ÉVALUATION DE LA CAPACITÉ DU MINISTÈRE DE L'EUROPE ET DES AFFAIRES ÉTRANGÈRES À ÉVITER UNE CYBERATTAQUE
Comme la plupart des systèmes d'information, les systèmes d'information du ministère de l'Europe et des affaires étrangères font l'objet de très nombreux incidents de cybersécurité. La direction des systèmes d'information en évalue le nombre à 65 000 par jour. La très grande majorité sont des incidents mineurs, comme des mails indésirables qui sont rejetés et constituent une forme de « bruit de fond», mais au sein de cette masse, quelques dizaines peuvent être qualifiés de tentatives d'intrusion. La plupart fort heureusement bute sur les systèmes de protection mis en place qui résultent de la combinaison de la mise à jour des socles applicatifs, de la correction des failles, de la défense périmétrique grâce au filtrage des flux au moyen de passerelles de sécurité et de la défense en profondeur qui consiste à cloisonner les systèmes d'information de façon à éviter la migration d'une attaque d'un système à l'autre.
1. Le ministère de l'Europe et des affaires étrangères bénéficie d'un niveau de protection élevé
Le ministère de l'Europe et des affaires étrangères n'est sans doute pas le plus mal loti en matière de cyberprotection, compte tenu du caractère sensible des données traitées par ses systèmes d'information. Il dispose d'une capacité de protection jugée efficace et d'un niveau comparable à celle des autres ministères régaliens.
Néanmoins, on constatera qu'il n'est pas complètement en conformité dans la mise en oeuvre de la circulaire interministérielle de 2014, qu'il revendique une certaine autonomie dans la gestion de sa cyber protection et que, historiquement, sa relation avec l'ANSSI apparaît plus complexe que celle entretenue par l'Agence avec d'autres ministères.
En outre, afin de détecter les éventuelles compromissions du système d'information (SI) du MEAE, l'ANSSI 3 ( * ) déploie un système de supervision de la sécurité à sa périphérie. Ce dispositif n'est pas spécifique au MEAE et est présent dans la plupart des ministères. Il est notamment constitué de dispositifs de captation du trafic du réseau et de sondes déployés dans les centres informatiques ministériels. Les sondes analysent les flux réseaux entrants et sortants du ministère, notamment les flux des applications web exposées sur Internet.
Les alertes issues de ces analyses sont remontées à l'ANSSI où une équipe se charge de les qualifier afin de vérifier leur bien-fondé et envoyer le cas échéant un signalement aux équipes du ministère. En cas de besoin, les équipes en charge du traitement d'incidents prennent le relai pour assister le ministère.
2. Ce niveau élevé de protection n'a pas empêché la survenue d'une cyberattaque visant un système ouvert sur l'Internet, le système « ARIANE »
Les systèmes d'information ouverts sur l'extérieur, notamment ceux interfacés avec le réseau Internet, sont les plus vulnérables. Les attaquants ont profité d'une faille dans une brique logicielle utilisée pour construire cette plateforme. L'éditeur du logiciel avait identifié cette faille et livré à la DSI du MEAE le correctif nécessaire. La mise à jour n'avait pas encore été installée.
La gestion des failles informatiques Le renforcement des socles applicatifs par la mise à jour et la correction des failles est un moyen important de protection. Mais c'est un travail sans fin. L'insécurité est consubstantielle aux systèmes informatiques. L'acquisition d'un produit ne garantit pas l'exploitant contre des failles. Il n'existe pas de garantie contractuelle de stabilité des produits, ni de mise à jour au-delà d'un certain temps. On considère, habituellement, qu'une ligne de code sur 10 000 est défectueuse. Les éditeurs, lorsqu'ils détectent ces défaillances produisent des mises à jour des logiciels mais toutes les mises à jour ne sont pas utiles. Tout dépend de l'utilisation faite du logiciel qui peut induire ou non une vulnérabilité. Elle nécessite donc une analyse préalable à réception et avant son implantation. Elle peut avoir une incidence sur la stabilité d'ensemble du système d'information et son implantation peut entraîner une charge de travail plus ou moins importante qu'il faut évaluer et programmer. La direction des systèmes d'information du ministère de l'Europe et des affaires étrangères gère environ 300 applications et donc une dizaine de milliers d'applicatifs qui ont leur propre vie. Il convient donc de définir également des priorités dans la programmation de ces travaux et de disposer des ressources humaines disponibles pour absorber les périodes de suractivité sans nuire au développement des projets en cours. Ce travail est organisé par la DSI du MEAE par des réunions régulières dédiées. |
En l'espèce, cette mise à jour n'avait pas été considérée comme une absolue priorité. Les assaillants ont su habilement profiter de cette vulnérabilité.
La faille a, depuis, été corrigée en urgence par la DSI du MEAE avec le concours de l'ANSSI 4 ( * ) .
3. De cette situation, cinq enseignements peuvent être tirés
Premièrement, si quelques attaquants connaissent les failles, l'édition d'un correctif en révèle plus largement l'existence et suscite des appétits. Plus on tarde à installer une mise à jour, plus un système d'information est vulnérable.
Deuxièmement, comme d'autres ministères, le MEAE dispose d'un budget et d'effectifs dédiés au système d'information en stagnation, alors qu'il s'est lancé dans une politique de numérisation et de mise à disposition de services en ligne, ce qui crée une interface de vulnérabilité. Il consacre des moyens globalement insuffisants à la cybersécurité et concentre ceux-ci - on ne peut le lui reprocher - sur les systèmes d'information et de communication les plus stratégiques comme la sécurité des postes et des réseaux diplomatiques.
Crédits et Effectifs de la DSI du MEAE
2015 |
2016 |
2017 |
2018 |
2019 |
|
(exécuté) |
(exécuté) |
(exécuté) |
(prévision exécution) |
(prévision LFI, préciser si gel) |
|
Crédits de la DSI |
38 671 000 € |
38 671 000 € |
38 671 000 € |
38 671 000 € |
38 671 000 € |
T3 |
30 744 606 € |
29 952 937 € |
32 146 329 € |
31 798 957 € |
n.c (gel) |
T5 |
4 324 316 € |
6 148 807 € |
3 959 521 € |
5 140 241 € |
2 783 550 € |
Total |
35 068 922 € |
36 101 745 € |
36 105 850 € |
36 939 198 € |
|
T2 (hors CAS pension) |
41 488 980 € |
42 157 636 € |
42 664 139 € |
43 228 150 € |
n.c. |
Effectifs de la DSI |
500 |
505 |
507 |
500 |
n.c. |
Troisièmement, vos rapporteurs ont été informés que le ministère avait subi, par le passé, des vacances de postes au niveau de la chaîne de sécurité placée sous la responsabilité du Haut fonctionnaire de défense et de sécurité, dont l'une des missions est la gouvernance de la sécurité des systèmes d'information. Le recrutement des fonctionnaires de sécurité des systèmes d'information (FSSI) chargés de la mise en place de la politique de sécurité des systèmes d'information est difficile en raison du nombre limité de personnes susceptibles d'exercer des responsabilités de ce niveau et de la concurrence observée sur le marché du travail pour de tels profils. Il s'agit de contractuels. Le ministère emploie 2 FSSI, au sein de la direction de la sécurité diplomatique et plusieurs responsables de la sécurité des systèmes d'information (RSSI) au sein de la DSI où ils sont chargés de la mise en oeuvre des directives de sécurité. Ce sont les FSSI qui assurent les remontées d'information vers la CNIL et l'ANSSI. Actuellement, l'ensemble des postes sont pourvus. Il importe autant que faire se peut d'anticiper les vacances de postes et d'assurer une redondance afin d'éviter une éventuelle vacance durant la phase de recrutement.
Quatrièmement, la circulaire interministérielle du 17 juillet 2014 sur la politique de sécurité des systèmes d'information de l'Etat (PSSIE) est appliquée de façon hétérogène, ce qui montre le caractère très limité des interventions réglementaires : sans affectation de moyens, elles risquent de demeurer un seul instrument de communication.
Dans leur avis sur les PLF 2017 5 ( * ) , 2018 6 ( * ) et 2019 7 ( * ) , vos rapporteurs s'inquiétaient de la lenteur de ce processus . Les résultats ne se sont guère améliorés. Le niveau effectif de conformité, qui fait l'objet d'un indicateur 8 ( * ) sous l'objectif 6 du programme 129 « améliorer la sécurité et la performance des systèmes d'information de l'Etat », tarde toujours à atteindre des niveaux en adéquation avec les enjeux. Si l'on constate une meilleure prise en compte des enjeux par les autorités, celle-ci reste insuffisante. Cette situation consternante et alarmante a été confirmée par la Revue stratégique de cyberdéfense de février 2018 9 ( * ) . |
Cinquièmement, tout cela pose concrètement la question d'un pilotage interministériel par affectation de moyens notamment par le respect d'un ratio obligatoire consacré à la cybersécurité. L'ANSSI n'a pas aujourd'hui de telles capacités.
Vos rapporteurs observaient, dans leur avis sur le PLF 2019 10 ( * ) , que ce constat a pu être partagé dans le cadre des travaux interministériels du projet « Action publique 2022 ». Plusieurs chantiers ont été lancés afin de renforcer le niveau de sécurité des systèmes d'information de l'État.
Ils estimaient néanmoins que sans volonté politique affirmée, sans moyens financiers significatifs et sans outils réglementaires coercitifs, il sera difficile de lutter contre une logique qui valorise la multiplication de systèmes d'information et des applications numériques, pour apporter de nouveaux services, et parfois pour se substituer à moindre coût à des services existants.
Recommandations Au ministère de l'Europe et des affaires étrangères Accélérer les procédures de mise à jour des logiciels pour lesquels des failles ont été identifiées, considérer ces actions de protection comme prioritaires, y affecter les moyens nécessaires. Veiller à l'application rigoureuse de la circulaire interministérielle du 17 juillet 2014 sur la politique de sécurité des systèmes d'information de l'Etat (PSSIE). Anticiper les remplacements des hauts fonctionnaires de défense et de sécurité (HFDS), des fonctionnaires de sécurité des systèmes d'information (FSSI) et des RSSI afin d'éviter des vacances de poste et désigner systématiquement des suppléants afin d'éviter les vacances durant les phases de recrutement. Au Premier ministre Sensibiliser avec fermeté l'ensemble des ministères pour une application rigoureuse de la circulaire interministérielle du 17 juillet 2014 sur la politique de sécurité des systèmes d'information de l'Etat (PSSIE). Étudier rapidement les moyens juridiques et techniques permettant à l'ANSSI de contraindre les administrations de l'Etat à appliquer ses préconisations; notamment abaisser le seuil de 9 M€ établi par l'article 3 du décret n°2014-879 du 1 er août 2014, qui requiert que l'ANSSI 12 ( * ) formule un avis relatif à la prise en compte de la sécurité informatique pour les grands projets de l'Etat. Conditionner l'attribution, voire le versement des crédits, pour de nouveaux projets informatiques au respect des préconisations de l'ANSSI et à l'application d'un ratio de dépenses consacrées à la cybersécurité qui pourrait être fixé à 5% des crédits consacrés par chaque ministère au développement et à la maintenance de leurs applications informatiques ou numériques, qu'elles soient pilotées par les directions des systèmes d'information ou par les directions « métiers ». Imposer des règles strictes en matière de recrutement des directeurs des systèmes d'information : une formation solide en matière de cybersécurité évaluée par l'ANSSI pour tout recrutement des nouveaux DSI ministériels ainsi qu'aux directeurs « métiers » pilotant la mise en oeuvre de projets numériques ; inscription d'objectifs en matière de sécurité informatique définis par l'ANSSI dans leurs lettres de mission et pris en compte dans leur évaluation. |
* 3 Le ministère de l'Europe et des affaires étrangères fait l'objet d'un accompagnement approfondi par l'ANSSI du fait de son exposition internationale et de l'intérêt que peuvent présenter pour des attaquants utilisant des modes d'action sophistiqués les informations contenues dans ses systèmes d'information.
* 4 L'incident ARIANE a été pris en compte et des préconisations ont été formulées par l'ANSSI en lien avec les équipes du ministère de l'Europe et des affaires étrangères.
* 5 Sénat n° 142 Tome IX (2016-2017) par MM., Bockel et Masseret, p. 37 et suiv. http://www.senat.fr/rap/a16-142-9/a16-142-9.html
* 6 Sénat n° 110 Tome IX (2017-2018) par MM. Cadic et Mazuir p. 24 et suiv. http://www.senat.fr/rap/a17-110-9/a17-110-96.html#toc105
* 7 Sénat n° 149 Tome IX (2016-2017) MM. Cadic et Mazuir p. 22 et suiv. http://www.senat.fr/rap/a18-149-9/a18-149-9.html
* 8 Indicateur 6-1 « Niveau de sécurité des systèmes d'information de l'Etat »
* 9 http://www.sgdsn.gouv.fr/uploads/2018/02/20180206-np-revue-cyber-public-v3.3-publication.pdf
page 56 et suiv.
* 10 11 Sénat n° 149 Tome IX (2016-2017) MM. Cadic et Mazuir p. 23 et suiv. http://www.senat.fr/rap/a18-149-9/a18-149-9.html
* 12 Ou du COMCYBER pour les projets de nature opérationnelle du ministère des Armées.