dans ce cadre, il est essentiel de rappeler que la norme ISO 27001, relative aux systèmes de management de la sécurité de l’information, constitue aujourd’hui un référentiel reconnu permettant de répondre aux exigences de la directive NIS2, notamment en Belgique où elle fait déjà office de standard de conformité.

La récente attaque contre l’Ursaf fait apparaître que les administrations comme les entreprises devraient s’y conformer au plus vite pour garantir un niveau homogène de protection et de résilience.

La question centrale est de savoir en quoi d’autres obligations imposées aux entreprises et aux collectivités leur permettront d’être mieux protégées ?

Il y a ici une révolution des esprits à mener au sein des services de l’État pour que la résilience et la sécurité ne soient pas l’affaire de quelques-uns mais de tous, comme la publication du guide « tous responsable » que je salue en espérant qu’il ajoute bientôt dans les numéros d’urgence le 17Cyber qui fêtera son premier anniversaire dans une semaine.

17Cyber – Ma question écrite pour un véritable guichet unique

24 octobre, 2025
Au Sénat, Cyber
0 commentaire

En mars dernier, l’Assemblée des Français de l’étranger (AFE) a adopté à l’unanimité une résolution visant à permettre aux Français établis hors de France d’accéder au service de dépôt de plainte en ligne, et à renforcer la visibilité du dispositif 17Cyber, guichet unique d’assistance aux victimes d’actes de cybermalveillance.

Cette résolution faisait suite à l’audition que j’avais menée, aux côtés de Jérôme Notin, directeur général du GIP ACYMA, pour encourager l’extension du champ d’action du 17Cyber et sa pleine intégration dans le réseau consulaire (compte-rendu).

Malheureusement, la réponse du ministère de l’Intérieur à cette initiative s’est révélée insatisfaisante (lire). Elle tend à assimiler le 17Cyber à un portail généraliste, remettant ainsi en cause le principe même d’un guichet unique dédié à la cybermalveillance.

J’ai donc adressé une question écrite au ministre de l’Intérieur, afin de rappeler l’esprit de cette réforme demandée par le Président de la République et d’obtenir des garanties sur la reconnaissance du 17Cyber comme plateforme de référence pour toutes les victimes d’infractions numériques, qu’elles résident en France ou à l’étranger.

Question n° 06475 (23/11/2025) : M. Olivier Cadic appelle l’attention de M. le ministre de l’intérieur au sujet de la réponse apportée par son ministère à la suite de la résolution de la commission n°/03.2025 de la 42e assemblée des Français de l’étranger (10-14 mars 2025) touchant la cybersécurité de nos concitoyens installés à l’étranger.
Certaines réponses du ministère n’apparaissent pas satisfaisantes.
En réponse à la demande d’ajout d’un portail dédié sur les sites des consulats et ambassades redirigeant vers 17Cyber.fr ainsi que la mise en place de campagnes de sensibilisation sur la cybercriminalité auprès des Français de l’étranger, le ministère indique que ce portail existe déjà en faisant référence au site www.masecurite.interieur.gouv.fr/fr qui constitue le portail d’entrée unique vers tous les téléservices du ministère de l’intérieur. Cette affirmation s’oppose au principe même qui a justifié la création du téléservice 17Cyber, pourtant soutenu par le même ministère, et qui doit constituer le guichet unique des victimes de cybermalveillance.
Les typologies et variantes de la cybermalveillance évoluent au même rythme, intense, que celui de l’innovation et des usages numériques. Elles constituent aujourd’hui un enjeu sociétal associé à des risques toujours plus évolutifs dont la dangerosité augmente continuellement. Compte tenu de la spécificité de leur domaine, elles occupent une place à part parmi les problèmes de sécurité de concitoyens. Face au désarroi grandissant qu’elles provoquent, la réponse de l’État doit être claire, lisible, précise et rassurante. Il est donc essentiel de concentrer la communication sur une plateforme unique et spécialisée afin d’éviter d’égarer les victimes vers des sites, toujours plus nombreux, qui proposent des formules diverses, et parfois contestables, de remédiation. C’est particulièrement souhaitable pour les plateformes mises en service par des services officiels.
Il est également indispensable que la réponse de l’État dispose d’une expertise incontestable, ce que propose aujourd’hui le 17Cyber. Ce téléservice, issu de l’expérience acquise depuis 8 ans par l’équipe chargée de cybermalveillance.gouv.fr, concentre un savoir-faire remarquable et sans égal sur plan technique comme ergonomique. Il propose à nos concitoyens, entreprises et collectivités un large éventail de services, toujours mis à jour, de diagnostic et d’assistance.
Il lui demande quelles mesures le Gouvernement entend prendre afin que le 17Cyber devienne le nouveau réflexe, tel qu’affirmé lors de son lancement, des Français victimes de cyberdélinquance, qu’ils soient basés en France ou à l’étranger.

Sénat – Ministère chargé de l’Intelligence artificielle et du Numérique – Cyber Sécurité

22 octobre, 2025
Au Sénat
0 commentaire

Merci à Anne Le Hénanff, ministre chargée de l’IA et du numérique, pour son invitation.

Nous avons échangé sur la loi Résilience à venir à l’Assemblée, et en particulier sur mon amendement voté au Sénat visant à empêcher l’imposition de backdoors dans les systèmes de chiffrement (compte-rendu). On ne peut pas renforcer la sécurité tout en créant nous-mêmes des brèches exploitables par des acteurs malveillants.

Nous avons également évoqué le retard de mise en œuvre du filtre anti-arnaque voté dans la loi SREN (sécuriser et réguler l’espace numérique), qui semble résulter d’une entrave administrative. La ministre partage cette préoccupation.

Enfin, j’ai rappelé la nécessité de structurer la réponse cyber sur le modèle des urgences médicales, avec le 17Cyber, comme point d’entrée unique pour particuliers et entreprises.

Merci encore à Anne Le Hénanff pour son soutien constant à l’équipe de Cybermalveillance.gouv.fr et au 17Cyber, dirigé par Jérôme Notin.

Cybersécurité : 17Cyber, le rêve devenu réalité !

09 juillet, 2025
Au Sénat, Cyber
0 commentaire

« Garde tes rêves au plus profond de toi et un jour, ils se réalisent. », Walt Disney.

En janvier 2019, à mon retour de Beer Sheva en Israël (compte-rendu), j’ai formé le vœu d’un numéro d’appel unique pour toutes les victimes d’une agression cyber en France et y compris pour les Français de l’étranger.

J’ai plaidé sans relâche pour mettre en œuvre ce service. Trois ans plus tard, en janvier 2022, le Président de la République, Emmanuel Macron, a fixé pour objectif la création de ce service en France.

Le 17/12/2024, grâce à l’action de Jérôme Notin et des équipes du GIP ACYMA (Cybermalveillance.gouv.fr), le 17Cyber est entré en service pour répondre à la demande du Président.

À Carlton Gardens, à Londres, ce 8 juillet, j’ai remis le rondache 17Cyber au Président de la République, de la part de Jérôme Notin, en présence de Sir Keir Starmer, Premier ministre britannique.

Je suis très reconnaissant envers Emmanuel Macron d’avoir créé les conditions de ce progrès.

Le président de la République a voulu rendre hommage à l’équipe du 17Cyber.

Leur travail remarquable protège et aide nos compatriotes face aux cyber attaques.

Mon rêve est réalisé.
Avec cette photo, la boucle est bouclée.
Merci au Président de la République !
Merci à Jérôme Notin et ses équipes !

INFOLETTRE n°246 – Mai 2025

06 juin, 2025
Au Sénat
0 commentaire

Lire : l’INFOLETTRE n°246 – Mai 2025Logo HebdoLettre bleu - Rond75

Edito

Madame, Monsieur, chers élus, chers amis,

Comme le poinçonneur des Lilas, chanté par Gainsbourg, qui a disparu des stations de métro, l’agent qui percevait les droits de chancellerie est appelé à d’autres fonctions dans nos consulats.

Depuis le 2 juin, les Français de l’étranger peuvent désormais régler en ligne leur demande de passeport ou de renouvellement de carte d’identité via un timbre électronique (timbres.impots.gouv.fr), avant de se rendre au consulat.

Cette « mesure de modernisation attendue de longue date », saluée par Pauline Carmona, directrice de la DFAE, concrétise l’annonce qui avait été faite par Laurent Saint-Martin, ministre du Commerce extérieur et des Français de l’étranger, devant l’AFE, conformément aux priorités fixées par Jean-Noël Barrot, ministre de l’Europe et des Affaires étrangères devant les ambassadeurs en janvier.

Au-delà du gain de temps lors du passage aux consulats, cela va également permettre de redéployer des postes vers des services à valeur ajoutée pour les Français à l’étranger.

Ainsi à Londres, comme évoqué le 16 mai dernier, avec Samer Melki, consul général, le poste pourra être redéployé au consulat général de France à Édimbourg, après l’installation d’une station de recueil de demandes de titres d’identité et de voyage, prévue à l’automne.

Cela évitera aux Français d’Ecosse et du nord de l’Angleterre de se rendre à Londres pour demander ou renouveler leurs passeports et cartes nationales d’identité.

Félicitations à Samer Melki, Stéphane Pailler, consul général à Édimbourg, et à tous ceux qui leur ont donné le feu vert à Paris pour cette décision, qui est l’aboutissement heureux d’une mesure réclamée depuis 11 ans par Christian Albuisson, président du conseil consulaire à Édimbourg (Voir).

Cela récompense l’engagement opiniâtre de Christian, rejoint par Véronique Miller, conseillère des Français d’Écosse, lors de son élection en 2021, et tous ceux qui leur ont apporté leur soutien.

Ce sera moins de fatigue, moins de jours perdus, moins d’empreinte carbone pour les Français d’Écosse, et moins d’engorgement au consulat à Londres. Bref, que du plus !

Fidèlement,

Olivier Cadic

Sommaire :

FRANÇAIS DE L’ÉTRANGER
. Français de l’étranger et services publics : audition de Pauline Carmona
. En réponse à ma question écrite, le gouvernement confirme l’impossibilité pour un fonctionnaire en disponibilité de se présenter à un concours interne
. Ces Alliances françaises qui rayonnent depuis la France
. Français de l’étranger : ouverture du paiement par timbre électronique pour les passeports et cartes d’identité
. Protection sociale des Français de l’étranger : consultation citoyenne

EN CIRCONSCRIPTION
> BAHREÏN – Manama (20–22 avril 2025)
> KOWEÏT – Koweït City (23-25 avril 2025)
> LIBAN – Beyrouth / Tripoli / Balamand / Byblos (25-29 avril 2025)
> ESPAGNE – Barcelone (05-06 mai 2025)
> ÉGYPTE – Le Caire (8-10 mai 2025)
> MALTE – La Valette / Zebbug (11-12 mai 2025)
> ROYAUME-UNI – Londres (15–16 mai 2025)

SÉNAT – COMMISSION DES AFFAIRES ÉTRANGÈRES, DE LA DÉFENSE ET DES FORCES ARMÉES
. Ministère de l’Europe et des Affaires étrangères – Diplomatie parlementaire
. Audition sur les enjeux de l’Arctique
. Royaume-Uni – Ambassade
. Pologne – Fête nationale
. Estonie – Délégation parlementaire – Groupe d’amitié
. Bahreïn – Accueil de l’Ambassadeur
. IPAC – Unité transatlantique interparlementaire face à la Chine
Découvrir l’InfoLettre n°246

INFOLETTRE n°244 – Mars 2025

08 avril, 2025
Au Sénat
0 commentaire

Lire : l’INFOLETTRE n°244 – Mars 2025Logo HebdoLettre bleu - Rond75

La liberté de désinformer

Madame, Monsieur, chers élus, chers amis,

Le 14 mars dernier, le président Donald Trump a publié un décret visant à supprimer USAGM, l’organisation mère de plusieurs médias d’information indépendants, tels que Voice of America (VOA), Radio Free Asia (RFA) et Radio Free Europe/Radio Liberty (RFE/RL).

Ces médias sont les derniers garants d’un journalisme libre dans les zones où la liberté de la presse est la plus menacée. Ainsi, RFE/RL est l’ultime refuge de la résistance médiatique dans de nombreux pays européens autoritaires (comme en Géorgie et en Azerbaïdjan).

Le démantèlement de RFE/RL est l’un des plus beaux cadeaux dont les régimes autocratiques pouvaient rêver. Ainsi, en Russie, Margarita Simonyan, propagandiste-en-chef du Kremlin et rédactrice-en-chef de RT, a qualifié cette décision d’excellente nouvelle !

Le 17 mars la Tchéquie a lancé une initiative, auprès du Conseil des Affaires étrangères, afin que l’Union européenne vienne financièrement au secours de RFE/RL, dont le budget de fonctionnement annuel est de 150 millions de dollars (un réseau de 1700 journalistes qui opèrent en 27 langues dans 23 pays européens).

Depuis, la Tchéquie a été rejointe par divers pays européens : Autriche, Belgique, Estonie, Allemagne, Lettonie, Lituanie, Pays-Bas, Pologne, Slovénie, Suède, Finlande, Danemark…

Je m’associe aux démarches de Reporters sans frontières (RSF), appuyées publiquement par Ursula Von der Leyen, afin d’encourager tous les États membres, dont la France, à soutenir cette initiative, pour ne pas laisser le champ libre en Europe aux adeptes de la liberté de désinformer !

Fidèlement,

Olivier Cadic

Sommaire :

FRANÇAIS DE L’ÉTRANGER
. Semaine AFE – Une session réussie sous le signe de l’amélioration continue des services pour les FDE
. Semaine AFE – La cybersécurité au service des Français de l’étranger
. Semaine AFE – Vous avez dit vino-diplomatie ?
. Ma question écrite sur l’impossibilité pour un fonctionnaire en disponibilité de se présenter à un concours interne
. Réseau FIAFE – Rencontres annuelles

EN CIRCONSCRIPTION
> ROYAUME-UNI – Londres (3 mars 2025)
> PANAMA – Panama City (23-24 mars 2025)
> MEXIQUE (1/2) – Mexico City (25-28 mars 2025)
> MEXIQUE (2/2) – Mexico City (25-28 mars 2025)

SÉNAT – CYBERSÉCURITÉ / IA
. Cybersécurité – Et si la montée en compétence numérique de tous était déclarée Grande Cause nationale 2026 ?
. Sommet pour l’action sur l’IA
. PJL Résilience & Cybersécurité – Intervention devant le Haut comité français pour la Résilience nationale
. PJL Résilience & Cybersécurité – Avec Clara Chappaz au Campus Cyber
. PJL Résilience & Cybersécurité – Adoption de la loi par le Sénat
. PJL Résilience & Cybersécurité – Adoption de mon amendement pour établir un principe clair de sécurité numérique
. PJL Résilience & Cybersécurité – Discussion générale
. Commission Spéciale Cybersécurité – Visio avec Clara Chappaz
. Commission Spéciale Cybersécurité – Rapports & Examen des amendements
. Matinale du CyberCercle – Point d’étape sur la transposition des trois directives européennes

SÉNAT – COMMISSION DES AFFAIRES ÉTRANGÈRES, DE LA DÉFENSE ET DES FORCES ARMÉES
. Danemark – Diner d’État à Élysée
. Somaliland – Représentant officiel
. Serbie – Ambassadrice
. Émirats arabes unis – Iftar interculturel à la BNF
. Iran – Otages français
. Liban – Professeur Karim Bitar

MÉDIAS
. Arnaque, phishing, rançongiciels : les Français pris pour cible” (Public Sénat, 04/04/2025)
. Kit de survie : « Quand une population est préparée, elle n’est pas en mode panique », salue le sénateur Olivier Cadic (Public Sénat, 28/03/2025)
. “Guerre en Ukraine, défense européenne… pourquoi Macron cultive son rôle de chef des armées“ (BMFTV, 18/03/2025)
. “Narcotrafic : la lutte à tout prix ?” (Arte, 17/03/2025 – Vidéo 22m)
. Olivier Cadic : “Il faut se préparer à l’agression de Poutine vis-à-vis de l’UE” (Public Sénat, 14/03/2025 – Vidéo 27m)
. “Les politiques français divisés sur le prix de la paix” (Ouest France, 05/03/2025)

Découvrir l’InfoLettre n°244

Commission Spéciale Cybersécurité – Audition ANSSI

20 décembre, 2024
Au Sénat, Cyber
0 commentaire

Comment l’ANSSI va-t-elle mettre en œuvre NIS2 ?

La commission spéciale chargée d’examiner le projet de loi “relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité”, que je préside et dont les rapporteurs sont mes collègues Michel Canévet, Patrick Chaize et Hugues Saury, a auditionné, ce 17 décembre, Vincent Strubel, le directeur général de l’ANSSI, l’agence qui a va piloter la mise en œuvre de la directive NIS2.

Voir l’intégralité de l’audition sur le site du Sénat.

J’ai conclu mon propos introductif par des félicitations à l’ANSSI pour le lancement officiel, le matin même, du 17Cyber, dispositif de secours en ligne pour toutes les victimes de cyberdélinquance (lire le billet). Vincent Strubel m’a ainsi retourné le compliment : « permettez-moi de vous remercier pour la constance avec lequelle vous avez soutenu ce dispositif 17Cyber ».

Ensuite, j’ai fait une parenthèse au cours de la discussion pour égrener quelques inquiétudes soulevées par le Medef et la CPME que nous avions auditionnés juste auparavant (coût des contrôles à la charge de l’entreprise, interdiction de gérer…)

Plus tard dans les débats, en me référant à notre déplacement en Belgique, où la directive NIS2 a déjà été transposée, j’ai interrogé le directeur général sur la norme Iso 27001 ; la capacité d’audit de son agence, ; l’application de la directive aux groupements de sociétés et, enfin, la politique de certification des produit et services qui doivent répondre aux besoins des 15.000 entités qui seront concernées à terme par NIS2. Je remercie M. Strubel de ses réponses claires et précises.

Vidéo de mes interventions (Vidéo 11’30)

VERBATIM – Introduction

Mes chers collègues,

Nous poursuivons nos travaux sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité par l’audition de M. Vincent Strubel, directeur général de l’Agence nationale de sécurité des systèmes d’information (ANSSI), que je remercie de venir nous présenter les dispositions de ce texte qui relève de son administration.

Votre venue était attendue car, comme vous le savez, l’audition de Mme Clara Chappaz, secrétaire d’État chargée de l’Intelligence artificielle et du Numérique, qui devait ouvrir nos travaux le 9 décembre dernier a dû être reportée à une date ultérieure.

Avec les rapporteurs, nous nous sommes rendus la semaine dernière à Bruxelles à la rencontre de la Commission européenne et des autorités belges qui ont d’ores et déjà engagé cette transposition.

C’est donc à vous que revient la première prise de parole publique de l’administration française devant nos rapporteurs, MM. Michel Canévet qui nous suit distance, Patrick Chaize et Hugues Saury, et les membres de notre commission spéciale sur cette transposition : ce qu’elle apportera en termes de résilience et de cybersécurité ; et ce qu’elle impliquera pour les entreprises et collectivités dans le cadre de la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 ».

Monsieur le directeur général, je rappelle que cette audition fait l’objet d’une captation vidéo qui est retransmise sur le site internet du Sénat puis consultable en vidéo à la demande.

Avant de vous céder la parole, je voudrais vous féliciter pour le lancement officiel, ce matin, du 17Cyber qui était un dispositif que nous attendions tous. Cyber-malveillance devient maintenant 17Cyber. Peut-être nous en direz-vous deux mots dans le cas de cette audition.Vous avez la parole.

Lire aussi Cybersécurité – Lancement officiel du 17Cyber !

Cybersécurité – Lancement officiel du 17Cyber !

18 décembre, 2024
Au Sénat, Cyber
0 commentaire

C’est fait ! Ce 17 décembre, le site « 17Cyber » a été lancé conjointement par La Police nationale et la Gendarmerie nationale : https://17cyber.gouv.fr

J’ai partagé cette fierté avec (à l’image, g. à d. ) Jérôme Notin, directeur général de Cybermalveillance.gouv.fr (GYP ACYMA) ; le préfet Louis Laugier, directeur général de la Police nationale ; Vincent Strubel, directeur général de l’ANSSI et le général de division Marc Boget, directeur de la stratégie digitale et technologique de la Gendarmerie Nationale.

Comme on compose le 17 en cas d’urgence, le site 17Cyber doit devenir le nouveau réflexe d’assistance en ligne pour toutes les victimes de cyberdélinquance.

En effet, le dispositif 17Cyber est destiné à toutes les victimes d’infractions numériques : particuliers, entreprises, collectivités. Rappelons que 9 Français sur 10 ont déjà été confrontés à une situation de malveillance informatique, notamment à l’hameçonnage (70%).

Disponible 24h/24 et 7j/7, ce guichet unique permet aux victimes de comprendre rapidement, en répondant à quelques questions, à quel type de menace ils sont confrontés et ainsi, recevoir des conseils personnalisés et une assistance technique de la part de l’un des 1200 prestataires référencés ou labellisé par Cybermalveillance.gouv.fr.

Si le diagnostic confirme la gravité de l’atteinte, les victimes peuvent échanger par tchat avec un policier ou un gendarme pour disposer des conseils de première urgence et engager les démarches de judiciarisation.

Je suis heureux de l’aboutissement de ce concept que j’ai cherché à mettre en place depuis janvier 2019, avant qu’il ne soit repris à son compte par le président de la République, début 2022.

Le ministère de l’Intérieur s’est chargé de piloter ce projet en s’appuyant sur Cybermalveillance.gouv.fr, dirigé par Jérôme Notin, pour le volet opérationnel. En effet, créé en 2017 par l’ANSSI, Cybermalveillance.gouv.fr dispose d’une solide expertise dans l’assistance en ligne, puisqu’il a déjà assisté plus de 1,3 million de victimes.

Un chiffre fait frémir : 62% des entreprises ne sont pas conscientes du risque cyber.

J’invite chacun à partager l’information face à la menace numérique croissante.

Pour ce faire, le ministère et Cybermalveillance.gouv.fr mettent à disposition, en complément du site 17cyber.gouv.fr, un module 17Cyber facilement intégrable sur tout site Internet.

Le module 17Cyber est disponible ICI

Le kit de communication est disponible ICI

Cyber – Les 4 défis de la cybersécurité française en 2024

18 novembre, 2023
Au Sénat, Cyber
0 commentaire

Ce 15 novembre, en qualité de co-rapporteur pour avis avec mon collègue Mickaël Vallet, j’ai défendu le budget du programme 129 « Coordination du travail gouvernemental » devant notre commission des Affaires étrangères, de la Défense et des Forces armées, qui a été approuvé à l’unanimité.

Les crédits du programme 129 que nous présentons chaque année portent sur l’action relative à la coordination de la sécurité et de la défense, et plus précisément sur la cybersécurité et la lutte contre les manipulations de l’information.

La cybersécurité mérite d’être érigée au rang de grande cause nationale et d’être dotée d’une stratégie nationale, incluant tout l’écosystème, pour répondre à 4 défis criants.

Mon intervention

Après consultation de personnalités de la sphère publique comme du secteur privé, nous voyons quatre défis principaux pour la cyber française en 2024 :

Défi 1 – D’abord, assurer la cybersécurité des Jeux olympiques et paralympiques 2024. Il n’y aura pas de médaille d’argent ou de bronze pour la France dans cette discipline ;

Défi 2 – Ensuite, coordonner l’ensemble des acteurs publics et privés de l’écosystème cyber autour d’une révision de la stratégie nationale de cybersécurité (la dernière datant de 2018) et du lancement de la plateforme numérique « 17 Cyber » en mars 2024 ;

Défi 3 – Dans le prolongement,  réussir la transformation de l’ANSSI en vue de la transposition de la directive NIS 2 (Network and Information Security). Celle-ci prévoit un accroissement du périmètre de compétence de l’agence de quelque 500 OIV à environ 15 000 entreprises dont le suivi constitue un changement d’échelle pour l’agence et nécessite une reconfiguration de son offre de services ;

Défi 4 – Enfin, s’ajoute un 4ème défi que nous avions développé dans notre rapport préparatoire à la LPM et qui concerne l’organisation, ou plutôt la réorganisation du dispositif de coordination pour répondre au « changement d’échelle » annoncé par l’ANSSI qui est de passer à une cybersécurité de masse.

Cette nécessité de refonte de la stratégie résulte des nombreux points d’attention que les services et entreprises que nous avons auditionnées ont soulevés :
– À commencer par un brouillard quant à l’organisation de la réponse aux incidents cyber entre l’ANSSI responsable des systèmes de l’Etat et des opérateurs d’importance vitale, la plateforme cybermalveillance responsable de tout le reste mais sans les moyens associés, et l’amorçage par l’ANSSI de centres régionaux ou sectoriels dont ni les services, ni le financement ne sont à ce jour garantis dans leur efficacité et leur pérennité.
– En réalité, chaque ministère et chaque entité s’est doté d’un coordinateur : l’ANSSI qui est à la fois un régulateur et un acteur, le Secrétariat général pour l’investissement dont nous avons rencontré ce matin le coordinateur, M. Florent Kirchner, mais aussi Cybermalveillance dont c’est le rôle d’être à la croisée de tous les chemins, et maintenant le ministère de l’Intérieur qui a pris la charge financière de la création de la future plateforme « 17 cyber » en application des annonces du Président de la République.

Le fait que la menace cyber soit largement prise en compte va en soi dans le bon sens comme le rappelait le directeur général de la Gendarmerie nationale. En revanche, il nous semble qu’une chaîne claire de traitement et d’escalade des incidents soit définie. Il nous a été certifié que ce travail était en cours. Nous prenons date pour le lancement du « 17 cyber » prévu en mars 2014. Mais à quelques mois de ce rendez-vous important il reste encore à définir les services offerts par cette plateforme numérique apportera à la population, et surtout comment la population sera informée de sa mise en service, selon quelle communication, avec quels crédits ?

Le message de l’ANSSI est de dire qu’il est encore trop tôt pour dessiner un « jardin à la française » et qu’il faut d’abord laisser l’écosystème public/privé de la cybersécurité se développer avant de tailler les haies. C’est une approche qui laisse certaines entreprises sur leur faim (Orange ou Thales), car elles ont besoin d’une feuille de route claire et d’y être associées notamment pour la transposition de la directive NIS 2 qui interviendra en octobre 2024.

Nous partageons ce besoin de clarification. Pour reprendre la métaphore du jardin à la française, il nous semble au contraire urgent de définir une organisation de coordination et de suivi de la qualité, bref de dessiner les allées du jardin dès maintenant, sinon le risque est de voir se développer une jungle. Si cette orientation perdure, il est à craindre que tout le monde soit perdu en cas d’incident national majeur et que  l’engorgement de nos services sera amplifié par des sollicitations multiples à différents endroits. J’ajoute que l’enjeu de sécurité des Jeux Olympiques justifie l’urgence de la concertation, ce qui est un métier nouveau pour l’ANSSI.

C’est pourquoi, parmi nos propositions figurent celles :
– Tout d’abord d’actualiser la stratégie nationale de cybersécurité (l’actuelle date de 2018) en y associant en amont tout l’écosystème sans oublier les collectivités locales, ni vos serviteurs ;
– Et de s’inspirer de la grande cause nationale de la sécurité routière qui a permis de réduire drastiquement le nombre de morts sur nos routes en confiant à un coordinateur unique la responsabilité de coordonner tous les moyens disponibles.

Est-ce le rôle de l’ANSSI ou d’un délégué interministériel clairement identifié ? C’est à l’exécutif de le décider mais c’est à nous de signaler que l’année 2024 est le bon moment pour le faire.

Au bénéfice de ces observations, nous vous proposons l’adoption des crédits de la mission « Direction de l’action du gouvernement ».

Matinale du CyberCercle : point de situation, projets et défis de Cybermalveillance.gouv.fr autour de son DG, Jérôme Notin

21 septembre, 2023
Au Sénat, Cyber
0 commentaire

Une belle matinale de rentrée organisée par le CyberCercle au Sénat, ce 14 septembre, en présence de Jérôme Notin, directeur général du GIP ACYMA (1) – Cybermalveillance.gouv.fr, devant une cinquantaine de représentants d’organisations publiques et privées engagées sur les sujets de confiance et sécurité numériques.

Ce fut l’occasion pour les participants d’échanger sur divers projets et actions en cours : le 17Cyber, le filtre anti-arnaque, le label Expert Cyber ou encore la complémentarité des dispositifs dans les territoires.

Début janvier 2022, le président de la République avait annoncé la création d’un nouveau dispositif d’assistance 24h/24 destiné à chaque citoyen, administration ou entreprise face aux actes de cyber-malveillance. Il est déjà surnommé le « 17 cyber » en référence au numéro de police-secours.

Le « 17Cyber va devenir une marque grand public ! », se réjouit Jérôme Notin. Je partage son enthousiasme pour cette plateforme de référence qui permettra aux victimes d’actes de cybermalveillance d’être informés des premiers gestes de secours face à une cyberattaque et d’avoir un parcours de dépôt de plainte facilité, en étant mis en contact avec des policiers ou des gendarmes. Concrètement, une aide pour les particuliers qui seront victimes d’hameçonnage, de cyber-chantage ou bien de piratage de compte et les professionnels qui font surtout face aux rançongiciels.

Nécessité faisant loi, rappelons que la plateforme Cybermalveillance.gouv.fr a vu passer 2,5 millions de visiteurs en 2021…

Le 17Cyber est un module d’assistance qui répondra au pari d’un guichet unique que je prône depuis janvier 2019 (lire le billet Mes 3 cyber-priorités pour 2019). J’ai toujours pris pour référence le Centre de crise et de soutien qu’on l’on appelle « naturellement » en cas de catastrophe. De plus, je trouve rassurant que le ministre de l’Intérieur veuille piloter ce projet.

Autre étape : l’État porte actuellement le filtre anti-arnaque. Capter et qualifier la menace (fausse amende, hameçonnage en tout genre…) doit se doubler d’un courage politique pour imposer des pratiques d’assainissement aux fournisseurs de l’internet, tel Google.

Par ailleurs, le directeur a souligné le succès du label ExpertCyber qui certifie les compétences en cybersécurité. Cette norme de référence distingue déjà des dizaines d’entreprises de services de cybersécurité de toutes tailles, sur l’ensemble du territoire national.

Enfin, véritable un serpent de mer, la question de l’harmonisation des réponses au niveau des territoires se pose toujours. On constate que chaque région a ses propres protocoles et ses ressources en matière de cybersécurité, que les CSIRT se mettent en place avec des organisations et des schémas différents par région, que l’État, à travers ses différents ministères et agences, met en place de nombreux dispositifs d’aide pour les territoires. Ce qui en soi montre que le sujet de la cybersécurité est aujourd’hui un sujet majeur, pris en compte par les instances publiques. Néanmoins, face à ce foisonnement, il serait utile d’être plus clair sur la complémentarité des dispositifs et d’en renforcer la visibilité, et, tout le moins, de disposer de lignes directrices claires pour savoir qui les victimes doivent contacter et comment traiter leurs requêtes.

Comme d’habitude, cette matinale du CyberCercle, présidé par Bénédicte Pilliet, fut très riche d’échanges, de retours d’expérience et de propositions.

– – –

Lire aussi : Pour une coordination de la cyberdéfense plus offensive dans la loi de programmation militaire 2024-2030, rapport d’information des sénateurs Olivier Cadic et Mickaël Vallet, au nom de la Commission des Affaires étrangères, de la Défense et des Forces armées du Sénat

(1) Créé en 2017, le groupement d’intérêt public Actions contre la Cybermalveillance (GIP ACYMA) a trois grandes missions : assister les victimes d’actes de cybermalveillance / prévenir les risques et sensibiliser les populations sur la cybersécurité / observer et anticiper le risque numérique par la création d’un observatoire.