N° 82
SÉNAT
SESSION ORDINAIRE DE 2019-2020
|
Enregistré à la Présidence du Sénat le 22 octobre 2019 |
RAPPORT D'INFORMATION
FAIT
au nom de la commission des finances (1) sur la sécurité informatique des pouvoirs publics ,
Par M. Jérôme BASCHER,
Sénateur
|
(1) Cette commission est composée de : M. Vincent Éblé , président ; M. Albéric de Montgolfier , rapporteur général ; MM. Éric Bocquet, Emmanuel Capus, Yvon Collin, Bernard Delcros, Philippe Dominati, Charles Guené, Jean-François Husson, Mme Christine Lavarde, MM. Georges Patient, Claude Raynal , vice-présidents ; M. Thierry Carcenac, Mme Nathalie Goulet, MM. Alain Joyandet, Marc Laménie , secrétaires ; MM. Philippe Adnot, Julien Bargeton, Jérôme Bascher, Arnaud Bazin, Jean Bizet, Yannick Botrel, Michel Canevet, Vincent Capo-Canellas, Philippe Dallier, Vincent Delahaye, Mme Frédérique Espagnac, MM. Rémi Féraud, Jean-Marc Gabouty, Jacques Genest, Alain Houpert, Éric Jeansannetas, Patrice Joly, Roger Karoutchi, Bernard Lalande, Nuihau Laurey, Antoine Lefèvre, Dominique de Legge, Gérard Longuet, Victorin Lurel, Sébastien Meurant, Claude Nougein, Didier Rambaud, Jean-François Rapin, Jean-Claude Requier, Pascal Savoldelli, Mmes Sophie Taillé-Polian, Sylvie Vermeillet, M. Jean Pierre Vogel . |
LES PRINCIPALES OBSERVATIONS ET RECOMMANDATIONS DU RAPPORTEUR SPÉCIAL
|
Recommandation n° 1 : conforter le rôle de l'Agence nationale de sécurité des systèmes d'information (ANSSI) auprès des pouvoirs publics. Recommandation n° 2 : assurer un meilleur contrôle du Sénat sur l'acquisition par les sénateurs de leurs équipements informatiques , afin de faciliter le travail de maintenance des équipes techniques. Recommandation n° 3 : reporter l'entrée en vigueur de la disposition organique permettant la transmission par voie électronique des parrainages pour l'élection présidentielle. Recommandation n° 4 : moderniser le système informatique robuste de remontée de résultats des élections dans les préfectures. |
AVANT-PROPOS
Mesdames, Messieurs,
Le constat d'une croissance des attaques et d'une diversification de la menace d'origine cyber est partagé par l'ensemble des observateurs et des acteurs de la sécurité informatique. Les pouvoirs publics, au coeur des enjeux stratégiques et décisionnels des démocraties, constituent une cible privilégiée des attaquants de toutes origines, étatiques ou non.
Dans ce contexte, il a semblé à votre rapporteur spécial utile d'étudier les conditions dans lesquelles les pouvoirs publics mobilisent leurs moyens matériels et humains afin d'éviter une attaque, mais également d'en minimiser les conséquences sur le fonctionnement des institutions de la République.
Les pouvoirs publics, au même titre que les entreprises ou les particuliers, sont la cible de cyberattaques aussi bien de masse que ciblées. La revue stratégique de cyberdéfense 1 ( * ) , confiée par le Premier ministre Édouard Philippe à Louis Gautier, secrétaire général de la défense et de la sécurité nationale, a mis en évidence quatre grandes catégories de menaces, qui correspondent aux objectifs poursuivis par les attaquants :
- l'espionnage informatique . Ce type d'attaque vise à dérober des données et peut être réalisé par les services de renseignement des États qui en ont la capacité, mais pas uniquement. Ces attaques constituent, en nombre, la plus grande partie des offensives majeures ayant visé la France ces dernières années ;
- la cybercriminalité . Le développement et la professionnalisation des réseaux cybercriminels dans les années 2000 a conduit à la multiplication des opérations criminelles de vol direct et de rançons. On observe un rapprochement des groupes cybercriminels et des services de renseignements de certains États - de nouvelles officines ;
- la déstabilisation . Le développement des réseaux sociaux a permis l'émergence de ce type d'attaques informatiques visant en particulier à propager des faits non vérifiés voire erronés, dits fake news ou infox, dont la diffusion est particulièrement rapide ;
- le sabotage informatique . Ces attaques visent à paralyser l'activité d'une entité en bloquant ses réseaux voire en détruisant ses équipements les plus critiques.
Le rapport d'activité de l'Agence nationale de sécurité des systèmes d'information (ANSSI) pour l'année 2018 pointait quant à lui cinq grandes tendances observées par sa sous-direction des opérations en France et en Europe : l'exfiltration de données stratégiques ; les attaques indirectes qui exploitent la relation de confiance qui unit la cible finale à la cible intermédiaire ; les opérations de déstabilisation ou d'influence, particulièrement nombreuses ; la génération de cryptomonnaies ; la fraude en ligne, qui se tourne progressivement vers des cibles moins exposées mais plus vulnérables car moins préparées que les grands opérateurs.
Cette catégorisation des cybermenaces, si elle peut paraître théorique, recouvre une réalité que confirment les exemples plus ou moins récents d'attaques d'ampleur qui ont affecté le fonctionnement d'institutions publiques ou d'opérateurs d'importance vitale (OIV) en France ou à l'étranger ces dernières années.
Ainsi, l'Estonie a subi en 2007 une attaque majeure visant les sites internet du Gouvernement, des médias ou encore des grandes banques. Ceux-ci ont été saturés au point d'être paralysés pour des périodes allant de plusieurs heures à quelques jours. Plus récemment, en mai 2015, le Bundestag, chambre basse du Parlement allemand, était victime d'une cyberattaque qui a nécessité plusieurs semaines de travail pour que les conséquences soient surmontées et que la fin de l'attaque soit officiellement annoncée. À nouveau en janvier 2019, l'Allemagne était la cible d'une cyberattaque avec la publication en ligne de nombreuses données confidentielles concernant des responsables politiques allemands. En France, c'est la chaîne TV5 Monde qui a été la cible d'une attaque dont les conséquences ont été durables (cf. infra).
Les échéances électorales sont des moments cruciaux de la vie politique et institutionnelle des grandes démocraties et deviennent à ce titre des occasions propices aux attaques informatiques. C'est ce qu'a démontré la dernière élection présidentielle américaine de 2016 et l'exfiltration de données dont a été victime le parti démocrate aux États-Unis.
L'objet de ce rapport est donc de procéder à un état des lieux non exhaustif de la préparation des pouvoirs publics pour répondre à l'ensemble des cybermenaces qui les visent. Votre rapporteur spécial a ainsi souhaité vérifier que l'importance des risques pesant sur le fonctionnement des institutions a été prise en compte par les responsables des pouvoirs publics et qu'en ce sens, même si en la matière il est impossible de se prémunir de toutes les attaques éventuelles, les dotations accordées à l'Élysée, au Conseil constitutionnel et aux assemblées parlementaires ont été bien employées en mettant en oeuvre les actions préventives nécessaires et en mobilisant les compétences appropriées .
Il s'agit également d'un enjeu de souveraineté auquel le Sénat s'intéresse au travers de sa commission d'enquête sur la souveraineté numérique rapportée par notre collègue Gérard Longuet.
I. LA SÉCURITÉ INFORMATIQUE DES POUVOIRS PUBLICS, ENJEU STRATÉGIQUE ET FINANCIER
A. LES CONSÉQUENCES POTENTIELLEMENT LOURDES DES ATTAQUES IMPLIQUENT UNE PRÉPARATION EN AMONT : L'EXEMPLE DE TV5 MONDE
L'importance de dresser un état des lieux de la préparation des pouvoirs publics aux risques d'attaques informatiques tient en premier lieu à la lourdeur des conséquences que pourrait avoir une opération d'intrusion ou de déstabilisation visant une institution publique .
En France, le précédent de l'attaque subie par la chaîne de télévision TV5 Monde constitue à la fois un exemple des importants coûts entraînés par un événement de ce type et une référence quant aux enseignements à tirer en termes de préparation pour les services informatiques des structures concernées.
Le 8 avril 2015, TV5 Monde subissait une attaque dont l'objectif était non seulement de détruire les infrastructures informatiques de l'entreprise, mais également de l'empêcher de produire et de diffuser. Concrètement, le site Internet de la chaîne et ses comptes sur les réseaux sociaux étaient utilisés par les attaquants pour diffuser de la propagande djihadiste. La chaîne ne pouvait plus utiliser son système de production d'images et la diffusion a donc été interrompue, conduisant à l'affichage d'un écran noir.
Afin d'apporter une réponse immédiate pour stopper la cyberattaque dont TV5 Monde était la cible, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a apporté son concours aux équipes techniques de la chaîne. Une importante campagne de reconstruction, de consolidation et de durcissement des infrastructures informatiques a ensuite débuté à compter de l'été 2015, dont les conséquences financières continuent de peser sur le budget de fonctionnement de l'entreprise .
Les éléments qui permettent de mesurer le poids de cette cyberattaque dans les dépenses de TV5 Monde sont à apprécier en termes de surcoûts. Ceux-ci ont été évalués de la sorte :
- en 2015, des moyens financiers à hauteur de 4,4 millions d'euros ont été consacrés pour reconstruire le dispositif informatique, lancer le système de supervision et absorber des pertes de recettes. Celles-ci ont été évaluées à 200 000 euros ;
- en 2016, les coûts additionnels ont été évalués à 3,1 millions d'euros ;
- de 2017 à 2019, ces coûts additionnels se sont stabilisés à environ 2,6 millions d'euros par an.
Au regard de l'ensemble du budget de TV5 Monde, ces dépenses supplémentaires impliquées par les suites de la cyberattaque ne sont nullement négligeables : elles représentent 2,4 % des dépenses totales de la chaîne. Celles-ci s'élèvent en 2019 à environ 111 millions d'euros.
L'attaque concernant TV5 Monde ne concernait certes pas un des pouvoirs publics au sens de la mission budgétaire dont votre rapporteur spécial a la charge. Néanmoins, il estime que ce précédent est particulièrement représentatif des surcoûts budgétaires que peut provoquer une insuffisante prise en compte des impératifs liés à la sécurité informatique , sans parler des dysfonctionnements immédiats. Cet exemple justifie l'intérêt porté aux conditions dans lesquelles les pouvoirs publics étudiés s'organisent pour faire face aux menaces évoquées ci-dessus. Au-delà des surcoûts potentiels liés à la gestion d'une attaque, il s'avère néanmoins difficile de déterminer le coût de la sécurité informatique des pouvoirs publics.
* 1 Revue stratégique de cyberdéfense, Secrétariat général de la défense nationale (SGDN), février 2018.