Cybersécurité : le rapport qui accable les parlementaires français en matière de sécurité numérique<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Cybersécurité : le rapport qui accable les parlementaires français en matière de sécurité numérique
©MARTIN BUREAU / AFP

Immaturité

Le 24 octobre dernier, le sénateur de l’Oise Jérôme Bascher a présenté un rapport accablant sur le degré Zéro de compréhension des parlementaires français sur les questions de cybersécurité.

Franck DeCloquement

Franck DeCloquement

Ancien de l’Ecole de Guerre Economique (EGE), Franck DeCloquement est expert-praticien en intelligence économique et stratégique (IES), et membre du conseil scientifique de l’Institut d’Études de Géopolitique Appliquée - EGA. Il intervient comme conseil en appui aux directions d'entreprises implantées en France et à l'international, dans des environnements concurrentiels et complexes. Membre du CEPS, de la CyberTaskforce et du Cercle K2, il est aussi spécialiste des problématiques ayant trait à l'impact des nouvelles technologies et du cyber, sur les écosystèmes économique et sociaux. Mais également, sur la prégnance des conflits géoéconomiques et des ingérences extérieures déstabilisantes sur les Etats européens. Professeur à l'IRIS (l’Institut de Relations Internationales et Stratégiques), il y enseigne l'intelligence économique, les stratégies d’influence, ainsi que l'impact des ingérences malveillantes et des actions d’espionnage dans la sphère économique. Il enseigne également à l'IHEMI (L'institut des Hautes Etudes du Ministère de l'Intérieur) et à l'IHEDN (Institut des Hautes Etudes de la Défense Nationale), les actions d'influence et de contre-ingérence, les stratégies d'attaques subversives adverses contre les entreprises, au sein des prestigieux cycles de formation en Intelligence Stratégique de ces deux instituts. Il a également enseigné la Géopolitique des Médias et de l'internet à l’IFP (Institut Française de Presse) de l’université Paris 2 Panthéon-Assas, pour le Master recherche « Médias et Mondialisation ». Franck DeCloquement est le coauteur du « Petit traité d’attaques subversives contre les entreprises - Théorie et pratique de la contre ingérence économique », paru chez CHIRON. Egalement l'auteur du chapitre cinq sur « la protection de l'information en ligne » du « Manuel d'intelligence économique » paru en 2020 aux Presses Universitaires de France (PUF).

Voir la bio »

Atlantico : le 24 octobre dernier, le sénateur LR Jérôme Bascher a présenté un rapport d’information pour le moins alarmiste concernant le déficit notable de nos parlementaires en matière de bonnes pratiques informatiques. S’il apparaît que les moyens de communication institutionnels semblent eux correctement protégés, c'est bien au niveau des parlementaires eux-mêmes que se situe la faille en matière de cybersécurité. Dès lors, comment nous garantir efficacement après ce constat ?  

Franck DeCloquement : Au travers de la remise de ce rapport d’information assez complet et très riche d’enseignements, le sénateur Jérôme Bascher pointe plusieurs lacunes notables que nous ne pourrons hélas pas toutes énumérer, et fait en effet un distinguo à l’occasion de son entretien donné à Public Sénat, entre le niveau de sécurité informatique général de nos pouvoirs publics opéré par les équipes chargées de la sécurité informatique, et celui de nos parlementaires eux-mêmes : « Le Parlement bénéficie de systèmes de détection des attaques par cheval de Troie sur les sites institutionnels. Mais au niveau des parlementaires, c’est là qu’est la faiblesse. Les fonctions institutionnelles sont relativement bien protégées, mais concernant les pratiques informatiques des parlementaires, c’est proche de zéro ». 

Même appréciation pour la sensibilisation de ces derniers aux risques digitaux basés « sur le volontariat », et leur maturité générale jugée « extrêmement faible» sur ces questions. N’en jetez plus ! Ici comme en toute chose, « les chausseurs semblent une fois de plus les plus mal chaussés », et l’humain demeure sempiternellement le maillon faible d’un dispositif technique en cas de cyberattaque… 

En premier lieu, Jérôme Bascher égratigne notablement la faible prise en considération de la notion de « sécurité informatique » par nos sénateurs et nos députés. Les résidents du Palais du Luxembourg sont notamment pointés du doigt avec « la possibilité laissée aux sénateurs de s’équiper librement, en choisissant pour eux-mêmes et pour leurs collaborateurs les modèles d’ordinateurs et de périphériques qu’ils souhaitent ». Ce qui rend naturellement la tâche des équipes chargées de la sécurité informatique du Sénat  (fonctionnaires ou responsables des systèmes d'information FSSI et RSSI), beaucoup plus complexe et ardue pour combler efficacement « les trous dans la raquette » face aux agresseurs numériques. La grande majorité des cyberattaques s'appuyant comme chacun le sait désormais sur les faiblesses humaines comme point d’entrée. La culture numérique de nos élus semble à ce titre notoirement défaillante, à quelques exceptions près.  

En conséquence, le rapporteur appel donc de ses vœux une évolution rapide et notable des pratiques de BYOD (bring your own device), vers une plus grande prise en compte et maîtrise des équipements individuels utilisés par nos élus. Ses inquiétudes légitimes se basent sur des faits très concrets : le rapport d'activité de l'Agence nationale de sécurité des systèmes d'information (ANSSI) pointait quant à lui pour l'année 2018, cinq grandes tendances observées en France et en Europe, par sa sous-direction des opérations. On peut à ce titre en paraphraser aisément les termes : « l'exfiltration de données stratégiques ; les attaques indirectes qui exploitent la relation de confiance qui unit la cible finale à la cible intermédiaire ; les opérations de déstabilisation ou d'influence, particulièrement nombreuses ; la génération de crypto monnaies ; la fraude en ligne, qui se tourne progressivement vers des cibles moins exposées mais plus vulnérables car moins préparées que les grands opérateurs. Cette catégorisation des cybermenaces, si elle peut apparaître théorique pour certains, recouvre une réalité que confirment les exemples plus ou moins récents d'attaques d'ampleur qui ont affecté le fonctionnement d'institutions publiques ou d'opérateurs d'importance vitale (OIV), en France mais aussi à l'étranger durant ces dernières années. » Le Sénat a recensé en 2018 de son côté, 31 000 contenus à risque, et l’Assemblée nationale est elle-même régulièrement prise pour cible par des cyberattaquants très motivés. Le rapport constate à ce titre la difficulté à déterminer les dépenses en matière de sécurité IT, mais estime que les investissements liés à la cybersécurité représentent environ 10% du budget informatique. 

Le Sénat est tout d'abord exposé, comme l'ensemble des institutions publiques et des entreprises du secteur privé, à ce qu'il convient de qualifier de « tout-venant » malveillant. Il s'agit principalement : des spams, phishings, sites Internet compromis ou fichiers téléchargés infectés. Les dispositifs de sécurité informatique du Sénat ont ainsi intercepté au total environ 31 000 contenus à risque en 2018 ; des scans automatiques incessants des services offerts par le Sénat sur internet, notamment le site Internet, afin de détecter des failles ou d'en détourner l'usage ; des attaques qui concernent les services dits « ressources et moyens », principalement des faux ordres de virement. De plus, des menaces spécifiques découlent de la nature d'assemblée parlementaire du Sénat : des protestations en ligne ou des pétitions qui concernent l'activité législative et conduisent à un engorgement de la messagerie des parlementaires ; des attaques en déni de service (DDOS) des réseaux ou des sites web du Sénat ; des tentatives de « défacement », c'est-à-dire la modification des pages des sites Internet ; des phishings ciblés, appelés aussi « spear phishings ».

Concernant les solutions de remédiation, plusieurs pistes sont à noter : conforter le rôle incontournable de l'Agence nationale de sécurité des systèmes d'information (ANSSI) auprès des pouvoirs publics ; assurer un meilleur contrôle du Sénat sur l'acquisition par les sénateurs de leurs équipements informatiques, afin de faciliter le travail de maintenance des équipes techniques ; reporter l'entrée en vigueur de la disposition organique permettant la transmission par voie électronique des parrainages pour l'élection présidentielle ; moderniser le système informatique robuste de remontée de résultats des élections dans les préfectures. 

Une messagerie chiffrée n'offre plus autant de protection dès lors qu'elle est opérée par l’un des GAFAM. Quelles peuvent être les conséquences d'une trop forte exposition aux technologies offertes par les GAFAM lorsque l'on est une personnalité politique ?

Les échéances électorales sont des moments particulièrement cruciaux de la vie politique et institutionnelle des grandes démocraties occidentales, et elles deviennent à ce titre des occasions propices rêvées  aux attaques informatiques adverses. C'est ce que semble avoir démontré les atermoiements politiques autour de la dernière élection présidentielle américaine de 2016, avec l'exfiltration sauvage de données confidentielles dont a été victime le parti démocrate aux États-Unis. Dans le même ordre d’idées, la sous-traitance de nos messageries privées ou professionnelles aux très grands opérateurs américains de la Tech représente donc une imprudence notable qui nous place d’emblée à leur merci. D’autant que ces géants du numérique Anglo-Saxons sont soumis aux obligations légales en matière de législation sur la sécurité nationale américaine, et ne peuvent s’y soustraire si injonction leur est faite de communiquer les échanges confidentiels pouvant intéresser l’Etat Américain. Il serait donc insensé de livrer à travers l’usage d’outils de communication non sécurisés, ou non cryptés, des renseignements de nature régalienne, stratégique ou vitale à une puissance étrangère. Fut-elle d’ailleurs notre allié sur d’autres terrains, comme celui de la diplomatie. Il faut être lucide et savoir raison garder : « les États n’ont pas d’amis, ils n’ont que des intérêts », et agissent en conséquence... 

Comme partout ailleurs, en diffusant sempiternellement au sein des institutions un ensemble d’outils et de bonnes pratiques « cyber-efficientes » au fur et à mesure que les technologies de surveillance croissent en sophistication, celles-ci doivent aussi être continuellement revues à la hausse et mises à jour pour imprégner graduellement les esprits. La revue stratégique de cyberdéfense a d’ailleurs listé quatre grandes catégories de menaces, qui correspondent aussi aux objectifs poursuivis par les prédateurs informatiques de tous ordres :

- l'espionnage informatique. Ce type d'attaque vise à dérober des données et peut être réalisé par les services de renseignement des États qui en ont la capacité, mais pas uniquement. Ces attaques constituent, en nombre, la plus grande partie des offensives majeures ayant visé la France ces dernières années ;

- la cybercriminalité. Le développement et la professionnalisation des réseaux cybercriminels dans les années 2000 ont conduit à la multiplication des opérations criminelles de vol direct et de rançons. On observe un rapprochement des groupes cybercriminels et des services de renseignements de certains États - de nouvelles officines ;

- la déstabilisation. Le développement des réseaux sociaux a permis l'émergence de ce type d'attaque informatique visant en particulier à propager des faits non vérifiés voire erronés, dits aussi « fake news » ou « infox », dont la diffusion est particulièrement rapide ;

- le sabotage informatique. Ces attaques visent à paralyser l'activité d'une entité en bloquant ses réseaux, voire en détruisant ses équipements les plus critiques.

Cette mise en garde du sénateur Jérôme Bascher n'est pas sans rappeler les paroles de mise en garde d'Edward Snowden, au micro de France Inter en septembre dernier. Celui-ci avait en effet affirmé que : "si quelqu'un au Gouvernement s'occupe de questions sensibles et utilise Whatsapp, c'est une erreur. Emmanuel Macron utilise notoirement « Telegram », et le Premier Ministre Edouard Philippe l’application « Whatsapp »… La cybersécurité de nos personnalités politiques et la confidentialité de leurs échanges régaliens est donc un problème d'ampleur majeure ?

Edward Snowden a évidemment été en quelque sorte un « déclencheur de maturité », et un « pourfendeur de naïveté » dans la prise en compte des risques d’agressions étrangères, ou de surveillance globale inhérents à nos écosystèmes numériques contemporains. Cela n’a semble-t-il pourtant pas modifier une certaine forme d’imprudence de nos grands commis de l’Etat, dans l’utilisation parfois inconsidérée qu’ils font de leurs interfaces privées de communication, ou celles mises à leur disposition. Gageons qu’ils en font un bon usage raisonné, et savent s’en passer les cas échéant dans le cadre strict de conversations soumises à l’extrême confidentialité des propos tenus. N’en doutons pas d’ailleurs. 

Les pouvoirs publics, au même titre que les entreprises privées ou les particuliers, sont la cible privilégiée de cyberattaques aussi bien de masse, que très ciblées. Le constat d'une croissance exponentielle des actions malveillantes et d'une diversification de la menace d'origine cyber est partagé par l'ensemble des acteurs de la sécurité informatique et de la société civile. Nos pouvoirs publics sont au cœur même des enjeux stratégiques et décisionnels dans notre démocratie. Ils constituent donc de ce point de vue une cible privilégiée des agresseurs de toutes origines : étatiques ou non-étatiques. 

L'objet initial de ce rapport Sénatorial salutaire a visiblement été de procéder à un état des lieux détaillé sur la préparation et l’aguerrissement des pouvoirs publics à pouvoir répondre efficacement à l'ensemble des cybermenaces qui les visent. Mais il s'agit aussi d'un enjeu majeur de souveraineté auquel le Sénat s’est également intéressé au travers de la commission d'enquête sur la souveraineté numérique rapportée par le Sénateur de la Meuse Gérard Longuet. Souhaitant par la vérifier si l'importance des risques potentiels pesant sur le bon fonctionnement de nos institutions, a bien été prise en considération par les responsables des pouvoirs publics en charge. Et qu'en ce sens, même s’il est impossible de se prémunir contre toutes les formes d’attaques digitales éventuelles, les dotations accordées à l'Élysée, au Conseil constitutionnel et aux deux assemblées parlementaires ont été bien employées. Mettant en œuvre les actions préventives adéquates, en mobilisant les compétences appropriées. 

Dans un contexte sécuritaire délétère actuel, les conditions dans lesquelles les pouvoirs publics mobilisent leurs moyens matériels et humains ont été étudiés et scrutés afin d'éviter qu’une attaque d’ampleur impact durement notre représentation nationale et notre système politique, mais également d'en minimiser les conséquences potentiellement désastreuses pour les institutions de notre République. Au final de sa lecture, le constat est à ce titre assez préoccupant, d’autant que le Parlement n’est pas exempt de menaces. Cependant, le rapporteur spécial a pu constater par ses échanges que le rôle de l'ANSSI est particulièrement décisif et incontournable, tant en amont pour préparer les conditions d'une sécurité informatique satisfaisante des institutions françaises, qu'en cas d'attaque avérée, où ses équipes dédiées peuvent jouer un rôle crucial dans le traitement des conséquences d'une attaque. Son expertise est reconnue, sa fiabilité aussi. Cela rassure.

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !