|
N° 130 SÉNAT SESSION ORDINAIRE DE 2023-2024 |
|
Enregistré à la Présidence du Sénat le 23 novembre 2023 |
|
AVIS PRÉSENTÉ au nom de la commission des affaires étrangères, de la défense et des forces armées (1) sur le projet de loi de finances, considéré comme adopté par l'Assemblée nationale en application de l'article 49, alinéa 3, de la Constitution, pour 2024, |
|
TOME IX DIRECTION DE L'ACTION DU GOUVERNEMENT Coordination du travail gouvernemental (Programme 129) |
|
Par MM. Olivier CADIC et Mickaël VALLET, Sénateurs |
|
(1) Cette commission est composée de : M. Cédric Perrin, président ; MM. Pascal Allizard, Olivier Cadic, Mmes Hélène Conway-Mouret, Catherine Dumas, Michelle Gréaume, MM. Jean-Noël Guérini, Joël Guerriau, Jean-Baptiste Lemoyne, Akli Mellouli, Philippe Paul, Rachid Temal, vice-présidents ; M. François Bonneau, Mme Vivette Lopez, MM. Hugues Saury, Jean-Marc Vayssouze-Faure, secrétaires ; MM. Étienne Blanc, Gilbert Bouchet, Mme Valérie Boyer, M. Christian Cambon, Mme Marie-Arlette Carlotti, MM. Alain Cazabonne, Olivier Cigolotti, Édouard Courtial, Jérôme Darras, Mme Nicole Duranton, MM. Philippe Folliot, Guillaume Gontard, Mme Sylvie Goy-Chavent, MM. Jean-Pierre Grand, André Guiol, Ludovic Haye, Loïc Hervé, Alain Houpert, Patrice Joly, Mme Gisèle Jourda, MM. Alain Joyandet, Roger Karoutchi, Ronan Le Gleut, Claude Malhuret, Didier Marie, Thierry Meignen, Jean-Jacques Panunzi, Mme Évelyne Perrot, MM. Stéphane Ravier, Jean-Luc Ruelle, Bruno Sido, Mickaël Vallet, Robert Wienie Xowie. |
|
Voir les numéros : Assemblée nationale (16ème législ.) : 1680, 1715, 1719, 1723, 1745, 1778, 1781, 1805, 1808, 1820 et T.A. 178 Sénat : 127 et 128 à 134 (2023-2024) |
L'ESSENTIEL
La cybersécurité et la lutte contre les manipulations de l'information correspondent à une partie des missions du Secrétariat général de la défense et de la sécurité nationale (SGDSN) dont le financement relève de l'action n°2 « coordination de la sécurité et de la défense »1(*). L'exercice 2024 se caractérise par un renforcement des moyens de l'agence nationale de la sécurité des systèmes d'information (ANSSI) et du service de vigilance et de protection contre les ingérences numériques étrangères (Viginum), constituant ainsi le volet civil de l'effort prévu par la loi de programmation militaire 2024-2030 (4 milliards d'€ de besoins programmés sur la période)2(*).
Pour répondre au « changement d'échelle » annoncé par l'ANSSI qui est de passer à une cybersécurité de masse, vos rapporteurs ont identifiés 4 principaux défis à relever :
- assurer la cybersécurité des Jeux olympiques et paralympiques 2024. Pour l'image internationale de la France, il n'y aura pas de médaille d'argent ;
- coordonner l'ensemble des acteurs publics et privés de l'écosystème cyber autour d'une révision de la stratégie nationale de cybersécurité (la dernière datant de 2018) et du lancement de la plateforme numérique « 17 Cyber » en mars 2024 ;
- réussir la transformation de l'ANSSI en vue de la transposition de la directive NIS 2 (Network and Information Security3(*)). Celle-ci prévoit un accroissement du périmètre de compétence de l'agence de quelque 500 OIV à environ 15 000 entreprises dont le suivi constitue un changement d'échelle pour l'agence et nécessite une reconfiguration de son offre de services ;
- réorganiser le dispositif de coordination en s'inspirant de la grande cause nationale de la sécurité routière qui a permis de réduire drastiquement le nombre de morts sur nos routes en confiant à un coordinateur interministériel clairement identifié la responsabilité de coordonner tous les moyens disponibles.
I. LES CHIFFRES CLÉS DE L'ACTION N°2 « COORDINATION DE LA SÉCURITÉ ET DE LA DÉFENSE » CONTRE LES MENACES CYBER ET HYBRIDES
A. LE PANORAMA DES MENACES : UNE INDUSTRIALISATION DE LA CYBERCRIMINALITÉ ET DES MANIPULATIONS DE L'INFORMATION
Avec 831 intrusions avérées4(*) répertoriées par l'ANSSI en 2022, contre 1 082 en 2021, le niveau de la cybermenace marque une pause en trompe l'oeil. D'une part, la gravité des attaques s'est accentuée, rendant nécessaire 19 opérations de cyberdéfense dont 9 d'entre-elles ont caractérisé des modes opératoires affiliés à la Chine. D'autre part, la pression cybercriminelle demeure élevée avec un regain d'événements traités par l'ANSSI en hausse de 23 % au premier semestre 2023 par rapport à 2022, dont 50 % d'augmentation des extorsions de fonds sous forme de « rançongiciel ».
Signe de la montée en compétence et de l'industrialisation des attaques contre la sécurité des systèmes d'information de l'Etat, l'ANSSI a été saisi de 227 incidents cyber affectant des ministères, contre 222 en 2021 et 128 en 2020. Le tableau ci-dessous présente la répartition entre ministères des incidents et leur niveau de gravité.
Tableau des cyber incidents par ministère traités par l'ANSSI
|
Ministères |
Nombre d'incidents traités par l'ANSSI |
Caractérisation des incidents |
|||
|
2019 |
2020 |
2021 |
2022 |
||
|
Ministère de l'agriculture et de l'alimentation |
8 |
14 |
3 |
2 |
|
|
Ministère de la cohésion des territoires |
0 |
2 |
2 |
0 |
|
|
Ministère de la culture |
6 |
11 |
10 |
6 |
Dont un incident notable |
|
Ministère des armées |
22 |
4 |
5 |
2 |
Dont deux incidents notables |
|
Ministère de l'économie des finances et de la relance |
11 |
18 |
24 |
8 |
Dont un incident notable |
|
Ministère de l'éducation nationale, de la jeunesse et des sports |
22 |
58 |
149 |
187 |
Dont 181 compromissions de comptes de messagerie |
|
Ministère de l'enseignement supérieur, de la recherche et de l'innovation |
1 |
3 |
0 |
0 |
|
|
Ministère de l'Europe et des affaires étrangères |
14 |
14 |
10 |
5 |
Dont 1 opération de cyberdéfense et un incident notable |
|
Ministère de l'intérieur et des outre mer* |
14 |
13 |
11 |
4 |
|
|
Ministère de la justice |
6 |
4 |
4 |
2 |
Dont une opération de cyberdéfense |
|
Ministère des outre-mer |
1 |
2 |
* |
* |
* regroupé avec le chiffrage du ministère de l'intérieur |
|
Ministère de la santé et des préventions |
3 |
14 |
6 |
6 |
|
|
Ministère de la transition écologique |
8 |
18 |
12 |
6 |
|
|
Ministère du travail, de l'emploi et de l'insertion |
7 |
6 |
1 |
0 |
|
Source : réponse au questionnaire budgétaire
Ce tableau qui ne recense que les actions directement menées par l'ANSSI doit être complété par plusieurs indicateurs :
· Dans le ressort des armées, au lieu de 150 événements traités par le commandement de la cyberdéfense (COMCYBER) en 2021, on enregistre une baisse de 50 % de ce nombre en 2022 avec 75 événements (8 incidents cyber et 67 alertes) dont les 2 mentionnés plus haut en collaboration avec l'ANSSI. À cet égard, le conflit ukrainien n'a semble-t-il pas engendré de ciblage particulier de la France ;
· S'agissant des particuliers, entreprises et collectivités territoriales (hors OIV et OSE6(*) suivis par l'ANSSI), le GIP ACYMA en charge de la plateforme cybermalveillance.gouv.fr a vu sa fréquentation augmenter de 53 % en 2022 avec 3,8 millions de visiteurs (2,5 millions en 2021) et 280 000 demandes d'assistance contre 170 000 en 2021. Les grandes tendances observées par la plateforme porte sur une progression de l'hameçonnage (phishing) lequel représente la première recherche d'assistance des particuliers (38 %), des collectivités territoriales et administrations (28 %) et des entreprises et associations (27 %). Suivent la violation des données (16 %), le piratage de compte (14 %) et les fausses offres de support technique (9 %) ;
· En matière de lutte contre les manipulations de l'information (LMI), un service de de vigilance et de protection contre les ingérences numériques étrangères (Viginum) a été créé à l'automne 2021 afin de détection et de caractérisation des ingérences numériques étrangères. Encore en phase de montée en puissance, ce service a détecté 78 phénomènes dits « potentiellement inauthentiques » en 2022 pour lesquels 7 d'entre eux ont été caractérisés comme des ingérences étrangères. Dans le cadre de la présidentielles 2022, en lien avec le Conseil constitutionnel, le juge de l'élection, Viginum a également dénombré cinq ingérences relevant du « phénomène BETH » attribué à des opérations liées à la Russie (cf. encadré ci-dessous).
L'exemple de deux opérations de désinformation attribuées à la Russie
Viginum a détecté, caractérisé et rendu publiques deux opérations de manipulation de l'information qui ont pour trait commun leur attribution à la Russie :
- en 2022, cinq cas d'ingérences numériques étrangères sur les élections présidentielles et législatives de 2022 ont été caractérisés, dont le « phénomène Beth » qui consiste en une opération de promotion d'un candidat par des « fermes à trolls », lesquelles sont à l'origine de la « diffusion artificielle ou automatisée, massive et délibérée », via de faux comptes de réseaux sociaux, de « contenus manifestement inexacts ou trompeurs » ;
- en 2023, c'est à partir d'un dossier établi par Viginum que le ministère de l'Europe et des affaires étrangères a communiqué sur une campagne russe de manipulation de l'information, dénommée RRN en raison de la place centrale occupée par le média Reliable Recent News, visant à diffuser des contenus pro-russes liés à la guerre en Ukraine et à discréditer les médias et gouvernements de plusieurs États européens, dont la France, par l'utilisation de faux comptes ou l'usurpation de site et d'identité7(*).
* 1 Compte tenu de la dimension transversale de la coordination de ces politiques publiques par les services de la Première ministre, en lien avec certaines unités et services relevant de la mission « Défense » - commandement de la cyberdéfense, direction générale de la sécurité extérieure - un suivi en est assuré par la commission des affaires étrangères et de la défense.
* 2 Le taux de réponse au questionnaire budgétaire est de 100 %, l'ensemble des réponses aux 44 questions adressées au Gouvernement, avant le 10 juillet 2023, ayant obtenu une réponse dans le délai fixé par l'article 49 de la loi organique n° 2001-692 du 1er août 2001 relative aux lois de finances, à savoir au plus tard le 10 octobre suivant.
* 3 Sécurité des réseaux et de l'information.
* 45 Panorama de la cybermenace 2022 (ANSSI).
* 6 Opérateurs d'importance vitale (OIV) et opérateurs de services essentiels (OIV).
* 7 Source : https://www.sgdsn.gouv.fr/publications/maj-19062023-rrn-une-campagne-numerique-de-manipulation-de-linformation-complexe-et