Accueil      En circonscription      Sénat      Bilan de mandat      Revue de Presse          Parcours      Contact     
    

PLF 2023 – Rapporteur du programme 129 (Vidéo – 3:20m)

Doter la stratégie de cyberdéfense et d’influence d’une composante offensive !

Dans le cadre du projet de loi de finances 2023, je suis intervenu ce 1er décembre en qualité de rapporteur pour avis de la commission des Affaires étrangères, de la Défense et des Forces armées pour le programme 129 « Coordination du travail gouvernemental » (gestion de crises, cyberdéfense, renseignement).

J’ai réitéré l’idée devant le ministre Franck Riester qu’il nous faut assumer une posture moins passive dans le domaine de la cybersécurité en nous dotant d’une stratégie offensive face aux cyber-attaques et d’un directeur national de la cybersécurité, tout en nous coordonnant avec nos principaux partenaires, car c’est un combat sans frontières.

> Rapport pour avis de MM. Olivier CADIC et Mickaël VALLET sur les crédits de l’action n°2 « Coordination de la sécurité et de la défense » du programme 129 (17 nov 2022) Lire
> L’Essentiel : « Doter la stratégie de cyberdéfense et d’influence d’une composante offensive » Lire

VERBATIM

Monsieur le Président, Monsieur le Ministre, Chers Collègues,

L’avis sur les crédits du programme 129 que nous allons vous présenter, avec mon collègue Mickaël Vallet, porte sur la coordination de la sécurité et de la défense, et plus précisément sur la cyberdéfense et les stratégies d’influence que le Président de la République vient d’élever au rang de nouvelle fonction stratégique dans le cadre de son discours de Toulon du 9 novembre dernier.

L’enjeu de la guerre informationnelle, que j’avais mentionné lors des débats sur la loi de programmation militaire en 2018, est enfin pleinement reconnu. Je m’en félicite.

J’avais salué la création de Viginum l’an dernier.

Mais je reste circonspect, en observant le champ restreint de ses missions qui s’arrêtent à la caractérisation de situations d’ingérence et de désinformation, sans pouvoir intervenir dans la réponse – ou la contre-attaque – à apporter, nous sommes loin de Taiwan qui répond à une désinformation en 2 heures et 200 mots.

J’espère que l’impulsion donnée par la revue nationale stratégique sera de nature à rendre plus efficace nos actions de contre ingérence.

La passivité est une erreur qui nous a couté très cher. Je parle de l’opération de désinformation dont l’armée française a été victime dans l’affaire de Bounti au Mali en janvier. Les leçons en ont été tirées. L’efficace riposte pour déjouer le stratagème de Wagner du charnier de Gossi l’a démontré. Il nous faut maintenant assumer une posture plus offensive y compris dans le domaine de la cybersécurité.

Il nous faut un nouvel ordre de bataille car les menaces de cybersécurité croissent suivant un rythme exponentiel. L’augmentation des moyens humains et budgétaires du SGDSN cette année comme les précédentes doit être saluée.

Malgré cela, la progression des attaques contre les services publics, les collectivités territoriales et les établissements de santé n’a pas été ralentie.

Nos capacités techniques, notamment l’expertise de l’ANSSI, sont reconnus par nos partenaires. Mais allons-nous nous contenter de regarder chaque année le compteur s’affoler et tendre l’autre joue lorsque les hackers auront paralysé un hôpital de plus ?

Nos principaux partenaires, américains et britanniques, ont compris qu’aller entraver les cybercriminels sur leur terrain, c’est aussi prévenir les attaques avant qu’elles n’arrivent et ainsi pratiquer une forme de dissuasion numérique.

Je formule donc la proposition que nous nous dotions d’une stratégie offensive face aux cyber-attaques, que nous nous dotions d’un directeur national de la cybersécurité et que nous nous coordonnions avec nos principaux partenaires, car c’est un combat sans frontières.

Pour conclure, je voudrais insister sur deux points :
1-La nécessité de continuer à former tous les acteurs en cybersécurité, à commencer par les simples utilisateurs ; et en conséquence rechercher les responsabilités des gestionnaires de collectivités ou d’administrations, s’ils n’ont pas suivi les recommandations en matière de sécurité informatique, à l’image de la sécurité-incendie.

2-Alerter sur la nocivité du paiement des rançons. Ceux qui sont contraints de payer pour sauver leur entreprise doivent savoir qu’ils alimentent les revenus de la cybercriminalité qui dépassent désormais ceux du narcotrafic. Ils contribuent également au financement du terrorisme.

J’émets un avis favorable à l’adoption de ce volet des crédits de la mission Direction de l’action du Gouvernement.

PLF2023 – Mon rapport sur les crédits de la coordination du travail gouvernemental (CYBERDÉFENSE, SGDSN)

Ce 16 novembre, avec mon collègue Mickaël Vallet, nous sommes intervenus devant la commission des Affaires étrangères, de la Défense et des Forces armées, présidée par Christian Cambon, en qualité de rapporteur pour avis sur les crédits du programme 129 «Coordination du travail gouvernemental», plus précisément sur la cyberdéfense et les stratégies d’influence.

Je me suis félicité du fait que l’enjeu de la guerre informationnelle, que j’avais mentionné lors des débats sur la LPM en 2018, soit désormais été élevé au rang de « nouvelle fonction stratégique » par le Président de la République, dans son discours de Toulon du 9 novembre dernier.

Allons-nous nous contenter de regarder chaque année le compteur des cyber-attaques s’affoler ?

Nos principaux partenaires, américains et britanniques, ont compris qu’aller entraver les cybercriminels sur leur terrain, c’est aussi prévenir les attaques avant qu’elles n’arrivent et pratiquer une forme de dissuasion numérique.

Je formule donc la proposition que nous nous dotions d’une stratégie offensive face aux cyber-attaques, que nous nous dotions d’un directeur national de la cybersécurité et que nous nous coordonnions avec nos principaux partenaires, car c’est un combat sans frontières.

Je voudrais insister sur deux points :

  • La nécessité de former et responsabiliser tous les acteurs en cybersécurité, à commencer par les simples utilisateurs ;
  • Alerter sur la nocivité du paiement des rançons. Ceux qui sont contraints de payer pour sauver leur entreprise doivent savoir qu’ils alimentent les revenus de la cybercriminalité qui dépassent désormais ceux du narcotrafic. Ils contribuent également au financement du terrorisme.

Tous les pays occidentaux sont dépassés par l’échelle des attaques. On nous fait une guerre cyber. Les 14 affaires d’espionnage cyber en 2021 dont 9 sont d’origine chinoises en témoignent. Nos agresseurs sont à l’initiative. Nous avons un retard à rattraper.

VERBATIM de mon intervention

Sénat – Monténégro – Cybersécurité

Nous avons reçu une visite d’une délégation de députés monténégrins, dans le cadre du programme européen Inter Pares au Sénat, ce 2 novembre.

Cette délégation souhaitait échanger autour de la thématique de la cybersécurité, j’ai pensé à un dialogue avec mon collègue Mickaël Vallet et moi autour de notre rapport relatif à la Coordination du travail gouvernemental en matière de cyberdéfense.

Le Monténégro a subi une cyberattaque majeure il y a trois mois. 17 systèmes différents localisés dans 10 ministères ont été corrompus. 3000 ordinateurs d’état doivent être réinstallés. La délégation a remercié l’engagement de la France pour les aider, à commencer par l’ANSSI, qui a vite dépêché 15 agents.

Sulfo Mustafic, député du Monténégro, membre de la commission Sécurité et Défense, remercie le Sénat pour sa coopération.

Deux groupes organisés ont mené ces attaques. Ils soupçonnent que les Russes en soient à l’origine.

Ces attaques sont un prolongement de toutes les actions malicieuses subies par le Monténégro depuis son adhésion à l’OTAN, comme la multiplication de sites internet développant des fake news pour déstabiliser leur pays.

En 2018, le Montenegro a créé un centre d’expertise pour distinguer les fake news venant de la Russie.

J’ai recommandé à Sulfo Mustafic, député du Monténégro, de rencontrer Jérôme Notin, directeur de la plateforme Cybermalveillance.

Une adaptation de ce site en langue locale offrirait un excellent outil pour faciliter l’information sur les menaces cyber et la formation des Monténégrins sur les bonnes pratiques en cybersécurité. +d’images

Cybersécurité – Ma communication au sujet de la cyberattaque de la plateforme Ariane

Le 13 décembre dernier, un communiqué de presse nous a appris que le site Ariane du ministère de l’Europe et des Affaires étrangères (MEAE) avait subi une cyberattaque (le 5 décembre 2018). Cela s’est traduit par un vol de données des personnes désignées comme « contacts à prévenir » par nos concitoyens qui voyagent à l’étranger.

Si les informations dérobées se restreignent au nom + téléphone + courriel, on parle tout de même de 540.563 personnes concernées ! Celles-ci ont été invitées par le MEAE à la vigilance contre tout risque d’usurpation d’identité ou d’hameçonnage.

Le jour même, j’ai demandé à Christian Cambon, Président de la commission des Affaires étrangères et de la Défense du Sénat, l’autorisation de lancer une mission pour analyser les failles qui avaient permis à cette attaque de prospérer.

Six jours seulement après la révélation de l’incident, soit le 19 décembre 2018, nous avons entamé avec mon collègue Rachel Mazuir (à l’image), une série d’auditions auprès des responsables de l’ANSSI (Agence nationale pour la sécurité des systèmes d’information), et de la Direction des Systèmes d’information du MEAE. Début 2019, nous avons entendu la CNIL (Commission nationale de l’informatique et des libertés), la DGSI (Direction générale de la sécurité intérieure), et la section spécialisée Cyber du parquet de Paris.

Nous avons fait, ce 6 février, une première communication au Sénat devant notre commission des Affaires étrangères et de la Défense.

M’exprimant sur le pilotage de la gestion de crise en cas de cyberattaque, j’ai mis en avant les fragilités existantes entre les différents ministères, tant dans la transmission que la communication externe des informations.

La nécessité de respecter les nouvelles règles liées au RGPD (Règlement Général sur la Protection des Données) entrées en application en mai 2018 et, l’absence de procédure coordonnée entre les différents protagonistes pour agir en cas d’incidents ont conduit à des enchainements malheureux.

Le but de la commission n’est pas de chercher des coupables, mais de faire un retour d’expérience.

Le MEAE est reconnu comme étant un des ministères les plus vigilants en matière de cybersécurité. Il serait injuste de chercher à l’accabler suite à cette attaque.

J’ai apprécié le professionnalisme de chacun des acteurs auditionnés. Ils ont été transparents sur leurs limites actuelles et ont tous exprimé leur ouverture pour travailler en concertation avec l’extérieur.

Nous voulons susciter une prise de conscience générale au niveau des ministères et des services du premier ministre pour que de nouvelles règles soient mises en place.

Nous allons poursuivre nos investigations qui nous permettront, le cas échéant, de produire un rapport dans le but d’améliorer l’efficacité de nos systèmes de sécurité numérique.

Lire la COMMUNICATION du 03/02/2019 (R. Mazuire et O. Cadic)