III. L'AGENCE NATIONALE DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION (ANSSI), BRAS ARMÉ DE L'ÉTAT POUR LA CYBERDÉFENSE
Pour mettre en oeuvre la politique du Gouvernement en matière de sécurité des systèmes d'information 14 ( * ) , le SGDSN dispose de l'ANSSI 15 ( * ) . Ce positionnement de l'Agence a permis de faire valoir les enjeux au plus haut niveau de l'État. Il a, en revanche, pour inconvénient, d'inscrire l'ANSSI dans un circuit de décisions administratives et budgétaires contraignant et de rendre plus complexe l'analyse des emplois et crédits dans le projet annuel de performances (voir infra p. 28).
La Revue stratégique de cyberdéfense 16 ( * ) trace le cadre doctrinal et d'organisation et s'attache à consolider le modèle français, fondé sur la séparation des fonctions offensives et défensives, ces dernières assurées, au premier chef, par l'ANSSI. Le dispositif législatif de la LPM 2019-2025 a élargi ses missions 17 ( * ) comme celui mis en place par la loi n° 2019-810 du 1 er août 2019 visant à préserver les intérêts de la défense et de la sécurité nationale de la France dans le cadre de l'exploitation des réseaux radioélectriques mobiles 18 ( * ) .
A. UNE MENACE QUI NE CESSE DE S'ACCROÎTRE EN INTENSITÉ ET EN SOPHISTICATION
Les attaquants informatiques poursuivent quatre types d'objectifs non exclusifs entre eux : l'espionnage, les trafics illicites, la déstabilisation et le sabotage 19 ( * ) . Dans son rapport d'activité 20 ( * ) , l'ANSSI constate que « l'année 2017 aura été marquée par de nombreuses attaques cybernétiques, inédites par leur ampleur, leur mode de diffusion et leur caractère désormais non-discriminant » .
B. LA LENTE MISE EN oeUVRE DE LA POLITIQUE DE SÉCURITÉ DES SYSTÈMES D'INFORMATION DE L'ÉTAT (PSSIE)
La Politique de sécurité des systèmes d'information de l'État (PSSIE) établit un socle de mesures techniques et organisationnelles visant à assurer la protection des systèmes d'information de l'administration face à des cyberattaques de niveau faible à modéré. Le Premier ministre a publié, en 2014, une circulaire fixant les contours d'une « Politique de sécurité des systèmes d'information de l'État » (PSSIE) 21 ( * ) et des règles de protection 22 ( * ) . Elle constitue un élément de réponse essentiel aux cybermenaces.
Dans ses avis sur les PLF 2017 23 ( * ) , 2018 24 ( * ) et 2019 25 ( * ) , la commission s'inquiétait de la lenteur de ce processus. Les résultats ne se sont guère améliorés. La RCS 26 ( * ) de février 2018 avait confirmé cette situation consternante et alarmante.
1. Les services de l'État, cibles de nombreuses cyberattaques
Afin de mesurer concrètement la vulnérabilité des administrations de l'Etat aux cyberattaques, la Commission a demandé, dans le cadre du questionnaire parlementaire, la communication par ministère, du nombre d'incidents consécutifs à des cyberattaques ayant fait l'objet d'une intervention de l'ANSSI.
Entre le 1 er janvier et le 31 décembre 2018, l'ANSSI a été amenée à traiter 78 événements de sécurité consécutifs à des attaques informatiques ayant touché des ministères français. Il est à noter que ces différents événements ont requis un niveau variable d'engagement et d'expertise des agents de l'ANSSI, en fonction de la nature et du niveau technique de l'attaque ainsi que du périmètre et de l'impact de la compromission.
Ainsi, sur ces 78 incidents, 31 se sont révélés mineurs au sens où un engagement minimal a été requis pour leur traitement, 32 peuvent être qualifiés de notables puisque demandant l'emploi d'expertises particulières pour leur résolution, alors que 15 se sont avérés majeurs nécessitant pour leur traitement un engagement et une expertise importants et de moyen à long-terme de la part de l'ANSSI (trois d'entre eux ont d'ailleurs fait l'objet d'une opération de cyberdéfense 27 ( * ) ).
Tableau du nombre d'incidents, par ministère, consécutifs à des attaques informatiques 28 ( * )
Ministères |
Incidents traités par l'ANSSI |
Commentaires |
Ministère de l'agriculture et de l'alimentation |
6 |
Dont un incident majeur |
Ministère de la cohésion des territoires |
1 |
|
Ministère de la culture |
4 |
|
Ministère des armées |
4 |
Dont deux incidents majeurs |
Ministère de l'économie et des finances |
9 |
Dont deux incidents majeurs |
Ministère de l'éducation nationale et de la Jeunesse |
24 |
Dont un incident majeur |
Ministère de l'enseignement supérieur et de la recherche |
2 |
|
Ministère de l'Europe et des affaires étrangères |
11 |
Dont trois opérations de cyberdéfense et quatre incidents majeurs |
Ministère de l'intérieur |
9 |
Dont deux incidents majeurs |
Ministère de la justice |
8 |
Dont trois incidents majeurs |
Ministère des outre-Mer |
1 |
|
Ministère des solidarités et de la santé |
8 |
Dont deux incidents majeurs |
Ministère de la transition écologique et solidaire |
3 |
|
Ministère du travail |
1 |
Sources : Réponses au questionnaire parlementaire
Au sein du ministère des armées, le commandement de la cyberdéfense (COMCYBER), créé en 2017, assure la détection des attaques informatiques sur l'essentiel des systèmes ministériels. En 2018, le ministère a traité 19 incidents, dont 4 en collaboration avec l'ANSSI.
La surface d'exposition de certains ministères est grande (il s'agit de la somme des vulnérabilités d'un système d'information pouvant être exploitées par un attaquant informatique), de par le nombre d'entités sous leur tutelle ou le nombre de leurs emprises territoriales. Ceux-ci sont donc susceptibles d'être victimes d'un plus grand nombre d'attaques informatiques réussies.
2. Un inquiétant état de vulnérabilité des services de l'État
Si l'on constate une meilleure prise en compte des enjeux par les autorités, l'importance de la menace montre que les réponses restent, à ce jour, insuffisantes et maintiennent nos administrations dans un état de vulnérabilité inquiétant.
Certes les ministères sont désormais plus nombreux à se doter de plans de renforcement de leur niveau de sécurité, en cohérence avec les politiques publiques qu'ils portent et traduisent les volontés ministérielles de se prémunir des principales menaces qui pèsent sur leurs activités mais ces plans d'actions restent à mettre en oeuvre.
Le niveau effectif de conformité, qui fait l'objet d'un indicateur 29 ( * ) sous l'objectif 6 du programme 129 « améliorer la sécurité et la performance des systèmes d'information de l'Etat », tarde toujours à atteindre des niveaux en adéquation avec les enjeux.
3. L'engagement d'un travail interministériel de remédiation
La refonte de la gouvernance SSI de l'Etat , suivie dans le cadre du Comité de pilotage de la cybersécurité (COPIL Cyber) présidé par le cabinet du Premier ministre, a fait l'objet de travaux interministériels menés :
• d'une part, par l'ANSSI de septembre à décembre 2018 ;
• et d'autre part, par une mission d'inspection interministérielle de mars à juin 2019, dans la continuité de la mission d'inspection chargée de cartographier les ressources cybernétiques de l'Etat. Les rapporteurs de ces missions ont pu partager leurs constats avec ceux de la commission au cours de la mission d'information qu'ils ont conduite à la suite de la cyberattaque contre le système d'information « Ariane » du ministère de l'Europe et des affaires étrangères 30 ( * ) .
Les inspecteurs ont remis leur rapport fin mai 2019 . Celui-ci confirme la pertinence de l'organisation actuelle de la chaine SSI ministérielle (prévue par la PSSIE) mais formule 21 propositions d'amélioration, en vue :
• d'assurer, au sein de chaque ministère, un pilotage au plus haut niveau de la politique SSI ;
• de poursuivre la responsabilisation des directions métiers et la sensibilisation de leurs dirigeants ;
• d'organiser la montée en compétence des responsables de la chaine SSI notamment par la formation ;
• de créer une enceinte de gouvernance interministérielle présidée par le Premier ministre ou le Président de la République ;
• de formaliser les relations entre les ministères et l'ANSSI ;
• de réviser la PSSIE pour inscrire dans la norme cette nouvelle organisation.
4. Une nouvelle feuille de route
En conséquence, l'ANSSI a décliné ces propositions dans une feuille de route comprenant 13 actions dont vos rapporteurs ont pris connaissance. Ils partagent les objectifs et suivront avec attention la mise en oeuvre.
Les premières actions, qui sont initiées depuis le mois de septembre 2019, consistent à la refonte de la « politique de sécurité des systèmes d'information de l'État » (PSSIE) afin :
• d'élaborer un texte de haut niveau visant à définir l'organisation et la gouvernance SSI applicable à l'ensemble des ministères ;
• de décliner des textes plus techniques, mis à jour plus régulièrement, pour y reporter et décrire les mesures opérationnelles et les méthodes de travail à mettre en oeuvre ;
• de définir des indicateurs de mise en oeuvre plus adaptés et pragmatiques afin de suivre l'évolution du niveau de sécurité global des ministères.
5. Le nécessaire renforcement des moyens juridiques de l'ANSSI pour le contrôle des grands projets de l'Etat
Actuellement, les moyens juridiques dont dispose l'ANSSI sont issus des dispositions des lois de programmation militaire, codifiées dans le Code de la défense, de la transposition en droit national de la directive NIS , de la compétence générale du secrétariat général de la défense et de la sécurité nationale en matière de conception des politiques de sécurité des systèmes d'information et du décret de création de l'agence.
Pour le contrôle des grands projets de l'État, l'ANSSI s'appuie désormais sur l'article 3 du décret du 25 octobre 2019 relatif au système d'information et de communication de l'Etat et à la direction interministérielle du numérique 31 ( * ) .
Observations sur le décret du 25 octobre 2019 Ce texte soumet les projets interministériels et ministériels importants et les projets des organismes placés sous la tutelle de l'Etat à un avis du DiNum, conforme pour les premiers, simple pour les seconds. Ce dernier les transmet à l'ANSSI pour observations. Le DiNum peut demander les compléments d'information nécessaires à la formation de son avis ce qui suspend les délais d'instruction. A défaut, l'avis est réputé conforme. Nous estimons souhaitable que les observations de l'ANSSI soient obligatoirement transmises aux administrations concernées, que le délai d'un mois soit interrompu par cette transmission et que la délivrance de l'avis conforme soit soumis à une appréciation par l'ANSSI de la qualité des réponses à ses observations. S'agissant des opérateurs, la DINum n'a qu'un pouvoir de recommandations. Vos rapporteurs le regrettent car nombre de projets développés par les organismes placés sous la tutelle de l'Etat peuvent s'avérer sensibles et méritent une protection aussi importante que ceux des administrations. Un avis réservé de l'ANSSI devrait entraîner obligatoirement un nouvel examen. |
Par ailleurs, au travers de la refonte de la PSSIE, l'ANSSI étudiera les possibilités de renforcer, de manière proportionnée, la contrainte pesant sur les services de l'État en vue de la bonne application des mesures prévues.
La commission se réjouit de cette prise de conscience et des premières actions mises en oeuvre, mais estime que sans portage politique majeur permanent, sans moyens financiers significatifs et sans outils réglementaires coercitifs, il sera difficile de lutter contre une logique qui valorise la multiplication de systèmes d'information et des applications numériques permettant d'abaisser des coûts de fonctionnement ou de personnels de services de l'Etat sans se préoccuper suffisamment de leur sécurité et laisse perdurer des logiques de défenses des pré-carrés ministériels qui freinent encore ce qui devrait être une mobilisation générale contre des menaces croissantes et viennent retarder la mise en oeuvre de mesures indispensables 32 ( * ) .
Elle réitère son souhait que l'État fixe aux ministères la réalisation d'un ratio obligatoire d'investissement dans la cybersécurité assorti d'un système d'incitations/sanctions soit mis en place ; qu'une formation solide évaluée par l'ANSSI soit imposée pour tout recrutement des nouveaux DNum ministériels et imposée aux directeurs « métiers » pilotant la mise en oeuvre de projets numériques ; et que des objectifs en matière de sécurité informatique définis par l'ANSSI soient explicitement imposés dans leurs lettres de mission et pris en compte dans leur évaluation.
* 14 Article R 312-3 du code de la défense.
* 15 Service à compétence nationale (décret n° 2009-834 du 7 juillet 2009 modifié).
* 16 http://www.sgdsn.gouv.fr/uploads/2018/02/20180206-np-revue-cyber-public-v3.3-publication.pdf
* 17 L'article 34 de la loi n° 2018-607, relative à la programmation militaire pour les années 2019-2025, lui confère de nouvelles prérogatives en matière de détection, de caractérisation et de prévention des attaques informatiques en collaboration étroite avec les opérateurs de communications électroniques et les hébergeurs.
* 18 https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038864094&categorieLien=id
* 19 http://www.sgdsn.gouv.fr/uploads/2018/02/20180206-np-revue-cyber-public-v3.3-publication.pdf
* 20 https://www.ssi.gouv.fr/uploads/2019/04/anssi_rapport_annuel_2018.pdf
* 21 Elle décline dix principes fondamentaux portant sur le choix d'éléments de confiance pour construire les systèmes d'information, sur la gouvernance de la sécurité et sur la sensibilisation des acteurs. Les administrations sont désormais tenues de recourir à des produits et services qualifiés par l'ANSSI et d'héberger leurs données sensibles sur le territoire national.
* 22 n° 5725/SG du 17 juillet 2014.
* 23 Sénat n° 142 Tome IX (2016-2017) par MM. Bockel et Masseret, p. 37 et suiv.
* 24 Sénat n° 110 Tome IX (2017-2018) par MM. Cadic et Mazuir p. 24 et suiv. http://www.senat.fr/rap/a17-110-9/a17-110-96.html#toc105
* 25 Sénat n° 149 Tome IX (2018-2019) par MM. Cadic et Mazuir p. 22 et suiv .
* 26 http://www.sgdsn.gouv.fr/uploads/2018/02/20180206-np-revue-cyber-public-v3.3-publication.pdf
p. 56 et suiv.
* 27 Une opération de cyberdéfense menée par l'ANSSI entend répondre à un incident de sécurité majeur menaçant directement les systèmes numériques et compromettant les opérations liées à l'activité d'une ou plusieurs organisations d'importance vitale ou fortement sensibles. Elle requiert la mobilisation, sur un temps long, de compétences transverses au sein de l'Agence.
* 28 Il est à noter qu'un même incident peut impacter plusieurs ministères dans le même temps. C'est pourquoi la somme des données du tableau est différente de celle fournie dans la synthèse supra.
* 29 PLF 2020 PAP Mission Direction de l'action du Gouvernement programme 129, p. 30 et suiv. https://www.performance-publique.budget.gouv.fr/sites/performance_publique/files/farandole/ressources/2020/pap/pdf/PAP2020_BG_Direction_action_du_Gouvernement.pdf
* 30 Rapport d'information n° 299 (2018-2019) de MM. Olivier Cadic et Rachel Mazuir
* 31 Décret n° 2019-1088 du 25 octobre 2019 relatif au système d'information et de communication de l' Etat et à la direction interministérielle du numérique
* 32 Le retrait du projet de décret relatif au système d'information et de communication de l'Etat et à la direction interministérielle du numérique, de la capacité pour le DINum de donner un avis aux ministres pour les nominations des directeurs numériques dans les ministères, au moins formellement, mesure sans doute symbolique, mais ô combien nécessaire, illustre parfaitement cette situation.