|
N° 146 SÉNAT SESSION ORDINAIRE DE 2024-2025 |
|
Enregistré à la Présidence du Sénat le 21 novembre 2024 |
|
AVIS PRÉSENTÉ au nom de la commission des affaires
étrangères, de la défense |
|
TOME IX DIRECTION DE L'ACTION DU GOUVERNEMENT Coordination du travail gouvernemental (Programme 129) |
|
Par MM. Olivier CADIC et Mickaël VALLET, Sénateurs |
|
(1) Cette commission est composée de :
M. Cédric Perrin, président ; MM. Pascal
Allizard, Olivier Cadic, Mmes Hélène Conway-Mouret,
Catherine Dumas, Michelle Gréaume, MM. Joël Guerriau,
Jean-Baptiste Lemoyne, Akli Mellouli, Philippe Paul, Rachid Temal,
vice-présidents ; M. François Bonneau, Mme Vivette
Lopez, MM. Hugues Saury, |
|
Voir les numéros : Assemblée nationale (17ème législ.) : 324, 459, 462, 468, 471, 472, 486, 524, 527, 540 et T.A. 8 Sénat : 143 et 144 à 150 (2024-2025) |
L'ESSENTIEL
Avec 425 millions d'euros pour 2025 au lieu de 438 millions d'euros en 2024, les crédits de paiement de l'action n°2 « Coordination de la sécurité et de la défense » subiront une baisse de 3 % par rapport à 2024. Seront impactées les fonctions de cybersécurité, de protection contre les ingérences numériques étrangères et de soutien aux services de renseignement qui relèvent de l'activité de défense et de sécurité nationale pilotée par les services du Premier ministre :
? une baisse de 8 M€ des crédits du Secrétariat général de la défense et de la sécurité nationale (SGDSN) concerne l'agence nationale de sécurité des systèmes d'information (ANSSI) et le service de vigilance et protection contre les ingérences numériques étrangères (Viginum) ;
? une réduction de 4 M€ sur les fonds spéciaux qui assurent le financement de certaines actions des services de renseignement liés à la sécurité intérieure et extérieure (72 M€ pour 2025 au lieu de 76 M€ en 2024)
? une contraction de 1 M€ des moyens du Groupement interministériel de contrôle (GIC) qui met en oeuvre les techniques de renseignement au profit des services habilités (cf. infra).
Quant aux effectifs, le plafond d'emplois ne devrait évoluer que marginalement, passant de 1 283 équivalents temps plein travaillé (ETPT) en 2024 à 1 300 pour 2025.
Les rapporteurs ont salué le fait qu'en dépit de l'augmentation dès 2023 des menaces de tous ordres (cyberattaques, guerre informationnelle, opérations de déstabilisation des outre-mer, tensions causées par les conflits en Ukraine et au Moyen-Orient, etc.) les services et opérateurs du programme 129 ont préparé et protégé avec succès les grands rendez-vous de l'année 2024 : les élections européennes puis législatives et notamment les Jeux olympiques et paralympiques (JOP 2024).
Ce budget 2025 implique des ajustements et une redéfinition des missions, notamment de l'ANSSI, dont l'année 2025 devait correspondre à un changement d'échelle nécessaire à la transposition de la directive dite « NIS 2 », et de Viginum qui devait poursuivre la montée en puissance de ses services opérationnels et de ses partenariats internationaux.
Le rapport identifie les contraintes causées par ce budget et signale le risque d'aggravation de 25 M€ de la baisse des crédits de ce programme annoncé par un amendement du Gouvernement déposé lors de la discussion du texte à l'Assemblée nationale.
En conséquence, le mercredi 20 novembre 2024, sous la présidence de M. Cédric Perrin, Président, au terme d'un large débat1(*), la commission a émis un avis défavorable à l'adoption des crédits de la mission « Direction de l'action du Gouvernement » relative au projet de loi de finances pour 2025, au bénéfice d'amendements de crédits déposés ultérieurement en soutien au programme 129. TATION DU É LA SÉCURISATION DES JEUX OLYMPIQUES DE
I. UNE AUGMENTATION DU NIVEAU DE LA CYBERMENACE EN 2023 AVEC COMME PRIORITÉ LA SÉCURISATION DES JEUX OLYMPIQUES DE PARIS 2024
A. DES CYBERATTAQUES PLUS NOMBREUSES ET PLUS DIVERSIFIÉES
L'ANSSI publie chaque année un panorama de la cybermenace, lequel présente pour l'année écoulée une augmentation du niveau de la cybermenace. En 2023, 3 703 événements de sécurité, contre 3 018 en 2022, ont été portés à la connaissance de l'ANSSI dont 1 112 incidents traités par l'agence contre 832 en 2022. Les cyberattaques sont reliées à trois sources principales : la Chine, la Russie et l'écosystème cybercriminel.
Les attaques par rançongiciels portées à la connaissance de l'agence ont connu une progression de 30 % passant de 109 en 2022 à 143 en 2023, ces nombres non exhaustifs se limitent aux cas nécessitant une analyse de l'agence mais traduisent une tendance générale qui n'épargne aucun secteur d'activité avec par ordre de ciblage les TPE/PME/ETI (34 %), les collectivités territoriales (24 %), les établissements de santé (10 %) et les entreprises stratégiques (10 %).
Évolution et répartition des attaques par rançongiciels
 Source : ANSSI - Panorama de la cybermenace 2023 |
 |
Concernant le secteur de la santé, 30 établissements ont été affectés par des compromissions et chiffrements causés par des rançongiciels en 2022 et en 2023. Durant cette période, le secteur de la santé a représenté à lui seul 10 % des incidents liés à des rançongiciels signalés à l'ANSSI.
Exemples d'attaques par rançongiciel ayant touché des centres hospitaliers en France
Source : ANSSI (Secteur de la santé - État de la menace informatique - octobre 2024)
Le niveau de maturité des universités et des hôpitaux en matière de cybersécurité demeure très bas. L'AP-HP qui fait figure d'exception grâce à la masse critique que son budget numérique et cyber permet pour développer de bonnes pratiques, notamment celle de consacrer 10 % du budget numérique à la cybersécurité.
Par type de cibles, 260 événements de sécurité numérique ont affecté les ministères (contre 227 l'année précédente) dont 246 se sont révélés mineurs (cf. infra tableau pluriannuel de répartition entre ministères des incidents et leur niveau de gravité).
Tableau pluriannuel des cyber incidents par ministère traités par l'ANSSI
|
Ministères |
Nombre d'incidents traités par l'ANSSI |
Caractérisation des incidents |
|||
|
2020 |
2021 |
2022 |
2023 |
||
|
Ministère de l'agriculture et de l'alimentation |
14 |
3 |
2 |
2 |
|
|
Ministère de la cohésion des territoires |
2 |
2 |
0 |
0 |
|
|
Ministère de la culture |
11 |
10 |
6 |
16 |
Dont 8 compromissions de compte de messagerie |
|
Ministère des armées |
4 |
5 |
2 |
4 |
|
|
Ministère de l'économie des finances et de la relance |
18 |
24 |
8 |
25 |
Dont 13 attaques par DDoS (déni de service) |
|
Ministère de l'éducation nationale, de la jeunesse et des sports |
58 |
149 |
187 |
160 |
Dont 181 compromissions de comptes de messagerie |
|
Ministère de l'enseignement supérieur, de la recherche et de l'innovation |
3 |
0 |
0 |
0 |
|
|
Ministère de l'Europe et des affaires étrangères |
14 |
10 |
5 |
8 |
Dont 1 opération de cyberdéfense |
|
Ministère de l'intérieur et des outre mer* |
13 |
11 |
4 |
||
|
Ministère de la justice |
4 |
4 |
2 |
2 |
|
|
Ministère de la santé et des préventions |
14 |
6 |
6 |
7 |
|
|
Ministère de la transition écologique |
18 |
12 |
6 |
5 |
|
|
Ministère du travail, de l'emploi et de l'insertion |
6 |
1 |
0 |
5 |
|
Source : réponse au questionnaire budgétaire
Le panel d'attaques reste très disparate allant des compromissions de comptes de messagerie à des attaques par déni de service pour les moins graves. Une quinzaine d'attaques notables ou significatives ont requis l'intervention à moyen et long terme d'expert de l'ANSSI.
Pour les particuliers, entreprises et collectivités territoriales (hors OIV et OSE2(*) suivis par l'ANSSI) :
· En 2023, 3,7 millions de visiteurs ont consulté la plateforme Cybermalveillance.gouv.fr, dont la fréquentation se stabilise.
· En parallèle 280 000 demandes d'assistance ont été enregistrées via l'outil de diagnostic en ligne, avec une augmentation de +13 % pour les particuliers et +17 % de la part des collectivités.
B. JEUX OLYMPIQUES DE PARIS 2024 : MISSION ACCOMPLIE
S'agissant du panorama des menaces, les chiffres donnés par l'ANSSI peuvent paraître modestes mais ils ne sont pas contradictoires avec le niveau élevé d'attaques. Ainsi, si « seulement » 548 tentatives d'attaques, dont 83 ont produit des effets, ont été dénombrées par l'ANSSI sur les JO de Paris, c'est sur la base d'une analyse des 55 milliards d'attaques individuelles répertoriées par ATOS (opérateur officiel du comité international olympique en charge du consortium numérique et cyber) contre moins de 5 milliards aux JO de Tokyo en 2021. Le niveau de traitement des données est donc sans précédent, sachant qu'un seul événement au sens de l'ANSSI peut recouvrir une multitude d'attaques individuelles. C'est notamment le cas des attaques par saturation des réseaux.
Il est ici important de rappeler que la menace n'a pas été surévaluée au regard de l'absence d'indicent grave, mais que la menace a bien été évaluée, les attaques ont bien eu lieu et le niveau de défense a été efficace.
Bilan du 8 mai au 8 septembre 2024
Menace cyber
548 événements de cybersécurité affectant des entités en lien avec l'organisation des JO ont donné lieu à un traitement par l'ANSSI
- dont 465 signalements (impact bas pour les systèmes d'information) ;
- et 83 incidents (actions malveillantes ayant atteint le système d'information de la victime).
Menace de la manipulation de l'information
Sur la période Viginum a identifié 43 manoeuvres informationnelles ayant ciblé les Jeux. En outre deux campagne numériques planifiées et coordonnées ont impliqué des acteurs pro-azerbaïdjanais. Au demeurant, les trois principaux axes narratifs hostiles n'ont pas remis en cause l'organisation des JO, ni trouvé de relais significatif :
- le récit selon lequel la France était incapable d'accueillir les JO 2024 dans de bonnes conditions ;
- l'instrumentalisation du niveau réel de la menace terroriste pesant sur les JO 2024 ;
- le ciblage et le dénigrement des instances d'organisation de l'événement.
Il faut aussi rappeler qu'en plus des 12 millions d'euros consacrés spécifiquement par l'ANSSI, l'agence a en outre sacrifié 30 % de ses capacités à la sécurisation des Jeux, par des activités d'audit et d'accompagnement. Par ailleurs 100 % de ses équipes ont été mobilisées pendant l'événement, nécessitant la formation d'agents non spécialistes à la gestion des notifications d'alertes cyber. Il faut plus largement saluer la mobilisation de l'ensemble des services du SGDSN.
* 1 Compte rendu de la réunion de commission du 20 novembre 2024.
* 2 Opérateurs d'importance vitale (OIV) et opérateurs de services essentiels (OIV).