EXAMEN EN COMMISSION
I. EXAMEN DU RAPPORT (15 NOVEMBRE 2023)
Au cours de sa réunion du mercredi 15 novembre 2023, la commission des affaires étrangères, de la défense et des forces armées, sous la présidence de M. Philippe Paul, vice-président, a procédé à l'examen du rapport de MM. Olivier Cadic et Mickaël Vallet, sur les crédits de la coordination du travail gouvernemental (action 2 Coordination de la sécurité et de la défense, SGDSN, Cyberdéfense).
M. Mickaël Vallet, rapporteur - Les crédits du programme 129 que nous vous présentons chaque année, avec mon collègue Olivier Cadic, portent sur l'action relative à la coordination de la sécurité et de la défense, et plus précisément sur la cybersécurité et la lutte contre les manipulations de l'information.
Vous avez été destinataires des chiffres clés de la menace cyber et des principaux défis à relever pour 2024. Aussi, passerons-nous plus rapidement sur ces éléments pour nous concentrer sur nos principaux constats et recommandations.
Quelques mots sont nécessaires pour décrire l'industrialisation de la cybercriminalité et des manipulations de l'information.
Avec 831 intrusions avérées répertoriées par l'ANSSI en 2022, contre 1 082 en 2021, le niveau de la cybermenace semble marquer une pause. Mais comme nous l'a rappelé le Secrétaire général de la défense et de la sécurité nationale que nous avons entendu en audition, il s'agit d'une pause en trompe l'oeil. D'une part, la gravité des attaques s'est accentuée, rendant nécessaire 19 opérations de cyberdéfense dont 9 d'entre elles ont caractérisé des modes opératoires affiliés à la Chine. D'autre part, la pression cybercriminelle demeure élevée avec un regain d'événements traités par l'ANSSI en hausse de 23 % au premier semestre 2023 par rapport à 2022, dont 50 % d'augmentation des extorsions de fonds sous forme de « rançongiciel ». S'agissant des particuliers, entreprises et collectivités territoriales (hors opérateurs d'importance vitale et opérateurs de services essentiels suivis par l'ANSSI), le GIP ACYMA en charge de la plateforme cybermalveillance.gouv.fr a vu sa fréquentation augmenter de 53 % en 2022 avec 3,8 millions de visiteurs (2,5 millions en 2021) et 280 000 demandes d'assistance contre 170 000 en 2021. On peut certainement remarquer que la cybermenace évolue, mais aussi que ce phénomène est maintenant mieux connu de la population.
Vous avez certainement tous observé dans vos circonscriptions des attaques sur les collectivités territoriales, les hôpitaux et le tissu des PME et TPE. L'objectif de « résilience cyber » défini par la revue nationale stratégique de 2022 prévoit une plus grande mutualisation des bonnes pratiques entre le public et le privé. Cela ne peut pas être que vertical. C'est tout un écosystème de cybersécurité qu'il convient de construire. C'est bien de le dire, et le Président de la République a clairement affiché des objectifs lors de son discours de Nice en janvier 2022 sur la sécurité. J'en rappelle ici les principaux volets. Il a annoncé, je cite : « un plan d'investissement technologique mais également de formation et de recrutement sans précédent au sein des forces de sécurité intérieure pour aller chercher les meilleurs profils issus de la société civile ». Ce plan comprend plusieurs dispositifs :
- la création d'une école de formation cyber au sein du ministère de l'intérieur pour former les policiers, les gendarmes et les agents des services de renseignement ;
- la mise en place d'un équivalent numérique de « l'appel 17 » afin que chaque citoyen puisse signaler en direct une attaque cyber et être mis immédiatement en relation avec un opérateur spécialisé. Au lieu d'un numéro de téléphone, il s'agit plutôt d'un signalement numérique ;
- la mobilisation des services de police et de gendarmerie dans les territoires pour sensibiliser les français, les entreprises, les collectivités à la menace cyber ;
- enfin, le déploiement massif d'un milliard d'euros d'investissements pour être plus performant dans la lutte contre ce nouveau risque.
C'est bien de le dire, maintenant il faut le faire et nous comprenons tous que ce sujet de coordination ne peut pas se limiter au cercle restreint des services de la Première ministre, SGDSN et ANSSI, mais qu'il faut réunir autour d'un même objectif tous les ministères et services concernés.
Je passe la parole à mon collègue sur les défis à relever en 2024, la question des moyens mis en oeuvre et la nécessaire coordination de l'ensemble.
M. Olivier Cadic, rapporteur - Après consultation de personnalités de la sphère publique comme du secteur privé, nous voyons quatre défis principaux pour le cyber en 2024. D'abord, assurer la cybersécurité des Jeux olympiques et paralympiques 2024 pour une question d'image internationale. Il n'y aura pas de deuxième place. Ensuite, coordonner l'ensemble des acteurs publics et privés de l'écosystème cyber autour d'une révision de la stratégie nationale de cybersécurité (la dernière datant de 2018) et du lancement en mars 2024 de la plateforme numérique « 17 Cyber » ouverte au grand public. Enfin, réussir la transformation de l'ANSSI en vue de la transposition de la directive NIS 2 (Network and Information Security). Celle-ci prévoit un accroissement du périmètre de compétence de l'agence de quelque 500 OIV à environ 15 000 entreprises dont le suivi constitue un changement d'échelle pour l'agence et nécessite une reconfiguration de son offre de services.
A ces trois défis s'ajoute un quatrième défi que nous avions développé dans notre rapport préparatoire à la LPM et qui concerne l'organisation, ou plutôt la réorganisation du dispositif de coordination pour répondre au « changement d'échelle » annoncé par l'ANSSI qui est de passer à une cybersécurité de masse.
Cette nécessité de refonte de la stratégie résulte des nombreux points d'attention que les services et entreprises que nous avons auditionnées ont soulevés, à commencer par un brouillard quant à l'organisation de la réponse aux incidents cyber entre l'ANSSI responsable des systèmes de l'État et des opérateurs d'importance vitale, la plateforme cybermalveillance responsable de tout le reste mais sans les moyens associés, et l'amorçage par l'ANSSI de centres régionaux dont ni les services, ni le financement ne sont à ce jour garantis dans leur efficacité et leur pérennité. S'il y a une attaque, que se passe-t-il ? A qui s'adresse-t-on ? Il y a l'ANSSI qui suit les services de l'État et les OIV. Cybermalveillance est censé suivre tous les autres acteurs, mais il y a aussi des CERT sectoriel et des C-SIRT régionaux.
En réalité, chaque ministère et chaque entité s'est doté d'un coordinateur : l'ANSSI qui est à la fois un régulateur et un acteur, le Secrétariat général pour l'investissement dont nous avons rencontré ce matin le coordinateur, M. Florent Kirchner, mais aussi Cybermalveillance dont c'est le rôle d'être à la croisée de tous les chemins, et maintenant le ministère de l'intérieur qui a pris la charge financière de la création de la future plateforme « 17 cyber » en application des annonces du Président de la République.
Le fait que la menace cyber soit largement prise en compte va en soi dans le bon sens comme le rappelait le Directeur général de la gendarmerie nationale. En revanche, il nous semble qu'une chaîne claire de traitement et d'escalade des incidents soit définie. Il nous a été certifié que ce travail était en cours. Nous prenons date pour le lancement du « 17 cyber » prévu en mars 2024. Mais à quelques mois de ce rendez-vous important, il reste encore à définir les services offerts que cette plateforme numérique apportera à la population, et surtout comment la population sera informée de sa mise en service, selon quelle communication, avec quels crédits ?
Le message de l'ANSSI est de dire qu'il est encore trop tôt pour dessiner un « jardin à la française » et qu'il faut d'abord laisser l'écosystème public/privé de la cybersécurité se développer avant de tailler les haies. C'est une approche qui laisse certaines entreprises sur leur faim (Orange ou Thales) car elles ont besoin d'une feuille de route claire et d'y être associées notamment pour la transposition de la directive NIS 2 qui interviendra en octobre 2024.
Nous partageons ce besoin de clarification. Pour reprendre la métaphore du jardin à la française, il nous semble au contraire urgent de définir une organisation de coordination et de suivi de la qualité, bref de dessiner les allées du jardin dès maintenant, sinon le risque est de voir se développer une jungle ou tout le monde sera perdu. J'ajoute que l'enjeu de sécurité des Jeux Olympiques justifie l'urgence de la concertation, ce qui est un métier nouveau pour l'ANSSI.
C'est pourquoi, parmi nos propositions figurent celle d'actualiser la stratégie nationale de cybersécurité - l'actuelle date de 2018 - en y associant en amont tout l'écosystème sans oublier les collectivités locales, ni vos serviteurs.
Nous recommandons également de s'inspirer de la grande cause nationale de la sécurité routière qui a permis de réduire drastiquement le nombre de morts sur nos routes en confiant à un coordinateur unique la responsabilité de coordonner tous les moyens disponibles. Est-ce le rôle de l'ANSSI ou d'un délégué interministériel clairement identifié ? C'est à l'exécutif de le décider mais c'est à nous de signaler que l'année 2024 est le bon moment pour le faire.
Au bénéfice de ces observations, nous vous proposons l'adoption des crédits de la mission « Direction de l'action du Gouvernement ».
Mme Marie-Arlette Carlotti. - Je remercie nos collègues d'avoir décrit la menace cyber en la resituant dans un cadre plus large que les seuls services de l'État et des grandes entreprises. Ce sujet est particulièrement inquiétant et d'ailleurs le Sénat, ni les parlementaires ne sont à l'abri de ces attaques. Tous nos collègues sont informés par le biais de séances de sensibilisation organisées par les commissions mais il faut continuer.
M. Alain Joyandet. - C'est une grande cause et le politique doit reprendre la main sur les administrations centrales car ce problème touche aussi les collectivités territoriales et plus largement toute la population. Il s'agit d'un problème d'efficacité car pour assurer la sécurité du pays on ne peut pas se contenter d'empiler, comme vous l'avez dit, des dispositifs et de nouveaux coordonnateurs. Il faut réformer et simplifier.
M. Olivier Cadic - Il faut être réaliste. L'objectif n'est pas de supprimer les attaques. Il y en aura toujours et de plus en plus. On voit bien que les banques et les institutions sont ciblées par des attaques visant à saturer leurs systèmes et à engendrer des dénis de services. Le vrai sujet est celui de la résilience, c'est-à-dire la capacité à protéger mais aussi relancer les systèmes et les réseaux le plus rapidement possible.
Concernant l'organisation, on observe que tous les secteurs ont pris conscience de la nécessité d'élever leur niveau de sécurité. C'est ce qu'on appelle une mutation technologique.
Mais lorsque survient un dysfonctionnement, qui est le responsable ? Le pirate bien sûr, mais aussi le dirigeant de l'entreprise, le responsable des systèmes d'information ou tout simplement l'utilisateur qui a été négligent ou a fait une erreur de manipulation ? On a besoin de savoir dans chaque situation qui est responsable et qui supervise et coordonne le service qualité de la chaîne de réponse aux incidents.
M. Mickaël Vallet. - Le premier point est en effet d'élever le niveau de sécurité par la diffusion la plus large de ce qu'on peut appeler une hygiène numérique. Ensuite, cette prise de conscience générale doit être organisée et coordonnée.
La commission a émis un avis favorable à l'adoption des crédits du programme 129 de la mission « Direction de l'action du Gouvernement ».