III. LA CYBERSÉCURITÉ : UNE PRIORITÉ A CONFORTER
La menace dans le cyberespace ne faiblit pas. Au contraire, les actes cyber-malveillants (cyber-rançonnage, mais aussi l'espionnage, mené par certaines puissances, le sabotage....) ont augmenté avec la pandémie qui a accru significativement l'exposition au risque de la société et des acteurs économiques par le développement sans précédent des usages du numérique.
Selon le SGDSN, le nombre de cyber-attaques recensées sur les neuf premiers mois de 2021 a doublé par rapport à celui recensé sur l'ensemble de l'année 2020.
Ces cyber-attaques touchent particulièrement les acteurs publics. En 2020, 128 incidents cyber ayant affecté les ministères ont été traités par l'ANSSI, contre 81 en 2019, soit une augmentation de 58 %. En 2020 toujours, 20 % des victimes de rançongiciels signalées à l'ANSSI étaient des collectivités territoriales et 11 % étaient des hôpitaux.
Nombre de cyber-incidents par ministère traités par l'ANSSI en 2020 (et variation par rapport à 2019)
|
Ministères |
Nombre d'incidents traités par l'ANSSI |
Commentaires |
|
Ministère de l'agriculture et de l'alimentation |
14 (+6) |
|
|
Ministère de la cohésion des territoires |
2 (+2) |
|
|
Ministère de la culture |
11(+5) |
|
|
Ministère des armées |
4 (-17) |
|
|
Ministère de l'économie des finances et de la relance |
18 (+7) |
|
|
Ministère de l'éducation nationale, de la jeunesse et des sports |
58 (+ 36) |
|
|
Ministère de l'enseignement supérieur, de la recherche et de l'innovation |
3 (+2) |
|
|
Ministère de l'Europe et des affaires étrangères |
14 (-) |
|
|
Ministère de l'intérieur |
13 (-1) |
|
|
Ministère de la justice |
4 (-2) |
|
|
Ministère des outre-mer |
2 (+1) |
|
|
Ministère des solidarités et de la santé |
14 (+11) |
|
|
Ministère de la transition écologique |
18 (+10) |
|
|
Ministère du travail, de l'emploi et de l'insertion |
6 (-1) |
Source : réponse au questionnaire budgétaire
Face à cette menace en expansion, l'État ne cesse d'adapter sa réponse, qui vise à renforcer la sécurité des acteurs publics et à accompagner les acteurs privés dans leur démarche de sécurisation. Mais beaucoup reste à faire.
a) Le volet « cybersécurité » du plan de relance :
En février 2021, le gouvernement a lancé une stratégie d'accélération « cybersécurité » dans le cadre du plan de relance et du programme d'investissement d'avenir dont l'ambition est de développer la filière (tripler son chiffre d'affaires, doubler le nombre d'emplois, faire émerger trois « licornes », stimuler la recherche et l'innovation...) et qui se décline en cinq axes.
Les 5 axes de la stratégie d'accélération « cybersécurité » »
1°) Développer des solutions souveraines de cybersécurité via le soutien à la R&D
2°) Renforcer les liens et synergies entre les acteurs de la filière (par la mise en place du Campus cyber à Paris et d'antennes régionales)
3°) Soutenir l'adoption de solutions de cybersécurité par les acteurs publics et privés
4°) Former plus de jeunes et de professionnels aux métiers de la cybersécurité
5°) Apporter un soutien en fonds propres à l'écosystème de cybersécurité
L'ANSSI s'est vu confier un volet cybersécurité visant à mettre en oeuvre l'axe n°3, assorti d'une enveloppe de 136 millions d'euros à utiliser avant fin 2022. L'Agence s'y emploie à travers :
- d'une part, le financement de prestations destinées à renforcer la cybersécurité d'acteurs public s : collectivités territoriales (60 M€), hôpitaux (25 M€) et ministères et établissements publics (30 M€) ;
Aux acteurs les plus vulnérables est proposé un « parcours de sécurisation » consistant en l'établissement d'un audit et d'un plan d'action pour se mettre en conformité. Ce dispositif a mis un certain temps à démarrer, ce dont les rapporteurs s'étaient inquiétés en mai dernier . Depuis lors, il est monté en puissance et 400 entités (sur plus de 700 concernés) ont d'ores et déjà bénéficié du parcours de sécurisation (dont plus de 260 collectivités territoriales et 84 établissements de santé), pour un montant d'aide par dossier compris entre 90 000 et 140 000 euros.
Il faudra bien s'assurer qu'au-delà du diagnostic, les collectivités auditées ont bien la capacité de réaliser les adaptations recommandées. Par ailleurs, une attention particulière devra être portée aux collectivités qui ne sont pas encore entrées dans le dispositif et qui sont sûrement les moins bien « outillées » pour solliciter cet accompagnement. Enfin, il faudra envisager d'autres mesures pour les milliers de collectivités qui n'ont pas vocation à être prises en charge au titre du plan mais qui sont souvent les plus vulnérables et ont besoin d'une véritable acculturation au risque cyber.
Les acteurs disposant déjà d'un certain niveau de cybersécurité peuvent, quant à eux, solliciter des cofinancements pour mener des actions ponctuelles de renforcement en répondant à des appels à projets. Deux ont été lancés à ce jour, l'un en direction des ministères, pour un montant de 6 M€, l'autre en direction de collectivités territoriales, pour 3 M€.
- d'autre part, la création de « centres régionaux de réponse cyber de proximité » ou « centres de réponse à incidents » (CSIRT) destinés à constituer au plan local un premier niveau de soutien aux acteurs de taille intermédiaire (PME, ETI, collectivités territoriales) victimes de cyber-attaques ;
Le rôle de ces centres sera de mettre en relation les victimes avec des prestataires de cybersécurité agréés et d'être l'interface des échanges de cybersécurité au plan régional (relations avec l'association nationale des CSIRT pilotée par l'ANSSI et qui sera localisée sur le Campus cyber, relations avec les services judiciaires). Mis en place en partenariat avec les régions 3 ( * ) , ces centres bénéficient chacun d'une subvention de 1 M€ et d'un accompagnement technique de l'ANSSI au démarrage mais devront ensuite trouver un mode de financement pérenne en s'appuyant sur l'écosystème local. Pour l'heure, seules 4 régions sur 13 se sont engagées dans le dispositif, ce qui est insuffisant. Nous voulons souligner son importance et appeler les autres à le rejoindre. Il faudra aussi définir une articulation logique et efficace entre ce réseau de centres de proximité et la structure ACYMA, plus connue sous le nom de « Cybermalveillance.gouv.fr ». Tout l'enjeu est de parvenir à une architecture lisible et cohérente, permettant d'orienter efficacement et rapidement les victimes, en évitant tout fonctionnement en silo.
- Enfin, une partie des crédits du plan (20M€) est consacrée au renforcement de la capacité nationale de cybersécurité pilotée par l'ANSSI , via la mise en place de solutions avancées « automatisées » au profit des ministères (ex : création d'une plateforme anti-virus de l'État).
Au total, 70 M€ seront dépensés en 2021 dans le cadre du plan de relance et le solde de 66 M€ devrait l'être au cours de l'année 2022.
b) Le GIP ACYMA : un dispositif original et utile mais qui manque cruellement de moyens
Créé en 2017, le groupement d'intérêt public Actions contre la Cybermalveillance (GIP ACYMA) a trois grandes missions : assister les victimes d'actes de cybermalveillance/ prévenir les risques et sensibiliser les populations sur la cybersécurité et observer et anticiper le risque numérique par la création d'un observatoire.
En quatre ans, le GIP est notamment parvenu à fédérer en son sein la majeure partie de l'écosystème de la lutte contre la cybermalveillance en réunissant plus de 50 des principaux acteurs étatiques et du secteur privé impliqués (ministères et services de l'État, associations de consommateurs et d'aide aux victimes, organisations professionnelles, assureurs, éditeurs logiciels, constructeurs, opérateurs de service...).
Il a développé une offre de service de qualité dont témoigne la progression forte et constante de l'utilisation de la plateforme cybermalveillance.gouv.fr (+155 % de visiteurs en 2020, + 2 millions de visiteurs).
Il a également mis en place un réseau national de plus de 1 200 prestataires accessibles au travers de la plateforme, en mesure d'apporter une assistance technique de proximité aux victimes.
En outre, son positionnement original et unique, en amont du dépôt de plainte, lui a permis d'identifier et d'alerter les services judiciaires sur l'ampleur de plusieurs phénomènes cybercriminels (escroqueries à la panne informatique, cyber-chantage aux contenus compromettants, piratage de comptes professionnels de formation...).
Pourtant, faute de moyens suffisants, cette structure indispensable au regard du développement de la menace cyber n'est pas en mesure d'assurer véritablement qu'une seule de ses missions : l'assistance aux petites victimes (encore ce service est-il dispensé via une plateforme numérique alors que le bon format, défendu par les rapporteurs, serait celui d'une plateforme d'appel permettant de donner les premiers conseils pratiques aux victimes).
Si ACYMA utilise toutes les ressources dont il dispose pour faire passer ses messages (en profitant notamment des vecteurs que lui offrent ses membres, comme les écrans dans les agences de la Poste ou dans les Transiliens), la mission de sensibilisation et de prévention pâtit de l'absence de moyens à consacrer à la communication . Par ailleurs, le GIP n'a pas encore pu mettre en place l'observatoire national, indispensable à la bonne connaissance de la menace.
Fonctionnant actuellement avec un budget de 1,6 M€ (provenant pour moitié de contributions publiques et pour moitié de contributions privées) qui lui permet d'employer 12 agents, cette structure, unique en son genre à l'échelle mondiale pour la mise en relation de victimes avec des prestataires de cybersécurité, est malheureusement sous-dotée financièrement. Sans remettre en cause la forme juridique du GIP, qui est ici particulièrement adaptée, il est urgent d'augmenter significativement (c'est-à-dire les porter au moins à 3 M€) les moyens alloués à ACYMA. Au vu des enjeux et de l'ampleur des risques encourus dans le champ cyber, un tel effort est indispensable et ne paraît pas hors de portée, surtout s'il est partagé entre ses différents membres. En outre, il faut garder à l'esprit que le développement des actes cyber-malveillants du fait de l'absence ou de l'insuffisance de la politique de prévention a un coût pour la société (le préjudice pour l'Etat de l'arnaque au compte professionnel de formation représente plusieurs dizaines de millions d'euros).
La commission des affaires étrangères, de la défense et des forces armées soutient en outre l'idée de mener une grande campagne nationale de prévention contre la cyber-malveillance , dotée d'une enveloppe de communication exceptionnelle et qui serait mise en oeuvre par ACYMA.
c) La Présidence française de l'UE : une fenêtre d'opportunité pour les dossiers cyber
Par ailleurs, notre pays entend mettre à profit la Présidence française de l'Union européenne au 1 er semestre 2022 pour faire avancer au plan européen les dossiers liés à la cybersécurité.
Cela concerne d'abord la révision de la directive relative à la sécurité des réseaux et des systèmes d'information, dite directive NIS , adoptée en 2016, qui vise à étendre le champ des secteurs considérés comme critiques (traitement des eaux usées, espace, administrations...) et rehausser les obligations imposées à leurs opérateurs.
Par ailleurs, la France souhaite oeuvrer au renforcement de la sécurité des institutions européennes , insuffisamment protégées, par la mise en place de règles spécifiques.
Elle souhaite également favoriser le développement d'un « tissu industriel de confiance » à l'échelle européenne , par la mise en place à Bucarest du Centre européen de compétences industrielles, technologiques et de recherche en matière de cybersécurité et des avancées en matière de certification de sécurité, plusieurs schémas étant en cours d'élaboration, notamment le « European Common Criteria ». La France cherche notamment à étendre à l'échelle européenne son approche de la certification dans le domaine du « nuage » (certification SecNumCloud). Si la certification est nécessaire pour produire de la confiance, attention toutefois à ne pas tomber dans l'écueil de l'excès de normes qui ont un coût élevé pour les entreprises et in fine restreignent l'offre.
Pour mémoire, la stratégie nationale pour le cloud publiée en mai 2021 oblige les organismes publics et les OIV/OSE à recourir à des hébergeurs disposant du nouveau label « Cloud de confiance » qui implique que les infrastructures soient certifiées, localisées en Europe et opérées par des acteurs européens. Il s'agit de garantir que les données européennes ne tombent pas sous le coup de législations étrangères comme le Cloud Act américain.
Nous sommes également très favorables au développement au plan européen de mesures de sécurisation des réseaux 5G, telles que recommandées par la Commission européenne 4 ( * ) et au déploiement de la boîte à outils (« Toolbox 5G ») adoptée en 2020.
Enfin, la France soutient activement la mise en place de mécanismes de solidarité à l'échelle européenne , à savoir le cadre européen de réponse aux crises cyber Blueprint et le réseau de liaison CyCLONe (Cyber Crisis Liaison Organisation Network) qui doit être déployé dans tous les Etats membres.
* 3 A noter aussi que quelques CSIRT sectoriels ont été créés (CSIRT maritime, CERT-Santé) et d'autres sont envisagés (notamment dans le transport aérien).
* 4 Recommandation de la Commission européenne de mars 2019 sur la cybersécurité des réseaux 5G.