COMPTES RENDUS DE LA CS CYBERSECURITE

- Présidence de M. Olivier Cadic, président -

La réunion est ouverte à 13 h 35.

Sensibilisation du grand public au risque cyber - Audition de M. Hugues Foulon, président-directeur général de Orange Cyberdéfense

M. Olivier Cadic, président. - Je suis heureux de vous avoir conviés, avec nos rapporteurs Michel Canévet, Patrick Chaize et Hugues Saury, à cette réunion de la commission spéciale sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. J'ai souhaité la consacrer à la sensibilisation du grand public au risque cyber, en invitant M. Hugues Foulon, président-directeur général de Orange Cyberdéfense à nous présenter l'action de son entreprise en matière de pédagogie et de prévention des cyberattaques, qui sont devenues un fléau global.

Notre commission spéciale s'est constituée le 12 novembre 2024 pour examiner ce projet de loi ; nous avons accompli notre travail, puisque le Sénat l'a adopté le 12 mars 2025, il y a plus d'un an. Il est désormais prévu que l'Assemblée nationale examine ce texte au mois de juillet prochain. Ces longs délais sont autant de retard pris par la France dans la transposition de trois directives : la directive REC, sur la résilience des entités critiques ; la directive NIS 2 (Network and Information Security 2), qui vise à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union ; enfin, la directive afférente au règlement Dora (Digital Operational Resilience Act), qui concerne la résilience opérationnelle numérique du secteur financier.

Les professionnels de la cybersécurité et tous les utilisateurs de systèmes d'information, c'est-à-dire tout le monde, sont de plus en plus exposés aux cyberattaques. Pas une semaine ne passe sans que de nouveaux systèmes soient paralysés ou que des données sensibles soient dérobées : le dernier exemple en est l'attaque ayant compromis le fichier de l'Agence nationale des titres sécurisés (ANTS). Toutes les attaques de ce type ayant visé nos administrations ont un point commun : aucun responsable n'a pu être désigné, ou trop peu.

Mon homologue de l'Assemblée nationale, Philippe Latombe, et moi-même avons alerté le gouvernement sur la nécessité de transposer au plus vite ces textes européens.

Le Panorama de la cybermenace 2025 que l'Agence nationale de la sécurité des systèmes d'information (Anssi) a publié le mois dernier rappelle que l'extorsion de fonds, avec le blocage et le chantage aux données par rançongiciel, vise en premier lieu les petites et moyennes entreprises (PME), les très petites entreprises (TPE) et les entreprises de taille intermédiaire (ETI), suivies par les collectivités territoriales et les établissements de santé.

Pour la plateforme Cybermalveillance, 420 000 demandes d'assistance ont été enregistrée en 2024. L'hameçonnage demeure la principale menace, avec 1,9 million de consultations d'articles et 64 000 demandes d'assistance, suivi du piratage de compte et du rançongiciel.

Aussi, lorsque j'ai appris que Orange Cyberdéfense avait co-produit un documentaire de sensibilisation au risque cyber à destination du grand public, dans un but pédagogique et non publicitaire, il m'a paru important de discuter avec M. Foulon de la vision qu'un acteur majeur français de la cybersécurité peut avoir sur la prévention au quotidien contre la cybercriminalité.

Compte tenu de l'objet de cette réunion, le Président du Sénat a bien voulu autoriser l'ouverture de la réunion à tous les sénateurs. Je l'en remercie, ainsi que les collègues présents.

Cette audition sera immédiatement suivie de la projection du documentaire en question, intitulé Don't go to the police, au coeur d'une enquête sur le cybercrime.

Monsieur Foulon, je vous invite à nous présenter brièvement Orange Cyberdéfense, ainsi que vos principaux constats sur l'évolution de la cybermenace et votre action de sensibilisation au risque cyber.

M. Hugues Foulon, président-directeur général de Orange Cyberdéfense. - Je suis très heureux d'être parmi vous aujourd'hui. En tant qu'acteur économique, filiale du groupe Orange, nous suivons de très près les travaux parlementaires, mais nous n'avons pas de réglementation ou de mesures législatives à proposer : nous nous efforçons plutôt de déterminer les meilleurs moyens de développer la compréhension des enjeux associés à la sécurité, en les rendant aussi concrets que possible, sans avoir recours au jargon si apprécié de ce milieu professionnel.

C'est pourquoi il nous a semblé pertinent, voici dix-huit mois - le pari était assez original - de produire un film, le documentaire que vous allez voir. Nous avons tenu à ce que ce ne soit pas un film publicitaire ; la marque Orange Cyberdéfense y est très peu visible. Ce que nous avons mis en lumière, c'est plutôt ce qui se passe quand une cyberattaque survient : le stress que l'on peut ressentir, les meilleures réactions à avoir, l'accompagnement que l'on peut recevoir.

En effet, on le sait depuis longtemps, la question n'est pas de savoir si l'on va se faire attaquer, mais quand et comment. Nous faisons face, manifestement, à un phénomène d'accélération technologique très rapide. Tout le monde parle du développement de l'intelligence artificielle (IA), mais d'autres disruptions technologiques viennent aussi renforcer ces attaques. Il y a donc un enjeu de vitesse, de vélocité.

Orange Cyberdéfense a pour vocation, au sein du groupe Orange, d'accompagner les organisations, qu'elles soient publiques ou privées, petites ou grandes, face à ces attaques. Nos clients peuvent être des collectivités locales, des hôpitaux, des écoles - certaines ont été victimes d'attaques en octobre dernier, dans les Hauts-de-France -, mais aussi de grands groupes, des entreprises de taille intermédiaire (ETI) et même des PME.

Pour faire aboutir ce projet de documentaire, il a fallu trouver une PME qui accepte de témoigner, ce qui n'est pas si fréquent, car quand on est victime d'une cyberattaque, la première réaction est trop souvent la honte : on se sent responsable, au moins en partie, de ce qui se passe. Il a donc fallu trouver quelqu'un qui ait la maturité nécessaire pour raconter ce qui s'est passé et comment il a réagi, pour se faire le porte-parole des victimes de ce phénomène, afin que tout le monde puisse se préparer et s'équiper. C'est crucial, car ces attaques peuvent mettre une organisation à terre en quelques minutes : c'est vrai pour une école, pour une petite entreprise, mais aussi pour le groupe Orange, qui en a été victime lui-même.

C'est pourquoi, plutôt que d'avoir honte, il importe de témoigner pour tirer les bons enseignements de cette expérience. Rappelons que, derrière toutes les solutions technologiques, dont la plupart sont assez compliquées, la faille vient dans la grande majorité des cas du facteur humain. Trop souvent, c'est la personne derrière son écran de téléphone ou d'ordinateur qui n'a pas la bonne hygiène numérique, qui n'applique pas certaines règles, pourtant relativement simples, qui permettent de se prémunir contre ce genre d'attaques.

M. Olivier Cadic, président. - J'ai eu l'occasion, lors d'un déplacement à Las Vegas, de rencontrer les équipes dirigeantes du MGM et du Caesars Palace. Ces deux casinos ont été piratés, à peu près en même temps ; l'un a payé la rançon et l'autre pas. De votre point de vue et d'après votre expérience, les victimes ont-elles intérêt à payer une rançon dans de tels cas ? En l'occurrence, cela a coûté beaucoup plus cher à celui qui ne l'a pas payée.

M. Hugues Foulon. - Avant de lancer l'attaque, les créateurs de rançongiciels font de l'ingénierie sociale, ils évaluent le coût de la reconstruction en fonction du profil de la victime. Si le coût est estimé à 100, ils fixeront la rançon à 80. Les demandes ne sont généralement pas faites au hasard, mais de manière très intelligente.

Nous préconisons à nos clients de ne jamais payer la rançon. En effet, d'une part, si l'on cède, on arme le crime et, d'autre part, dans le monde numérique, on n'est jamais sûr de l'intégrité de ce que l'on va retrouver. Les attaquants n'ont-ils pas espionné, volé des données ou laissé une faille ou un agent dormant ? On ne le sait jamais complètement. Cette règle générale explique pourquoi l'investissement de nos clients est dirigé vers l'anticipation et la préparation, plutôt que vers la réaction. Cela dit, je comprends que des entreprises de toute taille préfèrent payer, car elles sont assurées et pensent ainsi - à tort, me semble-t-il - se débarrasser du problème.

M. Rémy Pointereau. - Selon l'Organisation européenne pour la cybersécurité, vingt et un des vingt-sept États membres ont désormais transposé la directive NIS 2. Toutefois, cette transposition demeure très hétérogène : les seuils d'effectifs, les délais de notification, ou encore les collectivités concernées varient considérablement. Vous accompagnez des clients dans plusieurs juridictions européennes et disposez donc d'une vision large du marché. Observez-vous une véritable convergence des pratiques entre les États membres, ou considérez-vous que la transposition en cours intervient trop tard pour corriger cette fragmentation déjà installée ? Par ailleurs, quelles priorités devraient être retenues dans cette transposition pour permettre, enfin, l'émergence attendue d'un véritable marché européen de la cybersécurité ?

M. Hugues Foulon. - Le marché de la cybersécurité est, de manière générale, extrêmement fragmenté. Ainsi, l'on compte 1 000 acteurs de la cybersécurité en France, 1 500 en Allemagne et 2 000 en Angleterre - des entreprises de toutes tailles et de tous types. Orange Cyberdéfense est présent dans douze pays en Europe, dont la Belgique, qui a transposé la directive NIS 2 il y a déjà quelque temps. Honnêtement, je ne vois pas en pratique de grande convergence opérationnelle. Les marchés restent marqués par des spécificités très locales. De fait, l'élément déclencheur de la relation commerciale reste le contact humain entre un collaborateur de notre entreprise et un client ; c'est aussi vrai à Anvers ou à Bruxelles qu'en France. Au-delà de cet élément humain, je ne constate pas d'unification des démarches entre tous les territoires européens où nous opérons.

M. Michel Canévet, rapporteur. - L'ANTS, qui devrait être un opérateur public exemplaire en matière de sécurité, a fait l'objet de cyberattaques. Comment peut-on expliquer cela ? Que s'est-il passé ? D'autres sites de l'État pourraient-ils être menacés ?

M. Hugues Foulon. - Je ne peux pas vous répondre précisément, car Orange Cyberdéfense n'a pas été chargé de traiter ce cas. Cela étant, au vu de mon expérience, plus rien ne me surprend. De même qu'aucun domicile n'est inviolable, aucun système informatique ne l'est. Il y a des failles partout, notamment en raison du manque d'hygiène informatique des agents, publics ou privés, qui opèrent sur ces systèmes.

Nous avons donc du travail, et ce n'est pas l'évolution technologique qui va ralentir le rythme : l'IA se développe toujours plus vite, et les dernières annonces d'Anthropic ne sont pas de nature à nous rassurer, d'autant que nous ne savons pas encore ce qui se fait en Chine. La fuite que vous évoquez résulte peut-être de failles spécifiques, mais il y en a eu beaucoup d'autres, et il y en aura encore beaucoup.

C'est bien pour élever le niveau moyen de jeu, si je puis dire, que nous avons pris l'initiative de ce film, pour sensibiliser les gens. Comment faire en sorte qu'ils évitent de mélanger usages personnels et professionnels ? Comment développer l'hygiène numérique, au-delà des outils de protection et des systèmes d'authentification ? C'est vraiment une cause collective, qui requiert des lois, des réglementations, mais surtout une éducation qui fait aujourd'hui défaut. Il est bon que nos enfants continuent d'être éduqués à la sécurité routière, mais on ne leur apprend rien sur la bonne façon de naviguer dans ce monde virtuel, qui est au moins aussi dangereux.

C'est la raison pour laquelle Orange Cyberdéfense a décidé de promouvoir ce message. Le film a déjà été vu plus d'un million de fois sur YouTube. L'enjeu n'est pas de faire notre publicité ; c'est d'augmenter la maturité du public, de lui faire prendre conscience des enjeux. Je ne pense pas être paranoïaque ; simplement, il faut être lucide face à cette menace.

M. Philippe Folliot. - Si j'ai bien compris, on peut répartir les attaquants en trois groupes : les « petits génies » qui s'amusent sans viser crapuleuse et veulent surtout pénétrer là où c'est interdit ; les acteurs étatiques, qui pratiquent ces attaques comme une forme de combat hybride ; enfin, les acteurs mafieux, des groupes qui attaquent pour récupérer des rançons. La porosité entre ces deux derniers groupes apparaît significative dans de nombreux cas.

Dans ce contexte, puisque la meilleure défense est souvent l'attaque, il a été dit que notre pays se doterait de capacités offensives. Que pouvez-vous nous dire de l'implication de votre groupe dans le développement de ces capacités ? Vous paraît-il pertinent de nous doter d'une stratégie de contre-attaque ?

M. Hugues Foulon. - Vous êtes très bien renseigné sur les différents groupes d'attaquants, qui ont tous une motivation particulière. La porosité entre ces groupes est réelle, même si elle n'est pas toujours évidente à démontrer. Elle existe en Russie, mais aussi dans de nombreux autres pays, y compris d'anciens amis. Dans le monde de la cyberdéfense, il n'y a pas d'alliés, pas d'amis ; il n'y a que des compétiteurs.

Le nom de notre entreprise le dit bien : nous nous occupons presque exclusivement de cyberdéfense. Nous n'attaquons que nos clients, quand ceux-ci nous le demandent, et dans un cadre juridique bien compris : ils nous donnent mandat de mener des opérations sophistiquées pour tester à blanc la robustesse de leurs systèmes, en employant les mêmes outils et pratiques que les vrais attaquants. En revanche, nous ne participons pas à l'effort offensif qui relève des armées ou des services de renseignement, hormis en rémunérant les vingt jours qu'y passent ceux de nos salariés qui appartiennent à la réserve opérationnelle.

Quant à votre question plus générale, monsieur le sénateur, j'ai une opinion personnelle, mais je ne peux pas vous en dire plus au titre de mes fonctions.

M. Olivier Cadic, président. - Le 7 avril dernier, l'annonce d'Anthropic relative à son nouveau modèle Mythos nous a fait prendre conscience que nous changions de monde : certains y voient l'équivalent de l'arme nucléaire dans le domaine de la cybersécurité. À défaut de pirater Anthropic pour savoir de quoi est fait Mythos, quel regard portez-vous sur ce sujet ? Comment abordez-vous cette nouvelle donne ?

M. Hugues Foulon. - Mythos est une parfaite illustration de l'accélération des disruptions technologiques, même s'il faut rester prudent, car beaucoup en parlent sans avoir personnellement vu ce qu'il y a précisément dedans. À l'heure qu'il est, une quarantaine d'entreprises, toutes américaines, travaillent à analyser cette IA générative, pour voir comment se prémunir des effets que peuvent avoir ses fonctionnalités très avancées en matière de cybersécurité ; cela leur donnera d'ailleurs un avantage compétitif considérable. Il est probable que ce nouvel outil imposera un mode de gestion défensive des vulnérabilités beaucoup plus rapide. Que se passera-t-il quand le génie sortira de la lampe et que les attaquants s'en saisiront ? Nous ne le savons pas encore, mais les craintes sont réelles. C'est pourquoi nous discutons avec Anthropic et OpenAI pour anticiper ce qui sera certainement une disruption majeure.

M. Ludovic Haye. - Aujourd'hui, les solutions de cybersécurité sont encore perçues, notamment par les petites structures que sont la plupart des collectivités territoriales, comme complexes et coûteuses, donc peu accessibles. Comptez-vous démocratiser ces solutions, sans pour autant compromettre la sécurité et l'efficacité des outils que vous proposez ?

Votre activité est duale, civile et militaire. Or l'emploi de l'IA par une entreprise peut compliquer son obtention de marchés publics de défense, alors même que l'IA permet de répondre très rapidement à une attaque, voire de l'anticiper, qu'il s'agisse d'outils EDR (Endpoint detection and response) ou XDR (Extended detection and response). N'est-il pas absurde de vouloir interdire ce qui offre une plus-value indéniable à ces outils ?

M. Hugues Foulon. - Orange Cyberdéfense a fait le pari de la démocratisation il y a plus de six ans, quand nous avons lancé des offres à destination des entreprises de petite ou moyenne taille, comprenant des solutions techniquement adaptées, standardisées, automatisées et financièrement abordables. Nous souhaitons que la cybersécurité soit vue comme un investissement nécessaire à la pérennité et au développement des organisations, qu'elles soient publiques ou privées, petites ou grandes. Rappelons-nous ce qui est arrivé aux écoles des Hauts-de-France : d'un instant à l'autre, les professeurs n'ont plus accès à Pronote, les élèves ne peuvent plus se connecter, les cours ne sont plus en ligne... Les outils EDR et XDR que nous déployons permettent de se prémunir de telles attaques, en automatisant la détection comme la remédiation du problème.

En matière d'intelligence artificielle, nous prônons la symétrie des moyens. Nous utilisons massivement tous ces outils qui, on ne peut le nier, sont très majoritairement américains. En effet, ce n'est qu'ainsi que nous pouvons rivaliser avec les attaquants ; sinon, nous nous défendrions avec des épées en bois et nous ne tiendrions pas très longtemps. Une grande partie de notre effort est consacrée à la mise à jour de ces outils et à la recherche de nouvelles solutions logicielles pour combattre les attaquants dopés à l'IA.

M. Olivier Cadic, président. - Merci d'avoir bien voulu partager votre expérience avec nous. L'heure est venue d'assister à la projection du film que votre entreprise a produit : Don't go to the police, au coeur d'une enquête sur le cybercrime.

M. Hugues Foulon. - Je précise que ce titre n'est pas une provocation : c'est simplement la phrase généralement employée par les attaquants quand ils demandent une rançon.

La réunion est close à 14 h 05.