N° 458
SÉNAT
SESSION ORDINAIRE DE 2017-2018
Enregistré à la Présidence du Sénat le 20 avril 2018 |
RAPPORT D'INFORMATION
FAIT
au nom de la commission des affaires européennes (1) sur la cybersécurité dans l' Union européenne ,
Par M. René DANESI et Mme Laurence HARRIBEY,
Sénateurs
(1) Cette commission est composée de : M. Jean Bizet, président ; MM. Philippe Bonnecarrère, André Gattolin, Mmes Véronique Guillotin, Fabienne Keller, M. Didier Marie, Mme Colette Mélot, MM. Pierre Ouzoulias, Cyril Pellevat, André Reichardt, Simon Sutour, vice-présidents ; M. Benoît Huré, Mme Gisèle Jourda, MM. Pierre Médevielle, Jean-François Rapin, secrétaires ; MM. Pascal Allizard, Jacques Bigot, Yannick Botrel, Pierre Cuypers, René Danesi, Mme Nicole Duranton, MM. Thierry Foucaud, Christophe-André Frassa, Mme Joëlle Garriaud-Maylam, M. Daniel Gremillet, Mme Pascale Gruny, Laurence Harribey, MM. Claude Haut, Olivier Henno, Mmes Sophie Joissains, Claudine Kauffmann, MM. Guy-Dominique Kennel, Claude Kern, Jean-Yves Leconte, Jean-Pierre Leleux, Mme Anne-Catherine Loisier, MM. Franck Menonville, Georges Patient, Michel Raison, Claude Raynal, Mme Sylvie Robert. |
AVANT-PROPOS
Lors de son discours sur l'état de l'Union le 13 septembre 2017, Jean-Claude Juncker, le président de la Commission européenne, a déclaré : « les cyberattaques sont parfois plus dangereuses pour la stabilité des démocraties et des économies que les fusils et les chars » ; « Les cyberattaques ne connaissent pas de frontières; elles n'épargnent personne » .
Force est de constater que l'Union européenne n'est pas épargnée par les attaques cyber. Son modèle démocratique, sa prospérité et, peut-être, un manque de culture de la sécurité informatique, en font une cible de choix pour les attaquants. Et la numérisation sans cesse grandissante des États, des sociétés et des économies va la rendre encore plus vulnérable. Des appareils de plus en plus connectés et des réseaux de communication électronique de plus en plus développés vont accroître le risque d'attaque cybernétique.
Si plusieurs États membres, à l'image de la France, se sont déjà saisis du phénomène et luttent avec efficacité, une augmentation du niveau de la cybersécurité en Europe est nécessaire. C'est pourquoi, le 19 septembre 2017, la Commission européenne a annoncé une série de mesures visant à renforcer la résilience de l'Union européenne dans le domaine de la cybersécurité.
Au coeur de ce paquet cybersécurité, la Commission propose un Acte européen pour la cybersécurité. Ce projet de règlement pérennise l'Agence européenne chargée de la sécurité des réseaux et de l'information, l'ENISA, élargit ses missions et en fait l'acteur principal d'une nouvelle certification européenne de sécurité informatique.
Ces mesures ambitieuses étaient attendues, notamment par de nombreux acteurs de la cybersécurité en France. Pourtant, le résultat ne semble pas à la hauteur de l'attente et la réforme n'est pas sans soulever de questions.
Le présent rapport analyse l'état de la cybersécurité en France et en Europe et dessine les fondements d'une cybersécurité robuste, pilier de l'Europe numérique, qui seront reprises dans une proposition de résolution européenne.
I. LA PROLIFÉRATION DES CYBERMENACES OBLIGE L'EUROPE ET LA FRANCE À RENFORCER LEURS MOYENS DE RÉSILIENCE
A. UNE MENACE EN ÉVOLUTION RAPIDE ET EN AUGMENTATION CONSTANTE
1. Une menace protéiforme et de plus en plus structurée
La revue stratégique de cyberdéfense publiée le 12 février 2018 par le Secrétariat général de la défense et de la sécurité nationale dresse un constat sans équivoque des menaces cyber qui pèsent sur nos sociétés. Les dernières années ont été marquées par la croissance de la menace, tant dans ses formes que dans son intensité. Et si on connaît de mieux en mieux les cyberattaques, celles-ci présentent une grande variété.
Les attaques peuvent être massives ou ciblées et leurs effets peuvent être variables. Cela va de la disparition quasi-invisible de données à la paralysie totale d'une activité ou d'une entité visée. Quatre grandes catégories d'objectifs sont poursuivies par des attaques cyber :
- L'espionnage, transposition dans le monde numérique des activités anciennes de renseignement, qui touche peut-être plus les entreprises que les autorités publiques ;
- La cybercriminalité, qui a pour but principal le vol et l'extorsion d'argent, mais aussi de données ;
- La déstabilisation, par le biais de l'expression en ligne via des sites d'information ou de propagande et les réseaux sociaux ;
- Le sabotage informatique, c'est à dire une attaque dans le monde numérique qui vise principalement à paralyser ou détruire des infrastructures du monde physique.
On constate également qu'en un peu plus de 25 ans, la menace s'est structurée. On est passé de hackers, isolés ou en groupe, à la recherche d'un exploit comme le piratage d'une agence nationale de sécurité, à ce qu'on appelle les APT (pour Advanced persistant threat en anglais), c'est-à-dire des groupes d'attaquants informatiques disposant de compétences élevées, de ressources importantes et capables de conduire des attaques informatiques sophistiquées.
En outre, comme le relève la revue stratégique de cyberdéfense, « l'implication des États transforme aussi en profondeur la nature de la menace cyber. [...] Certains pays, cherchant à anonymiser leurs actions dans le cyberespace, délèguent à des entités privées le soin de les mener. »
2. Des sociétés de plus en plus vulnérables
Les criminels ont toujours un temps d'avance sur les pouvoirs publics. Cette réalité est aussi valable dans le monde informatique. Les antivirus ne sont jamais qu'une réponse à une attaque déjà portée.
On constate aussi le manque de culture de la sécurité informatique. Hormis pour les spécialistes, la sécurisation des systèmes, produits en tous genres et infrastructures, n'est pas toujours une priorité. Pour certains, elle apparaît même comme une contrainte, voire une dépense inutile.
Pourtant, le développement de la société numérique devrait se faire sur le principe de security by design , c'est-à-dire de la sécurité dès la conception. À titre d'exemple, on parle beaucoup du développement des villes connectées, les smart cities , pour lesquelles on envisage qu'une meilleure connexion des utilisateurs de la ville et l'usage d'objets connectés permettront de mieux réguler les transports et la consommation d'énergie dans les villes. Il serait souhaitable de parler de smart and safe cities , des villes intelligentes et sûres. Car si les systèmes ne sont pas assez sécurisés et peuvent être détournés, les conséquences seront terribles. D'une manière générale, la transformation numérique en cours ne va faire qu'accentuer les risques informatiques qui pèsent sur nos sociétés.
L'informatique est déjà présent partout. Les objets connectés vont connaître un essor formidable dans les années qui viennent et se retrouveront dans les administrations, les entreprises, les logements individuels, les villes connectées. L'intelligence artificielle devrait permettre de gérer les grands réseaux de transport et d'énergie, en analysant des masses de données transmises en direct par le réseau internet.
Au total, il y aura une interaction permanente, via une connexion internet, entre les objets, les systèmes informatiques et l'ensemble de la société. De par la connexion, tous ces points nouveaux et connectés seront autant de point d'entrée pour une attaque. En outre, les réseaux seront de plus en plus connectés entre eux, ce qui va favoriser la propagation d'une attaque ou d'un virus à une grande échelle.
Il apparaît donc, au final, que la numérisation de la société tout entière va accroître sa vulnérabilité à la menace, au point de créer un risque systémique pour les États, les sociétés et les économies. L'Europe et la France n'échappent pas à cette analyse.
3. L'Europe et la France, cibles réelles
Les deux dernières années ont apporté la preuve de l'essor des cyberattaques . La Commission européenne a dressé le constat 1 ( * ) qu'en 2016, il y a eu 4 000 attaques par rançongiciel par jour, soit une hausse de 300 % par rapport à 2015. Au total, 80 % des entreprises européennes auraient été touchées par une cyberattaque en 2016. En 2017, les virus Wannacry et Notpetya ont frappé les ordinateurs dans le monde entier avec une ampleur jamais vue auparavant. Le premier a consisté à bloquer, par chiffrement, plus de 400 000 ordinateurs dans 150 pays dans le but de demander une rançon pour la restauration des données. Le second a détruit de nombreux systèmes informatiques utilisant un logiciel comptable ukrainien, Me.Doc. L'attaque a principalement frappé l'Ukraine, dont 80 % des entreprises utilisaient ce logiciel. Au-delà, elle a touché des groupes mondiaux comme le français Saint-Gobain, l'américain FedEx ou le danois Maersk et les pertes financières totales sont estimées à plus d'un milliard d'euros. Plus grave, peut-être, des hôpitaux au Royaume-Uni ont vu leur fonctionnement affecté par l'attaque.
S'agissant des objets connectés, plusieurs exemples récents attestent de leur vulnérabilité aux attaques. La campagne « Toyfail » menée par l'association norvégienne de protection des consommateurs a montré que n'importe qui pouvait facilement avoir accès au microphone de la poupée connectée Cayla et ainsi parler avec l'enfant sans que ses parents le sachent. La campagne « WatchOut » menée par cette même association a également montré les nombreux défauts de sécurité affectant les montres connectées.
Pour sa part, la France est, elle aussi, touchée par le phénomène. 5 500 plaintes liées à des attaques informatiques sont déposées chaque mois et il y aurait jusqu'à 5 700 victimes sur la même période. Certes, le niveau des attaques n'est pas toujours élevé, mais ces chiffres indiquent des pratiques très répandues.
On estime que, chaque jour, c'est une collectivité territoriale qui est victime d'une attaque cyber. Ici encore, le niveau des attaques, souvent faible comme le détournement de site, doit faire relativiser l'ampleur du mouvement. Il n'en demeure pas moins que les collectivités doivent elles aussi se protéger. Outre la mise en oeuvre du règlement général sur la protection des données à caractère personnel qui va les obliger à prendre un certain nombre de dispositions, assurer la sécurité de leurs installations informatiques est une charge croissante pour elles. En raison des données qu'elles gèrent, il s'agit également d'une activité sensible. C'est pourquoi, elles doivent bénéficier d'un soutien de l'État et de solutions adaptées.
Aperçu et comparaison du panorama actuel des menaces
2017
Légende : Tendances : en déclin,
stable, en augmentation
|
Source : ENISA, panorama des menaces de 2017
* 1 Commission européenne, étude d'impact accompagnant la proposition de règlement sur la cybersécurité. REF