EXAMEN EN DÉLÉGATION
La Délégation aux entreprises s'est réunie le jeudi 10 juin 2021 pour l'examen du présent rapport. À l'issue de la présentation, le débat suivant s'est engagé :
« M. Serge Babary , président . - Je remercie les rapporteurs pour ce remarquable travail, très dense et précis. Je signale la présence, dans les départements, de cybergendarmes qui seront des référents numériques dans les gendarmeries. J'ouvre le débat sur vos conclusions.
M. Christian Klinger . - La cybercriminalité est un phénomène nouveau et récent, notamment le rançonnage, et les forces de police et de justice manquent de moyens adéquats pour l'affronter. Il faut en priorité y affecter des ressources humaines. La coopération européenne ne doit-elle pas s'élargir à international ? Nous sommes en effet confrontés à une cybercriminalité sinon d'État du moins encouragée par certains d'entre eux, qui favorisent avec bienveillance un cyberespionnage à des fins industrielles et commerciales ? Autre question, la technologie de l'ordinateur quantique sera-t-elle plus protectrice ?
M. Sébastien Meurant . - Le phénomène est récent mais s'accélère. Il faut en effet renforcer le pôle cyber du Parquet de Paris, qui a une compétence nationale mais comprend seulement trois magistrats. La prise de conscience de la dimension et de la spécificité de la cybercriminalité existe au niveau national des forces de sécurité, que ce soit la police ou la gendarmerie. Sur le terrain, dans nos territoires, la situation est plus contrastée. Les dispositifs de cyberprotection des entreprises ne sont pas suffisamment connus. Il existe des formations des forces de sécurité mais pas de « ruissellement » pour apporter des réponses adéquates. Nous avons pu visiter le C3N, centre de lutte contre les criminalités numériques, service à compétence judiciaire nationale, qui regroupe l'ensemble des unités du pôle judiciaire de la Gendarmerie nationale traitant directement de questions en rapport avec la criminalité et les analyses numériques. Il jouit du savoir-faire militaire de la gendarmerie et s'occupe de la sécurité nationale. La coopération internationale, européenne et américaine, est en effet nécessaire car le cybercrime n'a pas de frontière. Il est particulièrement difficile d'apporter la preuve numérique et d'agir sur des ordinateurs infectés par des réseaux criminels situés à l'étranger, sans l'accord de l'entreprise concernée ou la coopération de l'État dans lequel ils se situent. Nous ne sommes pas naïfs et savons que certains de ces réseaux sont soutenus par certains États malveillants, pour des motifs géopolitiques.
Quant à l'ordinateur quantique, c'est une version moderne de la course entre le bouclier et l'épée. Il devrait permettre une meilleure cyberprotection, mais cette technologie peut aussi être utilisée par les cybercriminels pour démultiplier leurs forfaits. C'est une course et la protection doit être en avance.
M. Rémi Cardon . - Le déploiement dans les régions d'équipes de réponse aux incidents informatiques, après l'inauguration du Cybercampus, doit faciliter l'accès des PME à la cyberprotection tout en sensibilisant les collectivités locales. On a constaté une forte augmentation de la fréquentation du site cybermalveillance.gouv.fr, mais sans une croissance corrélative des dépôts de plaintes car les acteurs de la cybersécurité publique ne sont pas suffisamment connus. Il faut une montée en compétence des forces de cybersécurité afin de recevoir, orienter et traiter correctement les plaintes selon les catégories de logiciels à l'origine de la cyberattaque. Le temps de l'appropriation de cette compétence est cependant long.
Mme Annick Billon . - Tous les territoires sont concernés par la cybercriminalité. En Vendée, l'entreprise PRB, de production de revêtements de façade pour le bâtiment, a été victime d'un rançongiciel la semaine dernière. Cette entreprise, connue pour être un des sponsors de bateaux du Vendée Globe, a renvoyé ses 650 salariés chez eux le temps des réparations informatiques. Je suis donc persuadée que les propositions de la Délégation aux entreprises vont rencontrer un grand écho partout en France métropolitaine et en outre-mer ! Un parquet national spécialisé a été créé : la cybercriminalité pourrait-elle être également traitée par un parquet européen ? Quelle est la position des assurances sur le risque de 700 milliards d'euros ? Le Cybercampus de la Défense est-il suffisant compte-tenu du fait que 43 % des PME ont été victimes. Une déclinaison territoriale n'est-elle pas nécessaire ?
M. Rémi Cardon . - Un parquet européen serait à la fois pertinent et complexe à mettre en place tant les stratégies des États sont différentes. Il permettrait cependant de mettre de la cohérence et de la performance dans la réponse pénale à la cybercriminalité, comme l'a indiqué le directeur de l'Agence nationale de la sécurité des systèmes d'information (ANSSI).
Pour les assureurs, le risque cyber est un nouveau marché prometteur compte-tenu de la saturation des autres risques. Nous présentons une proposition forte, interdire le caractère assurable des cyberrançons, sans interdire toutefois leur paiement lorsque des emplois et des vies humaines sont menacées, notamment dans le domaine de la santé et des cliniques privées. Il faut un message fort et politique. Les cybercriminels procèdent à des études de marché de leurs victimes et dressent des bilans financiers.
L'ouverture du Cybercampus permettra de fédérer les forces publiques et privées de lutte contre la cybercriminalité mais le déploiement régional des équipes de réponse permet d'apporter une réponse de proximité aux entreprises. L'articulation entre ces deux niveaux est encore floue et la coordination devra se préciser. Nous devrons faire le point à l'automne lorsque le Cybercampus sera opérationnel. Les sénateurs ont une responsabilité pour sensibiliser les territoires sur ce sujet.
M. Sébastien Meurant . - Il existe une très bonne coopération internationale, y compris avec l'Afrique. Les institutions judiciaires proposent des solutions rapides et nationales car il faut apporter une réponse efficace. Localement, il faut une maturité qui n'est pas encore présente.
Le modèle du cybercampus est Israël et, dans une moindre mesure, les États-Unis. Il associe grandes entreprises et start-up, avec un ticket d'entrée de l'ordre de 10 000 euros. Il créé une émulation vertueuse, pour faire grandir les start-up en licornes. Une déclinaison territoriale régionale est nécessaire, de même qu'une formation minimale de toutes les forces de sécurité qui doivent être déployés dans les territoires.
S'agissant des assureurs, ils sont divisés. C'est un nouveau marché aux États-Unis. Pour certains, le cyberrisque est un nouveau marché, mais le risque reste mal connu des actuaires. Sur le caractère assurable des rançongiciels, nous avons auditionné le Haut comité juridique de la place financière de Paris qui a été missionné en début d'année par la direction générale du Trésor pour apporter des recommandations à ce sujet. Il devrait rendre ses conclusions le 29 septembre 2021. Il a été très prudent. Par ailleurs, si des cyberattaques se déploient pendant un conflit, si un État est le cyberattaquant, l'État sera-t-il assureur en dernier recours ? Il existe encore beaucoup d'interrogations, car le sujet reste encore nouveau.
Enfin, la coopération internationale se fonde sur la convention de Budapest sur la lutte contre la cybercriminalité, à laquelle les États-Unis sont partie. Elle date de 2001, alors que le premier virus informatique est apparu en 1989. S'agissant du parquet européen, il ne fonctionne que depuis début novembre 2020. Il doit donc monter en puissance avant que ses compétences ne soient étendues à d'autres sujets que les infractions pénales portant atteinte aux intérêts financiers de l'Union européenne.
M. Martin Lévrier . - Comme pour la pandémie que nous venons de traverser, le meilleur des remèdes à la cybercriminalité est la prévention et donc l'hygiène numérique. Ne faudrait-il pas une incitation fiscale à la formation à la cybersécurité des entreprises ?
M. Rémi Cardon . - Cette prévention doit commencer dès le plus jeune âge et l'Éducation nationale doit mobiliser ses ressources humaines pour former au numérique et à la dimension de la cybersécurité, car il faut apprendre à vivre avec internet. Or, les entreprises manquent de compétences. La filière doit se développer aussi dans l'enseignement supérieur.
La prise de conscience des entreprises est parfois tardive. Elles ont également besoin d'auditer leurs outils informatiques afin de repérer les failles. Nous proposons un crédit d'impôt afin de prendre ceci en charge.
Les centres régionaux de réponse informatique conduiront sans doute les régions à s'impliquer davantage dans ce domaine, qui aurait pu être un enjeu des élections régionales !
M. Sébastien Meurant . - La question n'est pas de savoir si une entreprise va être cyberattaquée mais quand. L'hygiène numérique est davantage une question comportementale qu'un sujet financier, et la cybersécurité est à la fois collective et individuelle. Nous proposons cependant, et à nouveau, un crédit d'impôt pour inciter les entreprises à renforcer leurs outils de cybersécurité ainsi qu'un cyberscore des plateformes numériques destinées au grand public, comme le Sénat l'a voté en octobre 2020, pour sensibiliser tous les citoyens qui doivent l'être, dès l'école, notamment avec le cyberharcèlement. La cybersécurité nous concerne tous, les sénateurs y compris : regardons comment nous gérons nos mots de passe !
Martine Berthet . - Plusieurs questions déjà posées ont évoqué les sujets que je voulais aborder. La cybersécurité peut menacer des vies lorsqu'elle s'attaque aux hôpitaux comme, récemment, celui d'Albertville, voire perturber les systèmes de déclenchement des avalanches. Ce sujet est d'une grande ampleur, et le chiffre que vous avez cité, la cybercriminalité étant au niveau de la troisième économie mondiale après les États-Unis et la Chine, impressionne.
Vous avez évoqué les métiers de la cybersécurité. Sont-ils réservés à des formations de niveau bac +2, rapides à obtenir ? Comment intéresser les jeunes et quelles sont les filières ?
M. Rémi Cardon . - Il existe en effet une pénurie d'ingénieurs, citée à chaque audition. L'enseignement supérieur doit se mobiliser pour accroître l'offre de formation pour cette filière essentielle. Mais la culture de cybersécurité des étudiants des grandes écoles, en dehors des filières informatiques, doit également se renforcer. Les métiers de la cybersécurité recrutent des profils très divers, très loin du stéréotype du jeune « geek » à capuche ! Ces derniers peuvent d'ailleurs trouver un débouché professionnel à leur passion.
M. Sébastien Meurant . - Cette pénurie est mondiale, ce qui explique les difficultés de recrutement, d'autant que les salaires sont plus attractifs aux États-Unis. Ceci pose la question de la rémunération des experts contractuels des forces de cybersécurité, qui demeurent dans nos forces de police car ils n'ont pas que des motivations financières. Les formations en bac +2 offrent des débouchés mais manquent de demandes. Il s'agit de métiers d'avenir, bien rémunérés, qui ont du sens, sont accessibles dès le niveau bac et pas seulement à une élite mathématique, et qui doivent être davantage féminisés. Il faut décentraliser la cybersécurité dans les territoires pour renforcer l'attraction de ces métiers.
M. Daniel Salmon . - La question de la cybersécurité des hôpitaux publics pose la question de la vulnérabilité de notre société comme de l'insuffisance des moyens de l'hôpital. Elle souligne la nécessité de la sauvegarde manuelle et, plus généralement, de la capacité humaine à gérer ces cyberattaques pour garantir la résilience de ces entités.
M. Sébastien Meurant . - La liste des hôpitaux cyberattaqués est impressionnante. La réaction de l'AP-HP a été rapide, grâce à la capacité de garder, dans la mémoire humaine des médecins, les patients soignés pour des infections de longue durée.
Mais ces attaques soulignent la nécessité de renforcer la sécurité du cloud car on ne peut pas aller en arrière. La numérisation de la santé est un processus irréversible et présente des avantages. On opère avec des robots, on effectue des imageries par résonance magnétique (IRM) qui sont des process numérisés et dématérialisés. Il faut des procédures de sauvegarde solides car les cyberattaques posent des questions de vie ou de mort comme on l'a vu avec la panne d'Orange, qui a affecté les numéros téléphoniques d'urgence.
Comme vient de le souligner M. Guillaume Poupard, directeur de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), qui publie ce matin son rapport annuel, les cybercriminels ont compris que les attaques contre des hôpitaux publics étaient vaines car ils ne peuvent pas payer de rançons et l'ANSSI s'attend à voir le nombre de cyberattaques diminuer.
M. Rémi Cardon . - Les cliniques privées sont dans une situation différente. Elles sont des cibles de choix, les cybercriminels calculant leurs demandes de rançons en fonction de leur bilan financier. Lorsqu'elles sont cyberattaquées, leur résilience dépend de leur rapidité de réaction et de sauvegarde et récupération des données. À cet égard, il faudra s'interroger à l'avenir sur le niveau de protection de Health Data Hub, hébergé chez Microsoft.
M. Serge Babary , président . - Je vous remercie pour ces précisions et soumets les conclusions du rapport à votre approbation. Ne relevant aucune opposition, je constate que le rapport est approuvé à l'unanimité par la Délégation aux entreprises. »