EXAMEN EN COMMISSION
Réunie le mercredi 10 juin 2020, la commission des affaires étrangères, de la défense et des forces armées, présidée par M. Christian Cambon, président, a procédé à l'examen du rapport d'information de MM. Olivier Cadic et Rachel Mazuir.
M. Olivier Cadic. - La commission nous a demandé de suivre l'évolution des cybermenaces dans le contexte de la crise sanitaire et des mesures de confinement qui en ont été les conséquences. Nous vous avons transmis le document intitulé « Désinformation, cyberattaques et cybermalveillance : l'autre guerre du covid-19 ». Rachel Mazuir interviendra sur les deux premiers aspects. Je vais, pour ma part, traiter la désinformation qui nous a conduit à recommander de mettre en place une force de réaction cyber afin de lutter contre les campagnes de désinformation ou d'influence de certains acteurs étrangers.
La crise sanitaire a vu se multiplier la diffusion des fausses informations, dans le climat propice d'isolement et de grande anxiété. Celles-ci relèvent majoritairement de la bêtise ordinaire, mais peuvent avoir des conséquences graves, lorsqu'elles touchent à la santé publique, au complotisme, voire à la fraude. D'autres procèdent d'intentions malveillantes visant à déstabiliser l'action publique ou à développer des stratégies d'influence.
La situation est suivie au niveau interministériel. Les autorités publiques ont mis en place une stratégie de réponse et d'entrave.
Dans un système démocratique libéral, la stratégie distingue ce qui relève de la liberté d'opinion des fausses informations diffusées plus ou moins intentionnellement et vise à responsabiliser des diffuseurs, voire à mettre en place un encadrement juridique.
Pour le traitement des infox concernant la santé publique, le dialogue avec les principales plateformes, a permis de retirer les fausses nouvelles ou de promouvoir l'information crédible. Nos autorités ont soutenu aussi les initiatives prises par certains médias et ONG pour identifier et dénoncer les fausses informations en mettant des outils à la disposition des chercheurs et des journalistes.
Plus inquiétant, nous avons assisté au développement d'une stratégie d'influence particulièrement active de la Chine, sur internet et les réseaux sociaux. Le gouvernement chinois a cherché à occulter ses erreurs dans la gestion initiale de l'épidémie, sous un « narratif » vantant l'efficacité du modèle chinois et sa générosité au service des autres États pour surmonter la crise. Les autorités chinoises sont allées jusqu'à la diffusion fréquente de fausses informations, tronquées ou manipulées. Cela a conduit le Ministre de l'Europe et des affaires étrangères à convoquer l'ambassadeur de Chine pour lui signifier sa désapprobation. Nous constatons que l'ambassade de Chine n'a pas retiré ces informations de son site dont certaines constituent des attaques directes envers des collègues parlementaires.
Suite à la communication de notre rapport, des représentants religieux nous ont également alertés sur les désinformations qui les ont atteints. Pour information le régime communiste chinois ne s'en prend pas qu'aux Ouïghours musulmans, il a fermé l'année dernière plus de 5 500 églises et institutions religieuses chrétiennes.
Il est clair qu'une guerre de la communication a été enclenchée, destinée à réécrire l'histoire et à dénigrer les démocraties. Une reconfiguration du paysage géopolitique de l'après-crise se prépare. Dans cette bataille des opinions, les démocraties européennes ne doivent pas se montrer naïves. Elles doivent au contraire accroître la défense et la promotion de leurs valeurs en renforçant leur vigilance et en se dotant d'instruments efficaces.
Voilà pourquoi nous avons recommandé la mise en place une force de réaction cyber afin lutter contre les campagnes de désinformation ou d'influence d'états totalitaires ou autoritaires qui s'en prennent aux démocraties et relativisent l'intérêt du respect des droits de l'Homme. Cela nous a valu un fort intérêt, manifesté par les médias mais aussi par les experts. Nous souhaiterions pouvoir poursuivre nos travaux sur cette question afin de préciser les contours de cette force, qui de notre point de vue, doit aller au-delà des réponses étatiques conventionnelles pour être efficace.
M. Rachel Mazuir. - Dans notre dernier rapport nous avions noté la fragilité de la sécurité des systèmes d'information du ministère de la santé et de ses opérateurs qui ont subi 18 attaques en 2019. On se souvient de celle visant le CHU de Rouen en novembre. Sous contrainte budgétaire, le développement des applications a été privilégié à la sécurité laissant les établissements à la merci d'attaquants pour lesquelles les entités, dont la rupture d'activité aurait un impact social important, sont des cibles intéressantes et faciles.
Plusieurs groupes de hackers ont indiqué qu'ils suspendaient leurs attaques contre les établissements de santé pendant la crise. Pour autant, l'ANSSI a relevé des attaques contre l'AP-HP (Paris) et contre l'AP-HM (Marseille) sans grands dommages, il faut le reconnaître, et une attaque par rançongiciel contre l'établissement public de santé de Lomagne (Gers) cher à notre collègue Raymond Vall. Enfin des attaques, ont perturbé certains services publics locaux (région de Marseille, communes du Morbihan).
Depuis l'automne dernier, l'ANSSI a développé une procédure d'intervention d'urgence dans les CHU mais elle a dû la suspendre car les DSI étaient totalement mobilisées pour assurer le fonctionnement des installations nécessaires à la lutte contre le Covid 19.
Pendant la crise, l'ANSSI a aussi renforcé sa vigilance sur les secteurs périphériques impliqués dans la fabrication de produits (masques....) ou la recherche (tests, vaccins, médicaments).
Parallèlement, l'entrée massive et rapide dans le « tout digital » a accru l'exposition aux attaques. En quelques jours, 8 millions de Français ont basculé la totalité de leur activité en télétravail, contre 5,2 millions qui y avaient recours plus ou moins partiellement. Rares sont les organisations qui avaient pu anticiper un basculement de cette ampleur qui a souvent été effectué avec les moyens du bord. La sécurité informatique a été sacrifiée à l'efficacité immédiate. De la même façon, les mesures de confinement ont conduit à un développement important de l'usage de l'internet et des réseaux sociaux pour toutes sortes d'activités (enseignement à distance, usages culturels, relations personnelles). Selon le PDG d'Orange, rien qu'en France, le télétravail a été multiplié par 7, les visioconférences par 2, et le trafic WhatsApp par 5.
De façon générale, les cyberattaquants exploitent l'inquiétude. Très vite, une explosion de la petite criminalité - les grandes entreprises elles étaient déjà protégées, et des opérations d'hameçonnage a été observée. Des sites de vente en ligne, plus ou moins fictifs, proposant médicaments, masques, et autres produits de santé se sont multiplié ; certains ayant pour objectif, de récupérer des numéros de cartes bancaires. Des alertes identiques ont été lancées par les agences américaine et britannique de cybersécurité.
Puis, avec un léger décalage, le GIP ACYMA a assisté à une croissance d'attaques effectives, notamment par « rançongiciels ». Il s'attend à une vague plus importante avec des risques de paralysie des systèmes informatiques de PME, qui souvent sont peu protégées et ont déjà été éprouvées par la crise.
L'ANSSI analyse, sur la base de signaux faibles, que les actions d'espionnage progressent. Les effets n'en seront perçus que dans plusieurs mois. Cette hypothèse est confirmée par une étude du groupe Thalès sur la situation en Asie.
Nous avons pu constater lors de nos auditions que les acteurs publics concernés étaient pleinement mobilisés.
Toutefois, nous pensons qu'il faut amplifier l'effort de communication pour diffuser les « gestes barrière numériques » et, pour ce faire, renforcer des moyens du GIP ACYMA. Le directeur général de la plateforme, qui a relayé largement notre rapport, nous a indiqué avoir pu, grâce à cette recommandation, obtenir de France Télévisions des espaces publicitaires gratuits pour diffuser ses messages de vigilance.
A plus long terme, il faut s'engager vers le renforcement par chaque entreprise des budgets réservés à la sécurité informatique.
Enfin, les outils d'entrave et de répression de la cybercriminalité doivent être simplifiés ; l'unification de la chaîne de recueil et de traitement des plaintes en ligne est nécessaire. Je ferai un commentaire personnel : depuis le temps que nous écrivons des rapports, vous devez avoir l'impression que nous faisons beaucoup de constats. Nous faisons le constat que l'ANSSI est un excellent gendarme mais ce n'est, à mon avis, pas suffisant. Il va falloir développer une autre façon de faire avec des propositions plus offensives. On ne peut pas continuer à jouer aux gendarmes, j'ai le sentiment qu'il faudrait aller au-delà.
M. Christian Cambon, président. - Notre collègue Michel Boutant fait également un travail important sur ce sujet. Je pense qu'aucune institution n'était prête à faire face à la crise covid-19, qui était certes inattendue mais qui aurait pu être précédée ou suivie d'une autre crise - je pense à un incident nucléaire majeur en région parisienne, par exemple, empêchant les pouvoirs publics parisiens de travailler. Nous avons dû inventer un nouveau système de télétravail, avec des difficultés, sur la qualité des transmissions par exemple. Il est nécessaire que l'on s'attache à cette question et que l'on protège notamment les parlementaires et les informations qu'ils manient. La dématérialisation systématique comporte des dangers pour les entreprises également. On peut penser aux sous-traitants auprès de nos grands groupes d'industrie de défense avec qui les échanges d'informations vont s'intensifier du fait des nouvelles règles de téléconférence. Il y a donc une sensibilité sur les secrets industriels, les savoir-faire et les bonnes pratiques.
Je rappelle la décision du Bureau de la commission d'inclure, pour l'ensemble des différents programmes budgétaires que suit la commission, une vigilance particulière sur les conséquences à tirer de la crise du Covid-19. Cette crise va changer très profondément nos manières de penser et nos manières de travailler.
Mme Hélène Conway-Mouret. - Pensez-vous qu'il y ait une prise de conscience collective sur la situation que vous avez décrite, qui est inquiétante à tous les niveaux ? Cette menace cyber est existentielle pour notre démocratie puisqu'elle peut aller - et nous en savons quelque chose avec l'utilisation du vote électronique pour les français de l'étranger-, jusqu'à la remise en cause de la sincérité d'un scrutin qui peut être altéré si un système est hacké. Deuxième question, nous avons tous déploré ne pas avoir accès à un système européen et encore moins français avec la possibilité de partages de données protégées des puissances étrangères. Avez-vous le sentiment qu'il y ait une volonté d'aider au développement de tels outils en France ou au niveau européen ? Jusqu'à présent nous avons davantage été dans la réaction que dans la prévention, nous laissant un temps de retard qui nous expose.
M. Olivier Cadic. - Oui, la prise de conscience de la menace est de plus en plus forte. La plateforme cybermalveillance.gouv.com est un outil important. Des personnes qui ne sont pas conscientes au départ de la menace, peuvent être dévalisées sans sortir de chez elles et ne pas savoir vers quelle institution se tourner. De nouveaux réflexes se mettent en place. Le site cybermalveillance.gouv.com délivre l'information pour chacun puisse savoir comment réagir, notamment comment déposer sa plainte. Nous avons été heureux qu'à la suite de ce rapport, le site cybermalveillance ait pu avoir des espaces publicitaires gratuits sur France Télévision.
Le besoin d'un outil souverain est fort. Dès que nous avons publié notre rapport, des experts nous ont contactés pour nous signifier leur plein accord avec cette analyse. La difficulté tient à sa mise en oeuvre car la force de réaction cyber existe dans le domaine militaire mais nous ne sommes pas armés dans le domaine civil. C'est la démocratie au sens large qui est attaquée et nous ne pouvons donc faire un outil uniquement gouvernemental. Le gouvernement tout seul ne peut pas répondre à tout. Le Parlement peut se saisir de ce dossier et réfléchir aux contours de cette force afin de formuler des propositions.
M. Rachel Mazuir. - Il y a des progrès autour d'un coeur de gens qui s'intéressent au sujet mais cela n'est pas encore tout à fait passé dans le grand public. Le site cybermalveillance a néanmoins vu sa fréquentation exploser, ce qui nous satisfait.
M. Christian Cambon, président. - Soyons aussi attentifs à nos propres comportements.
M. Robert del Picchia. - L'introduction de la 5G va avoir des conséquences en matière de cybersécurité et pourrait potentiellement introduire de nouvelles vulnérabilités. Monaco a déjà accepté la 5G et d'autres pays pourraient franchir le pas. L'Etat va en débattre et nous devrions en débattre aussi.
M. Pascal Allizard. - J'adhère complètement aux propos de Robert del Picchia. Je voudrais simplement rappeler qu'il était convenu dans le texte 5G que nous avons voté ici, il y a un an, au mois de juin, une clause de revoyure. L'objectif était de maîtriser le déploiement de la 5G. Les Européens doivent rattraper leur retard technologique. Nous avions décidé qu'il faudrait retravailler ce texte 18 à 24 mois après. Notre commission pourrait prendre l'initiative sur le sujet.
M. Christian Cambon, président. - Tout à fait !
M. Gilbert Roger. - Je voudrais rappeler à nos rapporteurs le peu d'enthousiasme de nos opérateurs à installer la fibre dans toutes les communes de France. Or nous avons vu notre dépendance à ces installations.
La commission autorise la publication du présent rapport d'information, adopté à l'unanimité.