E. L'ÉLARGISSEMENT DU PÉRIMÈTRE D'ACTION
La LPM 2014-19 et la stratégie numérique du gouvernement de 2015 ont fixé des orientations stratégiques et des priorités complémentaires en matière de protection des systèmes d'information des opérateurs d'importance vitale et d'assistance aux victimes des actes de cyber malveillance. L'ANSSI les accompagne dans la sécurisation de leurs systèmes d'information critiques. Cette sécurisation passe, entre autres, par l'application d'un corpus de règles de sécurité définies par l'ANSSI et les opérateurs ainsi que par la mise en place d'un dispositif de détection d'incidents et d'attaques.
La directive européenne relative à la sécurité des systèmes d'information, dite NIS, adopté en juillet 2016, qui sera examiné au Sénat d'ici la fin de l'année, conforte ces orientations. La mise en place de la notion d'opérateurs de services essentiels permettra d'englober des entités au-delà des actuels OIV 45 ( * ) .
La revue stratégique de défense présentée le 11 octobre met l'accent sur l'importance des menaces et esquisse de nouvelles orientations stratégiques 46 ( * ) qui seront précisées par la revue stratégique de cyberdéfense.
1. Une assistance aux opérateurs d'importance vitale soutenue par un dispositif réglementaire
Pour la réussite des missions auprès des opérateurs d'importance vitale, qui appartiennent au secteur privé (environ 230 organisations), la LPM 2014-2019, par un dispositif réglementaire, a permis d'engager une dynamique permettant d'ici quelques années d'atteindre un niveau acceptable de sécurité de leurs systèmes d'information.
En application de l'article 22 de la loi, neuf arrêtés sectoriels ont été publiés par les ministères compétents en 2016 47 ( * ) , cinq arrêtés ont été publiés en 2017, et deux autres devraient l'être d'ici la fin de l'année 48 ( * ) .
Lors de l'entrée en vigueur des arrêtés les concernant, les OIV sont tenus de mettre en place les 20 règles de sécurité définies par l'ANSSI et de lui déclarer leurs incidents de sécurité. Dans un délai de trois mois, ils doivent également avoir identifié et déclaré leurs systèmes d'information d'importance vitale. L'ANSSI a commencé en 2017 à apporter aux OIV un accompagnement technique et à recueillir leurs premières déclarations.
La mise en oeuvre de ce nouveau dispositif s'appuie largement sur l'industrie de la cybersécurité, via la qualification par l'ANSSI de prestataires de services de confiance (détection, audit, réponse aux incidents...) et de produits de sécurité (sondes de détection). Le décret n° 2015-350 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale précise les conditions de délivrance de ces qualifications.
Cet élargissement conduira à renforcer les structures de coordination, de conseil mais également de contrôle et d'assistance opérationnelle 49 ( * ) . Il est important pour l'ANSSI de se positionner à la fois sur des dispositifs réglementaires et de contrôle et sur des dispositifs de conseils et d'assistance.
Vos rapporteurs regrettent que la sécurité des systèmes d'information des opérateurs d'importance vitale encadrée par les articles L. 1332-6-1 et 6-7 du code de la défense ne constitue pas un objectif du programme 129. L'ANSSI produit pour son usage interne, un indicateur des progrès réalisés dans la protection des systèmes d'information des OIV. Ils réitèrent leur demande, formulée dans l'avis sur le projet de loi de finances pour 2017, qu'elle fasse l'objet d'un objectif du PAP et d'un indicateur de performance permettant de mesurer de façon synthétique les progrès réalisés dans la protection des systèmes d'informations des OIV en fonction de cibles à atteindre et que soient publiés, chaque année, un tableau de bord synthétique sur les infractions constatées et les mesures de remédiation réalisées.
2. La protection des réseaux
La sécurisation des réseaux de télécommunications est un enjeu clé. L'agence joue un rôle central dans le contrôle réglementaire instauré en application de l'article 226-3 du code pénal qui soumet à autorisation la commercialisation et la détention d'équipements susceptibles de porter atteinte à la confidentialité des communications électroniques 50 ( * ) .
Sous son égide, l'Observatoire de la résilience de l'Internet français contribue à améliorer la compréhension collective de ce réseau par l'étude des technologies susceptibles d'entraver son bon fonctionnement.
Dans le sillage des recommandations déjà élaborées sur la sécurité des réseaux de téléphonie mobile, l'ANSSI a transmis en 2016 aux opérateurs de communications électroniques de nouvelles recommandations 51 ( * ) .
Parallèlement, ses équipes techniques ont poursuivi les actions destinées à mieux appréhender les enjeux de sécurité liés à la virtualisation croissante des fonctions de coeur de réseau et approfondi d'autres travaux sur la sécurisation des moyens d'administration des réseaux ainsi que sur la sécurisation des messageries grand public.
3. L'entrainement à la gestion des crises
Autorité nationale de cyberdéfense, l'ANSSI est responsable de l'entrainement des autorités publiques et des OIV à la mise en oeuvre des mesures destinées à répondre aux crises majeures affectant leurs systèmes d'information. Elle est donc fortement impliquée dans l'organisation et le jeu d'exercices, à la fois au niveau national et au niveau international.
En France, un exercice majeur de gestion de crise d'origine cybernétique a permis, fin 2016, de tester le plan « Piranet » et de le diffuser fin juillet 2017. En outre, depuis 2015, chaque exercice majeur planifié par le SGDSN inclut un volet cybernétique, pour familiariser les acteurs de la gestion de crise avec cette problématique qui accompagne et complique le règlement des crises. L'ANSSI est également partie prenante dans la mise en oeuvre de la réserve de cyberdéfense et contribue à la définition de son concept d'emploi. Elle est impliquée dans la planification et le jeu des exercices DEFNET, organisés sous la responsabilité du ministère des armées. L'agence participe à la série Cyber Europe de UE ainsi qu'aux exercices de l'OTAN Cyber Coalition, Locked Shield et CMX (quand ils comportent un volet cybernétique). |
4. Une sensibilisation et une assistance en direction des autres secteurs d'activités
L'ANSSI est un acteur majeur de la promotion d'une culture de cybersécurité. Dans le cadre de la stratégie du numérique d'octobre 2015, elle a préparé la mise en place depuis le 17 octobre 2017 d'une plateforme numérique destinée à mettre en relation des victimes d'actes de cyber malveillance avec des prestataires privés susceptibles de les accompagner dans le traitement des incidents de sécurité informatique 52 ( * ) . Cette plateforme sera également un observatoire du risque numérique dont les données permettront d'évaluer l'exposition à la cybermalveillance des entreprises, des collectivités territoriales et des particuliers.
L'ANSSI finance le dispositif constitué sous forme de groupement d'intérêt public (GIP) 53 ( * ) à hauteur de 0,9 M€. Sa participation devrait décroitre au fur et à mesure de l'association de nouveaux partenaires. La plateforme emploie 8 personnes.
En parallèle, l'ANSSI a développé une politique active de sensibilisation et de communication 54 ( * ) .
Elle met en place des relais dans des secteurs d'activités jusque-là éloignés des sujets numériques, ainsi qu'en région auprès des services déconcentrés de l'État, des collectivités territoriales et des entreprises. L'agence déploie un réseau de correspondants afin de développer ses actions d'information et de conseil. En 2016, elle a conduit 500 interventions en région. Toutes les régions métropolitaines devraient être dotées d'un référent d'ici fin 2017.
Une fois consolidée, la coopération avec les services déconcentrés de l'État est complétée par un rapprochement avec les collectivités territoriales, et tout particulièrement les régions, compte tenu de leurs compétences en matière de développement économique. Les actions visent notamment à une meilleure intégration des questions liées à la sécurité du numérique, en amont des grands programmes de développement, de formation et de recherche portés par les régions.
La proximité des référents a permis d'établir des liens plus directs avec les opérateurs d'importance vitale implantés en régions et de leur fournir une assistance adaptée. Le volume des sollicitations reçues par les référents montre également une attente très forte de la part des collectivités territoriales et des acteurs privés.
5. La mise en place de l'identité numérique
Dans le domaine juridique, l'ANSSI a piloté la rédaction de plusieurs textes d'application de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique 55 ( * ) et apporté son soutien technique à la DINSIC dans le cadre des projet France Connect qui offre une solution d'identités électroniques permettant d'accéder aux services publics numériques et facilitant l'échange de données entre administrations.
* 45 Voir supra p.33 et suiv.
* 46 Revue stratégique de défense et de sécurité nationale 2017 p.88 à 91, 133 à 136, 252 et 260
* 47 Les arrêtés relatifs aux secteurs d'activité « produits de santé », « gestion de l'eau » et « alimentation » sont entrés en vigueur au 1 er juillet 2016, et ceux relatifs aux secteurs « transports terrestres », « transports maritime et fluvial », « transport aérien », « approvisionnement en énergie électrique », « approvisionnement en gaz naturel », « approvisionnement en hydrocarbures pétroliers » au 1 er octobre 2016.
* 48 En 2017, sont entrés en vigueur les arrêtés relatifs aux secteurs « audiovisuel et information », « communications électroniques et Internet », « finances » et « industrie » le 1 er janvier, et au secteur « nucléaire » le 1 er avril. La parution des derniers arrêtés couvrant les secteurs « espace » et « activités industrielles de l'armement » devrait intervenir avant la fin de l'année 2017 .
* 49 Par ailleurs, un centre d'assistance aux victimes de cyber malveillance, ciblant les entreprises de toutes tailles ainsi que les particuliers, est mis en place à compter de 2016.
* 50 Ce régime de contrôle a été étendu par un arrêté du 11 août 2016 qui a permis de soumettre de nouveaux équipements au contrôle R226, notamment les «stations de bases» de réseau mobile, susceptibles, selon leurs caractéristiques, de permettre des interception du trafic. Ces nouvelles mesures sont assorties d'un délai d'application de cinq ans, pour permettre aux opérateurs d'intégrer ces exigences dans leur calendrier de déploiement à l'horizon 2020 des réseaux de 5 ème génération.
* 51 Les sujets abordés: les réseaux de téléphonie mobile 4G et les services DNS ( Domain name system ) utilisés par les équipements de coeur de réseau mobile afin d'améliorer la sécurité de ces réseaux et de protéger les abonnés lors des différents cas d'itinérance.
* 52 https://www.cybermalveillance.gouv.fr/ .
* 53 Dont le directeur général de l'ANSSI assure la présidence, ce qui permet une association avec les administrations concernées, les consommateurs, les prestataires de sécurité informatique, les opérateurs de communications électroniques et les éditeurs.
* 54 Elle a publié plus d'une vingtaine de supports de sensibilisation dont un guide de l'hygiène informatique recensant 42 mesures de bases. Elle est présente sur Internet, sur les réseaux sociaux, développe ses relations presse et participe à de nombreux colloques et évènements spécialisés
* 55 https://www.economie.gouv.fr/republique-numerique