EXAMEN EN COMMISSION
I. EXAMEN DU RAPPORT (16 NOVEMBRE 2022)
Au cours de sa réunion du mercredi 16 novembre 2022, la commission des affaires étrangères, de la défense et des forces armées, sous la présidence de M. Christian Cambon, président, a procédé à l'examen du rapport de MM. Olivier Cadic et Mickaël Vallet, sur les crédits de la coordination du travail gouvernemental (action 2 Coordination de la sécurité et de la défense, SGDSN, Cyberdéfense).
M. Olivier Cadic, rapporteur pour avis . - Les crédits du programme 129 que nous allons vous présenter avec mon collègue Mickaël Vallet, dont je salue l'engagement, portent sur la coordination de la sécurité et de la défense, et plus précisément sur la cyberdéfense et les stratégies d'influence.
Nous avons procédé à 6 auditions au sénat, 3 déplacements en France (viginum, campus cyber et porte-parole de l'État-major des armées) et des entretiens à distance aux États-Unis avec des experts de la cyberdéfense.
L'enjeu de la guerre informationnelle, que j'avais mentionné lors des débats sur la LPM en 2018, est enfin pleinement reconnu.
Le Président de la République vient de les élever au rang de nouvelle fonction stratégique dans son discours de Toulon du 9 novembre dernier.
Je m'en félicite. J'avais salué la création de Viginum l'an dernier. Mais je reste circonspect, en observant le champ restreint de ses missions qui s'arrêtent à la caractérisation de situations d'ingérence et de désinformation, sans pouvoir intervenir dans la réponse - ou la contre-attaque - à apporter, nous sommes loin de Taiwan qui répond à une désinformation en 2 heures et 200 mots.
J'espère que l'impulsion donnée par la revue nationale stratégique sera de nature à rendre plus efficace nos actions de contre ingérence.
La passivité est une erreur qui nous a couté très cher. Je parle de l'opération de désinformation dont l'armée française a été victime dans l'affaire de Bounti au Mali en janvier. Les leçons en ont été tirées. L'efficace riposte pour déjouer le stratagème de Wagner du charnier de Gossi l'a démontré. Il nous faut maintenant assumer une posture plus offensive y compris dans le domaine de la cybersécurité.
En effet, les menaces de cybersécurité croissent suivant un rythme exponentiel. L'augmentation des moyens humains (+61 ETP) et budgétaires (+9 M€) du SGDSN ne semble pouvoir en ralentir la course (173 000 demandes d'assistance en 2021 sur le site cybermalveillance.gouv.fr et 1 082 signalements d'incidents traités par l'ANSSI). Des attaques très graves ont perturbé les services publics, les collectivités territoriales et les établissements de santé. Avec une hausse de 95 % des attaques, les rançongiciels sont la première menace pour les professionnels (entreprises, associations et collectivités). Les préjudices subis, financiers mais aussi humains, peuvent aller jusqu'à compromettre la sécurité nationale.
Nos capacités techniques, notamment l'expertise de l'ANSSI, sont reconnus par nos partenaires. Mais allons-nous nous contenter de regarder chaque année le compteur s'affoler ?
Nos principaux partenaires, américains et britanniques, ont compris qu'aller entraver les cybercriminels sur leur terrain, c'est aussi prévenir les attaques avant qu'elles n'arrivent et ainsi pratiquer une forme de dissuasion numérique.
Je formule donc la proposition que nous nous dotions d'une stratégie offensive face aux cyber-attaques, que nous nous dotions d'un directeur national de la cybersécurité et que nous nous coordonnions avec nos principaux partenaires, car c'est un combat sans frontières.
Avant de céder la parole à mon collègue, je voudrais insister sur deux points :
1- La nécessité de continuer à former et en outre de responsabiliser davantage tous les acteurs en cybersécurité, à commencer par les simples utilisateurs ;
2- Alerter sur la nocivité du paiement des rançons. Ceux qui sont contraints de payer pour sauver leur entreprise doivent savoir qu'ils alimentent les revenus de la cybercriminalité qui dépassent désormais ceux du narcotrafic. Ils contribuent également au financement du terrorisme.
Tous les pays occidentaux sont dépassés par l'échelle des attaques. On nous fait une guerre cyber. Les 14 affaires d'espionnage cyber en 2021 dont 9 sont d'origine chinoises en témoignent. Nos agresseurs sont à l'initiative. Nous avons un retard à rattraper.
M. Mickaël Vallet , rapporteur pour avis. - Mon collègue vous a exposé le contexte macro, je vais me concentrer pour ma part sur la menace du quotidien envers les citoyens, les entreprises et les collectivités que couvre aussi le programme 129. Le grand public est concerné au premier chef par des attaques et si nous faisons de la plateforme cybermalveillance.gouv.fr un baromètre nous constatons :
qu'elle a enregistré 2,5 millions de visiteurs en 2021, soit 101 % de plus en un an ;
que les grandes menaces demeurent l'hameçonnage, le piratage de compte et le rançongiciel. Ca ça ne change pas.
Mais ce qui évolue, d'une année l'autre, ce sont nos points de vigilance. Nous tenons ici à mettre en lumière la nécessité absolue de faire monter en gamme la sécurité informatique et la résilience dans les systèmes de santé d'une part et à prendre conscience des faiblesses identifiées dans les Outre-mer d'autre part.
En effet lorsque le système informatique de l'hôpital de Corbeil-Essonnes se trouve paralysé par une attaque au rançongiciel perpétré par l'organisation criminelle russophone Lockbit réclamant 10 millions d'euros, le véritable préjudice ne s'évalue pas par le coût d'une rançon qu'un établissement hospitalier public est dans l'incapacité de payer, mais, dans un premier temps, par la paralysie de tout l'hôpital, puis par le reversement des patients vers d'autres établissements, avec le risque de perte de chance thérapeutique que cela implique. Et ce risque devient majeur dans les outre-mer, sans possibilité de transfert des patients. Imaginez une neutralisation du centre hospitalier dans une collectivité d'outre-mer, sans possibilité de redéploiement des lits.
Nous alertons donc sur la nécessité de pérenniser et améliorer les nouveaux outils mis en oeuvre par le Plan France Relance 2021-2022 :
Tout d'abord la fin du plan de relance pose en particulier la question de la pérennité des centres de réponse à incidents (CSIRT) régionaux et sectoriels. À cet égard, il faut signaler que seule 12 régions métropolitaines sur 13 se sont inscrites dans le programme, à l'exception de la région Auvergne-Rhône-Alpes ;
Ensuite se pose la question de la montée en puissance effective des centres de réponses sectoriels, d'abord pour les Outre-mer nous l'avons évoqué et en métropole. Des CSIRT sectoriels dans le secteur social et dans celui de la santé doivent impérativement, sous quelque forme que ce soit, veiller à ce que les établissements de santé mettent en oeuvre les moyens labellisés nécessaires de sécurité informatiques. Il s'agit de missions prioritaires pour lesquelles les moyens du plan de relance non encore engagés doivent être fléchés.
Se pose aussi, au-delà des moyens budgétaires, des questions de définition de la responsabilité. C'est un sujet récurrent dans les auditions. Qui est responsable dans un hôpital ou une collectivité si les moyens préventifs n'ont pas été mis en oeuvre en prévision d'une cyber-attaque ? Pour le moindre bâtiment public il y a des commissions de sécurité. Nous devrons y passer sur l'aspect cyber et c'est une question pour le législateur.
Enfin, il est proposé que la plateforme numérique cybermalveillance.gouv.fr se transforme en un véritable centre d'appel apte à traiter les incidents de premier niveau et à rediriger les cas les plus graves à des prestataires locaux ou à l'ANSSI. Pour filer la métaphore sur les commissions de sécurité encadrées par nos SDIS, quand il y a le feu, on appelle le 18. Les SDIS disposent de la compétence en matière de traitement des appels. Celle-ci peut-être expertisée au même titre que d'autres dispositifs.
Pour résumer, nous approuvons l'augmentation des moyens dans ce programme non sans pointer nos urgences et nos failles à combler.
La commission émet un avis favorable à l'adoption des crédits de la mission « Direction de l'action du Gouvernement ».