Sécurité numérique et risques: enjeux et chances pour les entreprises

RAPPORT

au nom de

L'OFFICE PARLEMENTAIRE D'ÉVALUATION

DES CHOIX SCIENTIFIQUES ET TECHNOLOGIQUES

sur

SÉCURITÉ NUMÉRIQUE ET RISQUES :

ENJEUX ET CHANCES POUR LES ENTREPRISES

PAR

Mme Anne-Yvonne LE DAIN, députée, et M. Bruno SIDO, sénateur

Tome II : Auditions

Remerciements

Les rapporteurs remercient vivement la centaine de personnes entendues au cours de leur étude :

Les personnes entendues lors de la préparation de l'étude de faisabilité - dont les auditions ne sont pas retranscrites dans le présent tome -, à savoir successivement :

- Mme Chi Onwurah , membre de la Chambre des communes, porte-parole du parti travailliste pour le commerce, l'innovation et la formation, en charge de la cybersécurité au sein du Cabinet fantôme ;

- M. Philippe Mirabaud , lieutenant-colonel, chargé de mission cybersécurité et numérique au cabinet du directeur général de la Gendarmerie nationale ;

- M. Marc Mossé , directeur des affaires publiques et juridiques, Microsoft France ;

- M. Stanislas Bosch-Chomont, responsable des affaires publiques, Microsoft France ;

- M. Bernard Ourghanlian , directeur technique et sécurité, Microsoft France , administrateur au Syntec-numérique ;

- M. Luc-François Salvador , président directeur général de Sogeti ;

- M. Jean-Marie Simon , directeur général d' Atos France , premier vice-président du Syntec-numérique ;

- M. Florent Skrabacz , responsable des activités sécurité Steria , Syntec-numérique ;

- M. Gérard Berry , membre de l'Académie des sciences, membre de l'Académie des technologies, professeur au Collège de France ;

- Mme Pascale Briand , directrice générale de l'Agence nationale de la recherche (ANR) ;

- M. Jean-Yves Berthou , docteur en informatique, responsable du département services et technologies de l'information et de la communication à l'Agence nationale de la recherche (ANR) ;

- M. Patrick Pailloux , directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) ;

- M. Bruno Ménard , vice-président du Club informatique des grandes entreprises françaises (CIGREF), qui a autorisé l'Office à faire figurer en annexe du présent rapport le jeu sérieux sur la sécurité numérique destiné aux entreprises.

les personnes dont l'audition figure dans le présent tome ;

les personnes qui ont accueilli les rapporteurs lors de leurs entretiens :

ü à la Commission européenne, à Bruxelles :

- Mme Isabelle Pérignon , conseillère au cabinet de Mme Vera Jourova, commissaire européenne à la justice, aux consommateurs et à l'égalité des genres ;

- M. Damien Levie, chef d'unité « États-Unis, Canada » à la direction générale du commerce de la Commission européenne (DG TRADE), adjoint au négociateur en chef sur le traité de libre-échange UE/EU ;

- M. Marco Dueerkop , chef d'unité à la direction B (Services et investissement, propriété intellectuelle et marchés publics) de cette direction générale ;

- M. Pascal Rogard , conseiller « télécommunications, société de l'information » à la représentation permanente de la France auprès de l'Union européenne ;

- M. Jakub Boratynski, chef d'unité « Confiance et Sécurité » à la direction générale « Réseaux de communication, contenu et technologies » (DG CNECT) de la Commission européenne

ü à Bruz au centre de la Direction générale de l'armement (DGA-Maîtrise de l'information) , à Nancy au Laboratoire de haute sécurité (LORIA), à Élancourt, chez Thales , pour visiter son Centre opérationnel de cybersécurité, à Montigny-le-Bretonneux chez Bertin Technologies .

Les rapporteurs expriment aussi leurs remerciements aux membres du conseil scientifique de l'OPECST qui ont bien voulu les conseiller, en particulier :

- M. Michel Cosnard , président de l'Institut national de recherche en informatique et en automatique (INRIA) ;

- M. Daniel Kofman , professeur à Telecom ParisTech, directeur du LINCS, qui a animé l'audition ouverte à la presse sur « L'éducation au numérique » du 16 avril 2014 ;

- M. Gérard Roucairol , président de l'Académie des technologies, membre du conseil scientifique de l'OPECST, qui a été entendu et a participé à l'audition ouverte à la presse sur « L'éducation au numérique » du 16 avril 2014 ;

et à :

- M. Pierre Lasbordes , ancien député, ancien membre de l'OPECST, pour son animation de l'audition publique ouverte à la presse sur la « Sécurité des réseaux numériques : cadre juridique, risques, aspects sociétaux » du 19 juin 2014.

Les rapporteurs tiennent à remercier particulièrement les représentants de la Direction de la protection et de la sécurité de la Défense (DPSD) , ainsi que les responsables de la société Intrinsec qui ont organisé pour les membres de l'Office des séances de démonstration de prises de contrôle, rapides et indétectables, d'appareils numériques à distance.

Les rapporteurs adressent également leurs remerciements aux personnes qui les ont conseillés dans le choix d'un expert en sécurité informatique issu de l'INSA.

COMMISSION DES AFFAIRES ÉTRANGÈRES, DE LA DÉFENSE ET DES FORCES ARMÉEES DU SÉNAT

M. Jean-Marie Bockel, sénateur, Rapport d'information n° 681 (2011-2012), fait au nom de la commission des affaires étrangères, de la défense et des forces armées du Sénat,
« La cyberdéfense : un enjeu mondial, une priorité nationale »

5 février 2014

Sans être un spécialiste du numérique, j'ai découvert le sujet au fur et à mesure des auditions menées pour l'élaboration du rapport sur la cybersécurité , notamment celles avec l'ANSSI, l'état-major, etc., et ai effectué un travail de néophyte destiné à nourrir le Livre blanc sur la défense qui était en cours de rédaction pour aboutir aux conclusions de ce rapport.

Ce rapport n'a pas porté seulement sur la dimension militaire mais sur des aspects divers qui relèvent de la souveraineté de l'État.

Les enjeux de cyberdéfense, de souveraineté nationale et le monde de l'entreprise sont arrivés à un tel degré d'espionnage, de cyberespionnage, et de cybermenaces potentielles en termes de saturation, de délits, de casse informatique, que la sécurité économique est devenue un sujet politique et un enjeu national . À partir du moment où le phénomène de cyberespionnage prend une telle ampleur, il devient un problème d'abord pour les entreprises concernées qui se font siphonner leur savoir, leur connaissance mais cela devient aussi un problème pour des filières économiques tout entières et pour le pays lui-même.

D'emblée, j'ai voulu inclure la dimension économique dans le rapport sur la cyberdéfense , sous deux angles : tout d'abord, la limitation des effets du cyberespionnage en termes de perte de richesse ; ensuite, l'élaboration de propositions sur le monde économique lorsqu'il est opérateur d'importance vitale. La notion d'opérateur d'importance vitale est limitée à quelques dizaines d'entreprises, mais demain, avec tous les réseaux d'entreprises existant autour de chaque opérateur d'importance vitale, ce chiffre sera largement dépassé. En effet, ce sont des mesures particulières qu'il convient de prendre qui vont au-delà de l'espionnage qui peuvent aussi concerner le service public comme le secteur privé, l'un comme l'autre pouvant être paralysé par des cyberattaques .

Ce n'est pas forcément une attaque étatique qu'il faut craindre, mais plutôt celles de criminels voire, dans certains cas, de concurrents potentiels ou encore dans le cadre de conflits non explicites ou larvés. Par exemple, des puissances comme la Chine, qui pratique systématiquement l'espionnage industriel, pourraient, face à telle ou telle politique européenne occidentale se sentir agressées dans leurs intérêts et pourraient, en réponse, sans aller jusqu'au conflit, s'attaquer à un pan de souveraineté d'un pays, y compris à son économie ou à ses entreprises.

Dans le rapport sur la cybersécurité, sont cités les exemples de l'Iran et de l'Arabie Saoudite. L'attaque par le virus Stuxnext contre les centrifugeuses du complexe militaro-industriel iranien a cassé la constitution d'une force nucléaire ; de même, Saudi Aramco a eu 30 000 ordinateurs détruits.

L'enjeu stratégique et militaire s'entremêle avec l'enjeu économique, en l'occurrence l'exploitation du pétrole. Il peut y avoir de l'espionnage tout comme une situation conflictuelle. Mais même en l'absence de guerre, une série de risques intermédiaires existe qui peut, à travers l'économie au sens large, perturber gravement la souveraineté d'un pays. Par rapport à cette réalité, il doit exister une gradation dans la réponse.

Première réponse possible : ce qui est vrai pour le citoyen de base, à travers la perte de ses coordonnées bancaires ou autre, vaut pour l'entreprise, y compris pour la PME ; il faut désormais connaître ce que le directeur général de l'ANSSI appelle l'hygiène de base numérique . Ce que tout un chacun peut apprendre (codes, processus de sécurité en fonction de l'enjeu de sécurité...). En suivant ces règles, les entreprises peuvent éviter 90 % des risques. À l'inverse, aujourd'hui, comme cette démarche n'est pas suivie, tout peut arriver.

Deuxième réponse possible : l'obligation de déclaration de tout incident.

Dans le monde actuel, être attaqué est perçu comme un aveu de faiblesse ; surtout quand on travaille pour la défense et qu'on ne souhaite pas perdre de marchés. Dans l'exemple des attaques analysées dans le rapport sur la cyberdéfense, comme celle contre Areva ou contre le ministère de l'économie et des finances, il n'y a pas eu de casse ni d'atteinte à la sécurité nucléaire. Cependant, toute société complètement informatisée offre de nombreuses prises à la pénétration informatique, ce qui rend ses entreprises vulnérables. Même si Areva , comme toute grande entreprise internationale, n'a pas de systèmes ouverts, elle aurait cependant été espionnée de manière massive et systématique, ce qui l'a rendue vulnérable et beaucoup d'informations, de savoirs, de systèmes lui ont été subtilisés. Les conséquences exactes de l'attaque subie par Areva demeurent inconnues.

Quand la victime d'une attaque informatique la déclare à l'ANSSI, celle-ci s'adresse à son tour à des entreprises de type Thales ou autres pour venir au secours de l'entité attaquée. En effet, malgré leur poids et leur intelligence, les grandes entreprises ne sont pas forcément capables de faire face à une attaque.

En cette matière, les États-Unis d'Amérique possèdent quelques années d'avance sur la France en raison de l'existence de dispositifs publics à la disposition des autorités politiques, militaires ou économiques.

Quant aux Allemands, ils ont mis en place des dispositifs assez pointus incluant une capacité liée à des moyens publics.

Le Livre blanc sur la défense et la sécurité civile porte également sur des sujets civils ; à cet égard, ce que fait la DGA, à Bruz, en matière de recherche et de développement est à la pointe de la technologie.

Des ingénieurs spécialisés de l'ANSSI sont également à la disposition du monde économique, des militaires, auprès de l'État-major.

Dans les trois années à venir, le suivi des engagements pris dans le Livre blanc et la loi de programmation militaire permettront probablement à la France d'atteindre le même niveau que les Britanniques ou les Allemands. Sur certains points, les Français sont même déjà meilleurs qu'eux, notamment pour aider les entreprises.

L'obligation de déclaration constitue une bonne manière de parvenir à changer les mentalités. Comme tout le monde est attaqué tout le temps, et prioritairement ceux qui ont de la valeur, donc être attaqué prouve sa valeur et dire que l'on a été attaqué témoigne de la confiance en sa force même s'il ne s'agit pas de le clamer sur la place publique.

Enfin, il est nécessaire de mettre en place un dispositif de résilience , c'est-à-dire d'une capacité à répondre à une attaque de façon plus appropriée. Néanmoins, une protection absolue ne peut exister.

Le scandale Snowden a montré l'énormité des moyens américains, ce qui n'empêche pas la France de pouvoir protéger son économie au moins aussi bien que les États-Unis d'Amérique. Il ne s'agit que de quelques centaines de millions d'euros à y consacrer, pas de milliards. Cet effort mérite d'être accompli.

Demain, il faudra construire l'Europe de la cybersécurité . Ce qui sera complexe car tout dispositif de protection dépend de la solidité de son maillon faible ; il en va de même pour les dispositifs de cyberdéfense de l'OTAN. En matière de cybersécurité, on aime fonctionner en bilatéral parce qu'on sait avec qui on échange, ce qu'on échange et à quel prix.

La norme et la politique industrielle viendront de l'Union européenne.

L'Estonie est passée du jour au lendemain de la paperasserie à la dématérialisation ; les Néerlandais se réveillent, les Suisses commencent à réfléchir. Beaucoup de pays ne sont pas au niveau. Au Sénat, un projet de résolution européenne a été élaboré sur cette question.

Enfin, troisième point, au niveau mondial d'énormes efforts sont nécessaires pour l'établissement de règles dans le domaine économique, ce qu'illustre bien l'affaire Snowden. S'il y a une règle du jeu, à travers, par exemple, une convention onusienne , cela peut intéresser même les Chinois. Ceux qui ne respecteront pas cette norme seront connus de tous. Ainsi, seul un intérêt supérieur pourrait conduire certains à transgresser la règle.

Au niveau européen, il est nécessaire de travailler ensemble à un certain nombre de normes et également de développer une dimension industrielle .

La cybersécurité recèle un potentiel de développement économique considérable, que ce soit au niveau des équipements, des systèmes, etc., avec Bull qui exporte des systèmes complets de sécurité, Thales, Cassidian, Sogeti, ou Alcatel et tout un réseau de PME en France et dans l'ensemble de l'Union européenne. Ce potentiel est à développer en souveraineté nationale ou au niveau mondial.

Le Gouvernement vient de mettre en place trente-quatre filières industrielles et une des mesures envisagées a pour référent M. Patrick Pailloux, directeur général de l'ANSSI, et porte sur le développement des industries de la cybersécurité - ce qui était une des propositions de mon rapport.

Les industriels se sont regroupés autour de M. Hervé Guillou, président du Conseil des industries de confiance et de sécurité (CICS), pour créer un groupe de pression afin de suivre ce plan. Un groupe informel de parlementaires s'est d'ailleurs également constitué, auquel j'appartiens, pour voir comment accompagner les industriels dans leur démarche porteuse de force en matière de sécurité et également riche d'autres potentiels.

Derrière cela se dessinent aussi les emplois de demain . Pendant deux ans, cela va être la guerre pour débaucher les meilleurs spécialistes de la sécurité informatique. Des départements dans les écoles d'ingénieurs , les universités , pourront se tourner vers ces formations indispensables.

Parmi ces spécialistes, il existe des hackers patriotes à la française qui sont passés par certains moules notamment en matière de comportement mais ce type de profil reste marginal.

La loi de programmation militaire précise que les opérateurs d'importance vitale, au nombre de 200-250, des administrations, des entreprises, seront tenus de déclarer leurs incidents ; de même, des investigations pourront être menées au niveau de l'ANSSI.

Les conséquences les plus graves des attaques contre les opérateurs d'importance vitale résultent de l'espionnage. Lorsque le ministère de l'économie des finances a été attaqué à la veille d'un sommet entre chefs d'État, il avait été jugé que cela n'était pas un sujet marginal même si aucun chiffrage n'avait pu être donné en termes d'impact.

Les Chinois ont des bataillons entiers de hackers qui sont des militaires. Quand on voit comment les Chinois avancent à pas de géant dans le domaine aéronautique ou spatial, cela permet de déduire qu'ils ont forcément pris des éléments ailleurs.

J'ai relevé, lors d'un dialogue avec notamment la société Huawei , que les routeurs au coeur des réseaux par lequel passent toutes les communications sont des chevaux de Troie idéaux . Jusqu'à présent l'ANSSI n'a pas référencé les routeurs de coeur de réseau de la société Huawei .

La prudence s'impose donc à tous les niveaux, notamment à ceux des équipements sensibles. En matière de cryptologie, la France est à la pointe.