Accueil      En circonscription      Sénat      Revue de Presse          Parcours      Me Contacter      Mes 31 défis
    

« Désinformation, cyberattaques, cybermalveillance : l’autre guerre du covid-19 »

La crise sanitaire favorise le déploiement de stratégies d’influence par certaines puissances étrangères et accroit l’exposition au risque informatique.

C’est la raison pour laquelle nous avons publié un rapport issu d’auditions que nous avons réalisé avec Rachel Mazuir, en qualité de co-rapporteurs du programme 129 (gestion de crises, cyberdéfense, renseignement), au nom de notre commission des Affaires étrangères, de la Défense et des Forces armées, présidée par Christian Cambon.

Notre rapport se veut alarmant car la crise a enclenché une guerre de la communication entretenue par certaines puissances étrangères. Ainsi, comme chacun peut l’observer sur le site de leur ambassade à Paris, la Chine distille des informations inexactes ou tronquées, afin de se prévaloir d’un succès contre la pandémie ou montrer son caractère indispensable dans la lutte mondiale, grâce à la fourniture de produits sanitaires.

Voilà pourquoi il faut d’urgence que notre gouvernement instaure une force de réaction « cyber » pour lutter contre les campagnes de désinformation ou d’influence d’États totalitaires ou autoritaires qui s’en prennent aux démocraties.

Nous avons également estimé que les systèmes d’information des acteurs de la santé doivent être mieux protégés : ils sont vulnérables (18 attaques par rançongiciels en 2019 d’après l’ANSSI), conséquence d’un sous-investissement chronique en dépense de sécurité informatique.

Depuis le début de la crise, des attaques par déni de service ont eu lieu contre l’AP-HP (Paris) le 22 mars dernier et contre l’AP-HM (Marseille), ainsi qu’une attaque par rançongiciel contre l’établissement public de santé de Lomagne (Gers).

Pour leur part, les cyber-attaquants ont tout de suite exploité l’inquiétude ambiante en multipliant les opérations d’hameçonnage. Les sites de vente en ligne proposant médicaments, masques, gels hydro-alcooliques et autres produits de santé ont proliféré, avec pour objectif, outre une escroquerie à la vente, de récupérer des numéros de cartes bancaires. Désormais les attaques par « rançongiciel » se développent (déblocage contre rançon des systèmes d’information d’une entreprise).

Afin d’anticiper et de réagir aux menaces cyber, il nous apparaît fondamental d’organiser une communication à grande échelle pour mieux faire connaître  la plateforme cybermalveillance.gouv.fr.  en diffusant plus largement les « gestes barrière numériques ».  J’ai alerté Thomas Courbe, directeur général des entreprises, à cet effet.

Nous préconisons d’initier la communication régulière, au travers des médias, d’un top 10 des cyber-crimes constatés sur le territoire afin d’aider à la prise de conscience générale des menaces qui pèsent sur la population et les entreprises.

Enfin, les outils d’entrave et de répression de la cybercriminalité doivent être simplifiés. L’unification de la chaîne de recueil et de traitement des plaintes en ligne nous apparaît nécessaire et urgente; elle demeure, sauf évocation par la section spécialisée du parquet de Paris, la compétence des autorités de police et de gendarmerie locales, alors que les faits procèdent de mêmes auteurs et de mêmes modes opératoires sur tout le territoire.

Nous sommes convaincus que notre pays a les talents et les forces pour gagner cette autre guerre du Covid-19.

CINQ RECOMMANDATIONS
de l’étude intitulée
« Désinformation, cyberattaques, cybermalveillance : l’autre guerre du covid 19 »

1 – Mettre en œuvre une force de réaction cyber afin de répondre aux fausses informations dans le domaine sanitaire, aux attaques contre les valeurs démocratiques et pour lutter contre les campagnes de désinformation ou d’influence de certains acteurs étrangers ;
2 – Investir dans la sécurité informatique des acteurs de la santé ;
3 – Lancer sans tarder une campagne de communication à grande échelle pour promouvoir la plateforme cybermalveillance.gouv.fr et diffuser les « gestes barrière numériques » ;
4 – Initier une communication régulière, au travers des médias, d’un top 10 des cyber-crimes constatés sur le territoire ;
5 – Unifier la chaîne de recueil et de traitement des plaintes en ligne, aujourd’hui de la compétence des autorités de police et de gendarmerie locales.

Lire le rapport Désinformation, cyberattaques, cybermalveillance : l’autre guerre du covid 19, de Rachel Mazuir et Olivier Cadic, publié le 16 avril 2020.

Lire le communiqué de presse.

PLF 2020 – Coordination du travail gouvernemental – Vidéo (7m)

Le 28 novembre, en ma qualité de rapporteur des crédits du programme 129 «Coordination du travail gouvernemental» (gestion de crise, cybersécurité, renseignement), et au nom de mon collègue Rachel Mazuir, je suis intervenu en séance publique pour donner un avis favorable au crédit du programme 129, en me réjouissant du renforcement des moyens de l’ANSSI et en encourageant le gouvernement dans cette direction.

Par ailleurs, j’ai regretté le manque de transparence dans la présentation des crédits de personnel du programme, qui sont en baisse alors que les effectifs augmentent.

J’ai aussi relayé, au nom de mon collègue Rachel, notre incompréhension face à la décision de suppression de l’INHESJ et nos inquiétudes quant aux moyens de l’IHEDN.

ANSSI : Agence nationale de sécurité des systèmes d’information
INHESJ : Institut des hautes études de Défense nationale
IHEDN : Institut national des hautes études de la sécurité et de la justice

PLF 2020 – Mon rapport en commission sur le budget « Coordination du travail gouvernemental »

Le 13 novembre, en qualité de co-rapporteur avec mon collègue Rachel Mazuir, j’ai défendu le budget du programme 129 «Coordination du travail gouvernemental» (gestion de crises, cyberdéfense, renseignement) devant notre commission des Affaires étrangères, de la Défense et des Forces armées.

Ce programme comprend les crédits affectés à l’ANSSI (Agence nationale de Sécurité des systèmes d’information), dont j’ai abordé l’évolution des effectifs et la politique de protection des systèmes d’information de l’État, face au risque de cyberattaques.

Pour faire face à une menace qui s’accroît en fréquence et en intensité, le gouvernement a décidé, cette année, de stimuler la croissance des effectifs de l’ANSSI qui s’était ralentie ces deux dernières années.

En 2018, l’Agence a été amenée à traiter 78 événements, consécutifs à des attaques informatiques visant des ministères français.

Suite à la cyberattaque dont a été victime la plateforme Ariane du ministère de l’Europe et des Affaires étrangères, en décembre 2018, nous avions effectué avec Rachel un audit au nom du Sénat avec l’idée qu’un retour d’expérience pouvait être riche d’enseignements (rapport).

Aujourd’hui, les trois ministères les plus ciblés par des attaques pirates sont l’Éducation nationale, puis la Défense et enfin les Affaires étrangères. Toutefois, en termes d’intensité, ce sont les ministères des Armées et celui des Affaires étrangères qui ont été les plus menacés.

A l’issue de la réunion (compte-rendu), je me réjouis que notre commission, présidée par Christian Cambon, ait donné son avis favorable, à l’unanimité, pour l’adoption des crédits de la mission du programme 129. Ces crédits feront l’objet d’un examen en séance publique dans les prochains jours.

PFL2020 – Cybersécurité dans nos ministères / Cyber-campus – Vidéo (3:45)

Le 2 octobre, notre commission des Affaires étrangères et de la Défense a auditionné Claire Landais, secrétaire générale de la Défense et de la Sécurité nationale (SGDSN), pour faire le point sur l’évolution des crédits du programme 129 «Coordination du travail gouvernemental» (gestion de crises, cyberdéfense, renseignement), dont je suis le rapporteur.

Puisque le Projet annuel de performance pointait les « faibles moyens dédiés aux enjeux de sécurité des système d’information de certains ministères », j’ai voulu savoir quel étaient les ministères les plus « faibles ». Une question dans le prolongement de nos recommandations avec Rachel Mazuir pour renforcer les capacités d’intervention de l’ANSSI (*), suite à la cyberattaque dont a été victime la plate-forme Ariane.

J’ai également voulu savoir si la France soutenait un projet équivalent au site de Beer-Sheva que j’ai visité en Israël, réunissant les agences de cyberdéfense, les pôles universitaires et les unités de R&D des entreprises dans un même écosystème.

Claire Landais a fait immédiatement remarquer que le niveau de menace allait croissant avec des attaquants de plus en plus forts. La secrétaire générale m’a honnêtement répondu que tous les ministères n’avaient pas fait l’effort suffisant pour que nous soyons aujourd’hui sereins, en précisant que tous ne méritent pas le même niveau de protection.

Avec la création de la direction générale du numérique, l’avis de l’ANSSI est requis avant tout projet informatique majeur au sein des services de l’état, a-t-elle rappelé.

Enfin, bonne nouvelle, nous avons appris qu’à la demande du président de la République, les services de Mme Landais travaillent sur un projet de création d’un « campus cybersécurité à la française » qui serait d’abord porté par le monde industriel, où l’ANSSI aurait toute sa place en termes de formations, de qualifications et de solutions.

(*) ANSSI : Agence nationale de la sécurité des systèmes d’information

PLF 2019 – Mon rapport en commission sur le programme 129 « Coordination du travail gouvernemental »

Le 07 novembre, dans le cadre du projet de loi de finances 2019, je suis intervenu devant la commission des Affaires étrangères, de la Défense et des Forces armées, présidée par Christian Cambon, en qualité de rapporteur pour avis sur les crédits du programme 129 «Coordination du travail gouvernemental» (gestion de crises, cyberdéfense, renseignement).

Le monde est de plus en plus connecté et donc de plus en plus vulnérable. Le rapport Symantec 2018 classe la France au 9ème rang des pays où la cybercriminalité est la plus active. Les réseaux criminels se partagent le cyberespace avec des acteurs étatiques qui, eux, se livrent à l’espionnage et parfois même à l’ingérence et la déstabilisation.

Pour contrer ces menaces, la France dispose de l’ANSSI, l’autorité nationale en matière de sécurité et de défense des systèmes d’information (prévention, réaction, formation et labellisation), créée en 2009.

Avec mon collègue Rachel Mazuir, également rapporteur, nous nous sommes montrés globalement satisfaits de l’évolution des moyens de l’ANSSI en 2019. Ses effectifs passeront de 555 à 595 ETP (+ 40) et ses crédits de 72,9 à 79,4M€ en Crédits de paiement (+8,8 %) et de 70,2 à 94,7M€ (+35 %) en Autorisations d’engagement.

J’ai toutefois marqué quelques points de préoccupation en proposant des solutions :

– Il faut s’alarmer de la vulnérabilité persistante de nos ministères non régaliens, faute d’investissements de cybersécurité. Ceux-ci devraient être obligatoires lors du développement de tout nouveau programme informatique.

– Le ministère de l’Enseignement supérieur doit jouer un rôle d’orientation des universités et des grandes écoles vers le développement de filières produisant des spécialistes de la cybersécurité. Les difficultés de recrutement et de fidélisation des ingénieurs sont criantes. L’ANSSI affronte un turn-over supérieur à 15 % et une inflation des exigences salariales…

– Il est nécessaire de mettre en place un réseau de veille au niveau européen, ce qui veut dire une coopération fluide entre États disposant d’opérateurs comme l’ANSSI – ils sont rares – et la mise à niveau des États qui n’en disposent pas avec l’appui de l’Union européenne.

Notre commission a donné son avis favorable à l’adoption des crédits de la mission du programme 129. Ces crédits feront l’objet d’un examen en séance publique le 4 décembre prochain. Lire ma présentation et mes réponses aux questions.

L’invité du CyberCercle au sujet de la revue stratégique de cyberdéfense

En qualité de rapporteur des crédits du programme 129 « Coordination du travail gouvernemental » (gestion de crises, cyberdéfense, renseignement), je travaille sur les questions de cybersécurité, au nom de la commission Défense du Sénat, depuis octobre dernier (lire la dépêche).

J’avais pris la mesure d’un niveau de menace planétaire sans précédent. “Winter is coming”, a dit le patron de la direction nationale de la cyber-sécurité israélienne, fin janvier, lors du Cybertech 2018 devant un gratin mondial d’experts.

L’espionnage, les trafics illicites, la déstabilisation et le sabotage représentent les quatre types d’objectifs des attaquants informatiques, nous explique l’Anssi, Agence nationale de la sécurité des systèmes d’information, dans un document rendu public le 12 février dernier : la revue stratégique de cyberdéfense.

Cette revue est l’équivalent d’un livre blanc, premier du genre et décrit comme « un grand exercice de synthèse stratégique » visant à renforcer la sécurité numérique de nos citoyens et nos les institutions, sur la base de sept axes de travail (télécharger).

Ce document a été établi dans le cadre de la loi de programmation militaire (LPM) qui va prochainement mobiliser notre commission Défense. Au fait, pourquoi ne pas nommer un général pour la cyberdéfense qui vienne devant le Sénat au même titre que les chefs d’Etat-major des trois armes (air, terre, mer) ? Ce fut ma proposition pour donner le ton lors du petit déjeuner débat organisé par le CyberCercle, le 15 février dernier. Sa présidente, Bénédicte Pilliet, avait réuni autour de moi une trentaine de responsables de grandes entreprises et quelques hauts fonctionnaires, tous soucieux d’avoir le regard d’un parlementaire sur cette revue stratégique de cyberdéfense.

Je ne me considère pas comme un expert, ai-je prévenu d’emblée, en soulignant que ce terme était parfois galvaudé et profitait à ceux qui veulent imposer leur vision technocratique de la société, autrement dit en multipliant les obligations réglementaires. Je répète comme un mantra que les politiques doivent reprendre la main et ne pas laisser les experts des ministères à la manœuvre. Les Français de l’étranger ont tous en mémoire l’annulation du vote par internet en 2017… pour cause de « menaces » sur le scrutin. Cette défaite de notre système de défense numérique qui a préféré ne pas mener bataille ne doit pas se renouveler, a annoncé Emmanuel Macron devant l’Assemblée des Français de l’étranger, «sinon la France ne serait plus la France»!

Le 12 février, à la Station F, j’ai assisté à la présentation officielle de la revue stratégique de cyberdéfense par Louis Gautier, secrétaire général de la défense et de la sécurité nationale (SGDSN), en présence de Mounir Mahjoubi, secrétaire d’État chargé du numérique. Présentation suivie de trois tables rondes sur le rôle de l’État.

Reprendre la main pour les parlementaires revient aussi à ne pas sacraliser la revue stratégique, par ailleurs incomplète (quelle stratégie de contre-influence lorsque nos valeurs démocratiques sont attaquées ? quels moyens de lutte contre l’usurpation d’identité numérique de nos institutions de confiance ?…) et peu assurée : « Notre modèle manque encore d’une confirmation de ses principes de base, d’une description précise de sa gouvernance, d’une clarification de son organisation opérationnelle » (p.45)

Au moment des échanges avec la salle, je me suis senti sur la même longueur d’onde que tous ces responsables de sécurité, aux prises avec les normes franco-françaises, les certifications au long-cours ou la déferlante des produits connectés comme autant de chevaux de Troie.

J’ai ressenti un consensus lorsque j’ai avancé que la cybersécurité dans l’entreprise devait se concevoir dans le cadre de sa politique d’assurance-qualité et non en créant de nouvelles obligations réglementaires dédiées, comme le propose le secrétaire d’État chargé du numérique.

Préférer l’efficacité au formalisme apparaît logique et évident pour des entrepreneurs. La preuve que le lien entre les parlementaires et les entreprises doit se renforcer, sous peine de perdre le sens commun.

Crédit photo : Yann Magnan (Ausy group)

PLF 2018 – Rapporteur du programme 129 (Vidéo – 3:30m)

Je suis intervenu le 30 novembre en qualité de rapporteur pour avis de la commission des Affaires étrangères, de la Défense et des Forces armées pour le programme 129 « Coordination du travail gouvernemental ».

Les crédits du programme 129 (gestion de crises, cyberdéfense, renseignement) progressent de 1,2 % en autorisations d’engagement et de 3 % en crédits de paiement. Il faut s’en réjouir, car ils portent les moyens de services indispensables à la politique de défense et de sécurité de notre pays. C’est pourquoi la commission s’est déclarée, à l’unanimité, favorable à l’adoption des crédits de cette mission.

J’ai concentré mes propos sur les crédits attribués à la cybersécurité en formulant plusieurs observations, en particulier sur les missions et les moyens de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Voir la VIDÉO (3:30) ou lire l’intervention

HEBDOLETTRE n°94 – L’UFE a 90 ans (édito) – Construction européenne : ma nomination au groupe de suivi « Retrait du Royaume-Uni et refondation de l’Union européenne » – Maroc : réponse du ministre Jean-Yves Le Drian à ma question sur le « contrat de travail d’étranger » (CTE) – Délégation sénatoriale aux entreprises (DSAE) : bilan de trois années d’action – La DSAE me confie un nouveau rapport sur le cycle de vie des entreprises – PJL 2018 : mon rapport sur le programme 129 (Coordination du travail gouvernemental) – PJL 2018 : ma question concernant les services consulaires (« Programme 151 », Français de l’étranger) – En circonscription aux Émirats Arabes Unis – Abu Dhabi / 13-16 oct. 2017 – UDI Actualités.

Lire : l’HEBDOLETTRE n°94 – 20 novembre 2017Logo HebdoLettre bleu - Rond75

Edito de l’HebdoLettre n°94

L’UFE fête ses 90 ans !

Dès l’origine, la cause était claire, comme le stipule l’article premier des statuts : « l’Union pour les Français de l’étranger a pour but de créer et de maintenir un contact étroit entre les Français du dehors et la France. »

Lorsque Gabriel Wernlé, journaliste franco-suisse, décide en 1927 de fonder l’UFE, les droits de ceux que l’on qualifie, avec un charme désuet, de « Français du dehors » sont balbutiants. Ils n’ont pourtant pas démérité lors du conflit de 1914 : des milliers d’entre-eux sont morts sur le sol de la patrie qu’ils foulaient pour la première fois.

Pour créer du lien, l’UFE publia une revue qui perdure : La Voix de France. Le premier numéro date de mars 1928.

Visuel HL94 De ce papier jauni, il se dégage un sentiment familier. Déjà le même souci de dénoncer les estafilades à l’égalité républicaine et de faire reculer les stéréotypes sur les expatriés : « Il s’en faut de peu que l’on nous considère comme des aventuriers, des indésirables ».

Gabriel Wernlé trempe sa plume dans l’acide en intitulant son article : « Les Français de l’étranger sont-ils des citoyens de deuxième zone ? ». Il nous raconte une savoureuse anecdote à la clé. Chaque année, les conscrits français sont invités au consulat à passer leur visite médicale d’aptitude. On commence par leur demander de payer le médecin agréé. « Que penseraient en France les conscrits si on leur faisait verser vingt-cinq francs afin de rétribuer le conseil de révision qui les déclare bons pour le service ? Ils feraient un beau tapage ; ils auraient raison ! », tonne le journaliste… Lire la suite et découvrir l’HebdoLettre n°94