ANNEXES
LETTRE DE SAISINE DE
L'OPECST
EXTRAITS DES RÉUNIONS DE L'OPECST DU 17 DÉCEMBRE 2014 ET DU 28 JANVIER 2015 : ADOPTION DU RAPPORT
EXTRAIT DE LA RÉUNION DE L'OPECST DU 17 DÉCEMBRE 2014
M. Jean-Yves Le Déaut, député, président de l'OPECST. - Nous allons entendre la présentation du projet de rapport de Mme Anne-Yvonne Le Dain, députée, et de M. Bruno Sido, sénateur, premier vice-président de l'OPECST, sur le risque numérique. Selon une méthode maintenant éprouvée, nous avons mis le projet de rapport en consultation. Cette consultation est organisée sur place dans chaque assemblée. Il est simplement demandé aux membres de l'Office de prévenir de leur arrivée pour éviter de mobiliser le secrétariat pendant des journées entières.
Je vous rappelle que la saisine relative au risque numérique a été effectuée par la commission des affaires économiques du Sénat le 26 juin 2013 et que nous avions organisé quelques mois auparavant, le 21 février 2013, une audition publique en lien avec les deux commissions de la défense de l'Assemblée nationale et du Sénat. Le sous-titre de cette audition se présentait déjà comme une piste de solution : « Le risque numérique : en prendre conscience pour mieux le maîtriser » et était déjà apparue la nécessité d'observer les règles d'hygiène informatique pour utiliser les outils numériques. En effet, la sécurité n'est pas seulement une affaire de technique ou de protection mais appelle aussi à la vigilance permanente à tous les niveaux.
Le présent projet de rapport entre dans le détail de la technologie pour mieux faire ressortir les pratiques possibles. Parmi celles-ci, je mentionnerai notamment le chiffrage par clé publique/clé privée qui consiste à conserver par devers soi la clé privée, indispensable au décodage, tandis que l'on donne à toute personne qui envoie un message une clé publique permettant de chiffrer son message.
Le projet de rapport contient des recommandations très nombreuses, près de cent cinquante. Nous reviendrons sur leur contenu après leur présentation. Il me semble, après en avoir parlé avec les rapporteurs, qu'un travail de synthèse et de regroupement de certaines de ces recommandations pourrait être réalisé. Certaines appellent des modifications de nature législative ou règlementaire ; d'autres sont plus techniques. On gagnerait à faire ressortir des recommandations principales, qui s'attachent à essayer de redéfinir les principes de la société numérique. Vous avez vous-même prévu une hiérarchisation pour mettre en valeur certaines recommandations. J'y ai moi-même travaillé ce matin.
Après la projection du petit film prévue en introduction et la présentation par les rapporteurs, je souhaiterais qu'on puisse voir comment on pourrait arriver, sur un certain nombre de points, à modifier un peu le projet de rapport.
La présentation du jeu « Keep On Eye » élaboré par le CIGREF est projetée.
M. Bruno Sido, sénateur, premier vice-président, rapporteur . - Mme Anne-Yvonne Le Dain et moi-même avons aujourd'hui le plaisir de vous présenter le projet de rapport sur le risque numérique dont vous nous avez confié l'élaboration.
C'est à partir d'une saisine de la commission des Affaires économiques du Sénat que nous avons entrepris une étude de faisabilité adoptée le 16 avril 2014.
Cette saisine faisait elle-même suite à une journée d'auditions publiques organisées conjointement par l'OPECST et la commission des Affaires étrangères et de la Défense du Sénat au mois de février 2013. Ce jour-là, l'audition publique avait été scindée en deux parties, l'une relative au risque numérique militaire et l'autre au risque numérique civil.
Nous comptions donc réaliser notre rapport en approfondissant la question du risque numérique civil mais il nous est rapidement apparu que, en matière de risque numérique, la distinction entre le civil et le militaire était artificielle compte tenu justement de la nature du numérique qui est présent partout.
Au terme d' une centaine d'auditions comprenant trois journées d'auditions publiques et des déplacements à Bruxelles et en province, notamment pour visiter le centre de haute sécurité de la Direction générale pour l'armement et le laboratoire de haute sécurité de l'INRIA, vos rapporteurs ont établi une douzaine de constats sur la situation de la sécurité numérique et procédé à des choix pour mener à bien leur étude.
Au début de celle-ci, nous avons pris soin de rencontrer le président de la commission des Affaires économiques du Sénat, M. Daniel Raoul, aujourd'hui de retour à l'OPECST ce dont nous nous réjouissons.
Nous lui avons indiqué que nous centrerions notre réflexion sur les opérateurs d'importance vitale , c'est-à-dire les entreprises dont le fonctionnement ne doit en aucun cas être interrompu, notamment du fait d'une défaillance de leur système d'information numérique.
Ces entreprises sont d'ailleurs soumises à des directives nationales de sécurité (DNS) qui leur imposent des obligations extrêmement précises. La loi de programmation militaire de 2013 les a renforcées.
L'angle d'attaque pour aborder l'étude à partir des opérateurs d'importance vitale s'est révélé intéressant pour le raisonnement mais conduisait aussitôt à replacer l'ensemble des activités desdits opérateurs dans la chaîne de sécurité qu'ils constituent avec leurs fournisseurs, leurs sous-traitants, leurs clients et leurs personnels.
En outre, pour être tout à fait complet, au moment où le Gouvernement annonçait un ambitieux projet de loi sur le numérique, il n'a cependant pas attendu le dépôt de celui-ci pour prendre, d'une part, comme déjà indiqué, dans la loi de programmation militaire, en 2013, des initiatives relatives justement aux opérateurs d'importance vitale et, d'autre part, pour élaborer, au cours de l'été 2014, des mesures relatives à la sécurité numérique concernant les administrations.
Ce qui montre que le Gouvernement comme nous-mêmes avons été conduits à effectuer des analyses rigoureuses sur les différents secteurs pour finalement constater que tout se recoupe et que la sécurité numérique, voire la sécurité tout court, ne peuvent être assurées qu'à partir de mesures reliées entre elles.
Par quelque bout que l'on considère la question, il est impossible de ne pas voir dans les ramifications du numérique le système nerveux de la société et des individus qui la composent , d'où l'impossibilité de scinder artificiellement les préoccupations de sécurité en divers segments d'études.
C'est bien ce qu'ont vu, en premier, les attaquants des systèmes numériques. À l'heure où notre pays se trouve placé sous les dispositions du plan vigipirate à un très haut degré - dit « écarlate » -, le thème d'étude de l'OPECST ne peut qu'être au coeur des préoccupations de tous les parlementaires.
Pour relancer ce défi, depuis quelques années, des dispositifs ingénieux ont été imaginés et des moyens réels en hommes et en moyens ont été accordés. Par exemple, en 2009, l'Agence nationale de sécurité des systèmes d'informations (ANSSI) a été créée.
Mais je dois préciser, dès l'abord, que des dispositifs étaient déjà en place et que, maintenant, ce n'est pas en accordant toujours davantage de compétences à l'ANSSI ni en portant ses effectifs de trois cents à mille ou à trois mille - seuils qui ne sont d'ailleurs nullement envisagés -, qu'on résoudrait les questions posées par les failles de la sécurité numérique et qu'on parerait aux attaques dont elle est l'objet.
En effet, cette question transversale suppose l'acquisition, par l'ensemble de la société, d'une culture du numérique et d'une éducation initiale et continue à la hauteur des services rendus par cette technique, en dépit des fragilités qu'elle recèle.
Depuis le début de mon propos et surtout à la suite de la vidéo que vous venez de regarder, vous vous demandez peut-être si vos rapporteurs n'ont pas cédé à quelque alarmisme. Je vous rassurerai en disant que nous avons d'abord souhaité démontrer, dans une analyse que l'on a voulu extrêmement fouillée, le mécanisme de transmission des messages et les fragilités, souvent de conception, des matériels, des réseaux, des services et des diverses applications numériques.
À un moment donné, il nous est apparu que les imperfections constatées peuvent constituer également des chances et c'est cet aspect que Mme Anne-Yvonne Le Dain va maintenant développer pour vous montrer la face optimiste de l'analyse de vos rapporteurs.
Mme Anne-Yvonne Le Dain, députée, rapporteur. - Au fur et à mesure des auditions, une idée m'a de plus en plus préoccupée : comment tirer parti d'une difficulté, d'une inquiétude, d'un mal éventuel et, en l'occurrence, en matière d'insécurité numérique, comment faire de l'économie avec du droit ? À partir du droit national, du droit européen et même du droit international.
Il se trouve que la France possède de nombreux atouts en ce domaine, tant en matière de logiciels et de matériels qu'en matière de connaissances, notamment grâce à l'École française de mathématiques qui a été à l'origine d'une grande tradition en matière de cryptologie et de cryptographie. S'y ajoutent les ressources des universités, des centres de recherche de la Direction générale de l'armement, du CNRS ou de l'INRIA, pour ne citer qu'eux. Elles devraient permettre de conforter les entreprises oeuvrant en ces domaines et, surtout, de faire en sorte que de nouvelles initiatives puissent naître sans être récupérées aussitôt par nos concurrents principaux, à savoir les États-Unis d'Amérique au moment où l'Union européenne est en train de négocier un accord commercial transatlantique.
Dans le monde du numérique beaucoup de dispositifs sont en autorégulation alors que, au niveau national comme au niveau international les enjeux économiques sont considérables. Les entreprises nord-américaines, les GAFA (Google, Apple, Facebook et Amazon ) agissent à ce niveau et sont extrêmement présentes, y compris à Bruxelles où se bâtit le cadre de l'économie numérique du XXI ème siècle. L'enjeu est colossal. Le numérique touche tout, dans la vie personnelle comme dans la vie professionnelle de chacun, les personnes physiques comme les personnes morales.
Pour mettre en valeur les atouts français, il faut se débarrasser de préjugés et d'attitudes routinières. Par exemple, les préjugés associés à l'image des hackers qui peuvent également être employés fort utilement pour devenir, non pas des pirates, mais des corsaires au service des institutions qui les emploient.
On voit bien qu'il s'agit actuellement d'un enjeu absolument stratégique et c'est ce qui a motivé la rédaction de ce rapport.
À ce stade de notre travail, nous avons auditionné beaucoup de monde et accompli beaucoup de travail avec le président Bruno Sido, et je pense que les cent quarante recommandations qui vous sont proposées sont tout à fait importantes, mais qu'il serait pertinent, sur la base du document, qui représente un énorme travail, dont je remercie les administrateurs, de consacrer encore un peu de temps pour réécrire, reformuler, revoir la manière dont les choses sont dites ;pour communiquer de manière plus efficace dans un contexte où, en ce moment, entre l'Union européenne et les États-Unis d'Amérique, et dans les relations internationales en général, les enjeux dans ce domaine sont considérables.
Il serait souhaitable de prendre encore deux à trois semaines après les vacances pour revoir un certain nombre de finalités, pour reformuler, reclasser et donner des priorités en ce domaine. L'enjeu est essentiel ; on a pu le mesurer en entendant énormément de monde, en se posant la question de la protection des données individuelles et personnelles dont les volumes ont explosé.
Au moment de la décision de lancer la présente étude, l'affaire Snowden n'était pas encore sur la table et le piratage du portable de la chancelière allemande n'était pas encore connu. Nous avions anticipé. Maintenant, l'environnement national et international a encore évolué et il serait essentiel de prendre un peu de temps pour reformuler un certain nombre de choses. Je vous remercie.
M. Jean-Yves Le Déaut, député. - Je souhaiterais d'abord dire que, y compris les schémas que je trouve très, très bien, il y a là un matériau de fond qui est bon. Vous demandez un peu de temps car j'ai cru comprendre que vous aviez été « charrette » sur la fin. Je voudrais remercier l'administrateur et l'expert qui l'a assisté, du travail qui a été fait.
J'ai vu le rapport ce matin et n'ai eu qu'un peu de temps pour y travailler. Je pense d'abord, à propos du projet de recommandations, que l'on peut arriver à une très bonne étude de l'Office en ordonnant les cent quarante ou cent cinquante recommandations qui sont là pour mettre en valeur des schémas que vous avez élaborés et qui expliquent parfaitement la problématique.
Le premier point que je voudrais signaler c'est que la partie introductive du projet de recommandations intègre un rappel du guide de l'ANSSI. Or, notre but, à l'Assemblée nationale comme au Sénat, n'est pas de reprendre des dispositions qui existent déjà mais de sélectionner, dans les recommandations de l'ANSSI, les points sur lesquels il y aurait moyen de faire évoluer les choses.
J'ai donc pris la responsabilité de faire une proposition de rédaction pour les recommandations que je vous transmettrai tout à l'heure. J'ai ordonné autour de six chapitres les propositions : le premier chapitre s'intitulerait « Développer une culture du numérique autour de la sphère politique et administrative ». Le deuxième point, que vous avez très bien traité à mon avis, concernerait le risque numérique ; cela est plutôt bien et je reprends vos recommandations. Le troisième point consisterait à faire du risque numérique une grande cause nationale dans l'éducation et la formation et tout ce que vous proposez apparaît sous ce chapitre. Le quatrième chapitre serait « Renforcer les moyens de la formation universitaire et de la recherche en matière de cybersécurité » ; c'est le point le moins abordé dans les recommandations, mais c'est un débat dans lequel je suis déjà intervenu pour dire que, à côté du pôle militaire de défense situé dans l'ouest de la France, il existe un autre pôle de cybersécurité civile, dans une autre région, consacré à des thèmes de recherche qui pourraient le situer à un niveau européen. Cinquièmement, il s'agit de mieux protéger les entreprises et c'est là l'essentiel du rapport. Il serait plus efficace pour aider les entreprises d'indiquer quatre ou cinq grands points d'évolution possible de la loi.
Toutes les autres propositions seraient alors placées en annexe sous la forme d'une ébauche d'un guide de cybersécurité à destination des entreprises. Toutes les dispositions pratiques pourraient également être hiérarchisées. Enfin, il faudrait insérer la stratégie nationale dans une stratégie européenne et, sur certains points, j'aimerais que les rapporteurs nous indiquent comment ils voient le débat citoyen dans le domaine du risque informatique ; comment ils appréhendent la possibilité d'imposer le respect sur Internet de la présomption d'innocence, celle du contradictoire et des prescriptions. Il serait souhaitable aussi d'interdire la captation des données à distance et, pour cela, de déterminer ce qui est législatif dans ces recommandations.
Il faudrait également encourager le développement d'acteurs de confiance, ce qui pourrait entraîner des retombées économiques. Très souvent, dans vos conclusions finales, vous attirez l'attention sur ces retombées économiques possibles et cela mériterait des précisions. Enfin, il y a d'autres points qui devraient sans doute être déplacés d'un chapitre à un autre si ma proposition en six points était adoptée.
Ce matin, je me suis livré à un exercice de nouvel ordonnancement des recommandations. Vous avez mes notes et il est possible d'agencer cela autrement tout en améliorant la formulation des idées sachant que le fond de ce texte est excellent et qu'une amélioration formelle serait, à mon avis, de nature à faire passer les bons messages qui sont dans ce rapport.
Et, ce, d'autant plus que les rapporteurs, même s'ils ne l'ont pas dit, n'ont pas eu suffisamment de temps pour étudier ce projet de rapport en dépit de l'existence d'un pré-rapport. Cela a été trop « charrette » de finaliser complètement ce projet pour la fin de l'année. Donc, si les deux rapporteurs le demandent, cette réunion de l'Office parlementaire pourrait constituer une réunion de travail en vue de l'élaboration d'un nouveau texte à valider et à examiner rapidement par la suite puisque les rapporteurs ont déjà en partie commencé leur présentation.
Il n'y a aucun problème à procéder de la sorte car les thèmes que vous avez abordés sont des thèmes majeurs.
Peut-être serait-il souhaitable d'insister sur la partie recherche et enseignement supérieur et j'aimerais que, dans le corps du texte, vous rajoutiez un point - qui figure dans mon avis budgétaire sur la cyberdéfense -, pour souligner qu'il risque de manquer de personnes formées à la cyberdéfense dans les prochaines années ; si vous en étiez d'accord, peut-être serait-il souhaitable de mettre ce point en exergue de manière plus évidente ?
M. Bruno Sido . - On est toujours pressé par le temps et il est toujours possible de revisiter et de réordonner ce projet de rapport, sans changer le fond puisque c'est le résultat de nos investigations. Mais, sur la forme, il est toujours possible de placer des éléments en annexe. La version définitive vous sera soumise avant l'examen par l'Office pour vous donner le temps de bien apprécier la forme définitive.
Mme Anne-Yvonne Le Dain. - C'est un travail colossal. Le président Bruno Sido, moi-même et l'administrateur avons consacré un temps colossal aux auditions dont trois auditions publiques incluant des table rondes plus confidentielles et cela a permis d'embrasser tout le champ de ce sujet stratégique ; il était temps de le faire. Cela représente un joli travail sous réserve d'une remise en forme finale pour améliorer la visibilité de ce rapport pour le rendre plus efficace aux yeux du grand public comme des média ; c'est aussi simple que cela.
Mme Marie-Christine Blandin, sénatrice. - Je n'ai pas grand-chose à dire à part mon admiration pour la densité de ce qu'on trouve dans ce rapport : c'est une bible. Peut-être y a-t-il une ergonomie à développer pour mieux accéder au contenu, mais c'est vraiment très riche et très bien.
Pour ma part, je n'étais pas sur le champ exclusif de l'entreprise car la commission de la culture du Sénat avait travaillé sur des thèmes qui sont aux frontières du sujet de ce rapport. Par exemple, à la page 41, vous parlez de la régulation de l'échange entre les personnes physiques, puis après, on passe au virtuel. Nous avions travaillé sur le virtuel pour lequel il apparaît que, si les gens ne s'adressent pas des signes préalables, un sourire préalable, rapidement un propos peut être à l'origine de polémiques. C'est pourquoi, les discussions sur Internet, par exemple de syndicats ou de partis politiques, s'enveniment avec méchanceté et des modérateurs ont donc été mis en place. Le numérique fait apparaître de nouveaux acteurs et de nouveaux pouvoirs car les modérateurs sont des gens de pouvoir. Cela a également de l'importance dans l'entreprise parce que le modérateur prend le pouvoir alors que personne ne s'en aperçoit. Il filtre les débats avec ses convictions.
Ensuite, tout acte public pris par le passé a donné lieu à des archives papiers ; elles se trouvent à la Bibliothèque nationale et sont consultables dans les archives départementales, etc. Maintenant, le numérique donne le pouvoir à celui qui émet des documents de les détruire. J'en donnerai quelques exemples : une des académies - je ne sais plus si c'est celle des sciences, celle de médecine ou celle des technologies - a fait disparaître un rapport sur l'amiante datant d'une époque où elle estimait que cette matière n'était pas dangereuse, ce qui est tout de même gênant [ Des signataires issus de l'INSERM se sont désolidarisés a posteriori du rapport de l'Académie de Médecine : « Amiante et protection de la population exposée à l'inhalation de fibres d'amiante dans les bâtiments publics et privés », Bulletin de l'Académie Nationale de Médecine ; Tome 180 n°4 - séances des 16, 23, 30 avril 1996, page 887 ]. Le numérique permet très facilement ce genre d'opérations de disparition.
Quant à l'AFSSAPS - on avait travaillé là-dessus avec M. Jean-Pierre Door -, au moment de la pandémie grippale, il a fallu vacciner tout le monde donc, en catastrophe. Sanofi, GSK et Roche ont mis au point des vaccins comprenant des sels d'aluminium. Moi, je me souvenais qu'une page de l'AFSSAPS disait que les sels d'aluminium posaient problème, qu'il fallait les interdire aux enfants de moins de deux ans et que, à terme, il n'y aurait plus de vaccins de ce type. J'ai donc recherché cette page mais ne l'ai pas trouvée. Je pouvais avoir rêvé sauf qu'une étudiante en médecine qui avait fait sa thèse sur les vaccinations avait pris une copie d'écran de cette page et c'est donc ainsi que je l'ai retrouvée.
Je ne parle pas du fond, mais le numérique donne le pouvoir de détruire des archives publiques et une réflexion démocratique doit être conduite là-dessus, car cela pose tout de même un problème.
Je continue, toujours un peu en marge de votre rapport, à propos de préoccupations relatives aux libertés individuelles. Je ne suis pas sur Facebook . J'ai reçu de nombreuses invitations d'amis qui y sont et, la dernière fois, j'ai reçu une invitation de personnes souhaitant m'inviter avec la liste de tous mes amis, de mon beau-fils, de mon ancienne collaboratrice etc. Cela fait froid dans le dos car, si l'on repense aux réseaux de résistance, on se dit que si, aujourd'hui, nous nous trouvions dans la même situation, n'importe quelle police fasciste, en appuyant sur un bouton, pourrait obtenir tous les lieux où vous pouvez vous cacher, toutes vos relations... Je ne suis pas sur le réseau, et, pourtant, les gens qui me mentionnent sur le réseau y développent en creux l'imagerie de mes amis et, cela, c'est un problème de liberté.
Certaines de vos recommandations sont relatives à l'éducation et à l'enseignement supérieur. Je souhaiterais alerter sur la mauvaise formation des étudiants au numérique et sur le plagiat. En effet, de plus en plus de thèses sont plagiées dans les universités ; cela constitue un vrai problème au point que, lors de son audition au Sénat, M. André Syrota, de l'Institut national de la santé et de la recherche médicale (Inserm) et de l'Alliance pour les sciences de la vie et de la santé (Aviesan), nous a alertés sur le fait que 40 % des publications, dans Nature , de découvertes, d'innovations etc. n'étaient pas reproductibles parce que le travail n'est pas fait de première main. Cela pose problème.
Vous parlez de la compétitivité des entreprises. La commission de la culture du Sénat a travaillé sur les entreprises de presse, qui gagnent leur argent sur la publicité, mais, depuis que Google les référence et se place entre les publicitaires et les agences de presse, c'est Google qui ramasse l'argent.
La Belgique a souhaité élaborer un texte pour empêcher cela, mais Google a débranché toutes les entreprises de presse belges du référencement. Tout récemment, Google plus vient de débrancher l'Espagne qui préparait un nouveau texte de loi dans ce domaine. Ce qui donne une idée du pouvoir de ces monopoles. Dans votre rapport, vous parlez beaucoup du risque des monopoles.
Ensuite, dans un passage, vous évoquez la mentalité des hackers . Avec Le Monde diplomatique , nous avions réuni les Anonymous . C'était impressionnant, car ils nous ont expliqué comment ils avaient aidé la démocratie en Égypte pendant la répression ; de même en Tunisie. Tous les journalistes du Monde souriaient et trouvaient ces jeunes gens formidables mais, par derrière, ceux-ci nous ont précisé qu'ils n'avaient qu'une ligne, celle de la circulation de l'information : si un chef d'État fasciste voulait susciter l'adhésion de jeunes, et au moyen d'un message à la jeunesse, et qu'un autre État souhaite l'empêcher, les Anonymous feraient en sorte que ce message parvienne jusqu'à elle. Ils entendent être inodores et incolores ; leur philosophie, c'est la sacralisation du message.
Merci donc pour votre rapport.
À propos du coût éventuel de la sécurité numérique sur la compétitivité des entreprises, je souhaiterais peut-être un petit ajout pour évoquer l'engrenage de l'obsolescence et des coûts induits parce que je vois que, au sein de l'éducation nationale, dans les établissements scolaires, certains commencent à « se faire des cheveux blancs » à cause des achats de logiciels, du renouvellement de matériel etc. Pour cette raison là aussi, nous sommes incités de nous trouver face à des monopoles, pour faire jouer la concurrence et obtenir des prix raisonnables ; sinon cela va nous coûter toujours plus cher.
Par ailleurs, mais c'est peut-être évoqué dans le projet de rapport que je n'ai pu lire intégralement, qu'en est-il de la vulnérabilité physique des centres de stockage de données ?
J'ai conscience que mes commentaires sont parfois un peu aux limites du thème de la sécurité numérique des entreprises.
M. Bruno Sido . - Nous nous sommes aperçus, quasiment dès le départ, que le champ d'investigation était tellement vaste que, au-delà des généralités, nous nous sommes dit qu'il serait intéressant de traiter plus particulièrement, à titre d'exemple, du secteur de l'énergie et du secteur des télécommunications, deux secteurs parmi tant d'autres. Et nous ne pouvons même pas dire si les problèmes soulevés dans ces deux secteurs sont les mêmes que ceux d'autres secteurs - bancaire, administratif, universitaire... -, cela reste à examiner.
Les remarques faites par Mme Marie-Christine Blandin sont tout à fait pertinentes et intéressantes. Heureusement pour les thèses, le plagiat était devenu tellement répandu qu'il y a maintenant des logiciels pour le détecter.
Mme Anne-Yvonne Le Dain. - Je vous remercie pour cet élargissement des perspectives. Le champ du numérique est gigantesque, car le numérique est vraiment partout. Il est impossible de le traiter dans son ensemble. Nous avons souhaité indiquer la manière dont on pourrait se protéger des risques grâce à des guides de bonnes pratiques, même si cela apparaît très difficile du fait, notamment, de l'existence de portes dérobées dans les matériels.
Nous n'avons pas seulement à subir le numérique, mais aussi à nous en saisir pour en faire une opportunité économique, de manière à se protéger tout en se développant, d'autant qu'il s'agit d'un enjeu mondial.
M. Bruno Sido . - Nous nous sommes aperçus, sans entrer forcément dans la technique, que l'application de quelques principes de bon sens permettait de se prémunir pour l'essentiel de l'insécurité numérique. La première chose, c'est déjà d'en avoir conscience. Quand on pense que des patrons se rendent en Chine avec leur ordinateur et leurs tableaux de calcul, travaillent avec ces outils sur place et s'aperçoivent à leur tour que, finalement, s'ils n'ont pas remporté le marché, c'est parce qu'au passage de la frontière, on avait capturé toutes leurs données, y compris celles de leurs téléphones. Il vaut mieux se rendre en Chine avec un petit téléphone neuf que l'on jette au retour.
La deuxième chose c'est l'hygiène informatique : il faut savoir qu'il vaut mieux ne pas ramasser de clés USB , puis s'en servir ; en fait, c'est comme pour sa brosse à dents, il vaut mieux ne jamais la prêter.
Enfin, l'administration s'est bien adaptée depuis un certain temps, et c'était d'ailleurs extrêmement important. De leur côté, les opérateurs d'importance vitale (OIV) donnent l'exemple.
On nous a dit, à propos des feux de signalisation informatisés aux carrefours, ce que tous les responsables de la préfecture de police de Paris savent : en cas de panne du système informatique de ces feux, il y aurait des blessés, voire des morts ; car, en moins de deux heures, les gens en viendraient aux mains si tout s'arrêtait.
L'ANSSI a déjà été reformatée, mais elle a du mal à embaucher, quoiqu'elle n'hésite pas à faire appel aussi à des hackers repentis. D'ailleurs, certains sont-ils peut-être devenus hackers pour se faire remarquer à cette fin ? La direction générale pour l'armement travaille également à la sécurité numérique vingt-quatre heures sur vingt-quatre et, ce matin, j'assistais à une réunion de la Commission supérieure du service public des postes et des communications électroniques au cours de laquelle le Premier ministre a dit que le numérique et sa sécurité constituaient une priorité, qu'il ne fallait pas que le numérique flanche sinon plus rien ne se passerait aujourd'hui. Tout le monde a bien pris conscience de cela, bien plus qu'il y a quelques années, et les principes d'hygiène informatique commencent à se répandre.
On pourra toujours se poser la question de savoir pourquoi il existe des hackers, mais il faut aussi se souvenir de l'attaque de la CIA , donc des États-Unis d'Amérique contre les centrifugeuses iraniennes. Cela constitue bien une attaque d'État à État et cela aurait pu aller plus loin. On pointe souvent la Chine d'un doigt accusateur, sans trop de preuves d'ailleurs, et c'est vrai que toute attaque informatique peut retarder un pays tandis que sa sécurité active lui permet de rattraper son retard et, éventuellement, d'aller de l'avant. Cette question ne peut absolument pas être négligée par les gouvernements.
Le rapport peut paraître touffu mais le sujet lui-même est touffu ; il est très compliqué. L'informatique, c'est un peu la loi de la maille et des noeuds en électricité, on ne sait pas où passe l'électricité mais elle arrive au bout. Il en va un peu de même pour l'informatique, sujet très compliqué, car les attaques peuvent venir de partout et même du fabricant qui utilise une porte de derrière prévue pour son seul usage.
On peut avoir des soupçons sur tout, même sur les téléphones ou les tablettes sécurisés de la présidence de la République et du Gouvernement - d'ailleurs plus ou moins utilisés. Finalement, c'est François Mitterrand qui avait raison en estimant que, si quelqu'un a quelque chose d'important à dire à une autre personne, cela doit se faire directement, sans l'écrire, ni téléphoner.
Jean-Yves le Déaut . - Cela fait penser à cette plaisanterie soviétique : « Si tu penses quelque chose, ne le dis pas ; si tu le dis, ne l'écris pas ; si tu l'écris, ne le signe pas ; et si tu le signes, ne t'étonne plus de rien ».
Juste deux petits points de forme encore. Tout d'abord, je trouve que le schéma de la page 48 montrant l'intérieur de la boîte noire du numérique est excellent ; cela représente très bien la complexité du système numérique qui vient d'être évoquée.
Deuxièmement, excusez-moi, c'est un réflexe de professeur qui a assisté à de nombreuses soutenances de thèses, je note que l'acronyme SCADA, sa définition, ne figurent pas dans le glossaire. Si j'ai bien compris, il s'agit de données du système de production des entreprises collectées à partir de capteurs que, quelquefois, l'on va chercher sur Internet. Or, si tous les capteurs de machines sensibles sont en lien avec Internet, il peut y avoir, à un moment donné, moyen de capter les données qu'ils transmettent et même d'introduire un espion à l'intérieur du système.
M. Bruno Sido : Renseignement pris, SCADA signifie « Supervisory Control and Data Acquisition », et désigne un logiciel de supervision industrielle tel que vous l'avez parfaitement bien compris. Cette précision figurera dans le glossaire.
M. Jean-Yves Le Déaut . - Au terme de cette réunion de travail, nous prenons date pour la présentation d'une version améliorée suivant les indications retenues, en notant qu'il y a déjà eu unanimité pour dire qu'il s'agissait d'un bon travail.
EXTRAIT DE LA RÉUNION DE L'OPECST DU 28 JANVIER 2015 : ADOPTION DU RAPPORT
M. Jean-Yves Le Déaut, député, président . - Nous avons déjà eu une discussion sur ce sujet le 17 décembre dernier et nos collègues rapporteurs ont souhaité disposer d'un peu plus de temps pour arriver à une version qui intègre la réorganisation des recommandations et qu'ils ont aussi pu améliorer. Ce projet a été mis en consultation, comme c'est la règle, quarante-huit heures avant la réunion de ce jour.
Cette version n'a pas tout intégré. J'ai moi-même retravaillé encore ces deux derniers jours sur quelques améliorations de forme, et on dispose maintenant d'un document qui contient des recommandations très importantes. Il me semble nécessaire que, conformément aux options prises dans le cadre de l'étude de faisabilité, vous proposiez de modifier l'intitulé puisque vous avez opportunément choisi de cibler votre étude.
Je voudrais tout de suite vous féliciter, en englobant dans ces félicitations le conseil technique que vous avez reçu. Car ce document, avec ses recommandations, pose bien le problème.
(Une brève vidéo sur la sécurité numérique, très récemment élaborée par le CIGREF à destination des entreprises, est alors projetée dont le message consiste à attirer l'attention sur le fait que : « 100 % des entreprises protègent leurs données ; logiquement très peu d'entre elles ont dû connaître une faille de sécurité lors des douze derniers mois... mais en fait, oups ! 73 % ! Comme quoi, on n'est jamais trop prudent. Chaque seconde, notre environnement déborde d'activités, des gens comme vous et moi qui, chaque jour, génèrent des millions de données sensibles en envoient et en reçoivent, les partagent aux quatre coins du monde. Mais qui veille sur tout ça ? Qui peut agir pour éliminer les risques ? Et si c'était vous ? » )
M. Bruno Sido, sénateur, premier vice-président, rapporteur . - Mme Anne-Yvonne Le Dain et moi-même avons aujourd'hui le plaisir de vous présenter le projet de rapport sur le risque numérique dont vous nous avez confié l'élaboration et dont la vidéo qui vient d'être projetée illustre en quelques minutes la problématique en ce qui concerne les entreprises.
C'est à partir d'une saisine de la commission des Affaires économiques du Sénat que nous avons entrepris une étude de faisabilité adoptée par l'Office le 16 avril 2014.
Cette saisine faisait elle-même suite à une journée d'auditions publiques organisée conjointement par l'OPECST et la commission des Affaires étrangères et de la Défense du Sénat au mois de février 2013. Ce jour-là, l'audition publique avait été scindée en deux parties, l'une relative au risque numérique militaire et l'autre au risque numérique civil.
Au début de nos investigations, nous comptions donc réaliser notre rapport en approfondissant la seule question du risque numérique civil. Mais il nous est rapidement apparu que, en matière de risque numérique, la distinction entre le civil et le militaire était artificielle , compte tenu justement de la nature du numérique qui est présent partout.
Au terme d' une centaine d'auditions comprenant trois journées d'auditions publiques et des déplacements à Bruxelles et en province, notamment pour visiter le centre de haute sécurité de la Direction générale pour l'armement et le laboratoire de haute sécurité de l'INRIA, vos rapporteurs ont établi une douzaine de constats sur la situation de la sécurité numérique et procédé à trois choix pour mener à bien leur étude.
Au début de celle-ci, nous avons pris soin de rencontrer le président de la commission des Affaires économiques du Sénat, M. Daniel Raoul, aujourd'hui de retour à l'OPECST ce dont nous nous réjouissons.
Nous lui avons indiqué que nous centrerions notre réflexion sur les opérateurs d'importance vitale (OIV) , c'est-à-dire les entreprises dont le fonctionnement ne doit en aucun cas être interrompu, notamment du fait d'une défaillance de leur système d'information numérique.
Ces entreprises sont d'ailleurs soumises à des directives nationales de sécurité (DNS) qui leur imposent des obligations extrêmement précises que la loi de programmation militaire de 2013 a renforcées.
Après quelques mois de nos travaux, l'angle d'attaque pour aborder l'étude à partir des opérateurs d'importance vitale s'est révélé avoir été intéressant pour le raisonnement mais nous a conduit bientôt à replacer l'ensemble des activités desdits opérateurs dans la chaîne de sécurité numérique qu'ils constituent avec leurs fournisseurs, leurs sous-traitants, leurs clients et leurs personnels.
En outre, pour être tout à fait complet, au moment où le Gouvernement annonçait un ambitieux projet de loi sur le numérique, il n'a cependant pas attendu le dépôt de celui-ci pour prendre, comme déjà indiqué, dans la loi de programmation militaire, en 2013, des initiatives relatives justement aux opérateurs d'importance vitale et, d'autre part, pour élaborer, au cours de l'été 2014, des mesures relatives à la sécurité numérique concernant les administrations.
Ce qui montre que le Gouvernement, comme nous-mêmes, avons été conduits à effectuer en parallèle des analyses rigoureuses sur les différents secteurs pour finalement constater que tout se recoupe et que la sécurité numérique, voire la sécurité tout court, ne peuvent être assurées qu'à partir de mesures reliées entre elles.
Par quelque bout que l'on considère la question, il est impossible de ne pas voir dans les ramifications du numérique le système nerveux de la société et même des individus qui la composent d'où l'impossibilité de scinder artificiellement les préoccupations de sécurité en divers segments d'études.
C'est bien ce qu'ont vu, les premiers, les attaquants des systèmes numériques. À l'heure où notre pays se trouve placé sous les dispositions du plan vigipirate à son plus haut degré - soit l'alerte attentat -, le thème d'étude de l'OPECST ne peut qu'être au coeur des préoccupations de tous les parlementaires.
Pour relever ce défi, depuis quelques années, des dispositifs ingénieux ont été imaginés et des moyens réels en hommes et en moyens ont été accordés. Par exemple, en 2009, l'Agence nationale de sécurité des systèmes d'informations (ANSSI) a été créée.
Mais, dès l'abord, je dois préciser que des dispositifs étaient déjà en place antérieurement et que, maintenant, ce n'est pas en accordant toujours davantage de compétences à l'ANSSI ni en portant, par exemple, ses effectifs de 300 à 1 000 ou à 3 000 - seuils qui ne sont d'ailleurs nullement envisagés -, qu'on résoudrait toutes les questions posées par les failles de la sécurité numérique, ni qu'on parerait à toutes les attaques dont cette sécurité est l'objet.
En effet, cette question transversale suppose l'acquisition par l'ensemble de la société d'une culture du numérique et d'une éducation initiale et continue à la hauteur des services rendus par cette technique, à la fois en dépit et en raison des fragilités qu'elle recèle.
Depuis le début de mon propos, et surtout à la suite du visionnage de la vidéo que vous venez de regarder, vous vous demandez peut-être si vos rapporteurs n'ont pas cédé à quelque alarmisme. Je vous rassurerai en disant que nous avons d'abord souhaité démontrer dans une analyse, que l'on a voulu extrêmement fouillée, le mécanisme de transmission d'un message au sein du système d'information de l'entreprise et les fragilités, souvent de conception, des matériels, des réseaux, des services et des diverses applications numériques.
Mais avant cela, nous devons lever une ambiguïté. En dépit de l'actualité sur les aspects les plus médiatisés du risque numérique et ses liens avec le terrorisme, le présent projet de rapport n'a rien d'une fresque générale ou journalistique sur le numérique où, par exemple, seraient développées des considérations sur la gouvernance mondiale de l'Internet, car il s'agit d'un rapport technique. L'OPECST produit de tels rapports directement liés aux préoccupations des entreprises que, malheureusement, le Sénat a parfois tendance à négliger. C'est pourquoi je rappelle que la commission des affaires économiques, à l'origine de la saisine, s'inquiétait de l'éventuelle fragilité des entreprises liée aux vulnérabilités des réseaux matériels, logiciels, numériques. Cela est particulièrement technique.
En qualité de membre de cette commission, j'insiste sur l'importance de cette dimension du sujet.
La question sous-jacente posée à l'Office était notamment celle du pillage organisé des informations des entreprises . Il serait déraisonnable de continuer à ignorer le fait que l'on puisse puiser dans ces informations comme dans un libre-service. La situation de l'économie française s'accommode-t-elle de tels pillages ou bien résulte-t-elle en partie de ceux-ci, alors justement qu'ils durent depuis des années ?
À un moment donné, il nous est apparu que les imperfections constatées peuvent constituer également des chances et c'est cet aspect que Mme Anne-Yvonne Le Dain va maintenant développer pour vous montrer que l'analyse de vos rapporteurs comporte aussi une face réactive, voire optimiste.
Mme Anne-Yvonne Le Dain, députée, rapporteur . - Je ne crois pas que l'indispensable prise de conscience qu'a évoquée Bruno Sido relève d'une approche pessimiste du numérique, mais l'idée que la sécurité numérique puisse devenir un atout de développement économique me tient à coeur, et c'est là un axe majeur de notre analyse. Il s'agit de faire d'une crainte une opportunité.
Au fur et à mesure des auditions, une idée nous a de plus en plus préoccupée : comment tirer parti d'une situation un peu compromise et, en l'occurrence, en matière d'insécurité numérique, comment faire de l'économie avec du droit ? Un développement dans le rapport illustre ce que cette idée sous-tend.
Il se trouve que la France possède de nombreux atouts en ce domaine car, sans même parler des fabricants d'antivirus, les connaissances de l'École française de mathématiques alliées à une grande tradition en matière de cryptologie, de cryptographie et de linguistique, les ressources des centres de recherche de la Direction générale de l'armement ou de l'INRIA, pour ne citer qu'eux, devraient permettre de conforter les entreprises oeuvrant dans le domaine de la sécurité numérique et, surtout, permettre de nouvelles initiatives qui ne seraient pas récupérées aussitôt par nos concurrents principaux, à savoir les États-Unis d'Amérique - qui écrivent l'informatique à l'aide du même alphabet que nous, contrairement aux Russes, aux Indiens ou aux Chinois.
Pour mettre en valeur les atouts français, il faut se débarrasser de préjugés et d'attitudes routinières. Par exemple, les préjugés associés à l'image des hackers alors que certains d'entre eux pourraient être employés fort utilement pour élaborer des solutions de prévention et de riposte aux attaques numériques éventuelles - un certain nombre d'entreprises le fait déjà. Les personnes entendues ont cité des exemples de hackers peu diplômés que l'administration française n'avait pu recruter à un niveau de salaire décent. En effet, leur diplôme ne donnait accès qu'à un niveau indiciaire de traitement dans la fonction publique peu propre à rémunérer équitablement les hautes compétences dont ils faisaient preuve.
Une autre personne entendue nous a cité les exemples de jeunes entreprises extrêmement innovantes dans le numérique aussitôt rachetées par des financiers d'outre-Atlantique venus faire, en quelque sorte, leur marché en France.
Face à une telle situation, il ne suffit pas de demander aux autres de faire preuve d'initiative, de créativité, de réactivité, si nous-mêmes, parlementaires , ne montrons pas l'exemple d'abord par notre engagement personnel, puis à travers les décisions des assemblées et collectivités territoriales au sein desquelles nous pouvons avoir une influence. Certaines de nos propositions de recommandations vont dans ce sens.
Libre au Gouvernement d'agir de même face aux administrations.
Venons-en maintenant à l'observation de nos comportements face aux exigences de la sécurité numérique souvent négligées dans la vie courante.
Par exemple, qui d'entre nous hésite avant de s'abonner à une messagerie électronique alors que celle-ci est peut-être contrôlée par une firme étrangère ? Qui prend le temps minimal de réflexion avant de choisir la voie la plus sécurisée pour transmettre un message urgent ? Les services des assemblées sont-ils eux-mêmes à la pointe quant à la sécurité informatique ? Les collectivités territoriales ne pourraient-elles s'intéresser davantage à cette question ? Qu'en est-il enfin des entreprises que l'on suppose à la pointe en matière de technologie de sécurité numérique ? Et, quand on parle de sécurité numérique, les ordinateurs ne sont pas les seuls objets à prendre en considération, les téléphones portables sont égalementsources de risques, ainsi que tous les « objets dits connectés ».
Tout naturellement, à ce stade de l'analyse, chacun pense au rôle de l'éducation nationale. Or, vos rapporteurs proposent, dans la vingtaine de recommandations prioritaires qu'ils vous soumettent, d' enseigner le codage de manière ludique dès l'école maternelle et de créer une véritable filière d'enseignement de l'informatique incluant systématiquement des modules significatifs sur sa sécurité jusque dans l'enseignement supérieur. Et, ce, sur tout le territoire national.
Cela peut paraître évident mais la situation actuelle n'est pas à la hauteur des exigences, loin s'en faut.
Qu'observe-t-on aujourd'hui ? L'absence de l'informatique dans les programmes ou, quand elle y figure, c'est avec un nombre d'heures extrêmement restreint et malheureusement sans enseignement sur la sécurité du numérique, ou si peu, y compris dans les écoles spécialisées.
En outre, quels sont les enseignants censés faire face à cette nouvelle demande ? D'où proviennent-ils aujourd'hui ? D'où proviendront les effectifs accrus nécessaires demain ? Il serait bien imprudent de croire qu'on peut facilement reconvertir un professeur de mathématiques, de sciences physiques ou de technologie en professeur d'informatique. Chacun sait que l'informatique n'est pas vraiment une branche des mathématiques ni une section de l'électronique.
Quand je parle de filière de l'enseignement de l'éducation au numérique, il s'agit aussi de diplômes reconnus et d'un corps d'inspection . Et où placer cet enseignement dans l'emploi du temps des élèves ?
Mais, me direz-vous, cette construction n'aurait-elle pas bientôt pour effet de figer les connaissances des enseignants alors que ce secteur évolue si vite ?
C'est un risque réel qui doit être d'emblée pris en compte pour anticiper la sclérose éventuelle desdits enseignants dont la réactivité devra demeurer la qualité première.
Mais, sans entrer davantage dans cette partie de nos propositions, je crois que le Premier vice-président souhaiterait vous en détailler un peu davantage la philosophie.
M. Bruno Sido . - Pour bien situer notre propos par rapport aux contextes international, européen et national actuels, je souhaiterais insister sur la totale symbiose existant entre le numérique et la société.
En général, chacun admet ce phénomène fusionnel mais sans accepter d'en tirer vraiment les conséquences. Ainsi, il ne sert à rien d'élever des digues juridiques ou technologiques si, dans le même temps, des accords internationaux ou la réalité d'un rapport de force non encadré viennent ruiner nos efforts.
Autant une partie de notre projet de rapport entre dans le détail des systèmes informatiques, autant il nous a paru indispensable de faire précéder cette analyse par une vision d'ensemble .
Tel fut le cas pour expliquer pourquoi la négociation actuelle du Traité de partenariat transatlantique et le rythme d'avancée de l'élaboration de la directive et du projet de règlement européens, ainsi que la maturation du projet de loi sur le numérique en France sont en réalité étroitement liés.
Vous avez pu trouver, dans les deux premiers chapitres du rapport, les raisons pour lesquelles il est très important, à la fois, que les droits et libertés soient respectés dans l'univers numérique, tout en veillant à protéger la souveraineté numérique de la France comme de l'Union européenne .
Il s'agit là d'objectifs vitaux qui doivent primer sur la libre circulation des marchandises, l'abaissement des droits de douane ou l'instauration d'une concurrence libre et parfaite.
Vos rapporteurs se sont d'ailleurs demandé s'il ne serait pas primordial de concevoir une exception numérique d'après le modèle de l'exception culturelle et pour les mêmes raisons.
En effet, l'exception culturelle a permis de conserver une industrie cinématographique française dynamique alors qu'elle aurait pu être laminée par des principes commerciaux qui prétendaient la dominer. Les cinémas d'autres pays d'Europe en ont été victimes.
De même, dans le numérique, toutes les chances doivent être mises de notre côté pour que des industries françaises et européennes puissent concevoir, fabriquer, voire seulement contrôler pour les labelliser, les matériels, logiciels, systèmes d'exploitation, coeurs de réseaux qui forment la longue chaîne de la sécurité numérique .
Cette idée n'a pu être qu'esquissée dans ce rapport mais elle mériterait d'être développée dans d'autres enceintes et, prioritairement, se concrétiser avant qu'il ne soit définitivement trop tard.
Je voudrais aussi attirer votre attention sur les schémas qui sont projetés depuis le début de notre présentation - et qui figurent tous dans le rapport. Beaucoup de ces schémas ont d'ailleurs été élaborés par l'OPECST , ce qui n'est pas si fréquent. Ils nous ont semblé utiles pour expliciter une réalité numérique multiple difficile à appréhender autrement.
C'est ainsi que, devant la difficulté d'expliquer une réalité technologique plus que complexe, le schéma de l'éléphant vous permet soudain de voir que, par exemple, la perception du numérique n'est que parcellaire, ce qu'a d'ailleurs illustré aussi la multitude de rapports parlementaires traitant de ce thème. Beaucoup de ces études n'ont porté que sur un aspect bien particulier du numérique. Et très peu ont approfondi la question de la sécurité du recours croissant au numérique par les entreprises .
C'est ainsi qu'un rapport parlementaire analyse l'ouverture des données ou « open data », un autre le traitement des données massives ou « big data », le troisième la gouvernance mondiale de l'Internet, un autre enfin le modèle proposé par les États-Unis d'Amérique, et ainsi de suite.
Le présent rapport n'a pas pour ambition de constituer une anthologie du numérique mais de montrer que, même si cela ne saute pas aux yeux, toutes ces questions sont interdépendantes.
La sécurité numérique est présente derrière chacune d'entre elles et permet, peut-être, de reconstituer le puzzle des Internets et de tous les aspects du numérique en général, pour en faire ce que vous voyez sur l'écran sous la forme imagée de cet éléphant.
Mme Anne-Yvonne Le Dain . - En ma qualité de scientifique, je souhaiterais vous montrer quelques schémas qui rendent compte de la réelle complexité de ce numérique que nous croyons pouvoir appréhender avec ce que nous avons sous les yeux. Ce schéma-ci représente le réseau global de l'Internet en Île-de France et vous pouvez noter le noeud dense de ramifications se trouvant sous La Défense. Un spécialiste nous a indiqué que, à cet endroit, une frontière numérique séparait l'Inde de l'Europe du point de vue de la gestion des réseaux numériques, ce qui ne tombe pas sous le sens. La dématérialisation a des conséquences absolument sidérantes.
Cet autre schéma représente les ramifications numériques d'une entreprise avec son centre de gestion, ses activités de production, ses contacts avec l'extérieur, avec ses sous-traitants et leurs propres sous-traitants et, se superposant à tout cela, les multiples connexions, par nature très imprévisibles, réalisées à l'initiative de ses employés.
Il est évident que des liens entre tous ces éléments, de leur continuité, de leur intégrité, dépendent, dans un premier temps, la sécurité numérique, et, bien sûr, ensuite, la protection contre de mauvaises surprises. À cet égard, une des recommandations de vos rapporteurs consiste à couper totalement les SCADA - c'est à dire les systèmes numériques commandant la production - de l'Internet . Cette préconisation peut, à première vue, sembler très exagérée pour beaucoup d'organisations croyant fonctionner parfaitement.
Cependant, pour vous convaincre en un instant de l'utilité de cette recommandation, j'évoquerai simplement l'anecdote rapportée par une personne entendue, à savoir la pénétration du système des SCADA d'un hôpital nord-américain par un adolescent de seize ans qui avait réussi à bloquer la climatisation de cet établissement et exigeait une rançon pour la rétablir. Cela va au-delà de la simple constatation de l'habileté avérée d'un adolescent face à l'inconscience de l'administration d'un hôpital. La prise en considération du facteur humain est primordiale pour opposer une défense idoine.
Par ailleurs, quand on sait que des logiciels d'attaques informatiques sont maintenant disponibles dans le commerce, donc éventuellement à la disposition d'individus particulièrement malfaisants, le rapprochement de ce fait avec le fait précédent peut conduire à réfléchir.
D'autant que, même si notre rapport a souhaité disséquer, pour ainsi dire, la complexité de la sécurité numérique d'une entreprise, un des constats auxquels vos rapporteurs sont parvenus, mentionné dans le préambule du rapport, est le suivant : au-delà des failles technologiques, les failles humaines entraînent des vulnérabilités plus grandes .
D'où l'effort d'éducation que nous avons déjà évoqué et, plus généralement, une action de sensibilisation massive à mener dont la petite projection du début de notre réunion a montré la nécessité.
En effet, ce film réalisé par le CIGREF à la demande d'une quarantaine d'entreprises internationales est destiné à être diffusé , accompagné d'un test ludique, à destination de tous les employés desdites sociétés avec, évidemment, l'espoir que cette sensibilisation gagne leurs familles et d'autres entreprises , ainsi que les administrations, voire les politiques eux-mêmes.
Trop souvent, les dirigeants des entreprises ne prennent pas assez au sérieux les exigences de la sécurité numérique. Ainsi, l'usage systématique d'un téléphone portable sécurisé est difficile à accepter.
Pour illustrer cette prégnance tous azimuts du risque numérique, nous avons prévu d'insérer en annexe du tome premier du rapport, un petit questionnaire , imaginé par le même CIGREF, recensant certaines situations quotidiennes liées au numérique et proposant plusieurs réactions possibles.
Il a été remis à chacun d'entre vous les quelques pages de ce jeu-questionnaire et, tout en écoutant avec attention notre présentation à deux voix, vous avez peut-être déjà tenté de déterminer ce qu'aurait été votre attitude numériquement responsable dans tel ou tel cas.
Quand on parcourt l'ensemble de ce questionnaire, chacun ne peut que s'étonner de ses erreurs de réflexe ou des hésitations à opter pour la bonne option qui auraient constitué autant des failles de sécurité dans la vie quotidienne.
Cela illustre qu'il ne faudrait plus jamais concevoir quelque avancée du numérique que ce soit sans qu'une analyse approfondie ait pu proposer, dans le même temps, des instruments de sécurité . Cet enjeu pourrait, d'ailleurs, constituer une opportunité pour notre économie.
Cela suppose de faire preuve de davantage de cohérence dans la prise au sérieux du concept même de sécurité numérique . Et cela commence dès la conception des organigrammes des entreprises où l'« empêcheur de tourner en rond » que représente souvent le responsable de la sécurité n'est pas situé au bon niveau pour que ses conseils puissent être entendus et acceptés à temps par les dirigeants.
Ces affirmations ne sont pas excessives car des exemples quotidiens montrent que les entreprises n'ont pas encore tiré les conséquences des impératifs que devraient leur dicter la sécurisation numérique de leurs activités .
Dans de nombreuses entreprises, les employés utilisent indifféremment leurs matériels numériques personnels ou professionnels, d'autant que les usages sont de plus en plus nomades. Les accès Internet sont multiples, les personnes séjournant temporairement dans l'entreprise pas assez contrôlées, l'usage des clés USB s'est banalisé et les comportements inconséquents vis-à-vis de l'utilisation des objets connectés sont aussi variés qu'innombrables.
Et des exemples récents montrent que des pirates ou attaquants ont bien compris que les failles du numérique peuvent être d'autant mieux exploités qu'elles sont élargies par les défaillances humaines .
C'est ce que les spécialistes du numérique appellent l' ingénierie sociale associée aux attaques techniques. Tel a été encore le cas, à la fin de l'année 2014, à propos de l'attaque connue sous le nom d'« arnaque au président » où, après une étude poussée des habitudes numériques et des caractéristiques de chacun des protagonistes, un appel téléphonique du supposé président d'une société est adressé, le vendredi soir, à un comptable de cette entreprise pour lui demander d'adresser d'urgence, de la part du président, une somme importante qui permettra d'assurer in extremis , au cours de la fin de semaine, la conclusion d'une négociation déjà bien avancée.
Ce procédé peut vous paraître enfantin voire grossier, mais, à la fin de l'année 2014, l'entreprise Michelin a déboursé 1,6 million d'euros , piégée par cette arnaque.
De nombreux présidents, dirigeants d'opérateurs d'importance vitale ont été sollicités de la même manière et tous n'ont pas eu la chance d'avoir des personnels assez sensibilisés au risque numérique pour ne pas tomber dans de tels traquenards.
Parfois, même si l'attaque n'est pas identifiée immédiatement, il est encore possible d'interrompre les rebonds successifs de pays en pays de l'argent ainsi naïvement remis mais à condition d'opérer extrêmement rapidement.
M. Bruno Sido . - Je voudrais, avant de terminer notre présentation, et avant d'en venir à vos questions, évoquer les objets connectés dont chacun s'amuse et s'émerveille et qui ont constitué des cadeaux de Noël recherchés : il faut savoir que ces objets sont conçus d'abord pour séduire, sans que la question de leur sécurité soit incluse dès l'origine.
Or, d'après certaines personnes auditionnées, le nombre de ces objets par individu pourrait dépasser la cinquantaine dans quelques années et la plupart de ces objets communiqueront entre eux sans intervention ni contrôle humains.
D'où la recommandation de vos rapporteurs de prévoir des protocoles de conception d'objets connectés incluant obligatoirement à tout coup des préconisations de sécurité et, à tout le moins, une information sur l'absence de sécurité.
Pour résumer l'esprit des propositions de recommandations essentielles faites par vos rapporteurs en faveur d'une amélioration de la sécurité numérique des entreprises, nous vous les présentons en distinguant les trois temps d'une attaque : avant, pendant et après.
Avant une attaque numérique , il serait infiniment souhaitable pour les entreprises de :
- classer les données et simuler des pertes d'archives ;
- chiffrer les données sensibles ;
- chiffrer les réseaux Wi-Fi ;
- construire une sécurité numérique dans la profondeur ;
- établir un plan global de sécurité prévoyant l'homogénéité de celle-ci ;
- installer des sondes sur le réseau, dont des sondes de détection d'attaque ;
- n'acheter que des matériels et ne recourir qu'à des fournisseurs référencés par l'ANSSI ;
- déconnecter les SCADA de l'Internet ;
- sécuriser les passerelles d'interconnexion avec l'Internet ;
- éviter l'usage d'infrastructures sans fil ( Wi-Fi ) ;
- effectuer des tests d'intrusion et des exercices réguliers de crises informatiques , des audits de sécurité des règles informatiques ;
- former à la sécurité informatique ;
- mettre en place un centre de sécurité opérationnel ;
- assurer le risque numérique.
Mme Anne-Yvonne Le Dain . - Pendant une attaque numérique , il est urgent :
- d'activer les cellules de crise et les équipes d'intervention ;
- d'informer sans délai l'ANSSI et la CNIL ;
- de communiquer avec d'autres opérateurs d'importance vitale (OIV) ;
- d'avoir à disposition le nom du développeur du site de l'entreprise , ses clés d'accès, ses mots de passe et la manière d'obtenir les journaux informatiques ;
- de réagir à un virus en moins de vingt-quatre heures ;
- d'analyser l'attaque informatique subie.
M. Bruno Sido . - Après une attaque numérique , si une prévention avait été mise en place et utilisée lors de l'attaque, il faudrait :
- mettre en oeuvre les enseignements des exercices de restauration des archives ;
- changer les mots de passe .
Si certaines entreprises concernées s'apercevaient qu'elles ont, malheureusement pour elles, négligé plusieurs de ces précautions, il ne leur resterait plus qu'à adopter d'urgence toutes les préconisations de vos rapporteurs.
Dans leurs préconisations, vos rapporteurs ont souhaité distinguer deux grandes catégories. D'abord une vingtaine de recommandations générales , classées en cinq sous-ensembles, puis, pour ceux qui souhaitent aller plus loin, une centaine de recommandations placées sous un intitulé « Vade-mecum pour la sécurité numérique des entreprises » où sont détaillées environ la moitié des prescriptions que la centaine d'auditions a inspirée à vos rapporteurs.
Il est donc possible d'avoir deux niveaux de lecture des recommandations du rapport, l'une, traditionnelle, avec les vingt premières recommandations et l'autre, plus technique, et qui se veut opérationnelle, avec le vade-mecum destiné aux entreprises.
Faut-il rappeler que toutes les recommandations pouvant émaner de l'OPECST ne se traduisent pas obligatoirement ou uniquement dans un texte législatif mais peuvent prendre des formes plus directes à destination soit du Gouvernement, soit encore des entreprises, soit, enfin, des individus eux-mêmes puisque, vous le verrez à la lecture de ce rapport, chacun d'entre nous peut en tirer des leçons pour son comportement quotidien personnel.
Pour terminer, vos rapporteurs ont constaté qu'il existait peut-être, à ce stade de leurs travaux, comme cela est souvent le cas, une insuffisante adéquation entre l'objet du rapport et son intitulé initial . D'où la proposition de modifier cet intitulé pour mieux marquer que, au-delà des risques du numérique, il s'agit de favoriser les conditions de la confiance à mettre en lui et de mieux indiquer que ce rapport est très largement tourné vers les entreprises .
Le nouvel intitulé pourrait être, par exemple, « La sécurité numérique des entreprises » ou « Les conditions de la confiance pour une sécurité numérique des entreprises » ou bien d'autres encore que nous évoquerons ensemble lors de la discussion.
Nous vous remercions de votre attention et vous proposons de répondre maintenant à vos questions.
M. Jean-Yves Le Déaut. - Je voudrais tout d'abord vous remercier pour le travail qui a été accompli. La parole est à M. Daniel Raoul.
M. Daniel Raoul. - Je dois vous dire que j'ai eu un peu de difficulté à suivre compte tenu de la vitesse du débit avec lequel les orateurs ont exposé les conclusions de leurs travaux. Je relirai donc cela à tête reposée.
Avez-vous fait une distinction, quant au risque numérique , entre les voies hertziennes et les réseaux fibres ? Cela me paraît relativement important car l'on voit se développer le réseau Wi-Fi avec tout ce qu'on appelle la domotique, mais c'est également vrai dans une entreprise ; or, n'importe qui, avec un scanner de fréquences, peut attaquer ce système qui est d'une grande fragilité et ne procure aucune sécurité.
Je me souviens avoir préconisé, à l'occasion du versement de la subvention que j'accordais à une école d'ingénieurs, d'éviter le Wi-Fi dans les laboratoires et de préférer les réseaux câblés. Cette école d'ingénieurs, qui avait des contrats avec des entreprises privées, s'exposait inutilement.
Ma deuxième observation concerne l'impossibilité pour des compagnies d'assurance d'accepter d'assurer le risque numérique des entreprises.
En tout cas, dans les entreprises comme chez les particuliers, des précautions simples pourraient être prises comme l'arrêt de tous les appareils en cas de non utilisation, au moins en fin de semaine, au lieu d'une simple mise en veille.
Par exemple, en ce moment, n'importe qui peut écouter ce qui se passe ici grâce à nos téléphones alors qu'ils sont en veille.
M. Bruno Sido . - Je serais tenté de répondre qu'effectivement, ce problème existe avec tout ce qui est hertzien, mais la sécurité n'est pas meilleure avec la fibre lorsque les fabricants ont prévu des « portes dérobées » aux bouts de celle-ci. Pour ceux qui ont des informations vraiment confidentielles à transmettre, cela n'est pas plus sûr.
D'ailleurs l'exemple de l'homme d'affaires qui se rend en Chine avec ses ordinateurs et ses téléphones personnels ou professionnels montre combien on est exposé à l'erreur. Il devrait partir avec des ordinateurs vides et des téléphones simples achetés pour la circonstance et non utilisés ensuite. Dans le cas contraire, il est susceptible de se faire piller les informations disponibles sur ses appareils, et, de ce fait, risque de ne pas pouvoir conclure de très importantes affaires.
Mme Catherine Procaccia, sénatrice. - Je trouve que vous avez été très ambitieux en pensant qu'un rapport de l'OPECST pouvait apporter des solutions au risque numérique.
En outre, depuis quelques années, il y a, comme vous le citez, l'ANSSI et d'autres organismes qui interviennent sans arrêt, ce qui n'empêche pas tous les risques. Alors les précautions que vous évoquez seraient importantes aussi bien pour les entreprises que pour les hommes politiques qui nous dirigent. Quant à ce que font les assemblées parlementaires, cela est plutôt public.
Je rapproche de ce que vous venez de dire de ce qui a été exposé précédemment aujourd'hui à propos des vaccins. Pour le risque numérique, c'est la même chose ; il y a des virus qui nous atteignent et des gens qui essayent d'attaquer les données des entreprises et des gouvernements.
Il pourrait y avoir des sortes de vaccins consistant à crypter les données et à éteindre tous les appareils systématiquement lors de leur non utilisation, même si on ne le fait pas.
Je ne sais pas si le rapport va pouvoir apporter grand-chose mais, en tout cas, je puis vous affirmer que, en matière d' assurance , il est actuellement impossible d'assurer le risque numérique puisque le principe de l'assurance repose sur l'analyse des risques qui se sont produits. Alors, quand vous dites que 73 % des entreprises se sont fait piller des données, comment voulez-vous que des assureurs puissent proposer quoi que ce soit puisque le coût de l'assurance risquerait d'être supérieur à celui de la sécurisation du système informatique de l'entreprise ?
J'ai la connaissance d'un certain nombre d'entreprises où les salariés se plaignent parce que, tous les mois, si ce n'est pas toutes les semaines, ils ne peuvent plus accéder à leur messagerie parce qu'on leur demande de changer leurs mots de passe.
Il me semble que les entreprises qui exportent ont conscience de l'ampleur du risque numérique mais il reste difficile de trouver les moyens d'une sécurité totale, sans parler des moyens financiers et des moyens intellectuels qui risquent d'être inférieurs à ceux mis en oeuvre par les pirates.
M. Daniel Raoul, sénateur. - En ce qui concerne la comparaison avec les virus, cela n'est pas tout à fait équivalent puisque, dans le domaine du numérique, outre les virus, il existe la volonté des pirates qui se livrent à l'attaque sans qu'il y ait forcément de virus injecté.
Mme Anne-Yvonne Le Dain . - Nous avons reçu en audition plus de cent personnes, de l'écrivain à des responsables industriels. En débutant cette étude, nous savions que le sujet était très riche, mais nous n'avions pas imaginé qu'il l'était à ce point. En fait, on entre dans un nouveau monde où l'on ne peut pénétrer avec les réflexes de l'ancien monde, plus rationnel.
Le nouveau monde est complètement multiforme, multi-ouvert et ne pas se protéger est une bêtise. Par exemple, après l'attaque contre les Twin Towers , les Américains ont pris le Patriot Act et s'en servent pour tout, y compris à des fins économiques. Ils ont condamné récemment une très belle entreprise française au motif qu'elle avait une sous- filiale dans un endroit célèbre où elle avait payé un contrat en dollars ; j'en suis resté abasourdie.
Donc les Américains se servent de la sécurité numérique comme d'un enjeu doctrinal, économique. Actuellement, les GAFA (Google, Apple, Facebook et Amazon) continuent à faire en sorte que la police de l'Internet soit assurée par une entreprise privée située en Californie, l' ICANN, grâce à laquelle la NSA américaine s'est procurée les adresses Internet du monde entier. Or, aujourd'hui, les entreprises américaines ont bien conscience que l'Europe est un espace pertinent économiquement. Elles sont donc présentes à Bruxelles où se négocie actuellement le traité transatlantique. Autour de la table de négociation sont présents des dizaines et des dizaines d'Américains qui expliquent à quel point ce traité est une évidence et qu'il faut lui soumettre l'ensemble du numérique.
Comme il y a davantage d'utilisateurs d'Internet en Europe qu'aux États-Unis d'Amérique, l'Europe est leur meilleur client. Il importe donc de se protéger des Américains, par exemple en créant un Google européen. Même si les Américains sont des alliés et des amis, économiquement nous sommes leur meilleur marché.
Sur la question de la sécurité numérique, nous disposons de tout ce qui convient en France et en Europe pour enclencher une dynamique sectorielle s'appuyant sur de nouveaux concepts, et permettant d'aller vers un autre monde que celui que l'on a connu jusque-là. Il n'y a plus de barrières économiques ou techniques comme autrefois ; aujourd'hui, tout est réversible. Il faut de la vitesse, de la réactivité, de l'intelligence et de l'initiative locale, car l'échelon national ne fonctionne plus. Il faut multiplier les nouvelles procédures et les nouveaux procédés autour des concepts de multi-acteur et de multi-action, et construire de l'opacité au moyen de nuages de points. Il faut jouer sur le fait que le numérique est nanométrique et nanoseconde.
M. Jean-Yves Le Déaut. - Nous avons maintenant à conclure. Un certain nombre de corrections tardives ont été proposées, notamment sur le préambule et l'introduction. Avec l'accord des deux rapporteurs, j'ai comparé les versions et constaté que beaucoup de modifications souhaitées étaient relativement mineures. Si vous en êtes d'accord, je transmettrai le document annoté par mes soins aux rapporteurs afin qu'ils intègrent mes remarques au document final.
Le président Bruno Sido a indiqué votre intention de ne pas en rester aux aspects d'ordre général du sujet, comme la gouvernance mondiale de l'Internet , mais vous avez tout de même traitée celle-ci, et même bien traitée, et c'est réellement l'un des gros problèmes de la sécurité des systèmes informatiques que cette mauvaise gouvernance internationale de l'Internet. Je pense donc que des questions comme la démocratisation de l' ICANN , ou l'idée d'un affichage d'icônes renseignant mieux les usagers pourraient figurer dans la conclusion.
Finalement, tant qu'on n'aura pas fait évoluer le système de gouvernance, notamment au niveau des langues, car la domination linguistique de l'anglais conforte la mainmise non-américaine sur l'Internet, nous rencontrerons toujours de grandes difficultés à traiter les problèmes de sécurité numérique et de chaîne de sécurité.
À la fin du rapport, le vade-mecum à destination des entreprises est très bien. Il faudrait que la partie de la conclusion intitulée « Faire de l'économie avec du droit » figure avant les recommandations. Enfin, je suggérerais de développer les intitulés des principales recommandations.
Nous sommes ainsi arrivés, d'après moi, à un très bon rapport. Je voudrais encore vous remercier car il s'agissait là d'une étude compliquée. Je voudrais encore remercier l'expert pour son apport technique.
Il reste maintenant à choisir un intitulé. Les rapporteurs ont carte blanche pour en décider.
Je vous propose d'adopter ce rapport et ses conclusions. Qui vote contre ? Qui s'abstient ? Le rapport est adopté à l'unanimité et je vous en remercie.
À la suite de ce débat, l'Office a autorisé la publication de ce rapport.