Cyberattaque contre « ARIANE » : une expérience qui doit nous servir

Enregistré à la Présidence du Sénat le 6 février 2019

(1) Cette commission est composée de : M. Christian Cambon , président ; MM. Pascal Allizard, Bernard Cazeau, Robert del Picchia, Mme Sylvie Goy-Chavent, MM. Jean-Noël Guérini, Joël Guerriau, Pierre Laurent, Cédric Perrin, Gilbert Roger, Jean-Marc Todeschini , vice-présidents ; M. Olivier Cigolotti, Mme Joëlle Garriaud-Maylam, M. Philippe Paul, Mme Marie-Françoise Perol-Dumont , secrétaires ; MM. Jean-Marie Bockel, Gilbert Bouchet, Michel Boutant, Olivier Cadic, Alain Cazabonne, Pierre Charon, Mme Hélène Conway-Mouret, MM. Édouard Courtial, René Danesi, Gilbert-Luc Devinaz, Jean-Paul Émorine, Bernard Fournier, Jean-Pierre Grand, Claude Haut, Mme Gisèle Jourda, MM. Jean-Louis Lagourgue, Robert Laufoaulu, Ronan Le Gleut, Jacques Le Nay, Rachel Mazuir, François Patriat, Gérard Poadja, Ladislas Poniatowski, Mmes Christine Prunaud, Isabelle Raimond-Pavero, MM. Stéphane Ravier, Hugues Saury, Bruno Sido, Rachid Temal, Raymond Vall, André Vallini, Yannick Vaugrenard, Jean-Pierre Vial, Richard Yung .

Au ministère de l'Europe et des affaires étrangères

Accélérer les procédures de mise à jour des logiciels pour lesquels des failles ont été identifiées, considérer ces actions de protection comme prioritaires, y affecter les moyens nécessaires.

Veiller à l'application rigoureuse de la circulaire interministérielle du 17 juillet 2014 sur la politique de sécurité des systèmes d'information de l'Etat (PSSIE).

Anticiper les remplacements des hauts fonctionnaires de défense (HFD), des fonctionnaires de sécurité des systèmes d'information (FSSI) et des RSSI afin d'éviter des vacances de poste et désigner systématiquement des suppléants afin d'éviter les vacances durant les phases de recrutement.

Mettre en place un système alertant la personne concernée qu'elle vient d'être inscrite dans la base « ARIANE » comme personne à prévenir en cas d'urgence.

Se doter des moyens d'effectuer une analyse complète de l'impact potentiel de la mise en oeuvre de l'obligation d'information lorsque celle-ci peut présenter un risque potentiel pour la défense nationale, la sécurité nationale ou la sécurité publique.

Associer dès le départ la direction de la communication et de la presse à la gestion de l'incident.

Soigner la présentation des messages diffusés afin de favoriser la bonne indentification et compréhension par les personnes concernées.

Diffuser d'emblée un communiqué de presse complet (FAQ incluse, par exemple) compte tenu de la complexité de l'objet.

Améliorer la procédure de dépôt de plainte en mettant en place une procédure d'alerte immédiate des services de police et du Parquet par des moyens dématérialisés dès la survenue de l'incident et un circuit de transmission de la plainte officielle.

Formaliser une procédure de gestion de crise impliquant les directions concernées par les cyberattaques : HFDS, FSSI, DSI, direction de la sécurité diplomatique, direction de la communication et de la presse, direction des affaires juridiques et direction « métier » gestionnaire des données.

Au Premier ministre

Sensibiliser avec fermeté l'ensemble des ministères pour une application rigoureuse de la circulaire interministérielle du 17 juillet 2014 sur la politique de sécurité des systèmes d'information de l'Etat (PSSIE).

Étudier rapidement les moyens juridiques et techniques permettant à l'ANSSI de contraindre les administrations de l'Etat à appliquer ses préconisations, notamment abaisser le seuil de 9 M€ établi par l'article 3 du décret n°2014-879 du 1 ^er août 2014, qui requiert que l'ANSSI ^{1 ( * )} formule un avis relatif à la prise en compte de la sécurité informatique pour les grands projets de l'Etat.

Conditionner l'attribution, voire le versement des crédits, pour de nouveaux projets informatiques au respect des préconisations de l'ANSSI et à l'application d'un ratio de dépenses consacrées à la cybersécurité qui pourrait être fixé à 5% des crédits consacrés par chaque ministère au développement et à la maintenance de leurs applications informatiques ou numériques, qu'elles soient pilotées par les directions des systèmes d'information ou par les directions « métiers ».

Imposer des règles strictes en matière de recrutement des directeurs des systèmes d'information : une formation solide en matière de cybersécurité évaluée par l'ANSSI pour tout recrutement des nouveaux DSI ministériels ainsi qu'aux directeurs « métiers » pilotant la mise en oeuvre de projets numériques ; inscription d'objectifs en matière de sécurité informatique définis par l'ANSSI dans leurs lettres de mission et pris en compte dans leur évaluation.

Formuler des recommandations aux administrations de l'Etat sur les éléments à prendre en considération pour la mise en oeuvre des obligations de déclaration et d'information du RGPD et en matière de communication.

Prévoir notamment une information immédiate des services du Premier ministre et se doter d'une capacité de coordination de la réponse à apporter lorsque la mise en oeuvre de l'obligation d'information peut présenter un risque potentiel pour la défense nationale, la sécurité nationale ou la sécurité publique, ainsi que d'une capacité de conseil pour la rédaction des instruments de communication.

Prendre en considération le risque afférent à cette obligation d'information et à la communication lorsque l'incident est évoqué en C4.

Mettre en place un numéro vert unique et identifiable pour renseigner les personnes concernées ou le public.

Mettre en place sous l'égide du SGDSN des sessions d'information réunissant les DSI des administrations de l'Etat d'une part, la section spécialisée du Parquet de Paris et les services compétents du ministère de l'Intérieur d'autre part, de façon à sensibiliser les administrations de l'Etat sur la nécessité de mise en place de procédures d'alerte, de dépôt de plainte et de recueil des éléments de preuves.

Rappeler aux administrations de l'Etat l'obligation de saisir les services compétents du ministère de l'Intérieur et le Parquet en cas de cyberattaque.

Formuler des recommandations aux administrations de l'Etat sur la gestion des incidents et des crises résultant de cyberattaques.

Etudier la mise en place de formations spécialisées à destination des cadres des administrations de l'Etat.

Au ministère de la Justice

Renforcer la section spécialisée du Parquet de Paris.

Aux ministères de l'Intérieur et de la Justice

Se doter d'un outil statistique permettant d'apprécier le suivi du traitement judicaire des attaques informatiques dirigées contre les systèmes et réseaux gouvernementaux, ceux des opérateurs d'importance vitale, des établissements disposant de zones à régimes restrictifs, ou portant atteinte aux intérêts fondamentaux de la Nation.

A la CNIL

Veiller à la prise en compte de tous les éléments d'appréciation dans l'analyse des obligations d'information et de communication dans le respect du RGPD.