INTRODUCTION
Le but de ce rapport d'information est, à partir d'un cas de cyberattaque aux conséquences limitées contre la plateforme « ARIANE » du ministère de l'Europe et des affaires étrangères, de tirer des enseignements qui permettront d'améliorer la résilience des administrations de l'Etat.
Le ministère de l'Europe des affaires étrangères (MEAE) a mis en place, depuis 2010 une plateforme de service « ARIANE » qui permet aux ressortissants français qui s'inscrivent en ligne de recevoir des consignes de sécurité lors de leurs voyages à l'étranger.
Chacun peut donc, sur le site « diplomatie.gouv.fr », créer un « compte utilisateur » et avant chaque voyage s'enregistrer en précisant ses lieux de passage, son numéro de téléphone portable et son adresse électronique, mais aussi, dans les données du compte utilisateur, les personnes à prévenir en cas d'urgence. Au cours du séjour à l'étranger et si la situation du pays le justifie, l'usager reçoit des recommandations de sécurité du Centre de crise et de soutien du ministère, par SMS ou par courriel, et peut être contacté en cas de crise. C'est donc un service très utile et très utilisé.
Le Centre de crise et de soutien du ministère est le service responsable du traitement de ces données. Les postes diplomatiques et consulaires français en sont destinataires. La plateforme est maintenue par la direction des systèmes d'information du MEAE.
Le 5 décembre 2018, la plateforme « ARIANE » a été victime d'une cyberattaque. Cette attaque a été détectée par un dispositif de protection mis en place par l'Agence nationale de sécurité des systèmes d'information (ANSSI) en périphérie des systèmes d'information du ministère. Ce dispositif a pu constater qu'une partie des données stockées dans cette base de données a été piratée.
Des données personnelles enregistrées lors de l'inscription sur la plateforme ont été dérobées . Selon le MEAE, il s'agit de données extraites de la table des personnes à contacter en cas d'urgence (nom, prénom, adresse électronique) et d'une partie des identifiants téléphoniques pour lesquels il avait été sagement prévu un stockage fractionné dans deux tables différentes, afin d'empêcher la reconstitution des numéros et donc leur exploitation frauduleuse. Au total, ce sont 540 563 personnes qui sont concernées par ce vol de données. Ni les autres données des titulaires de comptes, ni leur mot de passe, ni les dates et destinations de leurs voyages n'ont été compromis. Les données dérobées ne permettaient pas de faire de lien entre les contacts et les titulaires de compte. En outre, il a été constaté à l'occasion de l'information des personnes concernées par l'envoi d'un courriel, que plus de 200 000 de ces adresses n'étaient plus actives.
Le service n'a pas été interrompu et la sécurisation des données a été restaurée, des mesures correctives ont été prises pour empêcher la reproduction d'une attaque selon les mêmes procédures.
L'incident a été connu du grand public le 13 décembre, date à laquelle le ministère a adressé un courriel d'information aux personnes concernées et un communiqué de presse. Ce communiqué annonçait que le ministère avait saisi la Commission nationale de l'informatique et des libertés (CNIL) ainsi que la justice des faits constatés.
Sitôt l'incident connu , la commission des affaires étrangères, de la défense et des forces armées du Sénat s'est saisie de ce dossier , à l'initiative de vos deux rapporteurs. En effet, depuis trois ans, les avis budgétaires de la commission sur le programme 129 « Coordination du travail gouvernemental » qui porte les crédits de l'ANSSI, soulignait les résultats insuffisants de la mise en oeuvre de la politique de protection et de sécurité des systèmes d'information de l'Etat (PSSIE) 2 ( * ) . En outre, cette cyberattaque touchait un ministère sur lequel la commission était pleinement légitime à assurer un contrôle. Le but n'était pas de stigmatiser d'éventuelles défaillances mais au contraire de susciter un retour d'expérience dont le MEAE, et au-delà les services de l'Etat, pourraient tirer des enseignements pour les prochains incidents qui ne manqueront pas de se produire compte tenu des vulnérabilités de nos systèmes, d'une part, de la fréquence croissante, de l'ampleur et de la sophistication des attaques, d'autre part.
Ont été entendus, dès le 19 décembre, le directeur général de l'ANSSI, le directeur des systèmes d'information et le directeur de la sécurité diplomatique du MEAE, la direction générale de la sécurité intérieure (DGSI) qui est l'un des services disposant des capacités d'investigation pour rechercher l'origine d'une cyberattaque, la CNIL et enfin la section spécialisée du parquet de Paris.
Ces auditions ont été complétées par l'envoi de questionnaires écrits et par une réunion de retour d'expérience avec les services du ministère de l'Europe et des affaires étrangères au cours de laquelle les représentants de différents services et du cabinet du ministre ont exposé leurs appréciations à partir des premières observations des rapporteurs et examiner les pistes d'amélioration de leurs dispositifs de protection et de gestion de crise.
L'objectif de cette mission d'information, au-delà de la mise à jour de lacunes et d'insuffisances dans les procédures et les modes de fonctionnement, est d'inciter les administrations de l'Etat à améliorer leur résilience en favorisant l'émergence en leur sein d'une culture de la cybersécurité, en affectant les moyens nécessaires à la protection de leurs systèmes d'information et en garantissant, en cas de crise, la fluidité des relations entre les différents acteurs de la prévention et la protection (ANSSI, DSI des ministères, CNIL) mais aussi de la judiciarisation.
En déroulant patiemment le fil d'une cyberattaque comme celle d' « ARIANE », vos rapporteurs ont essayé de comprendre comment le MEAE avait réagi et quels enseignements il pouvait en tirer pour renforcer sa résilience.
De cet ensemble, plusieurs recommandations à l'attention du Gouvernement ont pu être formulées.
* 2 Sénat n° 142 Tome IX (2016-2017) par MM. Bockel et Masseret, p. 37 et suiv. http://www.senat.fr/rap/a16-142-9/a16-142-9.html
Sénat n° 110 Tome IX (2017-2018) par MM. Cadic et Mazuir p. 24 et suiv. http://www.senat.fr/rap/a17-110-9/a17-110-96.html#toc105
Sénat n° 149 Tome IX (2016-2017) MM. Cadic et Mazuir p. 22 et suiv. http://www.senat.fr/rap/a18-149-9/a18-149-9.html