N° 117 SÉNAT SESSION ORDINAIRE DE 2022-2023 |
Enregistré à la Présidence du Sénat le 17 novembre 2022 |
AVIS PRÉSENTÉ
au nom de la commission des affaires
étrangères, de la défense et des forces armées
(1)
sur le projet de
loi
de
finances
,
considéré comme
|
TOME IX DIRECTION DE L' ACTION DU GOUVERNEMENT Coordination du travail gouvernemental (Programme 129) |
Par MM. Olivier CADIC et Mickaël VALLET, Sénateurs |
(1) Cette commission est composée de : M. Christian Cambon , président ; MM. Pascal Allizard, Olivier Cadic, Mme Marie-Arlette Carlotti, MM. Olivier Cigolotti, André Gattolin, Guillaume Gontard, Jean-Noël Guérini, Joël Guerriau, Pierre Laurent, Philippe Paul, Cédric Perrin, Rachid Temal , vice-présidents ; Mmes Hélène Conway-Mouret, Joëlle Garriaud-Maylam, Isabelle Raimond-Pavero, M. Hugues Saury , secrétaires ; MM. François Bonneau, Gilbert Bouchet, Alain Cazabonne, Pierre Charon, Édouard Courtial, Yves Détraigne, Mmes Catherine Dumas, Nicole Duranton, MM. Philippe Folliot, Bernard Fournier, Mme Sylvie Goy-Chavent, M. Jean-Pierre Grand, Mme Michelle Gréaume, MM. André Guiol, Ludovic Haye, Alain Houpert, Mme Gisèle Jourda, MM. Alain Joyandet, Jean-Louis Lagourgue, Ronan Le Gleut, Jacques Le Nay, Mme Vivette Lopez, MM. Jean-Jacques Panunzi, François Patriat, Gérard Poadja, Stéphane Ravier, Gilbert Roger, Bruno Sido, Jean-Marc Todeschini, Mickaël Vallet, André Vallini, Yannick Vaugrenard . |
Voir les numéros : Assemblée nationale ( 16 ème législ.) : 273 , 285 , 286 rect., 292 , 337 , 341 , 364 , 369 , 374 , 386 et T.A. 26 Sénat : 114 et 115 à 121 (2022-2023) |
L'ESSENTIEL
« Une attitude qui serait seulement réactive, voire défensive, pourrait passer pour une forme de passivité »
Emmanuel Macron,
Président de la
République
1
(
*
)
Les menaces de cybersécurité croissent suivant un rythme exponentiel (173 000 demandes d'assistance en 2021 sur le site cybermalveillance.gouv.fr et 1082 signalements d'incidents traités par l'ANSSI) sans que l'augmentation des moyens humains (+61 ETP) et budgétaires (+9 M€) du SGDSN ne semble pouvoir en ralentir la course .
Des attaques très graves ont perturbé les services publics, collectivités territoriales et établissements de santé. Le rapport apporte des éléments sur les préjudices subis, financiers mais aussi humains, qui peuvent aller jusqu'à atteindre la sécurité nationale.
Le rapport revient sur la première année de fonctionnement de VIGINUM et salue la création du Campus Cyber qui offre l'opportunité de créer un écosystème public-privé de cybersécurité. Par ailleurs, le rapport souligne des points de vigilance sur la sécurité du tissu économique et social dans les régions ainsi que la nécessité absolue de faire monter en gamme la sécurité informatique et la résilience du système de santé dans les Outre-mer .
Enfin, il propose d'intégrer dans la stratégie de cyberdéfense une composante offensive dans l'esprit de la nouvelle fonction stratégique d'influence prévue par la revue nationale stratégique.
Le mercredi 16 novembre 2022, sous la présidence de M. Christian Cambon, président, la commission a émis un avis favorable à l'adoption des crédits relatifs à l'action n° 2 du programme 129 « Coordination du travail gouvernemental » de la mission « Direction de l'action du Gouvernement ».
I. LES MENACES CROISSENT PLUS VITE QUE LES MOYENS
A. LE TABLEAU DE BORD ANNUEL DES ATTAQUES CYBER : DES MENACES PLUS NOMBREUSES, PLUS DIVERSIFIÉES ET PLUS PRÉJUDICIABLES
La cyber menace n'évolue pas dans le bon sens et le SGDSN qualifie sa croissance d'exponentielle dans trois domaines particulièrement préoccupants : le secteur criminel, l'activité d'espionnage et l'action militaire.
État et administrations : l'ANSSI a traité 222 incidents cyber affectant des ministères en 2021 ; c'est 73 % de plus qu'en 2020 |
Entreprises : en hausse de 95 % en 2021, les rançongiciels sont la première menace pour les professionnels |
Grand public : 2,5 millions de visiteurs et 173 000 demandes d'assistance en 2021sur le site cybermalveillance.gouv.fr |
Dans le domaine spécifique de compétence de l'ANSSI en matière de supervision de la sécurité des systèmes d'information de l'État, 222 incidents cyber ont affecté des ministères, soit une progression de 73 % par rapport à 2020 (128 incidents). Il s'agit d'un quasi triplement en deux ans, rapporté aux 81 incidents traités en 2019.
Si la plupart de ces incidents ont pu se révéler mineurs pour 200 d'entre eux (dont 179 compromissions de comptes de messagerie), 22 attaques ont nécessité l'expertise et l'engagement de l'ANSSI, y compris 5 opérations de cyberdéfense concernant des incidents majeurs de sécurité sur des organisations d'importance vitale (OIV).
Tableau des cyber incidents par ministère traités par l'ANSSI
Ministères |
Nombre d'incidents traités par l'ANSSI |
Commentaires |
||
2019 |
2020 |
2021 |
||
Ministère de l'agriculture et de l'alimentation |
8 |
14 |
3 |
Dont une opération de cyberdéfense |
Ministère de la cohésion des territoires |
0 |
2 |
2 |
|
Ministère de la culture |
6 |
11 |
10 |
|
Ministère des armées |
22 |
4 |
5 |
|
Ministère de l'économie des finances et de la relance |
11 |
18 |
24 |
Dont une opération de cyberdéfense |
Ministère de l'éducation nationale, de la jeunesse et des sports |
22 |
58 |
149 |
Dont 144 compromissions de comptes de messagerie |
Ministère de l'enseignement supérieur, de la recherche et de l'innovation |
1 |
3 |
0 |
|
Ministère de l'Europe et des affaires étrangères |
14 |
14 |
10 |
Dont 4 opérations de cyberdéfense et un incident majeur |
Ministère de l'intérieur et des outre mer* |
14 |
13 |
11 |
|
Ministère de la justice |
6 |
4 |
4 |
Dont un incident majeur |
Ministère des outre-mer |
1 |
2 |
* |
* regroupé avec le chiffrage du ministère de l'intérieur |
Ministère de la santé et des préventions |
3 |
14 |
6 |
|
Ministère de la transition écologique |
8 |
18 |
12 |
Dont 2 opérations de cyberdéfense |
Ministère du travail, de l'emploi et de l'insertion |
7 |
6 |
1 |
Source : réponse au questionnaire budgétaire
Le seul tableau de bord des attaques de la sphère des ministères ne suffit pas à retracer l'ampleur du phénomène :
• Plus largement, en intégrant l'élargissement de sa mission de pilotage de la sécurité des opérateurs de services essentiels (OSE) et des collectivités territoriales au titre du plan France Relance 2021-2022, l'ANSSI a reçu 1 082 signalements en 2021 , contre 786 l'année précédente, soit une hausse de 37 % ;
• S'agissant de la cybercriminalité, avec 1 945 demandes d'assistance à la plateforme cybermalveillance.gouv.fr, contre 996 l'année précédente, les rançongiciels sont la première menace pour les professionnels (entreprises, associations et collectivités) avec une hausse de 95 % des attaques , l'Anssi s'étant impliquée sur à peu près 200 opérations ;
• Les affaires d'espionnage peuvent sembler modestes en nombre, mais il faut noter que 14 opérations en 2021, dont 9 pouvant être attribuées à des modes opératoires d'origine chinoise, ont nécessité une intervention massive de l'ANSSI avec le support de partenaires et de prestataires privés (la lutte contre l'espionnage représente 80 % de l'activité de l'Anssi) ;
• Sur le volet militaire , le commandement de la cyberdéfense (COMCYBER) a traité 150 événements de sécurité numérique touchant au périmètre du ministère des armées (hors services de renseignements).
Il convient également de ne pas ignorer le caractère massif que la menace cyber fait planer sur la population dans son ensemble. La stratégie nationale pour la sécurité du numérique de 2015 a confié au groupement d'intérêt public Action contre la Cybermalveillance (GIP ACYMA) une mission de sensibilisation, de prévention et d'assistance aux victimes d'attaques pour les particuliers, les entreprises et les collectivités territoriales. La plateforme en ligne cybermalveillance.gouv.fr , créée en 2017, constitue un baromètre utile de l'état des principales menaces :
• 2,5 millions de visiteurs en 2021 , soit 101 % de plus en un an ;
• 173 000 demandes d'assistance émanent dans 94 % des cas de collectivités territoriales, 3 % de particuliers et 3 % d'entreprises ;
• Les grandes menaces sont l'hameçonnage, le piratage de compte et le rançongiciel (50 % des demandes d'assistance des particuliers concernent le hameçonnage et le piratage de comptes, 42 % des demandes des entreprises concernent les rançongiciels et le piratage de compte, tandis que les collectivités recherchent une assistance dans 36 % des cas concernant le rançongiciel et l'hameçonnage).
Enfin, le nouveau service de l'État chargé depuis juillet 2021 de la vigilance et de la protection contre les ingérences numériques étrangères (VIGINUM) a dressé un bilan de sa première année d'activité. Dans le cadre de la protection du débat public numérique touchant aux élections présidentielle et législatives de 2022, VIGINUM a détecté :
phénomènes inauthentiques sur les plateformes numériques |
ont fait l'objet d'investigations approfondies |
ont été caractérisés comme une ingérence numérique étrangère |
Observations de vos rapporteurs :
Mais au-delà du constat que fait-on ? Aucun chiffrage des préjudices causés, des arrestations ou entraves aux activités des cybercriminels n'est disponible.
La réalité qui se cache derrière la progression exponentielle des chiffres de la menace cyber, n'est autre que l'extrême rentabilité du cybercrime pour des organisations, voire des États qui allient appât du gain et guerre hybride contre des cibles (OIV, OSE, hôpitaux, infrastructures de transport ou énergétiques, etc.) pouvant porter atteinte à la sécurité nationale. Quelques repères permettent de prendre la mesure de certains préjudices, lesquels ne sont pas tous d'ordre financier :
• Lorsque le système informatique de l'hôpital de Corbeil-Essonnes s'est trouvé paralysé par une attaque au rançongiciel perpétré par l'organisation criminelle russophone Lockbit réclamant 10 millions d'euros, le véritable préjudice ne s'évalue pas par le coût d'une rançon qu'un établissement hospitalier public est dans l'incapacité de payer, mais, dans un premier temps, par la paralysie de tout l'hôpital, le reversement des patients vers d'autres établissements, avec le risque de perte de chance thérapeutique que cela implique ( ce risque serait majeur dans le cas d'un tel événement outre-mer, sans possibilité de transfert des patients ), puis le coût de la lutte contre la cyberattaque et la reconfiguration de tout le système informatique (estimées respectivement à 2 M€ et 5 M€ par l'hôpital de Corbeil-Essonnes). La multiplication des attaques contre le système de santé illustre d'une part leur caractère aveugle et peu rentable mais d'autre part, elle met en évidence une menace sur un intérêt vital touchant potentiellement à la sécurité nationale ;
• En revanche, l'aspect financier de la cybercriminalité prend toute sa mesure lorsqu'elle s'attaque aux entreprises quel qu'en soit le montant. En 2021, un rançongiciel a touché plusieurs multinationales françaises, avec des demandes de rançon allant de 5 à 70 millions de dollars. Une PME ou TPE peut voir son système informatique crypté et rendu inutilisable sauf à ce qu'une rançon de quelques centaines ou milliers d'euros ne soit versée. Il est impossible d'estimer le nombre et le coût global des rançons effectivement payées, l'ANSSI laissant entendre que le cas est fréquent, en témoigne la mesure prévue par l'article 4 du projet de loi d'orientation et de programmation du ministère de l'intérieur visant, en cas d'attaque au rançongiciel, de conditionner la possibilité, pour une victime, d'être indemnisée par son assureur au dépôt d'une plainte au plus tard 48 heures après le paiement de la rançon. Ce dispositif qui tend à légitimer le remboursement d'une rançon entre en contradiction avec le message de l'ANSSI de ne pas payer de rançon pour ne pas financer la cybercriminalité . Cela suppose que pour se prémunir du paiement d'une rançon, l'entreprise ait au préalable mis en oeuvre les mesures de sécurité nécessaires et qu'elle ait bien été informée et, le cas échéant, accompagnée.
L'ensemble du dispositif est fondé sur des indicateurs de détection et un système essentiellement défensif. Très peu de cas d'arrestation de pirates sont mentionnés par les acteurs français de la cybersécurité : hormis la médiatisation d'une opération conduite par le commandement cyber de la Gendarmerie (COMCyberGEND) avec l'appui d'EUROPOL et plusieurs partenaires, dont le FBI, qui a permis d'interpeller en 2021 deux individus en Ukraine, ainsi que la saisie de plus de 1,5 million de dollars, les stratégies de traque des groupes cybercriminels semblent l'apanage des Etats-Unis , via le CyberCom ou le FBI. C'est ce dernier qui aurait fait arrêter fin juillet 2022 au Maroc un étudiant français soupçonné de piratage sur des entreprises américaines. Se pose la question de savoir si les services français ont été sollicités dans cette affaire.
Même si la compétence du SGDSN, sous la direction duquel oeuvrent l'ANSSI, VIGINUM et le GIP ACYMA, se limite à un rôle de coordination - il ne lui appartient pas de décider des actions de contre-offensive à conduire - au niveau interministériel et avec le cas échéant les services de renseignement, un suivi des signalements effectués et des suites données contribuerait à porter un message plus dissuasif ainsi qu'une dimension plus offensive à la stratégie de cyberdéfense.
* 1 Extrait du discours de Toulon du 9 novembre 2022 sur la revue nationale stratégique.