B. L'AGENCE NATIONALE DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION (ANSSI), BRAS ARMÉ DE L'ETAT POUR LA CYBERDÉFENSE
Le secrétaire général de la défense et de la sécurité nationale a aux termes du 7° de l'article R.132-3 du code de la défense, la mission de proposer au Premier ministre et de mettre en oeuvre la politique du Gouvernement en matière de sécurité des systèmes d'information. Il dispose à cette fin d'un service à compétence nationale « Agence nationale de la sécurité des systèmes d'information (ANSSI) » (décret n°2009-834 du 7 juillet 2009).
Le positionnement de l'Agence auprès du Secrétaire général de la défense et de la sécurité nationale, en sa qualité de conseiller du Premier ministre en matière de défense et de sécurité, est important compte tenu des enjeux. Il permet de les faire valoir dans les instances de décision au plus haut niveau de l'État. Il a, en revanche, pour inconvénient, d'inscrire l'ANSSI dans un circuit de décision administrative et budgétaire parfois contraignant auquel le SGDSN s'efforce d'apporter en gestion un peu plus de souplesse.
1. La cyberdéfense désormais élevée au rang de priorité nationale
a) Un risque croissant désormais reconnu comme une priorité
Votre commission avait estimé dans son rapport de 2012 qu'il convenait d'élever la cyberdéfense au rang d'une véritable priorité nationale.
De fait, l'étendue de la menace ne cesse de s'accroître . La France est classée au 14 ème rang mondial des pays où la cybercriminalité est la plus active 15 ( * ) .
L'augmentation exponentielle des cyberattaques D'après le 20 ème rapport de la société américaine de sécurité informatique Symantec portant sur l'année 2014, les cyber-attaquants ont opéré un changement de tactique en s'infiltrant dans les réseaux et en échappant à toute détection par le détournement de l'infrastructure des grandes entreprises et en l'utilisant contre elles. Ils piègent notamment les entreprises en les faisant s'auto-infecter via des chevaux de Troie lors de mises à jour de logiciels standard. Ils attendent ensuite patiemment que leurs cibles téléchargent ces mises à jour infectées, leur donnant ainsi libre accès au réseau de l'entreprise. 2014 aura par ailleurs été une année record pour les vulnérabilités zero-day, avec une moyenne de 59 jours pour que les éditeurs de logiciels créent et déploient des correctifs. Les attaques touchant les entreprises sont en outre toujours plus ciblées et plus précises. Elles ont eu recours à 20 % d'e-mails en moins pour parvenir à leurs fins et incorporé plus de logiciels malveillants par téléchargement et autres exploits en ligne. On a pu également observer que les attaquants utilisent des comptes de messagerie volés à une victime d'une entreprise afin d'en harponner d'autres au bout de la chaîne, profitent des outils et procédures de gestion des entreprises pour déplacer les IP volées au sein du réseau d'entreprise avant de les en extraire, ou encore conçoivent des logiciels d'attaque personnalisés. Si les attaques sont toujours plus ciblées, la cybercriminalité générale ne décroit pas, bien au contraire : 317 millions de nouveaux programmes malveillants ont été créés en 2014, soit près de 1 million par jour. L'e-mail reste un vecteur d'attaque important pour les cybercriminels, mais ces derniers continuent d'expérimenter de nouvelles méthodes d'attaque sur les périphériques mobiles et les réseaux sociaux afin d'atteindre plus de personnes, en faisant des efforts moindres. Ces techniques « faciles » continuent de rapporter, mais certains cybercriminels se tournent vers des méthodes d'attaque plus lucratives et agressives comme le ransomware , qui bloque littéralement le terminal en otage contre le versement d'une rançon. L'an dernier, ce type de programme malveillant a augmenté de 113 % et sa variante « cryptolocker », qui chiffre les données, a fait 45 fois plus de victimes qu'en 2013. La France progresse à nouveau cette année d'un rang et passe donc au 14 ème rang mondial et au 6 ème rang européen des pays où la cybercriminalité est la plus active, les États-Unis, la Chine et l'Inde conservant le haut du classement. Si l'on note une baisse du spam et des attaques web, on voit également qu'elle a subi encore plus d'attaques réseaux et par phishing en 2014 et 2013, occupant respectivement la 6 ème et 4 ème place mondiale. Autre fait distinctif français : si les grandes entreprises sont particulièrement concernées (59 %) par les attaques ciblées, il en est de même pour les PME (35,6 %) et ce, de façon différente des statistiques mondiales. L'exception culturelle française en matière de cybercriminalité concerne d'une part les arnaques sur les réseaux sociaux : la France se classe au 5 ème rang mondial et 2 ème rang européen (derrière le Royaume-Uni et devant l'Allemagne), d'autre part l'extorsion numérique, avec les ransomware (4 ème rang européen et 6 ème rang mondial) dont les cryptolockers représentent désormais 9% dans le pays. Ces informations sont corroborées par une étude récente publiée par PricewaterhouseCoopers qui indique que le nombre de cyberattaques en 2015 a augmenté de 51 % en France. Les entreprises françaises subiraient en moyenne 21 incidents par jour. Sources : Laurent Heslaut http://www.observatoire-fic.com/conclusion-du-rapport-annuel-de-symantec-sur-les-menaces-de-securite-sur-internet/ Sophy Caulier « Menaces tous azimuts sur le bigdata » Le Monde 10 novembre 2015 |
L'attaque puissante menée contre la chaîne de télévision francophone TV5Monde en avril 2015 qui a conduit à l'interruption du service sur l'ensemble des réseaux de diffusion hertziens, câblés et numériques constitue un exemple visible des capacités de destruction des cyberattaques. Elle ne représente toutefois qu'une partie des attaques et des dommages dont sont victimes les administrations, entreprises et particuliers. Les victimes préfèrent souvent s'abstenir de communiquer sur ces attaques, leur révélation pouvant entraîner des impacts collatéraux déstabilisateurs.
TV5Monde : une attaque majeure et un exemple d'intervention de l'ANSSI Le 8 avril 2015, la chaîne internationale TV5Monde a été victime d'une cyberattaque majeure conduisant à un effondrement de son système d'information l'empêchant de diffuser les douze chaînes de télévision qu'elle produit. Bien qu'il ne s'agisse pas d'un opérateur d'importance vitale, l'ANSSI est intervenu immédiatement compte tenu de l'importance de l'attaque. Pour son directeur général « Dans le domaine de la réaction, TV5Monde fournit un bon exemple des niveaux d'intervention mis en oeuvre par l'ANSSI qui est le seul intervenant français à pouvoir le faire à ce niveau. Dès l'attaque détectée, nous avons pu projeter des équipes dans les premières heures pour conserver les traces pour les analyses, un peu comme sur une scène de crime, ce qui est une opération compliquée. Il s'agit ensuite de relancer le service. Nous avons pu dans l'exemple de TV5Monde rétablir un service, certes dégradé mais visible en moins de 18 heures, ce qui était indispensable pour une chaîne de télévision internationale. Enfin, nous avons accompagné ce média dans la reconstruction d'un réseau solide avec un niveau de sécurité élevé. Notre action est associée au développement d'une capacité de détection efficace, qui nous permet de réagir très rapidement » 16 ( * ) . Selon les dirigeants de TV5Monde, le préjudice économique s'élève à plusieurs millions d'euros : restauration du système d'information, y compris le remplacement de matériels corrompus, frais de personnels supplémentaires nécessaires pour faire fonctionner l'entreprise sans ses automates de production et de diffusion, pertes de ressources publicitaires et préjudices d'image auprès des téléspectateurs et des annonceurs. En outre, la société devra investir dans un dispositif de protection pour rendre son système d'information plus robuste et mettre en place une supervision afin de détecter sans délai d'éventuelles nouvelles intrusions. |
Interrogé sur la fréquence des attaques, le directeur général de l'ANSSI, M. Guillaume Poupard, indique que « si l'on se focalise sur les attaques majeures touchant une administration ou un grand industriel à l'image de ce qu'a subi TV5Monde, en début d'année, avec un véritable impact en termes de fonctionnement de l'entreprise ou de compromission d'information, c'est de l'ordre d'une attaque tous les quinze jours » 17 ( * ) .
Le Livre blanc sur la défense et la sécurité nationale, publié en avril 2013, a marqué une nouvelle et importante étape dans la prise en compte par les pouvoirs publics des questions liées à la cybersécurité . Ces orientations ont été mises en oeuvre dans la loi de programmation militaire du 18 décembre 2013, puis déclinées par l'adoption d'un « pacte défense cyber ». Ce pacte, présenté en février 2014, comporte cinq axes (cf. ci-après) et fait intervenir tant le ministère de la défense (officier général « cyberdéfense » et sa chaîne opérationnelle, DGA, DGSE) que le ministère de l'intérieur (DGSI, DGGN, centre opérationnel de sécurité de Toulouse) et, au premier chef, l'ANSSI, autorité nationale en matière de sécurité et de défense des systèmes d'information.
b) Un cadre législatif et réglementaire renforcé
(1) Des dispositions législatives ont été introduites par la loi de programmation militaire du 18 décembre 2013
Le chapitre IV de la loi relative à la programmation militaire pour les années 2014 à 2019 contient des « Dispositions relatives à la protection des infrastructures vitales contre la cybermenace ».
Les trois principales dispositions adoptées L'article 21 (articles L. 2321-1 et L. 2321-2 nouveaux du code de la défense) vise le renforcement du dispositif étatique en matière de cyberdéfense. Il tend, en premier lieu, à consacrer au niveau législatif la compétence du Premier ministre en matière de protection et de défense des systèmes d'information. En deuxième lieu, il reconnaît la possibilité pour les services compétents de l'État, en cas d'attaque informatique importante visant les intérêts fondamentaux de la Nation, d'accéder aux systèmes d'information qui sont à l'origine de l'attaque. En dernier lieu, il permet aux services de l'État déterminés par le Premier ministre de détenir des équipements ou des programmes informatiques susceptibles d'être utilisés lors d'attaques informatiques (comme des virus informatiques par exemple) afin d'analyser leur conception et d'observer leur fonctionnement. L'article 22 (articles L. 1332-6-1 18 ( * ) à L. 1332-6-6 nouveaux du code de la défense et article L. 1332-7 du code de la défense) tend au renforcement des obligations des opérateurs d'importance vitale en matière de sécurité et de défense des systèmes d'information. Il prévoit notamment l'obligation de notifier les incidents informatiques importants ou la réalisation d'audits réguliers. Il s'agit d'un changement majeur : jusqu'alors, l'ANSSI avait un rôle essentiellement de conseil et d'alerte. C'est sur ce fondement qu'elle a naturellement, depuis plusieurs années, assis la sensibilisation des acteurs économiques, par exemple autour des risques liés au développement du cloud computing. Désormais, elle dispose de pouvoirs d'action étendus. L'article 24 (article L. 2321-3 nouveau du code de la défense, articles L.336-3 et L. 34-1 du code des postes et des communications électroniques) prévoit un accès aux coordonnées des utilisateurs des adresses Internet pour les besoins de la sécurité informatique. Cet article vise à permettre aux agents de l'Agence nationale de la sécurité des systèmes d'information, habilités par le Premier ministre et assermentés dans des conditions fixées par décret en Conseil d'État, d'obtenir des opérateurs de communications électroniques l'identité, l'adresse postale et l'adresse électronique d'utilisateurs ou de détenteurs de systèmes d'information vulnérables, menacés ou attaqués. |
(2) Une entrée en vigueur progressive avec la parution des textes d'application
L'entrée en vigueur de certaines dispositions de la loi est conditionnée à la parution de décrets d'application.
Pour la mise en application de l'alinéa 2 de l'art. L. 2321-2 du code de la défense (créé par l'article 21 de la loi de programmation) qui légalise la détention et l'analyse de codes malveillants pour les services de l'État désignés par le Premier ministre, un arrêté du Premier ministre 19 ( * ) établit la liste restreinte des services de l'État autorisés à bénéficier de cette disposition.
Les décrets n° 2015-349, 2015-350 et 2015-351 du 27 mars 2015 respectivement relatifs à l'habilitation et à l'assermentation des agents de l'ANSSI, à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale et à la sécurité des systèmes d'information des opérateurs d'importance vitale (OIV) ont constitué la première étape de la publication des textes d'application
Parallèlement, dans la cadre de la mise en oeuvre de l'article 22 de la loi, une concertation avec les OIV, par secteur d'activité d'importance vitale et par famille des métiers, a été engagée début 2015 au travers de dix-huit groupes de travail destinés à étudier la liste des types de systèmes d'information concernés, les mesures techniques à appliquer et leur délai de mise en oeuvre. Les premiers arrêtés issus de ces travaux, éventuellement protégés par une mention de classification du secret de la défense nationale, devraient être publiés avant la fin de l'année .
(3) Une sensibilisation de l'ensemble du Gouvernement par circulaire du Premier ministre : la « PSSIE »
Le Premier ministre a publié en juillet 2014 une circulaire à destination de tous les ministres et secrétaires d'État, fixant les règles de protection des systèmes d'information des différents départements ministériels 20 ( * ) . Ce document de 40 pages, préparé par l'ANSSI, qui fixe les contours d'une « Politique de sécurité des systèmes d'information de l'État » (PSSIE) est un instrument de diffusion des bonnes pratiques dans l'ensemble des ministères.
Elle décline dix principes fondamentaux portant sur le choix d'éléments de confiance pour construire les systèmes d'information, sur la gouvernance de la sécurité et sur la sensibilisation des acteurs. Les administrations sont désormais tenues de recourir à des produits et services qualifiés par l'ANSSI et d'héberger leurs données sensibles sur le territoire national.
Un premier bilan de la mise en oeuvre de cette politique a été communiqué au Premier ministre et l'ANSSI envisage d'actualiser de PSSIE en fonction de ces résultats et des retours d'expérience issus des travaux ministériels.
La sécurité des systèmes d'information devenant un enjeu essentiel et l'ANSSI représentant plus de la moitié des effectifs budgétaires et des moyens gérés par le SGDSN, il est apparu important d'introduire dans les objectifs et indicateurs de performance du programme 129 un indicateur lié à la sécurité des systèmes d'information de l'État.
Cet indicateur recouvre deux objectifs :
• améliorer la maturité globale des différents départements ministériels en matière de SSI ;
• mener à bien des projets interministériels structurants prévus par le Livre blanc sur la défense et la sécurité nationale de juin 2008 qui ont contribué à justifier la création de l'ANSSI .
INDICATEUR 6.1 |
|||
Niveau de sécurité des systèmes d'information de l'État |
(du point de vue de l'usager)
Unité |
2013
|
2014
|
2015
|
2015
|
2016
|
2017
|
|
Maturité globale en sécurité des systèmes d'information de l'État |
note de 0 à 5 |
3,10 |
3,3 |
3,5 |
2,2 |
2,4 |
2,7 |
Niveau d'avancement des grands projets interministériels en matière de sécurité des systèmes d'information |
% |
86 |
80 |
85 |
83 |
87 |
89 |
Précisions méthodologiques Sous-indicateur « Maturité globale en sécurité des systèmes d'information de l'État » Source des données : les données sont fournies par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Les données de base sont les niveaux de maturité effectifs (réels) des départements ministériels et les niveaux adéquats à atteindre pour chaque département ministériel. Modalités de calcul : cet indicateur se présente sous la forme d'une note de 0 à 5, où 5 est l'optimum. Chaque département ministériel rend périodiquement des comptes à l'Agence nationale de la sécurité des systèmes d'information (ANSSI) sur la conformité de ses systèmes d'information vis-à-vis des règles et objectifs de la Politique de Sécurité des Systèmes d'Information de l'État (PSSIE). Un indicateur synthétique ministériel, entre 0 et 5, est calculé à partir de ces données. Les valeurs transmises par les départements ministériels sont réexaminées en fonction des relevés ponctuels effectués par l'ANSSI, notamment lors des inspections qui les touchent périodiquement. Une pondération est ensuite apportée aux différentes notes des ministères, afin de tenir compte de l'importance de la sécurité des systèmes d'information, qui diffère d'un ministère à l'autre. Sous-indicateur « Niveau d'avancement des grands projets interministériels en matière de sécurité des systèmes d'information » Source des données : les données sont fournies par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Modalités de calcul : la valeur de ce sous-indicateur de politique transversale SSI est obtenue par moyenne de trois indicateurs : - le taux de connexion des passerelles des organismes de l'État au centre gouvernemental de détection des attaques informatiques ; - le taux de déploiement des systèmes d'information sécurisés (notamment le réseau téléphonique sécurisé Rimbaud, avec son nouveau terminal TEOREM de cryptophonie de nouvelle génération, et l'intranet gouvernemental (ISIS) par rapport à l'objectif cible ; - le pourcentage de satisfaction du catalogue objectif des produits de sécurité labélisés par l'ANSSI. |
L'ANSSI a souhaité faire évoluer la méthodologie relative à la mesure de la maturité globale en sécurité des systèmes d'information de l'État. Le mode de calcul du premier sous-indicateur a en conséquence évolué en 2015 afin de reposer sur une méthode de calcul plus robuste et moins subjective. Il s'appuie désormais sur un référentiel partagé, à savoir la Politique de sécurité des systèmes d'information de l'État (PSSIE) validée par le Premier ministre pour lequel la mise en conformité des systèmes d'information des ministères fait l'objet d'efforts d'accompagnement spécifiques de la part de l'ANSSI. Ce nouveau mode de calcul ne permet pas de comparer les prévisions et la cible avec les valeurs des années précédentes.
S'agissant du second sous-indicateur, la prévision actualisée pour l'année 2015 est à un niveau légèrement inférieur à celui prévu initialement en raison du retard d'un an dans le programme de réalisation d'un équipement de sécurité de niveau gouvernemental. Ce glissement limité est sans conséquence sur l'atteinte de la cible 2017.
c) La mise en place d'une stratégie nationale pour la sécurité numérique
Le Premier ministre a présenté, le 18 juin 2015, la stratégie numérique du Gouvernement. Le chapitre « Egalité des droits : la confiance, socle de la société numérique » annonce la mise en place courant 2016 d'un dispositif d'assistance aux victimes d'actes de cybermalveillance. L'élaboration de ce dispositif et sa mise en place sont une priorité de l'ANSSI qui travaille en étroite collaboration avec le ministère de l'intérieur.
En outre l'ANSSI a engagé en juin 2014 un travail interministériel d'élaboration d'une stratégie nationale de sécurité du numérique qui a été présentée par le Premier ministre le 16 octobre.
Les grands axes de la stratégie nationale de sécurité du numérique La numérisation de la société française s'accélère : la part du numérique dans les services, les produits, les métiers ne cesse de croître. Réussir la transition numérique est devenu un enjeu national. Vecteur d'innovation et de croissance, la numérisation présente aussi des risques pour l'état, les acteurs économiques et les citoyens. Cybercriminalité, espionnage, propagande, sabotage ou exploitation excessive de données personnelles menacent la confiance et la sécurité dans le numérique et appellent une réponse collective et coordonnée selon cinq objectifs stratégiques. Intérêts fondamentaux, défense et sécurité des systèmes d'information de l'État et des infrastructures critiques, crise informatique majeure. En développant une pensée stratégique autonome, soutenue par une expertise technique de premier plan, la France se donnera les moyens de défendre ses intérêts fondamentaux dans le cyberespace de demain. Parallèlement, elle continuera à renforcer la sécurité de ses réseaux critiques et sa résilience en cas d'attaque majeure en développant des coopérations tant à l'échelle nationale avec les acteurs privés qu'internationale. Confiance numérique, vie privée, données personnelles, cybermalveillance. Afin que le cyberespace reste un espace de confiance pour les entreprises de toutes tailles et les particuliers, des mesures de protection et de réaction seront adoptées. La protection passera par une vigilance accrue des pouvoirs publics sur l'utilisation des données personnelles et par le développement d'une offre de produits de sécurité numérique adaptée au grand public. La réaction s'articulera autour d'un dispositif d'assistance aux victimes de cybermalveillance qui apportera une réponse technique et judiciaire à de tels actes. Sensibilisation, formations initiales, formations continues. La prise de conscience individuelle des risques liés à la numérisation de la société reste insuffisante. Face à ce constat, la sensibilisation des écoliers et des étudiants sera renforcée. En outre, afin de répondre aux demandes croissantes des entreprises et des administrations en matière de cybersécurité, la formation d'experts dans ce domaine sera développée. Environnement des entreprises du numérique, politique industrielle, export et internationalisation. La croissance des marchés du numérique à l'échelle mondiale, et des exigences de sécurité qu'ils porteront, constituent une opportunité de différenciation pour les produits et services français ayant un niveau de sécurité numérique adapté aux usages. Par le soutien à l'investissement, à l'innovation, et à l'export, par le biais de la commande publique, l'État développera un environnement favorable aux entreprises françaises du numérique proposant une offre de produits et de services sécurisés. Europe, souveraineté numérique, stabilité du cyberespace. La régulation des rapports dans le cyberespace est devenue un sujet majeur des relations internationales. La France promouvra, avec les États membres qui le souhaitent, une feuille de route pour l'autonomie stratégique numérique de l'Europe. Elle renforcera également son influence dans les instances internationales et soutiendra les pays volontaires les moins protégés dans la mise en place de capacités de cybersécurité afin de contribuer à la stabilité globale du cyberespace. La sécurité du numérique conforte le projet de République numérique. L'État y joue un rôle majeur en élaborant cette stratégie et en lançant une dynamique dans laquelle les professionnels du numérique, les décideurs publics et privés et les citoyens sont invités à s'investir. http://www.ssi.gouv.fr/uploads/2015/10/strategie_nationale_securite_numerique_fr.pdf |
d) La mobilisation du ministère de la défense sur l'enjeu « cyber »
(1) La mise en oeuvre du « Pacte défense cyber »
Parce qu'il met en oeuvre les moyens de la dissuasion nucléaire et qu'il conduit les interventions militaires en opérant des systèmes d'information et de communications particulièrement complexes (notamment pour les systèmes d'armes sophistiqués : aéronefs de combat ou de transport, navires de surface ou sous-marins, véhicules de combat terrestres...), le ministère de la défense a une exigence particulière en matière de cyberdéfense.
Lancé en février 2014, le « Pacte défense Cyber » est destiné à rassembler toutes les actions conduites en matière de cyberdéfense par le ministère de la défense jusqu'en 2016. Son exécution est suivie au travers d'indicateurs précis. Il concerne au-delà du seul ministère, les industriels et PME/PMI, les organismes de recherche et les organismes de formation.
Au total, le ministère de la défense indique qu'un milliard d'euros seront investis pour la cybersécurité d'ici 2019 et que 1 000 agents dédiés au cyber seront recrutés et affectés dans les états-majors, à la DGA, et dans les services de renseignement.
Les 6 priorités du « pacte défense Cyber » Axe 1 : Durcir le niveau de sécurité des systèmes d'information et les moyens de défense et d'intervention du ministère et de ses grands partenaires de confiance. Axe 2 : Préparer l'avenir en intensifiant l'effort de recherche tant technique et académique qu'opérationnel, tout en soutenant la base industrielle. Axe 3 : Renforcer les ressources humaines dédiées à la cyberdéfense et construire les parcours professionnels associés. Axe 4 : Développer le Pôle d'excellence en cyberdéfense en Bretagne au profit du ministère de la défense et de la communauté nationale de cyberdéfense. Axe 5 : Cultiver un réseau de partenaires étrangers, tant en Europe qu'au sein de l'Alliance atlantique et dans les zones d'intérêt stratégique. Axe 6 : Favoriser l'émergence d'une communauté nationale défense de cyberdéfense en s'appuyant sur un cercle de partenaires et les réseaux de la réserve. Source : DICOD |
L'ANSSI s'associe aux actions engagées, notamment celles concernant l'axe 4.
(2) L'exercice « Defnet 2015 »
Exercice interarmées DEFNET 2015 L'exercice DEFNET organisé par le ministère de la défense au premier trimestre 2015 a permis de prolonger la coopération quotidienne du centre opérationnel de détection et de réponse aux attaques informatiques de l'ANSSI (COSSI) et de celui du ministère de la défense (CALID) ainsi que l'occasion de tester la mise en oeuvre du déploiement de la réserve citoyenne à vocation opérationnelle cyber dont le pilotage est assuré par l'officier général cyberdéfense de l'état-major des armées. Source : ANSSI |
e) La mise en place d'un réseau unifié et sécurisé : le réseau interministériel de l'État (RIE)
Les administrations de l'État sont des cibles potentielles pour les attaques informatiques.
Dès 2011, l'État a donc mis en chantier un réseau informatique unifié et sécurisé, destiné tout à la fois à mieux maîtriser la sécurité dans un contexte de cyberattaques croissantes, mais aussi à améliorer le service rendu aux citoyens en facilitant les échanges entre les administrations et le développement d'applications partagées. Ce projet , à la fois de sécurité et de modernisation de l'État , est porté par les services du Premier ministre et notamment par la DISIC, direction interministérielle de l'information et de la communication 21 ( * ) .
Le décret n°2014-879 du 1 er août 2014 relatif au système d'information et de communication de l'État est venu affirmer cette « unicité » du système d'information de l'État.
Sans tendre à l'uniformité, le but est de faire partager une même vision au sein des ministères et de privilégier des choix technologiques communs, afin d'imprimer une cohérence globale en raccordant l'ensemble des sites ministériels, des administrations centrales et déconcentrées, pour faciliter les échanges interministériels, dans un système sécurisé.
Ce projet de grande ampleur, puisque 17 000 sites seront progressivement reliés entre 2013 et 2017, avait un coût de construction initial évalué à 11,5 millions d'euros, pour un coût de fonctionnement annuel de 6,5 millions d'euros 22 ( * ) . Le coût d'investissement correspond principalement à la mise en place du « coeur du réseau » à haut débit, avec l'installation d'équipement de routage à haut-débit, à hauteur d'environ 4 millions d'euros et d'infrastructure optique, à hauteur de 7,5 millions d'euros.
Ce réseau est destiné à remplacer progressivement l'ensemble des réseaux ministériels. Le « coeur de réseau » à haut débit, qui relie douze centres informatiques ministériels, est déjà opérationnel, depuis l'été 2013. Le déploiement du RIE fluidifie les échanges interministériels, en particulier pour les sites de l'administration territoriale de l'État, qui sont enfin raccordés à un réseau commun. Aujourd'hui il est déployé sur plus de 6 500 sites sur l'ensemble du territoire national.
2. L'ANSSI : une action amplifiée, des moyens accrus
a) Des missions consolidées
Les missions de l'ANSSI sont définies par le décret du Premier ministre n°2009-834 du 7 juillet 2009 modifié 23 ( * ) notamment en 2015 pour tenir compte des évolutions portées par les dispositions de la loi de programmation militaire de décembre 2013.
En 2011, l'ANSSI a publié une stratégie nationale de défense et de sécurité des systèmes d'information qui a mis en perspective les missions de l'agence regroupées en deux pôles :
• un pôle de sensibilisation/prévention , destiné à informer les différents publics des menaces présentes dans le cyberespace et des moyens de s'en protéger, et qui vise à garantir effectivement la sécurité des systèmes d'information des administrations et à contribuer à celle des opérateurs essentiels au bon fonctionnement de la Nation. Acteur « historique » en matière de prévention, l'agence renforce également sa politique de sensibilisation et de formation. Ses interventions dans le cadre de conférences et de colloques, bien au-delà du strict champ technique, participent à cette politique comme ses publications nombreuses ;
• un pôle centré sur la réaction aux attaques et l'appui à la reprise de l'activité normale des systèmes d'information . Le centre opérationnel de la sécurité des systèmes d'information (COSSI) est chargé de piloter la réponse de l'État et des entreprises nécessaires au bon fonctionnement de la Nation. L'anticipation des modes d'action ainsi que la détection et le traitement des attaques sont l'une des principales missions de l'agence.
La loi de programmation militaire de 2013 a confié de nouvelles missions à l'ANSSI en matière de protection des systèmes d'informations critiques des opérateurs d'importance vitale.
La stratégie numérique du Gouvernement, la stratégie nationale de sécurité du numérique et l'actualité opérationnelle entraînent un élargissement et une redéfinition des missions de l'agence actuellement en cours.
b) Une action amplifiée
(1) La protection de l'information de souveraineté
Depuis 2013, pour protéger les communications les plus importantes ou les plus secrètes des autorités, l'ANSSI continue de déployer des téléphones sécurisés TEOREM sur le réseau téléphonique ordinaire et sur le réseau RIMBAUD (réseau résilient destiné aux communications de crise).
Le réseau de données interministériel Confidentiel Défense ISIS, utilisé pour coordonner la gestion de crises et pour l'échange de données très sensibles entre administrations, poursuit sa modernisation et son extension. En complément des offres résilientes conçues avec un opérateur privé, le service ISIS a été également ouvert sur le Réseau coeur gouvernemental (RCG) opéré par le centre de transmissions gouvernemental (CTG) sur un ensemble de boucles optiques privatives. Au total, 230 sites sont raccordés à ce service. On comptabilise 2 300 abonnés, sur 900 postes, qui échangent très régulièrement (plus de 500 000 courriers électroniques).
Organisme militaire mis pour emploi fonctionnel auprès de l'ANSSI, le centre de transmissions gouvernemental (CTG) compte 180 personnels des trois armées. Il intervient dans la mise à disposition d'une partie des systèmes de télécommunications sécurisés nécessaires à la continuité de l'action de l'État, notamment celle de ses plus hautes autorités.
Une politique de sécurité des systèmes d'information de l'État (PSSIE), portée par la circulaire du 17 juillet 2014, fixe les règles de protection applicables aux systèmes d'information de l'État (voir supra p. 29).
Votre commission s'interroge d'ailleurs sur l'opportunité qu'il y aurait à connecter les deux assemblées du Parlement à ce réseau, pour améliorer la fiabilité des transmissions avec le Gouvernement, notamment pour la communication ou l'échange d'informations sensibles.
(2) La détection des attaques informatiques
L'ANSSI développe depuis 2010 une capacité centralisée de détection des attaques informatiques visant les systèmes d'information des services de l'État. Les travaux d'amélioration du positionnement technique des systèmes de détection déjà en exploitation ont permis d'accroître encore le taux de couverture.
En parallèle, le centre de détection des attaques informatiques de l'ANSSI continue d'industrialiser les solutions développées et d'améliorer ses capacités afin d'anticiper de nouvelles menaces. Les développements ont principalement porté, d'une part, sur l'intégration de nouvelles techniques de détection innovantes et, d'autre part, sur la conception de sondes haut-débit destinées à la supervision du Réseau interministériel de l'État (RIE).
L'accroissement de l'activité opérationnelle de l'ANSSI et le besoin d'améliorer la coordination et le pilotage des opérations ont conduit à mettre en place une structure de centralisation et de pilotage des opérations de cyberdéfense. Afin de mieux gérer une crise d'ampleur, l'organisation de crise de l'ANSSI a été affinée au premier semestre 2015 à la suite des attentats survenus à Paris en janvier et à la résolution de l'attaque informatique contre TV5Monde.
(3) La sécurisation des systèmes informatiques les plus sensibles
Devant la multiplication des attaques « critiques » qu'elle a dû traiter, l'ANSSI anticipe une augmentation des cas à court terme. Le déploiement plus large de solutions de détection contribuera très probablement à révéler de nombreux autres cas d'attaques qui aujourd'hui ne sont pas détectées.
Les dispositions de la loi de programmation militaire du 18 décembre 2013 relatives à la cyberprotection des opérateurs d'importance vitale ouvrent un vaste champ d'action pour l'ANSSI et dimensionnent ses travaux pour plusieurs années (voir supra p. 28). La publication des premiers décrets d'application de la loi et prochainement des arrêtés issus des concertations par secteur d'activité d'importance vitale et par famille de métiers avec les OIV en fournira le cadre. Si la concertation avec les OIV peut paraître longue, elle aura permis à l'ANSSI de mieux prendre connaissance leur spécificité et d'entreprendre une action de sensibilisation en profondeur qui sera probablement bénéfique dans la phase de mise en oeuvre de leurs obligations. Elle permettra aussi à l'ANSSI de diffuser plus largement ces règles sous forme de recommandations à d'autres entreprises afin qu'elles puissent se protéger. Dans ce travail, elle pense pouvoir s'appuyer sur la directive européenne, en préparation, sur la sécurité des réseaux et des informations ( Network and Information Security - NIS )
(4) Le développement de la sécurité informatique pour l'ensemble de la société
L'ANSSI a publié dans ces douze derniers mois 17 guides et notes techniques afin de sensibiliser les administrations, les acteurs économiques et le grand public. En outre, 33 articles scientifiques ont été publiés et 58 conférences scientifiques ou techniques prononcées dans des manifestations spécialisées.
L'ANSSI va également déployer un réseau de correspondants dans les régions afin de développer ses actions d'information et de conseil.
Dans le cadre de sa mission de soutien au développement d'une meilleure sécurité informatique pour l'ensemble de la société, l'ANSSI attribue un label attestant de la sécurité des produits qui lui sont soumis . En 2014, neuf produits ont été qualifiés, certains pour la protection des informations classifiées au niveau Confidentiel Défense ou Secret Défense .
Dans le cadre de sa politique industrielle, l'ANSSI suit le positionnement de l'offre nationale de cybersécurité sur la scène internationale et identifie les secteurs orphelins. Elle établit une base de connaissance sur les entreprises du domaine et tient à jour un réseau de contacts appropriés au sein de la plupart des sociétés. En 2014, l'agence a rencontré environ 300 industriels dans le cadre d'entretiens bilatéraux. Elle a participé, en liaison avec le commissariat général à l'investissement, la banque publique d'investissement ( Bpifrance ), la direction générale de l'armement (DGA) et la direction générale des entreprises, à l'instruction de quatre projets retenus dans le cadre de l'appel à projets « sécurité numérique » et en cours de développement.
En 2014, l'ANSSI a piloté la finalisation de la feuille de route du 33 ème plan de la Nouvelle France Industrielle (NFI). . Le second semestre de 2014 et l'année 2015 ont été consacrés à la mise en oeuvre de cette feuille de route.
Le centre de formation de l'ANSSI a reçu et formé 1.300 stagiaires durant l'année scolaire écoulée soit un nombre équivalent à l'année précédente.
Enfin, l'ANSSI a initié une politique de certification de prestataires compétents techniquement et de confiance , qui sont en mesure de soutenir les entreprises dans leurs efforts d'atténuation des risques et de résiliences aux cyberattaques. Elle a ainsi qualifié une vingtaine de prestataires d'audit de sécurité. À la mi-2016, elle publiera la liste des entreprises certifiées en matière de détection d'incidents et de réactions aux incidents. Cette qualification concerne à la fois les entreprises et leurs personnels.
Le développement d'un écosystème privé de cybersécurité est indispensable car l'ANSSI n'a ni la vocation, ni les moyens de tout faire tant les champs à couvrir ne cessent de s'étendre. Elle doit donc se concentrer sur ses missions et favoriser l'émergence de prestataires privés pour prendre le relai dans la mise en oeuvre de ses recommandations. Le cabinet d'étude Xerfi estime qu'en 2017 2 milliards d'euros seront dépensés sur le marché de la cybersécurité en France. Reste que la faiblesse du vivier des ingénieurs compétents freine le développement du secteur et que la convoitise des différents opérateurs pour s'en attacher les services n'est pas sans effet sur les difficultés rencontrées par l'ANSSI en matière de gestion de ses ressources humaines (voir infra p. 41).
(5) Audits
En 2014, les équipes de l'ANSSI ont réalisé plusieurs dizaines de prestations d'audit au profit de l'administration (64 %) ainsi que des opérateurs d'importance vitale privés (36 %).
Situations dans lesquelles des audits de l'ANSSI peuvent être réalisés - au titre de l'inspection réglementaire du ministère de l'intérieur ; - en application de l'article L. 33-10 du code des postes et des communications électroniques, qui prévoit l'obligation pour les opérateurs de communication électronique de se soumettre à des contrôles de sécurité à la demande du ministre chargé de l'économie ; - en application de l'instruction générale interministérielle n° 6600 relative à la sécurité des activités d'importance vitale ; - en lien avec l'assistance offerte par l'ANSSI à des services de l'État ou à des opérateurs OIV dans le cadre de la mise en oeuvre de grands projets de système d'information ; - à la demande de services de l'État, soit à leur profit direct, soit chez des opérateurs du secteur d'importance vitale dont ils assurent la tutelle ; - au titre des opérations de cyberdéfense ; - dans le cadre de la mise en oeuvre de projets de systèmes d'informations internes à l'ANSSI. |
(6) L'action internationale
Sur le plan multilatéral, l'ANSSI a participé aux travaux de l'ONU ( Groupe d'experts gouvernementaux autour des questions de cybersécurité), de l'OCDE (groupe de travail « stratégies nationales de cybersécurité » et « vie privée et sécurité de l'information, WPISP), de l'OSCE (groupe sur les « Confidence-Building Measures » en matière de cybersécurité), de l'OTAN (notamment suivi et élaboration d'instructions pour les comités de l'OTAN s'intéressant à la cyberdéfense, élaboration des positions françaises en vue de deux réunions des ministres de la défense), de l'Union européenne (participation active à la négociation sur la stratégie européenne de cybersécurité 24 ( * ) , à la finalisation des EU Standard Operating Procedures , négociation du mandat de l'agence européenne chargée de la sécurité des réseaux et de l'information (ENISA), préparation des éléments relatifs à la cybersécurité des conclusions des Conseil numérique et défense, travaux de seconde évaluation des produits de sécurité protégeant des informations classifiées, etc.).
L'agence suit également de façon attentive la négociation des traités transatlantiques de façon à éviter que les données personnelles ne soient considérées comme des données marchandes. L'agrégation de masses de données personnelles peut également concerner la sécurité nationale.
Les relations avec les partenaires principaux se sont poursuivies en particulier avec le Maroc. L'ANSSI a engagé, en 2014, une coopération avec plusieurs pays d'Afrique sub-saharienne ainsi qu'un partenariat avec l'Inde en matière de cybersécurité.
(7) De nouveaux champs à explorer
Le développement de nouveaux usages et des objets connectés ouvre un nouveau champ d'action pour l'ANSSI . Il s'avère en effet que les concepteurs de ces nouveaux produits ne se préoccupent qu'insuffisamment des risques de sécurité. Il y a donc un besoin évident d'identifier ces risques, de sensibiliser les entreprises et d'accompagner la montée en puissance de cet écosystème.
* 15 20 ème Rapport de la société américaine de sécurité informatique Symantec avril 2015
* 16 http://www.senat.fr/compte-rendu-commissions/20151012/etr.html#toc4
* 17 Le Monde 10 novembre 2015
* 18 Ces dispositions ont été précisées par des dispositions de l'article 27 de la loi n° 2015-917 du 28 juillet 2015 actualisant la programmation militaire pour les années 2015 à 2019 et portant diverses dispositions concernant la défense
* 19 Arrêté du 17 juillet 2015 déterminant les services de l'État mentionnés au second alinéa de l'article L. 2321-2 du code de la défense
* 20 n° 5725/SG du 17 juillet 2014.
* 21 Créée par le décret n°2011-193 du 21 février 2011, la DISIC est placée sous l'autorité du Premier ministre et rattachée au Secrétariat général pour la modernisation de l'action publique.
* 22 Hors coûts de raccordement des sites ministériels.
* 23 http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000020828212
* 24 Audition de M. Guillaume Poupard : « Dans le cadre des négociations sur la directive européenne pour la sécurité des réseaux, nous oeuvrons pour que les autres pays européens aient l'obligation de se doter d'une structure homologue de l'ANSSI, dans l'optique de constituer un réseau d'agences. Nous incitons ainsi les pays qui ont actuellement une faiblesse dans ce domaine à développer cette capacité et nous faisons du « capacity building », c'est-à-dire l'aide au développement. Il est en effet dans notre intérêt que ces maillons faibles de la cybersécurité améliorent leur protection : leur vulnérabilité est aussi la nôtre, les attaquants entrant souvent dans les réseaux par les pays les moins protégés. Enfin, le développement d'une capacité autonome européenne dans le domaine du numérique figure parmi les cinq axes de la stratégie nationale de sécurité publique. Ceci va au-delà de la cybersécurité ; il s'agit d'identifier les technologies-clefs qu'il est nécessaire de maîtriser en Europe afin de pas être dépendants des États-Unis ou de la Chine. » http://www.senat.fr/compte-rendu-commissions/20151012/etr.html#toc4