F. L'ÉLARGISSEMENT DU PÉRIMÈTRE D'ACTION
La LPM 2014-19 et la stratégie numérique de 2015 ont fixé des orientations et priorités en matière de protection des systèmes d'information des OIV et d'assistance aux victimes des actes de cyber malveillance. L'ANSSI les accompagne dans la sécurisation de leurs systèmes d'information critiques qui passe, entre autres, par l'application de règles de sécurité qu'elle définit avec les opérateurs, ainsi que par l'installation d'un dispositif de détection d'incidents et d'attaques.
La directive européenne relative à la sécurité des systèmes d'information, dite NIS, transposée par une loi du 26 février 2018 54 ( * ) , conforte ces orientations. La mise en place de la notion d'opérateurs de services essentiels (OSE) permettra d'englober des entités au-delà des actuels OIV.
1. Une assistance aux OIV soutenue par un dispositif réglementaire
L'article 22 de la LPM 2014-2019 a défini un cadre réglementaire imposant un renforcement de la sécurité des systèmes d'information des OIV. Il en existe aujourd'hui plus de 200, répartis en 12 secteurs d'activités. Sa mise en oeuvre s'est poursuivie depuis 2014, et l'ANSSI a publié en 2017 les derniers arrêtés sectoriels. En 2017, pas moins de 1 000 systèmes d'information d'importance vitale ont été déclarés à l'ANSSI.
Elle s'appuie largement sur l'industrie de la cybersécurité, via la qualification, par l'ANSSI, de prestataires de services de confiance (détection, audit, réponse aux incidents...) et de produits de sécurité (sondes de détection) 55 ( * ) .
Cet élargissement conduira à renforcer les structures de coordination, de conseil mais également de contrôle et d'assistance opérationnelle 56 ( * ) . L'ANSSI se positionne à la fois sur des dispositifs réglementaires et de contrôle et sur des dispositifs de conseils et d'assistance.
Vos rapporteurs regrettent que la sécurité des systèmes d'information des OIV ne constitue pas un objectif du programme 129. L'ANSSI produit pour son usage interne un indicateur des progrès réalisés dans la protection des systèmes d'information des OIV. Ils réitèrent leur demande de création d'un objectif du PAP et d'un indicateur permettant de mesurer de façon synthétique les progrès réalisés en fonction de cibles à atteindre, et que soit publié un tableau de bord annuel synthétique sur les infractions constatées et les mesures de remédiation réalisées.
2. La transposition de la directive NIS
L'enjeu de la directive adoptée, le 6 juillet 2016, est d'assurer un niveau élevé et commun de sécurité dans l'UE 57 ( * ) . Depuis l'adoption de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, et notamment de ses articles 5 à 9, les opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l'économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d'information nécessaires à la fourniture desdits services (OSE), désignés par le Premier ministre sont soumis à des règles de sécurité élaborée par l'ANSSI.
Ces règles ont pour objet de garantir un niveau de sécurité adapté au risque existant, de prévenir les incidents qui compromettent la sécurité des réseaux et systèmes d'information utilisés pour la fourniture des services essentiels. Les OSE, dont le nombre est estimé à quelques centaines, sont tenus à effectuer auprès de l'ANSSI la déclaration des incidents affectant leurs réseaux et systèmes d'information 58 ( * ) et ils peuvent être soumis à des contrôles du respect de ces obligations 59 ( * ) . Ces règles sont voisines de celles imposées aux OIV visés par les articles L. 1332-1 et L. 1332-2 du code de la défense.
Sur proposition de votre Commission, le périmètre des conditions permettant à l'ANSSI de détecter ou de caractériser une cyberattaque à travers le système de détection sur les réseaux des opérateurs de communication électronique et les serveurs des fournisseurs d'accès à des services de communications électroniques, a été étendu dans la LPM 2019-2025 aux menaces susceptibles de porter atteinte à la sécurité des systèmes d'information des OSE. Ces opérateurs bénéficieront du dispositif de détection sans que cela représente pour eux une charge supplémentaire.
Est introduit également un volet destiné à renforcer la cybersécurité des fournisseurs de services numériques qui seront tenus d'assurer la sécurité de leurs services et de notifier leurs incidents à l'ANSSI.
En conséquence, la loi a accru fortement le nombre d'acteurs régulés et susceptibles d'être assistés prioritairement en cas d'attaque. Un renforcement des effectifs de l'ANSSI sera nécessaire pour se saisir des nouvelles prérogatives : traitement des signalements d'incidents en provenance des OSE, accompagnement de ces opérateurs, etc .
3. La protection des réseaux
La sécurisation des réseaux de télécommunications est un enjeu clé. L'agence joue un rôle central dans le contrôle réglementaire instauré en application de l'article 226-3 du code pénal qui soumet à autorisation la commercialisation et la détention d'équipements susceptibles de porter atteinte à la confidentialité des communications électroniques 60 ( * ) .
4. L'entrainement à la gestion des crises
Autorité nationale de cyberdéfense, l'ANSSI est responsable de l'entrainement des autorités publiques et des OIV à la mise en oeuvre des mesures destinées à répondre aux crises majeures affectant leurs systèmes d'information. Elle est donc fortement impliquée dans l'organisation et le jeu d'exercices, à la fois au niveau national et au niveau international.
En France, un exercice majeur de gestion de crise d'origine cybernétique a permis, fin 2016, de tester le plan « Piranet » et de le diffuser fin juillet 2017. En outre, depuis 2015, chaque exercice majeur planifié par le SGDSN inclut un volet cybernétique. L'ANSSI est également partie prenante dans la planification et le jeu des exercices « Defnet », organisés sous la responsabilité du ministère des armées 61 ( * ) . |
5. Une sensibilisation et une assistance en direction des autres secteurs d'activités
L'ANSSI est un acteur majeur de la promotion d'une culture de cybersécurité.
Elle a préparé la mise en place depuis le 17 octobre 2017 d'une plateforme numérique destinée à mettre en relation des victimes d'actes de cyber malveillance avec des prestataires privés référencés susceptibles de les accompagner dans le traitement des incidents de sécurité informatique 62 ( * ) , copilotée par le ministère de l'intérieur.
En une année de fonctionnement, la plateforme a déjà enregistré les déclarations de 25 000 victimes dont 85% de particuliers, 12% d'entreprises et 3% de collectivités et a référencé quelque 1 600 prestataires. Avec cette masse critique, la plateforme propose à chaque appel à l'aide une moyenne de 28 prestataires de proximité. Ceux-ci ont rédigé 276 rapports d'intervention. L'autre mission de Cybermalveillance.gouv.fr est la sensibilisation des particuliers et des professionnels à la cybersécurité et la diffusion de bonnes pratiques pour se protéger. Le premier volet de son kit de sensibilisation a été téléchargé 17 000 fois. Une nouvelle version proposera un suivi plus complet de la relation entre la victime et le prestataire jusqu'à l'évaluation de ce dernier. |
En parallèle, l'ANSSI a développé une politique de sensibilisation, de communication 63 ( * ) , et de formation.
Lancée en mai 2017, le MOOC SecNum academie a pour objectif de permettre aux étudiants, salariés, dirigeants d'entreprise ou particuliers d'être initiés à la cybersécurité ou d'approfondir leurs connaissances afin de pouvoir agir efficacement sur la sécurité de leurs systèmes d'information. Gratuit et accessible à tous, il donne accès à un large contenu pédagogique proposé et conçu par les experts de l'ANSSI. Fin 2017, la plateforme comptait près de 50 000 inscrits. La formation est sanctionnée par une attestation de réussite obtenue par la validation progressive des crédits attribués. Pilotée par l'ANSSI 64 ( * ) , la certification SecNum edu apporte aux étudiants et employeurs la garantie que la formation répond à une charte et des critères définis par l'ANSSI en collaboration avec les acteurs et professionnels du domaine. Elle vise à apporter de la lisibilité à l'offre de formation et aux métiers du secteur et à leur offrir davantage de visibilité. Plus de 40 établissements de formation initiale et continue ont reçu ce certificat. L'ANSSI propose également une labellisation des formations d'enseignement supérieur mettant en oeuvre les principes de sa démarche pédagogique en matière de sécurité du numérique. En juin 2017, Cyber Edu a lancé son processus de labellisation. À ce jour, 7 formations ont reçu le label 65 ( * ) . Elle met enfin en place des relais dans des secteurs d'activités jusque-là éloignés des sujets numériques, ainsi qu'en région auprès des services déconcentrés de l'État, des collectivités territoriales, les chambres consulaires et des entreprises. L'agence déploie un réseau de correspondants afin de développer ses actions d'information et de conseil. Toutes les régions métropolitaines sont dotées d'un référent. |
* 54 Loi n°2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité
* 55 Le décret n° 2015-350 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale en précise les conditions de délivrance.
* 56 Par ailleurs, un centre d'assistance aux victimes de cyber malveillance, ciblant les entreprises de toutes tailles ainsi que les particuliers, est mis en place à compter de 2016.
* 57 Sénat n° 110 Tome IX (2017-2018) par MM. Cadic et Mazuir p. 33 et suiv. http://www.senat.fr/rap/a17-110-9/a17-110-96.html
* 58 Nécessaires à la fourniture de services essentiels, lorsqu'ils ont ou sont susceptibles d'avoir un impact significatif sur la continuité de ces services, sous peine de sanctions pénales
* 59 Et, en cas de manquement, l'ANSSI peut mettre en demeure les dirigeants de l'opérateur concerné de se conformer aux obligations qui incombent à l'opérateur
* 60 Ce régime de contrôle a été étendu par un arrêté du 11 août 2016 qui a permis de soumettre de nouveaux équipements au contrôle R226, notamment les «stations de bases» de réseau mobile, susceptibles, selon leurs caractéristiques, de permettre des interception du trafic. Ces nouvelles mesures sont assorties d'un délai d'application de cinq ans, pour permettre aux opérateurs d'intégrer ces exigences dans leur calendrier de déploiement à l'horizon 2020 des réseaux de 5 ème génération.
* 61 La série des exercices DEFNET constitue l'entraînement majeur de la chaîne militaire de cyberdéfense du ministère des armées qui l'organise pour son compte propre. L'ANSSI a été observateur lors de l'édition 2018 de l'exercice et prévoit une participation plus marquée en 2019, dans le cadre du partenariat en matière de défense des systèmes d'information entre l'ANSSI et le commandement de la cyberdéfense (COMCYBER) du ministère des armées.
* 62 https://www.cybermalveillance.gouv.fr/ .
* 63 Elle a publié plus d'une vingtaine de supports de sensibilisation dont un guide de l'hygiène informatique. Elle est présente sur Internet, sur les réseaux sociaux, développe ses relations presse et participe à de nombreux colloques et évènements spécialisés
* 64 En partenariat avec le ministère de l'Éducation nationale, de l'Enseignement supérieur et de la Recherche, le Pôle d'Excellence Cyber, des écoles et des industriels
* 65 Le 27 octobre, l'association a signé un accord avec l'Agence nationale pour la formation professionnelle des adultes (AFPA) visant à rapprocher la formation professionnelle des enjeux de cybersécurité.