Accueil      En circonscription      Sénat      Bilan de mandat      Revue de Presse          Parcours      Contact     
    

Cyber – Création du C3BO

Centre de développement des capacités cyber dans les Balkans occidentaux

Le 29 janvier, la Commission des Affaires étrangères et de la Défense a voté en faveur du projet de loi, présenté par ma collègue Sylvie Goy-Chavent, autorisant l’approbation de l’accord portant sur la création du Centre de développement des capacités cyber dans les Balkans occidentaux (C3BO).

L’accord vise à créer un Centre de développement des capacités cyber dans les Balkans occidentaux (Albanie, Bosnie-Herzégovine, Kosovo, Macédoine du Nord, Monténégro, Serbie) en lui octroyant le statut d’organisation internationale (C3BO). Le siège du centre est prévu au Monténégro, à Podgorica.

Cet accord signé par trois pays qualifiés de « fondateurs » a pour objet de renforcer la cyber-résilience des Balkans par des activités de formation et de sensibilisation. Les objectifs du C3BO sont de renforcer les capacités opérationnelles des services de police et de justice, la prévention des attaques cyber et la gestion des risques.

Le C3BO vise à former des experts, au sein des agences, administrations, forces de police et de sécurité régionales. Il permettra d’approfondir la coopération entre tous les acteurs régionaux et d’harmoniser les normes applicables dans la perspective de leur adhésion future à l’Union européenne.

En novembre 2022, nous avions accueilli une délégation de députés monténégrins (compte-rendu) suite à la cyberattaque majeure subie par le Monténégro à l’été 2022. 17 systèmes différents localisés dans 10 ministères avaient été corrompus et 3000 ordinateurs d’état avaient dû être réinstallés. L’ANSSI avait dépêché 15 agents à Podgorica pour la circonstance.

Je me réjouis que l’initiative dont nous avions parlé en novembre 2022, aie prospéré, et que notre pays soit en pointe pour animer ce centre cyber international.

Commission Spéciale Cybersécurité – Audition des Experts Cyber

Ce 23 janvier, avec mes collègues rapporteurs Michel Canévet, Patrick Chaize et Hugues Saury, nous avons entendu les représentants des organisations professionnelles de la cybersécurité :
– l’Alliance pour la confiance numérique, ACN, représenté par son président, M. Daniel Le Coguic, ainsi que M. Yoan Kassianides, Mme Elsa Auriol et M. Farid Lahlou
– le Clusif qui est l’association de la sécurité du numérique en France, représenté par M. Benjamin Leroux
– le CyberCercle, représenté par MM. Christian Daviot, Stéphane Meynet et François Coupez
– et CyberTaskForce, représenté par Sébastien Garnault, M. Philippe Luc et Mme Anne Elise Jolicart.

Comme je l’ai indiqué en conclusion : une transposition intelligente doit être faite par les professionnels pour les professionnels.

J’ai invité ces représentants à nous faire parvenir leurs réflexions par écrit et leurs suggestions d’amendement dans le cadre d’un processus collaboratif, car ils seront en charge d’aider les entreprises à pouvoir répondre aux obligations de NIS2.

Je les remercie pour la qualité et la pertinence de leurs analyses.

Voir l’intégralité de l’audition sur le site du Sénat.

VERBATIM de mon intervention

INTRODUCTION

Mes chers collègues,
Mesdames, Messieurs,

Nous poursuivons ce matin notre cycle d’auditions publiques consacrées au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.

Je rappelle que notre commission spéciale s’est constituée le 12 novembre dernier pour examiner ce texte qui vise la transposition de 3 directives différentes :
> la directive sur la résilience des entités critiques, dite « REC »
> la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 »
> et la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ».

Après avoir entendu en décembre dernier le Mouvement des entreprises de France (Medef), la Confédération des PME (CPME) et M. Vincent Strubel, directeur général de l’ANSSI, nous accueillons aujourd’hui des organisations professionnelles de la cybersécurité :
– l’Alliance pour la confiance numérique, ACN, représenté par son président, M. Daniel Le Coguic, ainsi que M. Yoan Kassianides, Mme Elsa Auriol et M. Farid Lahlou
– le Clusif qui est l’association de la sécurité du numérique en France, représenté par M. Benjamin Leroux
– le CyberCercle, représenté par MM. Christian Daviot, Stéphane Meynet et François Coupez
– et CyberTaskForce, représenté par Sébastien Garnault, M. Philippe Luc et Mme Anne Elise Jolicart.

Je vous remercie d’avoir répondu à notre invitation pour partager votre point de vue sur le projet de loi et l’impact de cette transposition pour les entreprises. Nous serons en particulier intéressés par les dispositions du texte qui vous posent problème et vos éventuelles propositions d’amendement.

Nous pourrons ainsi relayer vos préoccupations à la ministre chargée de l’Intelligence artificielle et du Numérique, Mme Clara Chappaz, que nous entendons lundi 27 janvier prochain.

Avant de vous céder la parole, je rappelle à tous que cette audition fait l’objet d’une captation vidéo qui est retransmise sur le site internet du Sénat, puis consultable en vidéo à la demande.

Je vous propose pour ouvrir cette table ronde que chaque organisation nous présente ses positions sur le texte pour une durée de 10 minutes au maximum, puis je donnerai la parole à chacun des rapporteurs, MM. Michel Canévet pour la commission des Finances, Patrick Chaize pour la commission des Affaires économiques et Hugues Saury pour la commission des Affaires étrangères et de la Défense, puis à ceux de nos collègues qui le souhaitent pour poser leurs questions.

Nous sommes donc ensemble jusqu’à 11h et je vous propose de commencer par l’ordre alphabétique, mais avant toute chose, je voulais dire que vous représentez l’écosystème que vous m’apportez beaucoup en tant que rapporteur du programme 129. Jusqu’à présent on auditionnait surtout nos administrations, c’est votre regard qui représente les entreprises et l’écosystème qui nous a permis de travailler un peu différemment.

Vos propos sont importants, attendus et n’hésitez pas aussi à nous donner votre point de vue éventuel sur la question budgétaire, puisque qui dit NIS2 dit que l’ANSSI doit évoluer

CONCLUSION

Merci beaucoup pour toutes ces informations, je pense que je vais finir avec le premier élément qui avait été annoncé par M. Le Coguic : être ensemble, collaborer.

Je me demande… si nous avions tous été ensemble et si nous avions tous collaboré… si les CSIRT régionaux (*) existeraient aujourd’hui et si l’argent qui a été mis pour ces CSIRT aurait été dépensé ?

Pour ceux qui pensent que la solution c’est « plus de budget », je rappelle cette phrase : travaillons tous ensemble avant de commencer à dépenser l’argent. Posons-nous la question : quel est l’objectif à atteindre ?

Parce que c’est tellement pratique, c’est tellement confortable de se dire qu’en mettant plus d’argent on va régler le problème. Malheureusement, ce n’est pas le cas.

Chers collègues, je vous rappelle que nous entendrons lundi 27 janvier 2025 à 15 heures Mme Clara Chappaz, ministre déléguée chargée de l’Intelligence artificielle et du Numérique. Cet horaire coïncide avec le début de la discussion de la proposition de loi visant à lever les contraintes à l’exercice du métier d’agriculteur. J’espère qu’ils ne nous en voudront pas, mais c’était la seule date possible pour la ministre.

Nous aurons aussi, je vous l’annonce, le 4 février et cela viendra en complément de vos réponses, une table ronde avec les représentants d’organisations d’élus représentatifs : l’AMF, les régions, les départements de France.

Sous réserve de l’approbation de la Conférence des présidents, la semaine prochaine, le texte pourrait être discuté dans l’hémicycle le mardi 11 mars.

En conclusion, je l’avais dit, je souhaite une transposition de NIS2 intelligente. Pour être intelligente, elle doit être faite par les professionnels pour les professionnels.

Je vous invite à nous faire parvenir tous vos éléments par écrit et aussi vos suggestions d’amendement qui seront partagés entre tous les rapporteurs.

C’est peut-être quelque chose qui ne s’est jamais fait : chaque fois que vous nous enverrez des suggestions d’amendements, elles seront anonymisées et partagées pour vous permettre éventuellement de rebondir, afin qu’ils soient conçus de façon collective.

On ne peut pas, on ne peut plus travailler sur de tels sujets, sans consulter et sans associer ceux qui vont être dans l’application du texte. C’est une nouvelle démarche, transparente, parce que c’est vous qui serez en charge d’aider les entreprises à pouvoir répondre à NIS2. Je veux que cela soit un travail interactif dans cet esprit.

Je vous remercie. Votre apport était essentiel à cette préparation. Merci encore et merci à mes collègues.

(*) Computer Security Incident Response Team ou CSIRT

INFOLETTRE n°241 – Décembre 2024 / Janvier 2025

Lire : l’INFOLETTRE n°241 – Décembre 2024 / Janvier 2025Logo HebdoLettre bleu - Rond75

2025

Madame, Monsieur, chers élus, chers amis,

Je vous souhaite une belle année nouvelle, souriante de santé, environnée d’affection et propice à vos ambitions.

Fidèlement,

Olivier Cadic

Sommaire :

FRANÇAIS DE L’ÉTRANGER
. Discours du Président Macron aux ambassadrices et ambassadeurs
. La communauté française : atout maître de notre diplomatie, estime Jean-Noël Barrot

ACTUALITÉS
. Liban – Joseph Aoun, élu président !
. États-Unis – Los Angeles

EN CIRCONSCRIPTION
> ARABIE SAOUDITE – Riyad (2-3 déc. 2024) : Visite d’État du Président de la République
> INDE – New-Delhi (27-29 nov. 2024)
> GRÈCE – Thessalonique (30 nov.-1 déc. 2024)

SÉNAT – COMMISSION DES AFFAIRES ÉTRANGÈRES, DE LA DÉFENSE ET DES FORCES ARMÉES
. Pérou – Rencontre avec le Premier ministre

SÉNAT – CYBERSÉCURITÉ
. Cybersécurité – Lancement officiel du 17Cyber !
. Bruxelles – Déplacement de la Commission spéciale Cybersécurité
. Commission spéciale Cybersécurité : Auditions ANSSI, MEDEF & CPME
. Conférence RésiFrance : une certaine idée de la cyber-résilience

MÉDIAS
. “Le trafic de stupéfiants, un marché en plein essor ?” (TV5 Monde – 05 déc. 2024 – Vidéo)
. “USA : Trump a-t-il déjà pris le pouvoir ?” (Public Sénat – 17 déc. 2024 – Vidéo 11’08)

Découvrir l’InfoLettre n°241

Commission Spéciale Cybersécurité – Audition ANSSI

Comment l’ANSSI va-t-elle mettre en œuvre NIS2 ?

La commission spéciale chargée d’examiner le projet de loi “relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité”, que je préside et dont les rapporteurs sont mes collègues Michel Canévet, Patrick Chaize et Hugues Saury, a auditionné, ce 17 décembre, Vincent Strubel, le directeur général de l’ANSSI, l’agence qui a va piloter la mise en œuvre de la directive NIS2.

Voir l’intégralité de l’audition sur le site du Sénat.

J’ai conclu mon propos introductif par des félicitations à l’ANSSI pour le lancement officiel, le matin même, du 17Cyber, dispositif de secours en ligne pour toutes les victimes de cyberdélinquance (lire le billet). Vincent Strubel m’a ainsi retourné le compliment : « permettez-moi de vous remercier pour la constance avec lequelle vous avez soutenu ce dispositif 17Cyber ».

Ensuite, j’ai fait une parenthèse au cours de la discussion pour égrener quelques inquiétudes soulevées par le Medef et la CPME que nous avions auditionnés juste auparavant (coût des contrôles à la charge de l’entreprise, interdiction de gérer…)

Plus tard dans les débats, en me référant à notre déplacement en Belgique, où la directive NIS2 a déjà été transposée, j’ai interrogé le directeur général sur la norme Iso 27001 ; la capacité d’audit de son agence, ; l’application de la directive aux groupements de sociétés et, enfin, la politique de certification des produit et services qui doivent répondre aux besoins des 15.000 entités qui seront concernées à terme par NIS2. Je remercie M. Strubel de ses réponses claires et précises.

Vidéo de mes interventions (Vidéo 11’30)

VERBATIM – Introduction

Mes chers collègues,

Nous poursuivons nos travaux sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité par l’audition de M. Vincent Strubel, directeur général de l’Agence nationale de sécurité des systèmes d’information (ANSSI), que je remercie de venir nous présenter les dispositions de ce texte qui relève de son administration.

Votre venue était attendue car, comme vous le savez, l’audition de Mme Clara Chappaz, secrétaire d’État chargée de l’Intelligence artificielle et du Numérique, qui devait ouvrir nos travaux le 9 décembre dernier a dû être reportée à une date ultérieure.

Avec les rapporteurs, nous nous sommes rendus la semaine dernière à Bruxelles à la rencontre de la Commission européenne et des autorités belges qui ont d’ores et déjà engagé cette transposition.

C’est donc à vous que revient la première prise de parole publique de l’administration française devant nos rapporteurs, MM. Michel Canévet qui nous suit distance, Patrick Chaize et Hugues Saury, et les membres de notre commission spéciale sur cette transposition : ce qu’elle apportera en termes de résilience et de cybersécurité ; et ce qu’elle impliquera pour les entreprises et collectivités dans le cadre de la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 ».

Monsieur le directeur général, je rappelle que cette audition fait l’objet d’une captation vidéo qui est retransmise sur le site internet du Sénat puis consultable en vidéo à la demande.

Avant de vous céder la parole, je voudrais vous féliciter pour le lancement officiel, ce matin, du 17Cyber qui était un dispositif que nous attendions tous. Cyber-malveillance devient maintenant 17Cyber. Peut-être nous en direz-vous deux mots dans le cas de cette audition.Vous avez la parole.

Lire aussi Cybersécurité – Lancement officiel du 17Cyber !

Commission Spéciale Cybersécurité – Audition MEDEF & CPME

Les entreprises et la cybersécurité : 62% des entreprises n’ont pas encore conscience du risque numérique…

Ce 17 décembre, première audition de la commission spéciale, que je préside, en charge d’examiner le projet de loi « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité », dont les rapporteurs sont mes collègues Patrick Chaize, Hugues Saury et Michel Canévet.

Dans le cadre d’une table ronde sur le thème « les entreprises et la cybersécurité », les membres de la commission spéciale ont recueilli les remarques émanant du Medef et de la CPME et posé leurs questions.

Voir l’intégralité de l’audition sur le site du Sénat.

Après mon propos introductif, je suis intervenu à deux reprises dans la discussion afin de prolonger des propos des intervenants sur le financement du réseau et sur les questions de responsabilité de l’État face à la cybercriminalité. Ces deux points vont particulièrement alimenter les réflexions de notre commission spéciale.

Vidéo de mes interventions (Vidéo 5’50)

VERBATIM – Introduction

Mes chers collègues,
Mesdames, Messieurs,

C’est avec un grand plaisir que j’ouvre aujourd’hui le cycle des auditions qui seront consacrées au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.

Je rappelle que notre commission spéciale s’est constituée le 12 novembre dernier pour examiner ce texte qui vise la transposition de 3 directives différentes :
o la directive sur la résilience des entités critiques, dite « REC » ;
o la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 » ;
o et la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ».

Cette transposition devait intervenir avant le 17 octobre de cette année, mais dans le contexte actuel ce n’est pas la seule loi qui connaît du retard. Malgré tout, il y a une vraie attente des entreprises sur les nouveaux objectifs de cybersécurité et les nouvelles obligations qui pèseront sur les entreprises.

C’est pourquoi je remercie le Mouvement des entreprises de France (Medef) et la Confédération des PME (CPME) d’avoir répondu à notre invitation pour partager leur point de vue sur le projet de loi et l’impact de cette transposition ainsi que, le cas échéant, vos propositions. Nous pourrons ainsi relayer vos préoccupations notamment au directeur général de l’ANSSI que nous entendons juste après vous. L’U2P et l’Afep m’ont fait savoir que leur position n’était pas encore arrêtée et qu’elles nous adresseraient ultérieurement leur contribution écrite.

Pour le Medef, nous accueillons :
– Mme Maxence Demerlé, directrice du numérique ;
– M. Maxime Foret, chargé de mission sénior, Pole Affaires publiques ;
– Et Mme Mathilde Briard, chargée de Mission Economie numérique.
Pour la CPME, nous accueillons :
– Mme France Charruyer, membre de la Commission numérique,
– M. Lionel Vignaud, directeur des affaires économiques, juridiques et fiscales,
– M. Jérôme Normand, économiste,
– Et M. Adrien Dufour, responsable des affaires publiques.

Mesdames, Messieurs, avant de vous céder la parole, je rappelle à tous que cette audition fait l’objet d’une captation vidéo qui est retransmise sur le site internet du Sénat puis consultable en vidéo à la demande.

Je vous propose pour ouvrir cette table ronde que chaque organisation nous présente leurs positions sur le texte, puis je donnerai la parole à chacun des rapporteurs, MM. Patrick Chaize, Hugues Saury et Michel Canévet que nous attendons, puis à ceux de nos collègues qui le souhaitent pour poser leurs questions.

Avant de vous céder la parole, je vous informe que nous avons inauguré le 17Cyber ce matin et il a été annoncé que plus de 60% des entreprises ne sont pas conscientes d’être sujettes au risque numérique, aujourd’hui.

Voir l’intégralité de l’audition sur le site du Sénat

Conférence RésiFrance : une certaine idée de la cyber-résilience

Ce 5 décembre, j’ai eu le plaisir d’intervenir en keynote introductive, lors du colloque intitulé « la résilience dans tous ses états », au sein des locaux de Direction générale de la Gendarmerie nationale à Issy les Moulineaux.

J’ai remplacé le secrétaire général de la Défense et de la Sécurité nationale (SGDSN), absent du fait de la démission du Premier ministre la veille.

Ayant dû passer à Thessalonique, 4 jours plus tôt pour suppléer l’absence du ministre des Transports, et participer à l’inauguration du métro, j’ai indiqué en souriant qu’il allait bientôt falloir m’appeler “The Spare”.

Je remercie les participants d’avoir apporté leurs chaleureux applaudissements en commentant qu’il fallait peut-être y voir la démonstration que le Sénat garantissait ainsi la résilience de nos institutions.

J’ai répondu à l’invitation de Hugo Fiora, délégué général de RésiFrance, qui visait à créer un espace de dialogue entre les décideurs publics et privés concernés par les enjeux de la résilience.

Intervenant après le général de corps d’armée Tony Mouchet, j’ai exposé ma vision concrète du sujet à travers mon expérience de parlementaire (1), puis j’ai présenté le programme de travail de la commission spéciale que je préside depuis le mois dernier, en charge de transposer trois directives européennes (2).

Cet objectif s’incarne dans le projet de loi « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité » qui devrait, sous toutes réserves, être discuté en séance, mi-février 2025.

J’ai mis en garde contre une activité cyber de l’Etat qui serait seulement réactive ou défensive, et pourrait être interprétée comme de la passivité.

Il convient d’engager une forte sensibilisation des utilisateurs sur le risque numérique et de conclure que le hasard favorise les esprits les mieux préparés.

C’est la condition pour atteindre une résilience cyber réussie.

Ma collègue Vanina Paoli-Gagin, vice-présidente de la commission spéciale, a participé à la table ronde qui a suivi, intitulée “la résilience : une stratégie nationale”. +d’images

– – – – – – – – – – – – – – –

(1) Depuis 2018, rapporteur pour avis des crédits du programme 129 sur la coordination du travail gouvernemental en matière de sécurité et de défense nationale. Cela recouvre la résilience de la Nation, la cybersécurité (ANSSI) et la lutte contre les menaces hybrides dont les manipulations de l’information (Viginum)

(2) 3 directives européennes :
o la directive (UE) 2022/2557 du parlement européen et du conseil du 14 décembre 2022 sur la résilience des entités critiques, dite « REC ». Celle-ci modifie le code de la défense
o la directive (UE) 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 ». Celle-ci relève du champ de compétence des Affaires économiques mais aussi de la commission de la Défense sur certains articles ;
o la directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 en ce qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ». Cette dernière relève davantage du domaine de la commission des Finances.

INFOLETTRE n°240 – Novembre 2024

Lire : l’INFOLETTRE n°240 – Novembre 2024Logo HebdoLettre bleu - Rond75

Édito – Délire d’entrave

Madame, Monsieur, chers élus, chers amis,

En montant dans l’avion pour accompagner le président de la République dans sa visite d’État au Royaume d’Arabie saoudite, nous ne savons pas si nous aurons toujours un gouvernement à notre retour.

Des parlementaires d’opinions opposées envisagent désormais de voter ensemble une motion de censure pour renverser le gouvernement.

Une victoire par chaos budgétaire en somme.

Ce serait alors un retour au budget 2024, qui aggraverait encore notre déficit budgétaire et nos difficultés.

À titre d’exemple, les 3,3 milliards de hausse pour notre défense prévus dans la loi de programmation militaire seraient reportés, alors même que la guerre menace à nos portes.

Le 20 janvier prochain, Donald Trump retrouvera son bureau à la Maison Blanche.

Pour affronter la bataille commerciale mondiale qui se profile, le chantre du “America First” se réjouirait de trouver face à lui, une Europe divisée et une France absente faute de gouvernement.

Renverser le gouvernement sans offrir de solution alternative relève du délire d’entrave.

Cela affaiblirait considérablement la France à l’international.

Difficile de comprendre ceux qui veulent nous entraîner sur ce chemin.

Fidèlement,

Olivier Cadic

Sommaire :

FRANÇAIS DE L’ÉTRANGER
. PLF 2025 – Les indemnités de résidence à l’étranger demeureront non-imposables
. Institut français (IF) – Conseil d’administration
. MEAE – Budget 2025 – Statistiques des activités chronophages pour les consulats

EN CIRCONSCRIPTION
> SUISSE – Berne & Genève (24-25 oct. 2024)
> PÉROU – Lima (07-10 nov. 2024)
> SERBIE – Belgrade (14-15 nov. 2024)
> ROYAUME-UNI – Londres (20-22 nov. 2024)

SÉNAT – COMMISSION DES AFFAIRES ÉTRANGÈRES, DE LA DÉFENSE ET DES FORCES ARMÉES
. Agence française de développement (budget 2025)
. Taïwan – Visite officielle du Yuan législatif
. Équateur – GIA – Entrepreneurs
. Qatar – Ambassadeur
. Sri Lanka – Ambassadrice
. Nouvelle-Zélande – Vice Premier ministre
. Inde – Ambassadeur
. Canada / Taïwan – Motion sur la résolution 2758 de l’ONU adoptée à l’unanimité
. Hong Kong – Déclaration de L’IPAC sur la condamnation de 45 militants pour la démocratie
. Hong Kong – Appel à libérer Jimmy Lai par des parlementaires de 24 pays

SÉNAT – CYBERSÉCURITÉ
. Résilience/Cybersécurité/NIS2 – Une commission spéciale pour transposer 3 directives européennes
. Cyber – Matignon – Résilience/Cybersécurité
. Cybersécurité et ingérences étrangères (SGDSN, ANSSI et VIGINUM) – Le dôme cyber a tenu en 2024 ! (Budget 2025)
. Cyber – Gendarmerie – Cyber & IA (Budget 2025)

MÉDIAS
. “Narcotrafic : La France en voie de mexicanisation ?” (Public Sénat – 04 nov. 2024 – Vidéo 12’50)
. « Mexicanisation » ou « Marseillisation » ? (Le Temps – Suisse – 08 nov. 2024)

Découvrir l’InfoLettre n°240

Cyber – Matignon- Résilience/Cybersécurité

Participation à deux séquences, ce 19 novembre, ayant trait à mon activité dans le domaine cyber.

1️⃣ Tout d’abord, un échange à Matignon avec François Cornut-Gentille, chef du pôle Défense au cabinet du Premier ministre, en présence de Thierry Perardel, conseiller technique défense.

J’ai remercié François Cornut-Gentille de m’offrir, pour la première fois depuis 2017, l’opportunité de partager mon expérience de 7 années, en qualité de co-rapporteur pour avis du programme 129 “Coordination du travail gouvernemental”.

Nous avons évoqué le budget du SGDSN, l’évolution de l’ANSSI et les défis imposés par les conséquences de la transposition de la directive NIS2, la création réussie de Viginum, l’impérative nécessité de lancer le “17 cyber” et de renforcer le GIP ACYMA, les retards du filtre anti-arnaque, l’IHEDN…

2️⃣ première réunion de travail avec Patrick Chaize et Hugues Saury, rapporteurs de la commission spéciale chargée d’examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, ce 19 novembre.

Notre objet était de fixer la répartition des articles entre les rapporteurs et les prochaines dates de réunions et d’auditions.

Résilience/Cybersécurité/NIS2 – Une commission spéciale pour transposer 3 directives européennes

Très honoré d’assumer la présidence de la commission spéciale chargée d’examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, suite à sa séance constitutive du 12 novembre.

Un groupe de travail préfiguratif avait été constitué au mois de juin dernier. Entretemps, la dissolution de l’Assemblée nationale, puis la constitution du nouveau gouvernement ont retardé le processus et ce n’est donc que le 15 octobre dernier que le projet de loi a été déposé sur le Bureau du Sénat en première lecture.

Ce projet de loi vise la transposition de 3 directives distinctes, dont la directive dite « NIS2 » qui a déjà soulevé bien des débats :

o la directive (UE) 2022/2557 du parlement européen et du conseil du 14 décembre 2022 sur la résilience des entités critiques, dite « REC ». Celle-ci modifie le code de la défense ;

o la directive (UE) 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 ». Celle-ci relève du champ de compétence des Affaires économiques mais aussi de la commission de la Défense sur certains articles ;

o la directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 en ce qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ». Cette dernière relève davantage du domaine de la commission
des Finances.

Je souhaite que nous puissions entendre en premier lieu Mme Clara Chappaz, Secrétaire d’État auprès du ministre de l’Enseignement supérieur et de la Recherche, chargée de l’Intelligence artificielle et du Numérique, avec qui je me suis entretenu ces derniers jours.

Nos auditions seront programmées dans les semaines suivantes dans la perspective d’un examen en séance publique qui pourrait avoir lieu mi-février 2025.

La commission spéciale a constitué son Bureau au cours de sa séance constitutive du 12 novembre 2024 :

Le Président :
. Olivier Cadic (UC – Français de l’étranger)

Les Rapporteurs :
. Michel Canevet (UC – Finistère)
. Patrick Chaize (LR – Ain)
. Hugues Saury (LR – Loiret)

Les Vice-présidents :
. Cédric Perrin (LR – Territoire de Belfort)
. Christine Lavarde (LR – Hauts-de-Seine)
. André Reichardt (LR – Bas-Rhin)
. Hélène Conway-Mouret (SER – Français de l’étranger)
. Audrey Linkenheld (SER – Nord)
. Nadège Havet (RDPI – Finistère)
. Vanina Paoli-Gagin (LIRT – Aube)
. Michelle Gréaume (CRCE – Nord)
. Akli Mellouli (GEST, Val de Marne)
. Bernard Fialaire (RDSE – Rhône)

Les Secrétaires :
. Etienne Blanc (LR – Rhône)
. Rémi Cardon (SER – Somme)
. Catherine Morin-Desailly (UC – Seine-Maritime)

Budget 2025 – Gendarmerie – Cyber & IA – Vidéo Q/R (7m)

Au cours de l’audition du général Hubert Bonneau, directeur général de la Gendarmerie, ce 13 novembre, j’ai porté nos discussions sur l’activité cyber des services de gendarmerie, puis sur l’intérêt de recourir à l’intelligence artificielle, comme le démontre la police de la route au Brésil.

Dans le domaine cyber, le général nous a indiqué que 1000 enquêteurs travaillaient sous pseudonyme et que 500 cyber-réservistes complètent son dispositif. Il a insisté sur le rôle essentiel de prévention des gendarmes en la matière, qui vont au contact de toutes les populations, des établissements scolaires aux Ehpad, en passant par les petites mairies.

Au sujet de l’intelligence artificielle, le général Bonneau a mentionné une initiative (CAP IA) qui a pour vocation d’aider et soutenir le gendarme grâce à l’IA. Toutefois, « la vraie difficulté en la matière, c’est notre cadre réglementaire et législatif » auquel les gendarmes ne peuvent évidemment déroger.

Puisque j’ai évoqué le Brésil, le général a mis en avant notre « degré d’acceptabilité », en illustrant le fait que « vous êtes scannés des pieds à la tête quand vous arrivez à l’aéroport de Singapour ou de Dubaï. En France, ce n’est pas le cas ».

VERBATIM de mon intervention

Merci beaucoup pour votre présentation. Félicitations pour la Minute-cyber qui nous informe sur le progrès de vos opérations dans ce domaine et je veux citer l’opération Ghost pour laquelle vous nous avez informés avec cette task-force internationale au sein d’Europol qui a permis d’interpeler, le mois dernier, 50 personnes et saisir drogue, armes et des millions d’euros. Félicitations pour cette action.

Combien de sollicitations pour des attaques cyber enregistrez-vous ? Nous attendons la mise en place du « 17 cyber » pour centraliser justement les demandes des particuliers victimes en matière cyber. Avez-vous des statistiques à nous communiquer dans ce domaine ?

Mon deuxième sujet, qui va compléter certainement votre réponse précédente, est l’utilisation de l’intelligence artificielle. Au Brésil, la police de la route a une formidable efficacité parce qu’ils ont connecté l’intelligence artificielle au système de lecture automatique des plaques d’immatriculation. Cela leur permet d’anticiper, de détecter les véhicules automatiquement par ordinateur, de taguer certaines plaques d’immatriculation pour les placer orange/rouge en fonction des parcours suspects. Ce dispositif facilite les arrestations et la lutte contre le crime organisé au Brésil. Votre prédécesseur regrettait que cela faisait dix ans qu’on essaye d’avancer, je le cite, sur « la mise en commun des LAPI Douanes, Police, Gendarmerie pour pouvoir utiliser les données. Il se déclarait positif pour ce genre de solution. Est-ce que nous avons fait des progrès dans ce domaine pour améliorer notre efficacité et, sinon, comment pouvons-nous vous aider ?

INFOLETTRE n°239 – Octobre 2024

Lire : l’INFOLETTRE n°239 – Octobre 2024Logo HebdoLettre bleu - Rond75

Édito – Ne pas céder aux sirènes

Madame, Monsieur, chers élus, chers amis,

Espionnage, hacking, tentative de recrutement, la Chine et la Russie sont les fers de lance d’une guerre hybride menée contre nos intérêts.

Cette vidéo d’une minute réalisée par Public Sénat témoigne de l’ampleur de la menace qui pèse sur les démocraties.

Si les élus sont une cible de choix comme le révèle le reportage, d’autres professions ne sont pas en reste : diplomates, hauts fonctionnaires, journalistes, chercheurs, entrepreneurs…

Ce remarquable travail de Public Sénat est susceptible de contribuer à une prise de conscience collective de cette situation, afin que fidèle à la devise des lumières, chacun aie le courage de se servir de sa propre intelligence pour résister au chant des sirènes et ne pas tomber dans les pièges des régimes autocratiques.

Cliquez ici pour voir l’intégralité du reportage (29 minutes).

Fidèlement,

Olivier Cadic

Sommaire :

FRANÇAIS DE L’ÉTRANGER
. PLF 2025 – Audition de Jean-Noël Barrot
. Conférence Liban (1/2) – Situation géopolitique & soutien à la population
. Conférence Liban (2/2) – Message de Sophie Primas à nos ressortissants
. 41e Session de l’AFE – Ouverture / Intervention de Sophie Primas
. 41e Session de l’AFE – Intervention du groupe Les Indépendants
. L’ANEFE auditionnée par le Sénat et l’AFE
. 41e Session de l’AFE – Pauline Carmona clôture les travaux
. Une BD qui raconte la Francophonie !

EN CIRCONSCRIPTION
> DANEMARK – Copenhague (26-27 sept. 2024)
> ÉTATS-UNIS (1/3) – Los Angeles (4-6 oct. 2024)
> ÉTATS-UNIS (2/3) – San Diego (7-8 oct. 2024)
> ÉTATS-UNIS (3/3) – San Francisco (9-11 oct. 2024)

SÉNAT – COMMISSION DES AFFAIRES ÉTRANGÈRES, DE LA DÉFENSE ET DES FORCES ARMÉES
. Taïwan – Réception de Tsai Ing-wen, ancienne présidente
. Taïwan – A quand la visite d’un ministre français ?

SÉNAT – CYBERSÉCURITÉ
. Cyber Task Force : “Comment réussir la transposition NIS2 ?”
. Euro-Atlantic Resilience Forum 2024 – Il n’y a pas de canon pour détruire un mensonge
. CyberSécurité – Le « 17 Cyber » sur la rampe de lancement

MÉDIAS
. Olivier Cadic : “le Hezbollah entraîne les Libanais dans une guerre contre leur gré” (LePetitJournal.com – 29 oct. 2024)
. “Russie, Chine : comment ils attaquent nos démocraties” (Public Sénat – 22 oct. 2024)
. “CyberTaskForce : face aux cybermenaces pour la sécurité nationale, un projet de loi NIS 2 jugé brouillon” (The Epoch Times – 20 oct. 2024)
. « Ingérences étrangères, des élus pris pour cibles » (Public Sénat – 19 oct. 2024)
. Olivier Cadic : « Après la mort du chef du Hamas, il faut trouver une issue au conflit » (Public Sénat – 18 oct. 2024)

Découvrir l’InfoLettre n°239

Médias – “CyberTaskForce : face aux cybermenaces pour la sécurité nationale, un projet de loi NIS 2 jugé brouillon” (The Epoch Times – 20 oct. 2024)

Merci à Etienne Fauchaire (The Epoch Times) d’avoir donné écho à mon intervention lors la conférence intitulée “Comment réussir la transposition NIS2 ?” organisée Sébastien Garnault, directeur du CyberTaskForce (compte-rendu).

Extraits :

Olivier Cadic, sénateur représentant les Français établis hors de France, a rappelé qu’il milite depuis 2019 afin que soit enfin mis en place un numéro d’appel, un « 17 cyber », et déploré lui aussi un « problème de gouvernance » : « Napoléon disait qu’un mauvais général vaut mieux que deux bons. Nous, décideurs politiques, avons besoin d’un interlocuteur unique, à l’image de ce qui a été instauré aux États-Unis ».
[…]
Autre problème soulevé : le flou définitionnel du texte, aussi bien concernant la notion d’incident (« Est-on tous d’accord en Europe sur la définition d’incident ? » – Olivier Cadic), celle de vulnérabilité, ou encore de dirigeant (« Dans une collectivité, qui est le dirigeant : le Directeur Général des Services (DGS) ou le maire ? » – Constance Nebbula).
[…]
Le texte ne répond pas non plus efficacement aux objectifs de sécurité nationale, a également relevé Olivier Cadic, puisqu’aucune sanction n’est prévue si le responsable d’une cyberattaque est un État étranger : « En cas de défaillance, une entreprise peut recevoir une amende. Mais qu’en est-il si un État nous attaque ? De quelle mesure de rétorsion le menaçons-nous réellement?»

Lire l’article d’Epoch Times CyberTaskForce : face aux cybermenaces pour la sécurité nationale, un projet de loi NIS 2 jugé brouillon

Euro-Atlantic Resilience Forum 2024 – Il n’y a pas de canon pour détruire un mensonge

Je remercie Romain Le Quiniou, directeur d’Euro Créativ, et les organisateurs de m’avoir invité à ouvrir en anglais, ce 17 septembre, une conférence intitulée « Forward Resilience – The EU and NATO Neighborhood Fighting Malign Foreign Influences », dans les locaux de l’ambassade de Roumanie à Paris, en présence de Ioana Bivolaru, ambassadrice de Roumanie en France et de Dana Gruia-Dufaut, conseillère des Français de l’étranger en Roumanie.

La conférence se tenait simultanément à Paris et Bucarest, dans le cadre du forum « Euro-Atlantic Resilience Forum 2024 ».

J’ai partagé mes alarmes et mes recommandations au sujet des influences étrangères, tout en exposant les récents développements pour renforcer notre lutte contre ces pratiques, en France comme au niveau européen.

Comme Taiwan est le laboratoire de la désinformation chinoise, j’ai suggéré que pour optimiser notre action, nous invitions Taïwan à rejoindre le Centre d’excellence coopératif de cyberdéfense de l’OTAN à Tallin et le Centre d’excellence de communication stratégique de l’OTAN à Riga.

Cette rencontre avait pour objectif d’explorer les stratégies de l’OTAN et de l’Union européenne pour renforcer la résilience des pays voisins des Balkans occidentaux et d’Europe de l’Est (Géorgie, Moldavie, Ukraine en particulier) face aux influences étrangères malveillantes, notamment celles émanant de la Russie. La discussion portait sur des enjeux multiples, tels que la résilience démocratique, la lutte contre les pratiques de guerre hybride et les ingérences étrangères, la réduction des dépendances économiques et énergétiques, ainsi que le renforcement de la sécurité régionale.

VERBATIM

There is no cannon to destroy a lie.

Large-scale information manipulation campaigns constitute the new, hybrid form of foreign interference.

This is a challenge for democracies in the information and reputation war waged by certain authoritarian regimes.

Information manipulation campaigns are not new.

There is a Russian signature when it comes to disinformation that includes the spread of rumors and fake news.

The revisionist strategy dates from the Soviet era.

The Soviets became famous by attributing to the Nazis the execution of Polish officers at Katyn or the assassination of JFK at the CIA

In 2016, living in the UK, I observed the wave of misinformation during the Brexit campaign.

This intensified with the 2016 US presidential election.

Also in preparation for the French military programming law in 2018, I went to the Pentagon. Their hybrid warfare doctrine inspired me to integrate the fight against “Fake news” into the military programming law (LPM) 2019-2025.

But if we have a Russian storm, Climate Change is China… Lire la suite

Cyber-attaques APT 31 : Quand la Chine se lance dans la guerre de la Toile

Une vingtaine d’experts mondiaux de la cybersécurité m’ont fait l’honneur d’accepter d’être auditionnés au Sénat, le 3 juin dernier.

Cette rencontre d’exception a été possible grâce à Sébastien Garnault, fondateur de la Cyber Task Force et du Paris Cyber Summit, colloque auquel participaient tous ces experts à Paris.

Je remercie chaleureusement Philip Stupak, directeur adjoint au bureau du directeur national de la cybersécurité à la Maison Blanche, d’être revenu au sénat, un an après son audition pour la LPM et André Gattolin, ancien sénateur et co-président, comme moi, de la branche française de l’IPAC, l’Alliance interparlementaire sur la Chine, pour avoir brillamment co-animé les débats.

Cette audition grand format avait pour thème : « Menaces du groupe chinois APT : focus sur APT 31 et Storm 0558 ».

En effet, trois mois plus tôt, le ministère américain de la Justice avait dévoilé un acte d’accusation contre 7 ressortissants chinois appartenant au groupe de hackers APT31 qui dépend directement du ministère chinois de la Sécurité d’État. 116 parlementaires, issus de 15 pays, dont 7 Français, ont reçu en janvier 2021 des courriels de la part du groupe APT31 qui contenaient des images piégées (pixel attack), afin de collecter leurs informations. Les parlementaires ciblés, dont je fais partie avec André Gattolin, sont tous membres de l’IPAC.

Nous partageons une même volonté de s’opposer aux cyber-attaques lancées depuis Pékin, Moscou ou bien Téhéran, parce que nous défendons une vision commune de la démocratie et des droits de l’Homme.

Aussi, les responsables de l’administration américaine, canadienne et des plus grandes entreprises américaines ou européennes présentes ont partagé leurs propositions pour élever notre niveau de résilience face aux attaques.

Cyber-solidarité entre états

Il est ressorti des diverses prises de parole que, face à l’ampleur grandissante des cyber-menaces, aucun état, pas même les Etats-Unis, n’avait la « taille critique » pour se protéger seul.

(g à d) Phil Stupak (Maison Blanche) ; André Gattolin ; Olivier Cadic et Marc Schor (Sénat)

Tous les avis ont convergé pour prôner une cyber-solidarité entre les états démocratiques. Je partage naturellement cette vision nouvelle et pertinente pour contrer la Chine qui agit sur nos réseaux et prépare visiblement une guerre sur la toile.

La cyber-solidarité est une relation de confiance à construire entre les démocraties. Le temps presse cependant et il faut trouver des voies de partage sans tarder. En pareil cas, il est toujours judicieux de s’inspirer de l’existant. Ainsi, un intervenant a fait mention du secteur nucléaire parce que ses acteurs ont pris l’habitude de partager leurs nouvelles expertises, comme leurs points de vulnérabilité.

Partenariat public-privé

Une autre réponse a été développée lors de cette rencontre au Sénat, comme une extension logique au principe de cyber-solidarité entre les états : approfondir la collaboration public-privé. Puisqu’on parle de « taille critique » des états pour défendre leur souveraineté, force est de constater qu’une entreprise des GAFAM est plus numériquement plus « puissante » qu’un état comme la Russie.

Justement, l’agression de la Russie contre l’Ukraine a opéré comme un déclencheur pour de nombreux pays et entreprises les conduisant à hausser leur niveau de protection.

Trois jours avant l’invasion russe, les députés ukrainiens avaient voté une loi pour autoriser la localisation des données nationales hors de leur pays, afin de garantir la continuité du fonctionnement de leur administration.

Du reste, Amazon Web Services, va proposer un « European safety cloud » aux entreprises, comme aux administrations, pour faire valoir une vision de la souveraineté numérique qui n’est pas fondée sur l’achat d’une solution nationale, mais sur celui d’un produit qui assure un maximum de sécurité (notamment via le cryptage qui rend les données inaccessibles même au prestataire), de contrôle de la part de l’utilisateur et de garantie juridique.

Dans ce domaine, nous avons récemment progressé au niveau européen avec le règlement européen sur les services numériques (DSA) qui a permis pour la première fois, de confier aux plateformes, en particulier celles des GAFAM, des responsabilités importantes dans la lutte contre la désinformation. Aussi, pour la première fois, des sanctions ont été prises à l’encontre des médias manipulés par le pouvoir russe à des fins de propagande, ce qui a conduit à l’interdiction de Russia Today.

La cyber-solidarité entre états, associée aux partenariats public-privé, doit fonctionner à large échelle dans une guerre d’ordre planétaire. « La désinformation est devenue une véritable arme de guerre », rappelait, quelques jours plus tôt, le ministre de l’Europe, Jean-Noël Barrot, devant une commission du Sénat.

Un point d’alerte soulevé est que chacun doit prendre conscience de son empreinte numérique car les proches des personnes ciblées par une sont également ciblées.

Il faut urgemment rassembler les pièces d’un puzzle géant et multiplier les relais de confiance. Face à l’évolution technologique ou la corruption des individus, rien ne sera jamais acquis, même avec la meilleure volonté du monde ou les meilleurs outils. Une nouvelle page de l’histoire de l’humanité s’est ouverte. On se préparait à la guerre des Etoiles, avec les attaques des services chinois, nous sommes confrontés à la guerre de la Toile.

PARTICIPANTS
Mr Barnaby Page, Vice President, IR & Cyber Risk at SentinelOne
Mr Brett DeWitt, Vice President, Global Cyber & Technology Policy at Mastercard
Ms Christine Bejerasco, CISO at WithSecure
Mr Dan Cimpean, Director of the National Directorate for Cyber Security – DNSC
Mr Daniel Le Coguic, President of the Alliance for Digital Trust
Mr Dara Murphy, Vice President of Rasmussen Global, Former Minister for Europe and Digital Affairs of Ireland
Mr David Lashway, Co-chair at Sidley Austin
Ms Eva Benn, Senior Security Program Manager (Offensive Security, AppSec) at Microsoft
Mr François Deruty, Chief Intelligence Officer at Sekoia
Mr Fred Géraud, Government Affairs & Public Policy at Google Cloud
Ms Heli Tiirmaa-Klaar, former Ambassador, Director of Digital Society Institute of ESMT, Chair of the Ukraine IT Coalition Steering Group
Mr Jonathan Luff, Chief of staff at Recorded Future
Ms Katherine Sutton, Chief Technology Advisor to the Commander and Director of Pentagon Operations at the U.S. Department of Defense
Mr Lionel Benatia, Director Government Affairs Senior at Microsoft France
Mr Marc Raimondi, Chief of Staff to the Executive Chairman at Silverado Policy Accelerator
Mr Max Peterson, Vice President, Sovereign Cloud at AWS
Mr Michael Lashlee, Chief Security Officer at Mastercard
Mr Nils Hansma, Principal Security Assurance Lead – France/Switzerland at AWS
Mr Olivier Esper, Government Affairs Manager at Google
Mr Phil Stupak, Assistant National Cyber Director, Office of the National Cyber Director, Executive Office of the President – The White House
Mr Philippe Luc, CEO of ANOZRWAY
Mr Sami Khoury, Head of the Canadian Centre for Cyber Security
Ms Sandra Joyce, Vice-President, Google Threat Intelligence at Google Cloud
Mr Sean Newell, Chief of the National Security Cyber Section at the U.S. Department of Justice
Mr Vincent Richir, Director of Public Policy for Western Europe at Mastercard
Ms Zoey Stambolliu, Director Global Cybersecurity & Technology Policy at Mastercard

Sénat – Cyber – Table ronde sur la transposition de la directive NIS 2

Dans la perspective de l’examen du projet de loi relatif « à la résilience des activités d’importance vitale, à la protection des infrastructures critiques, à la cybersécurité et à la résilience opérationnelle numérique du secteur financier », le Sénat avait envisagé la création d’une commission spéciale.

Compte tenu de la dissolution de l’Assemblée nationale, les travaux législatifs au Parlement ont été suspendus et le texte n’a toujours pas été adopté en Conseil des ministres.

En qualité de co-rapporteur, avec mon collègue Mickaël Vallet, pour avis sur le volet « Cyber » du programme 129 « Coordination du travail gouvernemental » du projet de loi de finances, j’ai néanmoins souhaité organiser, ce 20 juin, au Sénat, une table ronde réunissant les grands acteurs de la cybersécurité autour de l’Alliance pour la confiance numérique (ACN), du Cybercercle et de la Cyber task force, pour un échange de vues sur les problématiques de la transposition de la directive NIS 2 pour la filière de cybersécurité.

Il y a urgence. Chaque État membre de l’UE dispose d’un délai pour transposer NIS2 dans son droit national qui doit être respecté avant le 17 octobre 2024.

J’ai présidé les débats divisés en deux séquences :
. Démarche et agenda de transposition de la directive NIS 2
. Impact pour les entreprises et pour la filière de cybersécurité

Nos échanges ont permis de croiser les points de vue en donnant la parole aux représentants de l’écosystème des entités essentielles et des entités importantes (BITD, étatiques, collectivités et PME … ) sur la transposition de la directive NIS2 dans le droit français (*).

Cette directive vise à renforcer le principe de responsabilité (accountability) des acteurs économiques, avec des sanctions financières substantielles à la clé.

Aussi, l’intelligence collective, le dialogue et la concertation seront des socles essentiels pour ceux qui auront la responsabilité de mettre oeuvre ces nouveaux dispositifs et pour ceux qui devront les accompagner. « Et, au-delà, la question centrale de la place de la sécurité numérique dans les politiques publiques », a conclu Bénédicte Pilliet.

Je remercie chacun des participants pour avoir contribué à la réussite de cette réunion que j’ai eu le plaisir de co-animer avec Bénédicte Pilliet, présidente du CyberCercle, Yoann Kassianides, délégué général de l’ACN et Sébastien Garnault, fondateur du CyberTaskForce et du Paris Cyber Summit.

(à l’image) Plus tôt dans la matinée, toujours au Sénat, j’avais eu l’honneur de présider la 130ème Matinale mensuelle du CyberCercle, aux côtés de sa présidente Bénédicte Pilliet, sur la stratégie d’intelligence économique et de sécurité numérique développée par la DGA – Direction générale de l’armement – au service de la BITD. A ce titre, nous avons reçu Jean-Baptiste Kerveillant et Camille Lanet de la DGA. +d’images

– – – – –
(*) Julien Lopizzo de Semkel, Muriel de Marcos de MGM Solutions, Marc Bothorel de la CPME nationale, David Dany et Christophe Curtelin de La Preuve Numérique©, Mylene Jarossay du Cesin, Quentin Nicaud d’Elysium Security, Eric Hohbauer de Stormshield, Pierre Kirchner d’Equans Digital, et des représentants de Poste Groupe, le CEA, le ministère des Armées… sans oublier les senior advisors du CyberCercle : Stéphane Meynet, Christian Daviot et Yann Magnan.

Quelle est la date officielle d’entrée en vigueur de NIS 2 ?
La directive NIS 2 a été publiée le 27 décembre 2022 au Journal Officiel de l’Union européenne et elle prévoit un délai de 21 mois pour que chaque Etat membre transpose en droit national les différentes exigences réglementaires. NIS 2 rentrera donc en vigueur en France au plus tard en octobre 2024. Il est utile de préciser que la date d’entrée en vigueur ne correspond pas à la date d’application de l’ensemble des exigences réglementaires qui seront imposées aux entités régulées : certaines exigences seront d’application directe et d’autres seront soumises à un délai de mise en conformité. (Source ANSSI)

Paris cyber week : Discours d’ouverture

Les pays démocratiques doivent reprendre l’initiative.

Une force de dissuasion cyber internationale doit être créée pour détruire la cyber muraille de Chine sur commande.

Pour bâtir cette force, il faut du courage politique, de la solidarité et retrouver l’inspiration d’Alan Turing et de Bobby Fisher.

 

DISCOURS – traduit de l’anglais  (english version)

Madame, Monsieur,

Merci Sébastien pour cette invitation.

Je siège au Sénat depuis 10 ans pour représenter les Français de l’étranger.
60 % de mon temps à l’étranger. 537 déplacements dans 114 pays.
Je suis Vice-Président de la Commission Affaires Étrangères et de la Défense
J’ai intégré la lutte contre les « Fake news » dans la loi de programmation militaire de 2018.

Dans la dernière loi de programmation militaire de 2023, j’ai intégré la garantie de liberté de circulation maritime par notre marine militaire en mer de Chine méridionale et dans le détroit de Taiwan.

Je suis en charge de la cyber depuis 7 ans au Sénat.

Je suis un cyber paranoiaque.

En 1999, j’ai lancé ma market place sur internet, un vendredi à 15h00.
Le lundi, mon marketing manager se vantait des chiffres de trafic sur notre serveur étaient exceptionnels.
Mon IT Manager a demandé à me parler discrètement peu après : « Samedi à 3 heures du matin, quelqu’un est entré sur nos serveurs et a downloadé des films pour adultes.
Le monde entier les a téléchargés tout le week-end. »

Mon marketing manager m’a alors suggéré d’évoluer vers l’industrie pornographique.
J’ai préféré m’équiper de Firewall.
Vous comprenez maintenant pourquoi j’ai développé une cyber paranoia.

Demain, sera le 80ème anniversaire du jour J.

Il y a 80 ans, des milliers de soldats vivaient, aujourd’hui, la dernière journée de leur vie.
Je serai demain à Omaha Beach pour saluer leur mémoire et exprimer la gratitude éternelle de notre pays envers leur sacrifice.
La réussite du D.day doit beaucoup à Alan Turing qui a réussi à déchiffrer le code Enigma utilisé par l’armée allemande pour transmettre des informations militaires.
Ce code, qui changeait toutes les 24 heures et possédait des milliards de combinaisons, était réputé inviolable.
Turing a sauvé un nombre considérable de vies.
C’est encore Alan Turing qui a préfiguré l’intelligence artificielle en 1950.

Hier, nous discutions de ce que pourrait être la sécurité du Cyberspace dans 80 ans.

Quelque chose me dit que nos successeurs continueront à parler de sécurité, que des pays chercheront à décrypter les données cryptées comme il y a 80 ans et aujourd’hui.

L’informatique quantique les aura fait entrer dans une nouvelle dimension.

Il y a 80 ans, grâce à des héros, l’Europe a recouvré sa liberté.

Il y a tout juste 35 ans, le pouvoir chinois massacrait la liberté et ses étudiants sur la place Tiananmen, parce qu’ils réclamaient l’instauration de la démocratie.

Sa maîtrise de la technologie lui a permis de créer un cyber-mur pour imposer un contrôle social de sa population en combinant réseaux sociaux, caméras à reconnaissance faciale et intelligence artificielle.

Le Parti communiste chinois a fixé 2049, année de son centenaire, pour que la Chine impose son leadership au monde.

La question qui se pose à nous : Dans quel monde voulons-nous vivre en 2049 ?

Voulons-nous vivre dans un monde où la démocratie, les libertés individuelles seront respectées ou dans un monde où chacun doit se conformer à un ordre déterminé par le parti ou un autocrate ?

Nous sommes confrontés à une guerre hybride.

La dimension cyber qui comprend le secteur criminel, l’espionnage et l’action militaire qui nous préoccupe à la Paris cyber week, n’est pas le seul.

Il faudrait aussi évoquer la traite des êtres humains et de migrants envoyés par vagues pour submerger nos frontières… ou encore les crimes portant atteinte à l’environnement que sont l’exploitation minière illégale et le trafic de métaux et de minéraux.

Notre commission d’enquête sur le narcotrafic vient de rendre son rapport.
Les précurseurs chimiques chinois composent 70% de la cocaïne.
J’ai pu constater leur présence dans ces laboratoires au plus profond de la jungle, il y a deux semaines.
Ces produits chimiques de l’empire du Milieu sont la source des drogues synthétiques comme le fentanyl à l’origine d’environ 120 000 morts aux USA en 2023.

Avec Hong-Kong, devenu le trou noir du blanchiment, Pékin est aux deux extrémités de la “supply-chain” du Narcotrafic, une des composantes de la guerre hybride à laquelle les démocraties sont livrées.

Le blanchiment pour laver l’argent du crime organisé, éviter les taxes ou contourner les sanctions économiques.

Nous pourrions également développer tous les aspects de la désinformation.
Il n’y a pas de canon pour détruire un mensonge.

Des états totalitaires ou autoritaires s’en prennent quotidiennement aux démocraties et relativisent l’intérêt de respecter les droits de l’Homme. Dans cette bataille des opinions, les démocraties ne doivent pas se montrer naïves.

Au début de la crise du Covid en mars 2020, l’ambassade de Chine à Paris, a fait un communiqué indiquant que la France laissait mourir ses personnes âgées dans les EPADH.

J’avais produit un rapport, et réclamé la mise en place d’une “force de réaction cyber”, seule capable de réagir et de lutter offensivement contre les ennemis de nos valeurs républicaines.

15 mois plus tard, l’agence nationale Viginum voyait le jour en France pour détecter les attaques informationnelles.

Viginum traque désormais les ingérences étrangères sur internet.

Il se révèle précieux pour affronter les modes opératoires de plus en plus sophistiqués observés à la veille des Jeux Olympiques.

Le 25 mars dernier, le département de la Justice américain a dévoilé un acte d’accusation, contre 7 ressortissants chinois appartenant au groupe de hackers APT31 qui rapporte directement au ministère chinois de la Sécurité d’État.

116 parlementaires, issus de 15 pays, dont je fais partie, ont été attaqués par un groupe de hackers APT31 qui rapporte directement au ministère chinois de la Sécurité d’État.

Je remercie les services du FBI et du département de la Justice pour leur action et de nous avoir informé.

Il s’agit clairement d’un acte de cyber-guerre, commis par une dictature 2.0.

À partir de cette semaine, dans le cadre de mes prérogatives en matière cyber, nous avons commencé le travail du sénat français afin d’évaluer ce qu’il convient désormais de faire lorsque notre pays est victime d’un acte de cyber-guerre.

Je remercie à nouveau Sébastien de m’avoir permis de réunir au sénat ce lundi, certains des participants pour partager leur regard et ouvrir la séquence des auditions suite à l’attaque APT31.

Allons-nous rester sans réagir ?

J’ai créé mon entreprise à 20 ans.
Mon entreprise a collaboré à la création de plusieurs systèmes d’armes et j’ai travaillé avec Roland Moreno, l’inventeur de la carte à puce.
Je disais alors autour de moi : votre présent est mon passé.

Depuis que je suis au Sénat, j’ai l’impression que je vis dans le passé de quelqu’un d’autre. Nous sommes toujours en réaction.

Nous subissons tellement d’attaques cyber que j’ai l’impression que nous sommes des punchings balls.
Nous sommes dépassés.
Les Chinois font des choses sur nos réseaux que nous observons, mais que nous ne comprenons pas.
Ils préparent une guerre. Ils sont déjà chez nous.

Chacun d’entre nous a des vulnérabilités.
Les pays démocratiques doivent reprendre l’initiative.

Mon oncle m’a appris à jouer aux échecs.
Lorsque j’avais 10 ans, chaque jour, nous allions acheter le journal pour analyser les parties du championnat du monde qui opposait Bobby Fisher à Boris Spassky.
Seul, face aux grands maîtres soviétiques, qui dominaient le monde des échecs depuis plusieurs décennies, Bobby a été imprévisible.
Il a trouvé les failles et l’a emporté.

Face à la Chine, nous devons suivre son inspiration et agir de même.

Depuis trop longtemps, nous ne répondons pas aux cyber attaques.

On nous argumente que ce serait l’escalade.

Le PCC n’a plus peur de nous.

Il voit les démocraties comme des systèmes faibles et prévisibles.

Nous devons les surprendre.

Une force de dissuasion cyber internationale doit être créée pour détruire la cyber muraille de Chine sur commande.

Pour bâtir cette force, il faut du courage politique, de la solidarité et retrouver l’inspiration d’Alan Turing et de Bobby Fisher.

Il faut comprendre qu’aucun pays démocratique, même les Etats-Unis n’ont la taille critique pour rivaliser seul face aux menaces de la Chine à présent.

Face à une Chine hyper centralisée, les démocraties apparaissent divisées.
La fragilité de notre édifice, vient d’une fragmentation des Etats, et d’une séparation entre les acteurs publics et privés.

L’UE a fait de grands pas vers l’unité en faisant émerger une Europe de la cyber souveraineté.
Même unie sur le sujet, l’UE n’aura pas la taille critique.

Les Etats-Unis prônent une cyber solidarité. Ils ont raison.

Et je veux remercier Phil Stupak, de la Maison Blanche pour tout le temps qu’il m’a consacré et la confiance qu’il m’a accordée.

Un partenariat fort entre les États-Unis et l’UE, mais également avec les entreprises privées doit s’opérer.

A Washington, les gens de Google m’ont confié. La Russie est plus grande que l’Ukraine. Sur internet, Google est plus puissant que la Russie.

AWS a fait ses preuves pour permettre à l’Ukraine d’être résiliente au début de l’invasion russe.

La collaboration US-UE, Public-privé, doit pouvoir s’opérer comme nous le faisons dans le nucléaire et commencer par exemple en partageant nos vulnérabilités réciproques en toute transparence.

Je remercie Daniel Le Coguic, président de l’ACN, d’avoir promu cette idée.

Pourquoi les membres de l’IPAC (Inter-Parliamentary Alliance on China) ont été attaqués ? Parce que Pékin nous craint.

Je pense que nous devons construire une alliance interparlementaire internationale du cyber pour accompagner et soutenir une politique de cyber solidarité.

Il n’y a pas de système qui n’a pas de vulnérabilité.

Il existe des moyens de détruire la cyber muraille de Chine… de l’intérieur… et de libérer les Chinois de cette dictature 2.0.

Le Parti communiste chinois annonce fièrement leur plan à long terme pour diriger le monde d’ici à 2049.

Les démocraties ont également un plan à long terme.

C’est d’empêcher les communistes chinois d’accomplir leur plan.

Je vous remercie.

VERSION originale en anglais

Cybersécurité & Solidarité numérique – Audition d’Amazon Web Services

L’équipe de AWS que j’avais rencontrée le mois dernier à Washington (compte-rendu) a répondu à mon invitation de se rendre Sénat, ce 25 mars, pour évoquer ses solutions de sécurité numérique.

Nous avons ainsi eu le plaisir de recevoir :
. Max Peterson – VP, Sovereign Cloud (à l’image)
. ⁠Nils Hansma – Responsable Security Assurance France/Suisse
. ⁠Kara Marston – Head of Strategy and Engagement, Sovereign Cloud
. ⁠Cédric Mora – Responsable Affaires

AWS a démarré ses services en 2006, afin de répondre aux besoins de la société Amazon. Aujourd’hui 80% des sociétés du CAC40 abritent leurs données le cloud d’AWS.

A l’appui de son cloud, Amazon a fait valoir une vision de la souveraineté numérique qui n’est pas fondée sur l’achat d’une solution nationale, mais sur celui d’un produit qui assure un maximum de sécurité (notamment via le cryptage, qui rend les données inaccessibles même au prestataire), de contrôle de la part de l’utilisateur et de sécurité juridique.

Selon AWS, le nouvel « European safety cloud » proposé par l’entreprise va apporter ces trois garanties aux entreprises, comme aux administrations.

Ce cloud sera entièrement opéré et maintenu au sein de l’UE et sous la loi européenne. En effet, l’essentiel des clients d’AWS exige de maitriser la localisation de leurs données.

Le concept proposé par Amazon Web Services rejoint la vision de Nate Fick, ambassadeur itinérant en charge du cyberespace et la politique digitale au Département d’État américain. Celui-ci prône une cyber solidarité plutôt qu’une cyber souveraineté, en reconnaissant le rôle central du secteur privé pour partager la charge de la cyberdéfense.

Aussi, je fais mienne cette idée de solidarité numérique, considérant qu’aucun état n’a la taille critique pour se confronter seul aux attaques cyber, pas même les États-Unis.

On peut ainsi évoquer l’opération de sécurisation effectuée par l’Ukraine en partenariat avec AWS au début de la guerre : trois jours avant l’invasion russe, les députés ukrainiens ont voté une loi pour autoriser la localisation des données nationales hors de leur pays, en l’occurrence les serveurs AWS, afin de garantir la continuité du fonctionnement de l’Administration.

Débats du CyberCercle : vers l’idée de solidarité numérique internationale

Heureux d’avoir accueilli au Sénat, en ce premier jour du printemps, la Matinale du CyberCercle présidé Bénédicte Pilliet, réunissant une soixantaine de représentants d’organisations publiques et privées.

À l’occasion de la parution de l’ouvrage « Soldat de la cyberguerre » (Éditions Tallandier), nous avons invité ses deux auteurs, le vice-amiral d’escadre (2S) Arnaud Coustillière, et Aude Leroy, pour un échange autour de la génèse de la cyberdéfense française et sa montée en puissance, puisque l’ouvrage porte sur la période 2002-2020

Dans ce précieux témoignage, Arnaud Coustillière raconte la construction à marche forcée de notre « capacité de combat dans l’espace numérique », sur un plan offensif, défensif et dans la contre-propagande. « Tous les conflits ont désormais un volet cyber », a-t-il rappelé en expliquant l’intégration du cyber aux opérations militaires tactiques, notamment pour leurrer l’adversaire, faisant référence à notre confrontation avec Daech.

Lorsque les questions se sont orientées vers le domaine civil, Arnaud Coustillière a pointé que « le cybercrime s’est structuré de façon effrayante », avec la complicité évidente de certains états. L’occasion pour l’amiral de se montrer scandalisé par l’impunité dont semblent assurés les patrons des deux opérateurs de complémentaires santé (*) victimes d’une cyberattaque, le mois dernier. 33 millions de données de santé volées, « c’est le mépris du citoyen qui confie ses données à l’état ». Ce genre de négligence devrait « relever du pénal », estime-t-il.

Le rôle des parlementaires est venu dans la conversation, d’autant que leur discours rejoint souvent celui des militaires en termes de souveraineté numérique.

Et pourtant, face à l’immensité des enjeux, j’ai évoqué la vision partagée par Nate Fick, ambassadeur itinérant en charge du cyberespace, rencontré le mois dernier à Washington.

Le Département d’État américain (équivalent de notre ministère des Affaires étrangères) met en œuvre une stratégie, définie par la Maison Blanche, fondée sur la coopération internationale en matière de cybersécurité.

En effet, Nate Fick reconnaît le rôle central du secteur privé pour partager la charge de la cyberdéfense et prône donc une cyber solidarité plutôt qu’une cyber souveraineté.

Cela fait longtemps que j’explique qu’aucun état n’a la taille critique pour se confronter seul aux attaques cyber. Pas même les États-Unis d’Amérique. Aussi, je fais mienne cette idée de solidarité numérique venant d’un pays qui partage les mêmes valeurs que nous défendons.

L’amiral Coustillière a aussi reconnu que les géants du numérique étaient désormais incontournables : « à 200m d’ici, vous allez trouver un répéteur Google » ou bien encore « dès que vous avez plus de 5000 postes de travail, la suite Microsoft office est indispensable ». Il faut, à son sens, rechercher néanmoins « une forme d’autonomie stratégique dans nos discussions et la bonne réglementation ».

– – – – – – –
(*) Viamedis et Almerys, deux opérateurs assurant la gestion du tiers payant pour des nombreuses complémentaires santé et mutuelles. Plus de 33 millions de personnes sont concernées par le piratage.

PLF2024 – Publication de notre rapport sur la cybersécurité (programme 129)

Avec mon collègue Mickaël Vallet, en qualité de rapporteurs du programme 129 “Coordination du travail gouvernemental” (gestion de crises, cyberdéfense, renseignement), nous avons présenté notre avis budgétaire devant notre commission des Affaires des étrangères et de la Défense, le 15 novembre dernier.

Notre rapport a été publié et il en ressort que l’exercice 2024 se caractérise par un renforcement des moyens de l’agence nationale de la sécurité des systèmes d’information (ANSSI) et du service de vigilance et de protection contre les ingérences numériques étrangères (Viginum), constituant ainsi le volet civil de l’effort prévu par la loi de programmation militaire 2024-2030 (4 milliards d’euros de besoins programmés sur la période).

Pour répondre au « changement d’échelle » annoncé par l’ANSSI qui est de passer à une cybersécurité de masse, nous avons ont identifié 4 principaux défis à relever :

assurer la cybersécurité des Jeux olympiques et paralympiques 2024. Pour l’image internationale de la France, il n’y aura pas de médaille d’argent ;
– coordonner l’ensemble des acteurs publics et privés de l’écosystème cyber autour d’une révision de la stratégie nationale de cybersécurité (la dernière datant de 2018) et du lancement de la plateforme numérique « 17 Cyber » en mars 2024 ;
réussir la transformation de l’ANSSI en vue de la transposition de la directive NIS 2 (Network and Information Security3(*)). Celle-ci prévoit un accroissement du périmètre de compétence de l’agence de quelque 500 OIV à environ 15 000 entreprises dont le suivi constitue un changement d’échelle pour l’agence et nécessite une reconfiguration de son offre de services ;
réorganiser le dispositif de coordination en s’inspirant de la grande cause nationale de la sécurité routière qui a permis de réduire drastiquement le nombre de morts sur nos routes en confiant à un coordinateur interministériel clairement identifié la responsabilité de coordonner tous les moyens disponibles.

Lire le RAPPORT

INFOLETTRE n°228 – 19 novembre 2023

Lire : l’INFOLETTRE n°228 – 19 nov 2023Logo HebdoLettre bleu - Rond75

Sommaire :

ÉDITO
. Pauline Carmona, directrice des FDE, accélère le déploiement de France Consulaire

EN CIRCONSCRIPTION
> ÉTATS-UNIS – Washington (11-13 oct. 2023)
. Forum des CCEF : Tous ensemble pour faire gagner la France !
. Accueilli par Laurent Bili, ambassadeur de France aux Etats-Unis et Caroline Monvoisin, consule générale à Washington
. Rencontre avec les conseillers des Français de l’étranger Olivier Piton et Blandine Chantepie (Washington), Gérard Epelbaum (New York) et Dominique Lemoine (Atlanta)

FRANÇAIS DE L’ÉTRANGER
. Protection de nos emprises diplomatiques
. CNED réglementé
. Cadre réglementaire de la commission nationale consultative du STAFE (décret pour 2024)

AU SÉNAT
. Projet de loi pour contrôler l’immigration, améliorer l’intégration : POURQUOI NOUS NOUS ABSTENONS – Communiqué publié par les sénateurs Olivia Richard & Olivier Cadic

CYBERSÉCURITÉ
. Cyber – Les 4 défis de la cybersécurité française en 2024
. Débat CyberCercle – Stratégie nationale pour la cybersécurité
. Journée Cyber à Lyon
. Stratégie dans le traitement de la menace cyber

MÉDIAS
. « Pour les nouveaux arrivants, tout a changé ! » (Inspir’ / Medef Paris : HS Royaume-Uni – Nov. 2023)
. « Situation au Proche-Orient et bilan de la visite d’E. Macron » (Public Sénat – 26 oct. 2023) 
. « Israël-Hamas, plan anti-émeute, déserts médicaux » (Public Sénat – 27/10/2023)
. Olivia Richard : « Je travaille depuis 22 ans pour les Français de l’étranger » (LePetitJournal – 06/11/2023)

Découvrir l’InfoLettre n°228