Allez au contenu, Allez à la navigation

COMPTES RENDUS DE LA DELEGATION AUX ENTREPRISES


Jeudi 15 avril 2021

Table ronde « la cybersécurité des ETI-PME-TPE : la réponse des pouvoirs publics

La séance est ouverte à 9 h 05.

M. Serge Babary, président. - Le développement du télétravail et du commerce électronique a accentué la numérisation déjà engagée de notre économie.

La cybersécurité est devenue essentielle à la résilience des entreprises à la fois de plus en plus numérisées et attaquées.

Avec l'hygiène de la cybersécurité que chaque salarié et chaque entreprise doit assurer, la réponse des pouvoirs publics est capitale. Elle est correctement assurée pour les entreprises les plus stratégiques, qui sont les opérateurs d'importance vitale, et s'adresse en priorité aux cyber-risques les plus graves. La réponse sécuritaire et pénale s'est renforcée, j'en veux pour preuve le démantèlement par Europol du botnet (réseau de robots) Emotet en janvier dernier.

Mais nous nous intéressons tout particulièrement aux 3 millions de très petites entreprises (TPE) et petites et moyennes entreprises (PME) qui reçoivent régulièrement l'injonction des consommateurs et des pouvoirs publics de se numériser, quand elles ne disposent souvent pas des moyens financiers ou humains de se protéger contre un cyber-risque, et ceci d'autant plus si elles utilisent le cloud.

Mardi, nous nous sommes rendus au centre de lutte contre les criminalités numériques de la gendarmerie nationale (C3N) à Pontoise, avec les deux rapporteurs, MM. Sébastien Meurant et Rémi Cardon. M. Alain Richard, autre collègue du Val d'Oise, nous y a rejoints.

De même, nous irons prochainement à l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), de la police nationale, à Nanterre.

Nous avons entendu certaines suggestions d'amélioration de la procédure pénale, notamment lorsque les logiciels malveillants sont situés à l'étranger : est-il encore temps d'amender le 2e protocole additionnel de la convention de Budapest de 2001 ? La responsabilité des éditeurs de logiciels et des opérateurs de réseaux, les échanges d'information avec les opérateurs privés sont aussi des points d'amélioration, tout comme le lien avec le dispositif Cybermalvaillance.

Après une première table ronde ayant permis aux organisations professionnelles de s'exprimer, celle de ce matin devrait éclairer nos travaux sur les moyens de renforcer la cybersécurité pour les PME et TPE. La réponse des pouvoirs publics est-elle à leur portée ? Est-elle suffisante en moyens humains et notamment sous son volet pénal, en nombre de magistrats dédiés spécifiquement à la lutte contre la cybercriminalité économique ?

Comment renforcer cette lutte : faut-il interdire le paiement des rançongiciels, faut-il rééquilibrer des relations contractuelles trop favorables aux hébergeurs dans le cloud, faut-il obliger les éditeurs de logiciels à renforcer la security by design, c'est-à-dire le fait de concevoir dès le départ des produits sécurisés ?

Pour cette «  réponse des pouvoirs publics », nous sommes heureux d'accueillir aujourd'hui : M. Guillaume Poupard, directeur général de l'agence nationale de la sécurité des systèmes d'information (ANSSI), M. Michel Cadic, délégué adjoint à la délégation ministérielle aux partenariats, aux stratégies et aux innovations de sécurité (DPSIS), M. Jérôme Notin, directeur général du groupement d'intérêt public Action contre la cybermalveillance (GIP ACYMA), Mme Johanna Brousse, vice-procureur, chef de la section J3, lutte contre la cybercriminalité, au tribunal judiciaire de Paris.

Merci de nous livrer vos analyses et propositions, pour une intervention de 7 minutes chacun. À l'issue de ce premier tour de table, les rapporteurs, puis nos autres collègues membres de la Délégation, pourront vous poser des questions.

Je rappelle que notre réunion est mixte, avec certains des sénateurs membres de la délégation aux entreprises présents à mes côtés au Sénat, et d'autres en visioconférence.

Cette audition sera diffusée en direct sur notre site internet puis disponible en vidéo à la demande.

Je vous prie d'excuser mon départ aux environs de 10 heures 15. Je dois en effet intervenir dans l'hémicycle. Ma collègue, Martine Berthet, vice-présidente de la Délégation, me succédera dans la conduite des échanges.

Je vous cède la parole.

M. Guillaume Poupard, directeur général de l'ANSSI. - Je ne manquerai pas de présenter les réalisations communes de nos organismes respectifs, dont la coopération se révèle excellente.

Cependant, je commencerai par souligner combien la situation s'avère grave sur ces questions de sécurité informatique. Au quotidien, dans l'ensemble de nos services, nous observons une explosion de la menace. J'évoque ici une menace réalisée, non une menace simplement théorique dont il s'agirait d'anticiper la survenue.

Porteur de vastes promesses du point de vue économique, le cyberespace est devenu le lieu d'une conflictualité aiguë. La criminalité s'y développent.

Il me semble donc nécessaire de traiter le sujet de la cybersécurité comme une priorité. Il rejoint d'autres urgences que nous connaissons actuellement.

Nous peinons à mesurer le nombre exact des victimes. Quelle que soit la méthode que nous retenions, nous en constatons néanmoins, peu ou prou, le quadruplement entre 2019 et 2020. Cette courbe exponentielle se confirme pendant les trois premiers mois de 2021.

Les menaces que nous cherchons à prévenir sont d'abord celles d'une criminalité asymétrique qui s'appuie sur un modèle économique des plus efficaces. Elle consiste à rançonner les victimes, au premier rang desquelles les PME et TPE. Le fort avantage à l'attaque se traduit ici par une vraie difficulté à se défendre. Nous échangerons ce matin sur les solutions à lui opposer. Nous savons qu'elles existent.

Deux autres types de menaces apparaissent, susceptibles de peser sur les PME et TPE.

Il s'agit d'une part de l'espionnage. Certes plutôt circonscrit aux acteurs économiques d'envergure ou stratégiques, dont les États, il concerne également les entreprises de taille modeste qui disposent d'un savoir-faire dans un domaine sensible, tel que celui de la défense. L'espionnage numérique les cible toujours davantage.

D'autre part, nous observons un nombre croissant de victimes collatérales d'actes que je qualifierai d'actes de guerre. Une PME devient rarement la cible directe d'actes de guerre. En revanche, parmi ceux qui les commettent, les plus irréfléchis côtoient les plus précautionneux. Certaines opérations, comme celles qui visèrent l'Ukraine, ont ainsi entraîné des conséquences sur maints acteurs qui n'étaient pas immédiatement en lien avec le conflit qui les avait suscitées.

Devant une situation complexe, nous nous organisons pour porter secours aux victimes. Toutefois, en ma qualité de directeur de l'ANSSI, le message principal que je veux adresser, notamment à l'endroit des PME et TPE, tient à la prévention.

Sans doute le discours de la prévention paraît-il de prime abord moins enthousiasmant que celui de l'action ou de la réaction. Pourtant, en matière de cybersécurité, sans prévention, nous n'obtiendrons aucun résultat décisif.

Aussi séduisante soit-elle, la notion de « bouclier cyber » reste illusoire. Nous ne concevrons pas un tel bouclier qui protège la France et l'Europe des attaques informatiques. Avant toute chose, chacun doit se rendre acteur de sa propre protection. Il convient d'anticiper les questions de cybersécurité, d'éviter autant que possible de devenir les victimes d'attaques aux lourdes conséquences.

Je signalerai une publication récente. En partenariat avec la direction générale des entreprises (DGE) du ministère de l'économie, des finances et de la relance, et l'ACYMA, l'ANSSI a conçu un guide à l'attention des PME-TPE. Il traite de leur cybersécurité en douze questions fondamentales : réalisation de sauvegardes informatiques régulières, utilisation d'un antivirus, sécurisation de la messagerie électronique de l'entreprise, etc.

Si les entrepreneurs n'appliquent pas de telles règles de base, nous resterons condamnés à leur porter secours une fois le préjudice matérialisé. La responsabilité de prévenir les attaques ressortit aussi aux victimes potentielles. L'expression « d'hygiène de la cybersécurité » résume notre pensée : quoi que nous entreprenions par ailleurs, des inconséquences répétées en matière informatique porteront atteinte à la cybersécurité des entreprises.

M. Michel Cadic, délégué adjoint à la DPSIS. - Mon propos introductif comprendra trois points. Je décrirai d'abord le dispositif du ministère de l'Intérieur, auquel la DPSIS, qui en est une entité récente, se rattache. Je m'intéresserai ensuite à la filière des industries de sécurité. Enfin, je me consacrerai au problème des attaques informatiques contre les entreprises, spécialement les PME et TPE.

Au sein du ministère de l'Intérieur, quatre services prennent en charge, en lien avec le Parquet, les enquêtes relatives à ces attaques : le C3N de la gendarmerie nationale, l'OCLCTIC et la brigade d'enquête sur les fraudes aux technologies de l'information (BEFTI) de la police nationale, enfin la direction générale de la sécurité Intérieure (DGSI).

Dès 2015, le ministère de l'Intérieur s'est préoccupé d'élaborer une politique de réponse unifiée, une stratégie d'action transversale, face au phénomène émergent des cybermenaces. Une étude du préfet Jean-Yves Latournerie a conduit à ajouter la lutte contre les cybermenaces à la mission de la Délégation des industries de sécurité. Une concertation avec l'ANSSI a abouti à la création d'une entité externe à même de prendre en charge les aspects de prévention : le GIP ACYMA.

Lors de la rédaction du livre blanc relatif à la sécurité Intérieure, le ministère a perçu la nécessité de développer un continuum de sécurité entre les territoires, de même qu'entre les secteurs public et privé. Deux Délégations, l'une consacrée aux industries de sécurité et à la lutte contre les cybermenaces (DMISC), l'autre aux coopérations de sécurité (DCS), ainsi que la mission ministérielle de normalisation, ont fusionné pour donner naissance, le 11 septembre 2020, à la DPSIS. Celle-ci réunit les dimensions de forces, de moyens en hommes, en technologies et en innovations, de territoires, de travail normatif.

Le secteur économique français des industries de sécurité et son contrat stratégique de filière restent méconnus. Or, ce secteur représente près de 30 milliards d'euros de chiffre d'affaires annuel, 140 000 emplois, une croissance supérieure à 5,5 % entre 2014 et 2020. La part de ses exportations dépasse 50 %.

Il se divise en trois segments principaux : pour 44 % les produits électroniques (identification, authentification, vidéosurveillance, détection d'intrusions incendies, renseignement et centres de commandement), pour 33 % les produits physiques (véhicules et plateformes de sécurité, équipements de protection incendie), pour 23 % les produits et solutions de cybersécurité.

Forte d'un total de 4 400 entreprises, la filière des industries françaises de sécurité rassemble 95 structures majeures, 118 entreprises de tailles intermédiaire (ETI), 1 800 PME ou TPE et plus de 2 400 micro-entreprises. Éclatée, elle décèle cependant un fort potentiel de croissance, supérieur à celui de la moyenne nationale.

Fin 2018, elle est devenue la 18e filière du conseil national de l'industrie (CNI). En janvier 2020, à l'occasion du forum international de la cybersécurité (FIC), et afin de favoriser son développement, elle a signé avec l'État un contrat de partenariat stratégique. Il vise à sécuriser l'organisation des grands événements, en particulier celle des Jeux olympiques de Paris 2024, à garantir la sécurité de l'internet des objets, à promouvoir l'identité numérique, à définir des territoires de confiance, à structurer un numérique de confiance. Du côté de l'État, le ministère de l'Intérieur porte directement certains de ces projets.

Ambitieux, l'objectif consiste à doubler le chiffre d'affaires de la partie cybersécurité de la filière et d'y créer 75 000 emplois supplémentaires.

S'agissant des attaques informatiques, je confirme leur augmentation notable et, concomitamment, l'impossibilité d'en préciser le nombre exact. Trois rapports annuels de la DMISC se sont consacrés à l'état de la menace numérique du point de vue des services dits répressifs, après réception des plaintes. Or, nous savons que ces dernières ne représentent qu'une proportion infime des faits constatés.

À titre d'illustration, le GIP ACYMA indique dans son bilan de 2019 que le chantage à l'aide des caméras périphériques d'ordinateurs (webcams) a donné lieu à 140 000 consultations de son site en ligne, 30 000 parcours d'assistance, 28 000 signalements, mais au dépôt de seulement 2 000 plaintes. Celles-ci ont entraîné deux arrestations. D'un bout à l'autre de la chaîne, l'effet d'entonnoir apparaît évident.

J'ai coutume de dire qu'une fois que l'ANSSI s'est occupée de la situation des opérateurs d'importance vitale (OIV) et de services essentiels (OSE), demeurent les quelque trois millions de PME et TPE, ainsi que les collectivités territoriales et les associations. Ces structures se caractérisent par leur faible capacité économique et, plus encore, par leur faible capacité de maîtrise d'ouvrage. Elles ne sont guère en mesure de définir leurs besoins en matière de cybersécurité, ni d'acquérir les solutions qui leur permettraient de les satisfaire.

Nous nous apercevons que différents niveaux de menace coexistent. Si les tentatives les plus graves de déstabilisation concernent l'État et les principales entreprises nationales, le rançonnage et l'hameçonnage, soit environ 80 % de la menace cyber globale, représentent pour les PME, les TPE et les petites collectivités l'intégralité du risque numérique qu'elles encourent.

Par ailleurs, nous constatons que la criminalité s'organise. Ses réseaux s'industrialisent et, depuis l'étranger, se segmentent. Une partie de leurs acteurs mettent à disposition des outils, d'autres les utilisent, d'autres encore les exploitent sur un plan économique. Nombre d'entreprises ou de collectivités font l'objet d'une intrusion dans leur système d'information sans, cependant, que l'attaque soit immédiatement mise en oeuvre. Elle le sera dès lors qu'un acteur aura conçu le modèle économique qui permettra d'en tirer le profit attendu.

Menée avec le programme Grand défi sur l'automatisation de la cybersécurité, une étude du Secrétariat général pour l'investissement (SGPI) a suggéré une approche nationale qui favorise des navigateurs virtuels moins vulnérables aux attaques, ainsi qu'une meilleure protection contre le contenu des pièces jointes lors des téléchargements.

Quant à l'amélioration du dispositif répressif, une décision du Parquet de février 2020 a posé le principe d'une co-saisine systématique avec les différents services du ministère de l'Intérieur : BEFTI, C3N, DGSI et sous-direction de la lutte contre la cybercriminalité (SDLC). L'approche favorise la spécialisation, des saisines par familles de rançongiciels (ramsonwares), pour une efficacité accrue de la réponse pénale devant le caractère diffus de la menace.

Actuellement, sur 400 dossiers de rançongiciels objets de poursuites en France, la brigade de lutte contre la cybercriminalité (BL2C), qui a succédé à la BEFTI, en traite environ 260, le C3N 35, l'OCLCTIC 100.

Une lacune nous apparaît cependant. Elle a trait à la qualité de l'information du plaignant. Pour une entreprise, un dépôt de plainte suppose qu'elle y consacre du temps. Ne pas savoir ce qu'il advient de sa plainte risque de la décourager.

Un autre axe d'amélioration de la réponse du ministère de l'Intérieur tient à la mise en place dans chaque préfecture d'un référent départemental. Nous estimons primordial de sensibiliser au plus près de leur action quotidienne, les autorités publiques sur le risque des attaques informatiques et la nécessité qu'elles se dotent des moyens de s'en garantir. Nous regrettons que des villes importantes qui consacrent autant de ressources à la vidéosurveillance ou au développement des services numériques à la population, investissent, en comparaison, aussi peu dans la cybersécurité.

À ce stade, ma conclusion sera celle-ci : afin d'élever le niveau de résilience de la société française, l'action majeure à mener demeure celle de sa sensibilisation aux questions de sécurité numérique.

M. Jérôme Notin, directeur général du GIP ACYMA. - Encore mal connues, les missions du GIP ACYMA méritent que je m'y attarde.

L'idée en remonte à 2015. Dans la stratégie nationale pour la sécurité du numérique, l'ANSSI avait exprimé son voeu d'un outil d'assistance à celles des victimes d'actes de cybermalveillance qu'elle ne prenait pas elle-même en charge : les collectivités locales, les entreprises hors OIV et OSE, ainsi que les particuliers. Un groupe de travail interministériel, que co-présidaient MM. Jean-Yves Latournerie et Guillaume Poupard, avait ensuite remis son rapport. Il comprenait onze propositions. Les trois missions actuelles du GIP ACYMA les reprennent.

La première de ces missions consiste en un dispositif d'assistance des victimes d'actes de cybermalveillance. Elle se traduit par la plateforme www.cybermalveillance.gouv.fr. La version en vigueur date de 2020. Elle permet de qualifier les incidents de sécurité. Ceux-ci étaient au nombre de 22 en 2017, au moment du lancement de la plateforme ; nous en comptons 45 à ce jour. La plateforme nous offre la possibilité de percevoir avant les services d'enquête certains phénomènes à l'oeuvre et l'étendue de leurs répercussions.

L'accompagnement des victimes prend d'abord la forme d'un bref questionnaire dynamique. Il fonde l'établissement d'un diagnostic, puis la délivrance de conseils.

Lorsque l'État a déjà mis en place un dispositif de réponse au cas précis de cybermalveillance qui se présente, la plateforme y redirige la victime. De ce point de vue, elle propose une forme de guichet unique.

Conformément aux souhaits du groupe de travail interministériel qui a présidé à la constitution du GIP, nous sommes également en mesure de renvoyer les victimes vers des prestataires de proximité qui l'assisteront. Notre plateforme en référence actuellement 1 000. Ils couvrent l'ensemble du territoire national et des types de menaces identifiés.

La deuxième mission du GIP ACYMA a trait à la sensibilisation. Elle est d'emblée apparue comme fondamentale. Nous nous efforçons de nous montrer entreprenants en la matière. Nous rendrons incessamment public le rapport d'activité que je vous ai transmis. Nous organisons une conférence de presse, afin que les médias prennent conscience de l'état de la menace et mobilisent l'opinion. Nos publications sont nombreuses.

En 2020, lors du premier confinement, nous avons eu l'occasion de diffuser gratuitement nos messages sur les chaînes des groupes France Télévisions, TF1 et Canal+. J'ai expliqué l'an passé, au cours d'une précédente audition devant le Sénat, combien ces moyens d'expression nous sont précieux dans l'exercice de notre mission de sensibilisation du public.

Le GIP regroupe une cinquantaine de membres. Sa forme juridique lui confère la possibilité d'un relais efficace de ses alertes dans leurs réseaux d'adhérents respectifs, notamment ceux de l'ANSSI, du ministère de la Justice et du mouvement des entreprises de France (MEDEF). Avec ce dernier, nous réfléchissons au moyen de diffuser nos alertes et messages par l'intermédiaire de la confédération des petites et moyennes entreprises (CPME), peut-être à raison d'une à deux fois par an, avec la production d'un contenu spécifique. Nous toucherions alors 80 % des PME françaises.

Dans sa lutte contre l'espionnage envers les PME, le ministère des Armées nous a rejoints en fin d'année 2020. La direction du renseignement et de la sécurité de la défense (DRSD) le représente au sein du GIP. Elle-même s'est engagée dans un important travail de sensibilisation à l'égard des acteurs de l'industrie des technologies de la défense.

Enfin, la troisième mission du GIP concerne la mise en place d'un observatoire de la menace. De fait, il reste encore difficile d'obtenir des données chiffrées précises de l'étendue de cette menace. Pour l'heure, les nôtres émanent des consultations que nous enregistrons en ligne. Elles étaient au nombre de 200 000 en 2020. En 2021, nous en dénombrons déjà 650 000 pour l'ensemble des articles que nous avons publiés.

Si, depuis la création du GIP, la priorité a porté sur ses deux premières missions, l'assistance après incident et la sensibilisation, nous n'en avons pas moins attentivement observé l'évolution de la menace.

L'un de nos premiers articles, publié le 16 mars 2020 et que nos membres ont largement relayé, traitait de la situation à l'étranger. L'Italie, en particulier, connaissait avant d'autres les effets de la crise sanitaire dans le domaine numérique. Dès cette date, nous mettions en garde contre des risques accrus d'hameçonnage ou de faux supports informatiques dans une situation de confinement. Nous nous fondions sur l'exemple de l'incendie de la cathédrale Notre-Dame de Paris, survenu un an plus tôt. De faux sites en ligne de collecte de dons étaient alors presque aussitôt apparus.

Nous intégrerons notre observatoire de la menace au Campus Cyber. Celui-ci semble une excellente initiative. Il réunira sur un même site acteurs publics et privés de toute taille, industriels, institutionnels et monde de la recherche. Avec l'observatoire, nous entendons obtenir des mesures plus exhaustives, précises et neutres que celles que les éditeurs de sécurité proposent aujourd'hui.

Mme Johanna Brousse, vice-procureur, chef de la section J3, lutte contre la cybercriminalité, au tribunal judiciaire de Paris. - Nous partageons évidemment le constat de la gravité de la situation. Nous le partageons pour plusieurs raisons.

La menace croît considérablement. En 2020, la section J3 recevait 397 saisines. Leur nombre augmentait de 540 %. En 2021, le même constat se dessine. Nous atteindrons vraisemblablement le doublement du nombre de nos saisines par rapport à 2020.

L'évolution du choix des cibles ne laisse pas non plus de nous alarmer. La multiplication de cyberattaques au préjudice d'établissements hospitaliers a ainsi marqué le début de l'année 2021. Ces attaques visent toujours davantage les institutions et collectivités publiques indispensables à la vie de la Nation.

Les attaques se révèlent également de plus en plus virulentes. Là où, par le passé, les malfaiteurs se contentaient d'accompagner un rançongiciel du chiffrement du système informatique pris pour cible, ils n'hésitent désormais plus à s'accaparer les données, en menaçant de les publier en cas de non-paiement de la rançon exigée. Vous imaginez aisément ce que représente pour une entreprise la divulgation de ses secrets de fabrication.

Le ministère de la Justice et le Parquet de Paris ont entrepris de réagir.

La juridiction nationale chargée de la lutte contre la criminalité organisée (JUNALCO) a été créée en 2020. La section J3 s'y rattache. Elle bénéficie à ce titre d'une compétence concurrente nationale, qui lui donne vocation à connaître de tous les dossiers les plus emblématiques en matière de cybercriminalité. Elle dispose donc de la faculté de centraliser ces dossiers, afin de mieux identifier les filières criminelles et en interpeller les instigateurs.

Les saisines relatives au rançonnage informatique, à l'usage de logiciels d'extorsion, ont également fait l'objet d'une centralisation. La section J3 du Parquet de Paris reçoit l'ensemble des dossiers de ransomwares, d'où qu'ils émanent sur le territoire national. Elle co-saisit systématiquement la sous-direction de lutte contre la cybercriminalité (SDLC) de la police nationale, située à Nanterre dans les Hauts-de-Seine. De nouveau, il s'agit d'établir les liens entre les différents dossiers, d'écarter tout risque que les services fonctionnent en silos, de mettre en commun les éléments en leur possession.

Nous remarquons que raisonner par familles de ransomwares est contreproductif. Devant des équipes de malfaiteurs interchangeables, aux méthodes transversales, il nous faut nous ménager une vue globale de la menace, afin de lutter plus efficacement contre elle.

Nous obtenons des résultats encourageants. Je citerai les dossiers Emotet ou Egregor, du nom pour ce dernier d'un ransomware démantelé au début de 2021 par une action conjointe des services ukrainiens, du FBI américain et de la SDLC.

Dans ce domaine à l'évidence, une action strictement limitée au territoire d'un unique État serait vaine. Il nous faut nous ouvrir à la coopération internationale. Dans chaque affaire, plusieurs États détiennent une part de la solution. Le renforcement des partenariats permettra seul une lutte véritablement efficace contre la cybercriminalité.

En dépit de résultats probants, nous sommes conscients des progrès qui restent à réaliser.

Bien qu'elle jouisse d'une compétence nationale, la section J3 du Parquet de Paris ne se compose à ce jour que de trois magistrats. Elle sait ce qu'elle doit à l'esprit offensif et innovateur de son procureur, au soutien sans faille qu'il lui apporte. Il n'en demeure pas moins qu'une augmentation de son effectif s'avère indispensable. Elle ne pourra non plus se passer du renforcement de ceux de la police et de la gendarmerie. Au sein de la première, seuls dix enquêteurs constituent le personnel du groupe piratage de l'OCLCTIC, pour 397 dossiers en 2020.

Le sentiment d'impunité prévaut encore trop souvent chez les pirates informatiques (hackers). Outre nos effectifs restreints, il convient que nous améliorions nos outils techniques, afin qu'ils s'ajustent aux moyens que les pirates informatiques mettent eux-mêmes en oeuvre, en particulier des solutions d'anonymisation de plus en plus puissantes. Nous nous en entretenons régulièrement avec l'ANSSI. Comme les autres services de l'État, l'agence mesure combien la lutte contre la cybercriminalité requiert que nous groupions nos forces. Elle ne manque d'ailleurs pas de nous apporter son soutien.

Enfin, une question mérite toute votre attention. Il nous faut durcir le ton contre le paiement des rançons. La France reste l'un des pays que les ransomwares ciblent le plus. La raison en tient au fait que nous y payons trop systématiquement les rançons. Quoique sous conditions, une partie des assureurs y garantissent même ce paiement. Il nous appartient de faire comprendre que régler une rançon pénalise tous les acteurs, en encourageant les pirates à diriger leurs attaques contre notre tissu économique. À leur égard, pour les dissuader, il est indispensable que nous passions le mot d'ordre que nous ne paierons plus les rançons.

M. Serge Babary, président. - Je vous remercie pour ces propos introductifs. Nous commencerons par entendre les questions de nos rapporteurs.

M. Sébastien Meurant, rapporteur. - Sur l'état de la menace, M. Jérôme Powell, gouverneur de la Réserve fédérale des États-Unis (FED) expliquait ce 14 avril 2021 que la cybercriminalité représente la principale menace qui pèse sur l'économie de son pays. À notre tour, nous ne pouvons que reconnaître combien il importe que nous prenions conscience de la gravité de la menace.

Cependant, les collectivités territoriales, que nous représentons au Sénat, se tiennent plutôt en marge de cette préoccupation. Ce sont les médias à forte audience qui les en rapprochent.

Mon propre département du Val-d'Oise m'offre des exemples d'ETI qui ont récemment fait l'objet d'attaques informatiques. La nouveauté du phénomène implique non seulement qu'il reste difficile aux chefs d'entreprise de savoir quelle attitude adopter dans ce cas, mais qu'au surplus leurs démarches auprès des autorités ne produisent guère d'effets.

Localement, les efforts sont à poursuivre pour favoriser la prise de conscience par les entreprises de la menace et la prévention. Ils passeront notamment par les chambres de commerce et d'industrie (CCI). Au sein des entreprises, la culture de la cybersécurité intéresse chaque acteur, chaque individu. La vigilance, semble-t-il, se relâche trop aisément.

D'un point de vue juridique, comment procéder pour interdire le paiement des rançons ? À l'aune de notre visite du C3N du pôle judiciaire de la gendarmerie nationale, des contradictions nous apparaissent au moment d'élaborer la réponse pénale, d'articuler l'action des services de l'État avec celle des prestataires privés. Ces derniers peuvent en effet inciter des chefs d'entreprise à payer les rançons.

Enfin, s'agissant des rançons, pourquoi les malfaiteurs s'en prennent-ils aux hôpitaux ou à d'autres établissements publics qui ne sont pas en mesure de les payer ?

M. Rémi Cardon, rapporteur. - La lecture du guide en douze points que l'ANSSI, le GIP ACYMA et la DGE ont élaboré en commun à destination des PME-TPE me conduit d'abord à soulever plusieurs questions.

Comment, en premier lieu, devient-on un opérateur de services essentiels (OSE) ? La réponse ne m'apparaît pas clairement.

Un chapitre du guide suggère par ailleurs à l'entreprise de dresser un bilan, de mener un inventaire de son matériel informatique, de ses logiciels, ainsi que des données et traitements qui forment son patrimoine informationnel. Qui donc s'en charge ? S'agira-t-il d'un prestataire privé ?

En matière d'information et de formation, si le dispositif cybermalveillance.gouv.fr représente un indéniable progrès, une organisation plus territorialisée, impliquant les CCI, fait toujours défaut. Localement, déjà confrontées aux effets économiques de la crise sanitaire, les CCI ne paraissent pas s'être suffisamment emparées du sujet de la cybersécurité. Peut-être gagnerions-nous ici à mêler également les régions à la réflexion, car les compétences en matière de formation professionnelle et de développement économique leur reviennent.

S'agissant ensuite du problème des rançons et du rôle des assureurs, comment sensibilisera-t-on concrètement les entreprises ?

Quant au dispositif pénal, quelle place l'ANSSI y prend-elle ? Nous cernons encore mal la répartition des rôles respectifs, entre les investigateurs techniques et les acteurs de l'enquête judiciaire. La multiplicité des intervenants, l'enchevêtrement des procédures, ne facilitent guère la tâche des entreprises victimes, une fois leur plainte déposée.

M. Guillaume Poupard. - Pourquoi en effet des attaques se portent-elles contre des hôpitaux et des collectivités locales en France ? Plusieurs explications interviennent.

D'autres avant nous ont ouvert la voie à ces attaques, notamment aux États-Unis. Nous savons que des établissements hospitaliers, dont nombre de cliniques privées, y ont, parmi les premiers, payé des rançons. Pour leur part, les communes américaines ont longtemps adopté la même attitude. Elles ont néanmoins fini par se concerter et rendre public un communiqué commun par lequel elles déclaraient leur ferme intention de ne dorénavant plus payer.

Ayons le courage de porter le message que l'intérêt collectif consiste à refuser systématiquement le paiement des rançons et qu'il prévaut sur l'intérêt individuel qui, de prime abord, commande le contraire. En France, un travail de fond doit casser le cercle vicieux du paiement des rançons.

Le message concerne évidemment les victimes mais, au-delà, leur environnement. Nous constatons en effet un jeu trouble de la part de certains assureurs. Certes, au regard des risques en présence, la réaction de ces derniers ne manque pas de rationalité. Pour autant que la loi ne l'interdise pas, le paiement de la rançon leur apparaît bien souvent comme le moindre mal par rapport au préjudice que l'entreprise encourt. D'autres intermédiaires tirent un bénéfice malsain du paiement des rançons. D'aucuns se rémunèrent par exemple en fonction de leur capacité à négocier avec les criminels.

Sauf à mener une lutte décidée contre ces phénomènes, nous laisserons libre cours au développement de la cybercriminalité.

S'agissant de la répartition des compétences en matière d'assistance aux victimes et de dispositif pénal, sans doute gagnerons-nous en effet à en améliorer la lisibilité.

Rappelons aussi quelques fondamentaux. L'enquêteur, policier ou gendarme, ne reçoit ordinairement pas pour mission de réparer le préjudice. Il instruit la plainte en vue d'appréhender les malfaiteurs. Toutefois, dans les cas les plus graves, il arrive que l'ANSSI contribue, par défaut, à réparer le préjudice que des acteurs tant privés que publics ont subi. L'exemple en est suffisamment rare pour que nous le soulignions. Pour la suppléer dans sa tâche, nous encourageons l'essor d'acteurs privés de confiance. Il lui appartiendra certainement, de concert avec le GIP ACYMA, de les certifier.

Nous nous efforçons de concevoir un système qui propose au cas par cas les réponses les mieux adaptées aux victimes. Dans le domaine numérique, une réponse unique, universelle, n'existe pas.

L'ANSSI s'attache plutôt aux acteurs majeurs, qui représentent les intérêts à protéger les plus sensibles. Pour sa part, l'initiative Cybermalvaillance de l'ACYMA apporte une réponse d'ordre générique, des plus utiles aux particuliers et aux TPE.

À l'origine, avec le GIP ACYMA, nous espérions que ce double dispositif embrasserait l'ensemble des situations. Je constate que les deux volets peinent à se rejoindre, non certes faute d'un dialogue ou d'un manque de coopération. Entre eux, un segment apparaît mal couvert. Les acteurs qui s'y trouvent - des ETI, d'importantes collectivités locales, dotées de systèmes d'information déjà développés - s'avèrent d'une dimension trop conséquente pour l'ACYMA, mais insuffisante pour l'ANSSI.

Par conséquent, nous envisageons de financer, dans chacune des régions françaises, la mise en place de centres opérationnels d'alerte et de réaction aux attaques informatiques, dits computer emergency response teams (CERT). En pratique, un CERT correspond à un numéro d'urgence ouvert aux victimes. L'ANSSI en dispose d'un, d'autres existent dans le secteur privé, notamment dans le monde bancaire.

Un ancrage régional de ces CERT nous semble correspondre aux victimes de taille intermédiaire.

Leur modèle économique reste à trouver. Sans doute l'investissement public, notamment à la faveur du plan de relance de l'économie française, devra-t-il se combiner avec des investissements d'origine privée. Les victimes potentielles pourraient être soumises à contribution sous la forme d'un abonnement, afin de bénéficier de l'aide en cas de difficulté.

L'ANSSI dispose d'un budget de 136 millions d'euros. Elle envisage de le répartir pour 60 millions d'euros vers les collectivités locales, sa priorité, pour 25 millions aux hôpitaux, pour environ 30 millions en direction de projets destinés à la sécurisation des administrations. Enfin, elle consacrerait 1 million d'euros par région pour la mise en place des CERT.

Parallèlement, il convient que nous encouragions le développement des prestataires privés : acteurs de l'audit, de la prévention, de la sécurisation des systèmes d'information, de la réponse à incidents, de la détection d'attaques. L'État n'assurera pas seul l'intégralité de la réponse.

Il nous faut en particulier obtenir l'intervention du secteur de l'assurance. Dans ce dessein, nous travaillons en étroite collaboration avec la fédération française de l'assurance (FFA). De toute évidence, l'émergence de l'assurance cyber ne procédera pas d'une simple analogie avec ce qui existe pour d'autres domaines. Le champ informatique se caractérise notamment par des effets systémiques, ainsi que par une séparation moins marquée qu'ailleurs entre la criminalité d'une part, les actes de guerre et le terrorisme d'autre part.

Vous avez posé la question du lien entre l'ANSSI et les services judiciaires.

L'ANSSI ne correspond ni à un service de renseignement, ni à un service offensif, ni à un service d'enquête judiciaire. Ses missions sont précisément celles qui ne relèvent pas de ces services. Elle n'en entretient pas moins des liens avec eux, dans un souci de continuité dans la prise en compte de la dimension cyber.

Vis-à-vis des services judiciaires, le mode opératoire de l'ANSSI consiste à combiner sa mission d'urgence d'assistance aux victimes avec la préservation, autant que possible, des preuves utiles aux enquêtes. Elle travaille notamment en bonne intelligence avec la section J3 du Parquet de Paris. Elle lui apporte son expertise sans, cependant, jamais s'y substituer.

En dernier lieu, je rejoins le constat relatif à la faiblesse des moyens disponibles. Nous ne pouvons passer outre. Je souhaite que nous disposions d'un nombre accru d'enquêteurs, de techniciens, en définitive d'opérationnels plutôt que de chronométreurs.

M. Michel Cadic. - Nous manquons en effet d'enquêteurs.

J'insisterai sur la nécessaire prise de conscience de la menace. La faiblesse des moyens mis en oeuvre pour nous en protéger n'est pas sans lien avec les limites actuelles de la culture étatique en matière de cybersécurité.

Le ministère de l'Intérieur possède une connaissance que je qualifierai de classique de la menace en général. Il la tient notamment des risques d'origine sanitaire, accidentelle ou climatique. Pour y répondre, il dispose de plans que le secrétariat général de la défense et de la sécurité nationale (SGDSN) a préparés. Leur mise en application revient localement aux préfets qui, dans chaque préfecture, bénéficient d'une division dédiée. À mon arrivée au ministère de l'Intérieur, j'ai constaté que rien de tel n'existait pour les aspects de cybersécurité.

Or, nous savons que le risque cyber ne peut que, tôt ou tard, se concrétiser. Contrairement à d'autres types de risques, sa réalisation ne tient nullement à un aléa. Seuls le moment exact de sa survenue et la méthode employée demeurent incertains.

Nous devons donc nous y préparer. Il appartient aux pouvoirs publics ainsi qu'aux divers élus de mobiliser leurs interlocuteurs sur cette problématique. Quiconque aujourd'hui utilise un outil numérique, s'il en tire un indéniable avantage au service des citoyens ou de son efficacité économique, augmente en contrepartie sa vulnérabilité aux attaques. Nous l'avons observé l'an passé, lors du recours massif au télétravail.

À l'instar du ministère des Armées qui, avec la Direction du renseignement et de la sécurité de la défense (DRSD), s'est saisi de longue date de la question, toute entreprise, toute institution, doit prendre conscience qu'elle détient en propre des informations qu'il importe qu'elle protège par des moyens adéquats.

De ce point de vue, les Anglo-Saxons ont adopté une approche de la menace bien plus rigoureuse que la nôtre. En France, les acteurs s'en remettent trop souvent à l'État et à la réglementation. Se conformer au règlement général sur la protection des données (RGPD) ne suffit pas.

Répétons que la réalisation du risque, qui laisse place au volet judiciaire, équivaut à un échec. C'est pourquoi nous insistons tant sur la prévention.

Celle-ci est assurément à géométrie variable. Elle dépend des données à protéger. Nous ne pouvons lui associer une réponse universelle, ni envisager une quelconque forme de contrôle technique. La pertinence d'un tel contrôle pâtirait doublement d'une forme de standardisation peu conforme à l'unicité des situations, ainsi que du décalage entre une analyse figée dans le temps et l'évolution constante de la menace.

Il nous faut procurer à l'ensemble des acteurs économiques et institutionnels, en fonction de leurs besoins et de leurs moyens, l'accès à des solutions techniques adaptées.

Ici, la difficulté tient à ce que les principales entreprises françaises spécialisées dans la cybersécurité, si elles savent s'adresser à de grands comptes, n'entretiennent guère de réseaux qui leur donneraient accès à des marchés plus localisés, mais en forte croissance. Tout un nouveau modèle de distribution de leurs services est à concevoir.

S'agissant des rançons et des assurances, mon avis demeure partagé. Pour une entreprise, en cas d'attaque informatique, le dépôt d'une plainte ne rétablit nullement sa situation. La question de la continuité de son activité se pose alors avec acuité. Avec l'existence d'un plan de remédiation, le bénéfice d'une assurance contribue à la reprise ou à la poursuite de l'activité, voire à la survie même de l'entreprise.

Par comparaison, dans les années 1970, lorsque les assureurs ont accepté de couvrir le risque de vol dans les entreprises ou chez les particuliers, ils ont assorti la garantie qu'ils accordaient à la définition de conditions précises. Le contrat d'assurance prévoyait ainsi, à la charge de l'assuré, l'obligation de prendre des mesures de protection.

De notre point de vue, une démarche de cette nature concourrait à élever le niveau de prise de conscience du risque. Aujourd'hui, le GIP ACYMA noue des partenariats avec des banques et des assureurs avec l'objectif que ces derniers diffusent ses messages auprès de leurs clients.

M. Serge Babary quitte la séance. Mme Martine Berthet, vice-présidente de la Délégation aux entreprises, lui succède.

Mme Johanna Brousse. - Au Parquet de Paris, la prise en charge des victimes nous paraît primordiale. Nous avons à coeur de leur faciliter la tâche et de leur permettre de suivre le déroulement des enquêtes.

Assurément, pour un chef d'entreprise victime d'une cyberattaque, se rendre dans une brigade de gendarmerie ou dans un commissariat de police ne constitue sans doute pas une priorité. De plus, il y rencontrera un interlocuteur généralement peu formé à ce type spécifique d'infraction.

Depuis le début de l'année 2020, nous avons décidé de diffuser à l'ensemble des services de police et de gendarmerie de France une fiche dite réflexe, ainsi qu'un modèle de lettre de plainte. Ces services savent désormais que pour les cas de ransomwares, il leur appartient de joindre le Parquet de Paris.

Nous nous sommes également rapprochés des sociétés spécialisées dans la remédiation à incidents. Elles communiqueront notre lettre de plainte-type à ceux des chefs d'entreprise qui, devant faire face à la situation de crise, ne pourront se déplacer devant les représentants des forces de l'ordre.

En raison de la longueur de l'enquête de cybercriminalité, qui requiert des recherches approfondies et le jeu de la coopération judiciaire internationale, l'information des victimes représente une difficulté réelle. Au cours du procès d'Alexander Vinnik, qui s'est tenu à Paris en octobre 2020, des victimes nous ont expliqué avoir oublié leur plainte et ignorer l'état de la procédure après presque six ans d'instruction.

Désormais, nous leur communiquons systématiquement le « numéro Parquet » du dossier qui les intéresse. Il leur permet, pendant toute sa durée, de se renseigner sur le déroulement de la procédure.

Au sujet des attaques envers des hôpitaux, je soulignerai que quelques années en arrière, au cours des négociations, des pirates informatiques renonçaient à leurs prétentions et révélaient sans contrepartie la clé de déchiffrement des données. Ce n'est plus le cas. Nous faisons désormais face à des mercenaires sans aveu qui ne concèdent rien et s'acharnent au contraire dans leur résolution à obtenir une rançon. Nous assistons à un phénomène de criminalisation croissante.

Le phénomène du rançonnage nous inquiète. Lorsqu'il survient, le paiement des rançons finance en effet à son tour toute une série d'autres activités illégales et de réseaux criminels. Pour en avoir discuté avec mes collègues du Parquet antiterroriste, la question se pose d'un risque de financement du terrorisme par ce type de biais. D'une atteinte au tissu économique français, nous glisserions alors à une attaque dirigée contre la société elle-même, au sens le plus large.

M. Sébastien Meurant, rapporteur. - Ce 13 avril 2021, lors de notre visite du C3N, le général Patrick Touron nous expliquait ne pas disposer des moyens juridiques d'annihiler la menace venant de l'étranger, quand bien même la capacité opérationnelle en existe et que cette menace attente directement à nos intérêts nationaux. Nous confirmez-vous qu'en l'état, le droit ne nous autorise pas à riposter contre des ordinateurs situés à l'étranger ?

Mme Johanna Brousse. - Vous soulevez ici une problématique prégnante. La matière dont nous traitons se caractérise par sa complète déterritorialisation. Notre action s'en trouve d'autant plus complexe.

Nous montrer offensifs depuis notre territoire vis-à-vis de serveurs installés en dehors de nos frontières exige en effet que sollicitions au préalable le concours des États concernés. Si, dans la majorité des cas, la coopération se déroule sans complication, elle se révèle parfois plus difficile.

Dans nombre d'affaires de ransomware, les auteurs opèrent depuis l'étranger. Après leur identification, une autre difficulté consiste à obtenir qu'ils nous soient déférés.

M. Guillaume Poupard. - Sur la question de la contre-attaque, j'invite à la plus grande prudence. Nous ne nous confrontons pas à des assaillants qui agissent depuis leur domicile avec leur ordinateur personnel. Avant que de porter leurs coups vers leur cible finale, ils commencent par compromettre des serveurs intermédiaires à travers le monde. Ne répondre qu'à ceux qui semblent vous attaquer directement, en exploitant notamment les adresses IP (internet protocol), risque de diriger votre riposte contre une autre victime. J'ai ainsi vu des cas où des serveurs de rebond d'attaques se situaient dans des hôpitaux ou des établissements d'hébergement pour personnes âgées dépendantes (EHPAD).

Pour les situations les plus graves, la loi française prévoit la possibilité, y compris pour l'ANSSI, d'adopter une démarche dite active qui ne relève pas de la procédure judiciaire. Elle nous permet de nous connecter sur les machines qui nous assaillent. En derniers recours, l'emploi de moyens offensifs, de nature militaire, reste envisageable afin de faire cesser la menace.

Ces moyens ne concernent guère les situations qui affectent les PME.

M. Rémi Cardon, rapporteur. - Faut-il que nous adaptions les procédures judiciaires existantes ?

Mme Johanna Brousse. - Nous rencontrons actuellement une difficulté de taille, dont nous espérons qu'elle soit prochainement levée à l'initiative du ministère de l'Intérieur. Elle se rapporte au partage mutuel d'informations entre les services judiciaires d'une part, les services de renseignement et l'ANSSI d'autre part. Pour l'heure, aussi aberrant que ce constat paraisse, nous n'en avons pas légalement le droit.

En revanche, si un pays comme les États-Unis, où les frontières entre mondes judiciaire et du renseignement sont beaucoup plus poreuses, nous sollicitent pour obtenir certaines données, nous les leur communiquons. En d'autres termes, nous permettons aux services de renseignement de ces pays d'obtenir des informations auxquelles nos propres services de renseignement nationaux sont censés ne pas accéder.

M. Jérôme Notin. - En ce qui concerne les CCI, je concède qu'elles pourraient contribuer plus avant à l'information des entreprises. Pour le moment, leur implication dépend beaucoup de l'intérêt que leurs conseillers portent aux questions de cybersécurité. CCI France appartient à la catégorie des membres fondateurs du GIP ACYMA. Son rôle de relais auprès des entreprises est d'emblée apparu comme déterminant.

Pour leur part, les régions représentent des acteurs fondamentaux de la vie économique locale. À ce titre, le GIP entretient des échanges avec plusieurs d'entre elles qui sont susceptibles d'en rejoindre le dispositif.

Par ailleurs, afin d'identifier dans nos territoires les meilleurs professionnels de la cybersécurité, et sous l'impulsion de ses membres Syntec Numérique, la FFA, Cinov-IT et la fédération EBEN, le GIP ACYMA a dernièrement créé un label. Son cahier des charges prévoit une évaluation technique. L'association française de normalisation (Afnor) en assure la conduite. L'évaluation porte sur la double capacité des prestataires à répondre aux incidents de sécurité et à accompagner la sécurisation des entreprises. À ce jour, 55 prestataires ont obtenu notre label.

Enfin, avec le plan de relance, les fonds que l'ANSSI mettra à notre disposition nous permettront d'engager une campagne de sensibilisation des collectivités territoriales. Lors du déclenchement de la crise sanitaire et de l'instauration généralisée du télétravail en 2020, elles furent de loin les premières touchées par des attaques informatiques. Pendant toute la période, le GIP ACYMA a assisté un particulier pour deux entreprises et quarante collectivités.

Mme Martin Berthet, vice-présidente. - La parole revient à mes collègues sénateurs membres de la Délégation aux entreprises.

Mme Florence Blatrix Contat. - Vous indiquiez que 55 prestataires ont obtenu le label du GIP ACYMA. Ce total n'équivaut pas à un prestataire par département. Comment entendez-vous concentrer votre effort de labellisation vers nos territoires ?

Vous évoquiez également un partenariat avec les régions. Pouvez-vous nous en dire davantage sur la structure que vous imaginez et qui viendra plutôt à l'appui des ETI ? Quelle échéance prévoyez-vous à son déploiement ?

M. Jérôme Notin. - Une attaque informatique a récemment visé l'Afnor elle-même. Notre plateforme de dépôt des candidatures à la labellisation en est une victime par ricochet. Depuis le 17 février dernier, les auditeurs de l'Afnor ne sont temporairement plus en mesure d'étudier de nouveaux dossiers. En l'absence de cette attaque, nous compterions plutôt 70 ou 80 prestataires détenteurs de notre label. Je reste convaincu que nous pouvons espérer délivrer plusieurs labellisations dans chaque département.

Dans les régions, notre dispositif national entend s'appuyer sur le projet des CERT. Les exemples déjà existants, en particulier dans le monde bancaire, démontrent l'importance d'échanges réguliers, d'une forme de solidarité, pour se prémunir collectivement contre le risque d'attaques informatiques.

M. Guillaume Poupard. - L'idée consiste à céder aux régions le rôle d'installer les CERT. Nous savons qu'un modèle unique ne conviendra pas partout. Leur structure administrative et juridique peut revêtir des formes variées, allant du groupement d'intérêt économique (GIE) à l'association, en passant par des entités purement privées. Les mieux placés pour choisir la réponse adaptée aux enjeux de leurs territoires, les acteurs locaux, au premier rang desquels les régions, en décideront en concertation les uns avec les autres. Les services de l'État prendront part à la décision.

Les CERT régionaux viseront d'abord à partager la connaissance de la menace. Avec le GIP ACYMA, l'ANSSI pourra ici jouer un rôle d'animation. Dans leur ressort, il leur incombera ensuite d'aider les victimes d'attaques informatiques.

Israël nous apporte un exemple en la matière. Un seul numéro de téléphone, le 119, y centralise tout problème de sécurité informatique, qu'il concerne une entreprise d'envergure nationale ou un simple particulier. L'interlocuteur qui y répond réoriente ensuite les appels vers les opérateurs appropriés.

Dès que les CERT régionaux seront opérationnels, nous gagnerons à nous inspirer de ce modèle. Un numéro unique présenterait l'immense avantage de la clarté et de la simplicité. Sous l'angle de l'orientation des victimes, le schéma apparaît assez nettement en France : l'ACYMA s'occupe des particuliers et des PME, l'ANSSI des entreprises d'enjeu national ; les CERT régionaux s'adresseront, eux, plutôt aux ETI.

Mme Martin Berthet, vice-présidente. - En attendant de bénéficier d'une plateforme centralisée, nous constatons l'importance de l'accueil local des victimes. À côté de celui qui s'organise dans les commissariats et gendarmeries, l'État devrait apporter son relais au niveau départemental. L'idée d'un sous-préfet qui s'investisse dans ce rôle nous semble intéressante.

M. Michel Cadic. - D'abord à la recherche de conseils et de réactivité en cas d'attaque informatique, les entreprises et collectivités doivent pouvoir compter localement sur un interlocuteur connu et de confiance. Il incombe ici à l'État d'apporter une forme de complémentarité aux dispositifs existants.

Les premiers au ministère de l'Intérieur, nous mesurons la nécessité, non seulement d'acculturer au risque numérique notre haute hiérarchie, mais également d'accroître les moyens que nous y dédions. L'actuel référent local dans les préfectures intervient prioritairement pour la sécurité des systèmes d'information de l'administration. Au niveau central, le ministère dispose de son propre centre de sécurité. Nous ne déployons cependant pas encore suffisamment de services en direction de nos partenaires, en particulier dans le sens de la prévention.

M. Rémi Cardon, rapporteur. - Comment sensibiliser à la cybersécurité les opérateurs de réseaux et les inciter à leur tour à contribuer à l'information de leurs clients ?

M. Guillaume Poupard. - Nous insistons déjà pour que ces opérateurs de télécommunications sécurisent leurs systèmes informatiques. Ils en perçoivent manifestement la nécessité et agissent en conséquence.

À l'égard des flux qu'ils véhiculent, des questions juridiques se sont posées. Elles ont par exemple trait à la neutralité des réseaux en ligne. La dernière loi de programmation militaire apporte des réponses. L'un de ses articles autorise dorénavant les opérateurs à procéder à des détections d'attaques sur les flux de leurs clients.

Par ailleurs, rien ne les empêche de proposer des services de protection payants. Un recours massif à de tels services contribuerait à dépolluer les flux de données numériques.

N'en sous-estimons cependant pas la difficulté technique. Les essais en cours montrent que si les opérateurs parviennent dès à présent à détecter des attaques relativement simples, ils demeurent démunis face à des attaques aux méthodes subtiles. Il leur faut encore s'équiper, ce qui prendra du temps et suppose des investissements conséquents.

L'ANSSI n'ayant pas pour vocation de joindre un nombre élevé de victimes potentielles, nous nous adressons de plus en plus souvent à ces opérateurs pour prévenir leurs clients, en cas d'attaques d'envergure. Moyennant leur défraiement, la même disposition de la loi de programmation militaire nous en donne la possibilité. Conscients de leur responsabilité et de leur intérêt à maîtriser la menace cyber, les opérateurs français s'en chargent toujours mieux.

M. Sébastien Meurant, rapporteur. - Avec les compétences que nous possédons en France et en Europe, pouvons-nous entretenir l'espoir d'un cloud souverain qui protégerait les données des Français ? De ce point de vue, le Campus Cyber de La Défense recueille l'unanimité des suffrages.

M. Guillaume Poupard. - Les aspects de cybersécurité dont nous nous entretenions jusqu'à présent forment la partie la plus aisément objectivable d'un problème plus vaste. Tout un champ concerne les questions de souveraineté numérique.

Pour nombre d'acteurs de taille intermédiaire, il importe d'abord de pouvoir s'en remettre à des solutions que des experts sécurisent. Confiance et souveraineté sont souvent liées. Nous savons que les solutions extra-européennes, comme celles des Google, Amazon, Facebook, Apple, Microsoft (GAFAM), relèvent de droits d'application extraterritoriale, autrement dit de droits intrusifs. Leur confier des données emporte un risque, non de sécurité à proprement parler, mais d'ordre juridique.

Nous devons encourager l'émergence de solutions de clouds européens qui présentent un même niveau de qualité technique. En France et en Europe, nous bénéficions déjà d'acteurs de talent, tels qu'OVHcloud, Outscale ou Scaleway, même s'ils sont moins connus du grand public que leurs homologues d'outre-Atlantique.

Une autre piste que nous explorons consisterait à repositionner les acteurs non européens dans un rôle strict de fournisseurs de technologies. Je donnerai pour exemple celui des logiciels de traitement de texte. Naguère, leur acheteur conservait la pleine propriété des données issues de leur utilisation. Aujourd'hui, les solutions collaboratives emportent que les données saisies à l'aide d'un traitement de texte nous échappent. Par le correctif que nous proposons, qui s'organise autour de processus de certification des offres, nous entendons concilier l'usage des meilleures technologies disponibles avec la soumission au seul droit européen. La France en soutient l'idée avec conviction, contrairement à d'autres États membres de l'Union européenne qui l'assimilent à une entrave au commerce. Les débats s'engageront incessamment à l'échelle de l'Europe.

Mme Martine Berthet, vice-présidente. - Pensez-vous que nous progresserons rapidement sur ces questions ?

M. Guillaume Poupard. - Au risque qu'il ne soit trop tard, les choix qui se dessinent devront intervenir dans les prochains mois. Loin d'équivaloir à une quelconque forme de renfermement, la souveraineté numérique ou l'autonomie stratégique de l'Union européenne en dépendent. Ces choix supposent une position politique ferme, que nous imposions nos règles. La France pourra notamment les porter l'occasion de la présidence du Conseil de l'Union qu'elle prendra à compter de janvier 2022. Pour l'Europe, renoncer à imposer ses vues la réduirait à l'état de colonie numérique. Elle deviendrait une simple consommatrice de solutions extérieures qui entraveraient les siennes. Nos entreprises y perdraient beaucoup.

M. Sébastien Meurant, rapporteur. - Que pensez-vous de la controverse relative à l'opérateur chinois Huawei ?

M. Guillaume Poupard. - Elle illustre parfaitement l'équilibre précaire des données contradictoires du problème. Nous pouvons traiter la difficulté, ainsi que les Américains nous y incitent, de façon caricaturale. À l'inverse, nous pouvons nous en saisir en mêlant l'objectivité à l'ambition. La France a adopté la seconde attitude.

Pour toute implantation d'une antenne de cinquième génération (5G) sur son territoire, sa loi du 1er août 2019 impose aux opérateurs le dépôt d'une demande préalable. Cette exigence réintègre l'État dans la discussion des acteurs économiques que sont les opérateurs et les équipementiers.

La plupart des autres États membres de l'Union européenne ont soit décidé de se ranger à l'avis américain, celui d'un refus catégorique d'accueillir l'offre de l'opérateur chinois, soit, à l'exact opposé, laissé une totale liberté aux acteurs économiques, aux dépens de la sécurité de leurs réseaux sur le long terme.

En dépit de l'excellent travail technique d'analyse du risque mené en commun à l'initiative de l'Union européenne, l'unité des États membres n'a pas franchi le cap de la décision politique. Je crois que nous pouvons nous féliciter de celle que la France a prise.

Mme Martine Berthet, vice-présidente. - Voulez-vous ajouter quelques mots de conclusion ou insister sur certains aspects ?

M. Michel Cadic. - Il est essentiel que chaque citoyen prenne personnellement conscience du risque que tout outil numérique véhicule avec lui et de la nécessité de se montrer vigilant dans son usage. La formation, initiale ou continue, se révèle ici déterminante. La délivrance prochaine de la nouvelle carte nationale d'identité électronique offre une occasion supplémentaire de sensibiliser l'opinion publique française. Avec d'autres, je suggère que nous associons à cette remise un bref parcours préalable d'information sur les enjeux de la carte.

M. Jérôme Notin. - Le spectre de la menace, une menace protéiforme, prend des dimensions considérables. Trois magistrats et un enquêteur spécialisé ne suffisent plus pour l'affronter. Nous devons vivement renforcer l'effectif de la section J3 du Parquet de Paris.

Enfin, chacun tirera profit d'une meilleure connaissance de l'ACYMA et du contenu de sa plateforme en ligne.

M. Guillaume Poupard. - Particulièrement marquée, la menace nous impose de réagir. Avec les moyens dont elle dispose, la France fait front. Services de l'État et acteurs privés travaillent de concert en ce sens. L'inauguration prochaine d'un Campus Cyber en atteste.

Les enjeux les plus saillants me paraissent ceux de la sensibilisation à la cybersécurité et de la coopération à l'échelon européen.

Mme Johanna Brousse. - Je tiens à remercier la Délégation aux entreprises pour son invitation. Il me semble en effet essentiel que l'action que nous menons au quotidien bénéficie de relais politiques et institutionnels.

Mme Martine Berthet, vice-présidente. - Au nom de son président, je vous sais gré de votre participation aux travaux de notre Délégation. Nous ne manquerons pas de vous tenir informés de leur évolution.

La séance est levée à 11 heures 10.