CONCLUSION
Ces premières conclusions de vos rapporteurs ne doivent pas paraître alarmistes, mais doivent au contraire contribuer à la prise de conscience des risques et de leur caractère multiforme. En déroulant modestement le « fil d'ARIANE », ce rapport met en évidence le sous-investissement de nos administrations publiques en matière de cybersécurité.
Votre commission alerte sur les conséquences que pourraient avoir des attaques massives contre des administrations mal préparées. La culture cyber doit y être mieux diffusée.
Une prise de conscience est nécessaire et ce dossier doit être porté au plus haut niveau de l'Etat.
Le Premier ministre a lancé plusieurs missions dans cette direction que votre commission va suivre avec attention. En attendant vos rapporteurs continueront à l'occasion de leurs travaux annuels sur les crédits du programme 129 « coordination du travail gouvernemental » à vérifier les efforts entrepris pour la sécurité de l'ensemble des systèmes d'information des ministères, y compris naturellement celui des affaires étrangères en étroite liaison avec les rapporteurs du programme 105 de la Mission « Action extérieure de l'Etat ».
Vos rapporteurs souhaitent que ce rapport d'information, à partir d'un cas d'école, aux conséquences fort heureusement limitées, puisse inciter les services de l'Etat à progresser pour mieux se prémunir des attaques et de leurs conséquences.
EXAMEN EN COMMISSION
Mercredi 6 février 2019, la commission des affaires étrangères, de la défense et des forces armées, sous la présidence de M. Cédric Perrin, vice-président, a examiné le rapport de MM. Rachel Mazuir et Olivier Cadic, sur la cyberattaque de la plateforme ARIANE du ministère de l'Europe et des affaires étrangères.
M. Rachel Mazuir, rapporteur. - Le ministère des affaires étrangères a mis en place, depuis 2010, une plateforme de service Ariane permettant aux ressortissants français préalablement inscrits en ligne de recevoir des consignes de sécurité lors de leurs voyages à l'étranger. Chacun peut ainsi créer un compte utilisateur sur le site diplomatie.gouv.fr et s'enregistrer avant chaque voyage en précisant ses lieux de passage, son numéro de téléphone portable et son adresse électronique, ainsi que les coordonnées des personnes à prévenir en cas d'urgence. Si la situation du pays le justifie, l'usager reçoit lors de son voyage des recommandations de sécurité du Centre de crise et de soutien du ministère, par SMS ou par courriel, et peut être contacté en cas de crise. Ce service est très utile et très utilisé.
Le Centre de crise et de soutien du ministère est le service responsable du traitement. Ce centre et les postes diplomatiques et consulaires français sont destinataires des données. La plateforme est maintenue par la direction des systèmes d'information.
Le 5 décembre 2018, la plateforme Ariane a été victime d'une cyberattaque, détectée par le dispositif de protection mis en place par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), en périphérie des systèmes d'information du ministère. Une partie des données stockées dans cette base de données a été piratée.
Des données personnelles ont été dérobées : il s'agit de données extraites de la table des personnes à contacter en cas d'urgence : noms, prénoms, adresses électroniques, ainsi qu'une partie des identifiants téléphoniques pour lesquels il avait sagement été prévu un stockage fractionné dans deux tables différentes afin d'empêcher toute exploitation frauduleuse. Au total, 540 563 personnes sont concernées par ce vol de données. Ni les autres données des titulaires de comptes, ni leur mot de passe, ni les dates et destinations de leurs voyages n'ont été compromises. Les données dérobées ne permettent pas d'établir de lien entre les contacts et les titulaires de compte. En outre, il a été constaté lors de l'opération d'information des personnes concernées par courriel que plus de 200 000 adresses n'étaient plus actives.
Le service n'a pas été interrompu et la sécurisation des données a été restaurée, des mesures correctives ont été prises pour empêcher la reproduction d'une attaque selon les mêmes procédures.
L'incident a été connu du grand public le 13 décembre, date à laquelle le ministère a adressé un courriel aux personnes concernées et a publié un communiqué de presse annonçant que la Commission nationale de l'informatique et des libertés (CNIL) et la justice avaient été saisies des faits constatés.
Sitôt l'incident connu, nous avons demandé à organiser des auditions pour recueillir des éléments d'information sur cette attaque et, plus largement, sur la sécurité des systèmes d'information du ministère des affaires étrangères, sur lequel notre commission est fondée à exercer un contrôle, sachant en outre que cela faisait deux ans qu'elle signalait dans son avis budgétaire sur l'Anssi les résultats insuffisants de la politique de protection et de sécurité des systèmes d'information de l'État (PSSIE). La commission a validé cette démarche lors de sa réunion du 16 janvier.
Nous nous sommes naturellement concentrés dans un premier temps sur cette cyberattaque dans l'intention non pas de chercher des responsables, mais de susciter un retour d'expérience dont le ministère et, au-delà, les services de l'État pourraient tirer des enseignements à l'occasion d'autres incidents, sachant qu'il y en aura d'autres, compte tenu des vulnérabilités de nos systèmes, d'une part, de la fréquence, de l'ampleur et de la sophistication des attaques, d'autre part.
Nous avons donc entendu, dès le 19 décembre, le directeur général de l'Anssi, le directeur des systèmes d'information et le directeur de la sécurité diplomatique du ministère des affaires étrangères, puis la direction générale de la sécurité intérieure (DGSI), qui est l'un des services disposant des capacités d'investigation pour rechercher l'origine d'une cyberattaque, la CNIL et enfin la section spécialisée du parquet de Paris. Nous entendrons dans les prochains jours, lorsqu'elle aura rendu son rapport, la mission interministérielle d'inspection chargée par le Premier ministre de cartographier les moyens budgétaires et en effectifs des ministères dédiés à l'action numérique, dont la sécurité. Enfin, nous attendons de l'ANSSI et du ministère des affaires étrangères les réponses à des questions complémentaires que nous leur avons adressées.
Ces éléments nous permettront de compléter notre analyse et de préciser ou de nuancer nos observations sur la capacité du ministère à éviter cette attaque, sur la déclaration du vol de données personnelles à la CNIL et ses conséquences, sur la communication sur l'attaque et ses conséquences, sur l'attribution de l'attaque et ses suites judiciaires, et sur le pilotage de la gestion de crise en cas de cyberattaque.
J'évoquerai tout d'abord la capacité du ministère à éviter cette attaque. Les attaquants ont profité d'une faille dans une brique logicielle utilisée pour construire cette plateforme. L'éditeur du logiciel avait identifié cette faille et livré à la DSI le correctif nécessaire, mais la mise à jour n'avait pas encore été installée. Elle nécessite en effet une programmation de moyens, notamment en effectifs, et n'avait pas été considérée comme une absolue priorité.
De cette situation, nous tirons deux enseignements. Premièrement : quelques attaquants connaissent les failles, l'édition d'un correctif révèle plus largement l'existence de failles et suscite des appétits, plus on tarde à installer une mise à jour, plus un système d'information est vulnérable. Deuxièmement, comme d'autres ministères, le ministère des affaires étrangères dispose d'un budget dédié aux systèmes d'information et d'effectifs en stagnation alors qu'il s'est lancé dans une politique de numérisation et de mise à disposition de services en ligne, ce qui créé une interface de vulnérabilité. Il consacre des moyens globalement insuffisants à la cybersécurité et concentre ceux-ci - on ne peut le lui reprocher - sur les systèmes d'information et de communication les plus stratégiques, comme la sécurité des postes et des réseaux diplomatiques.
La circulaire interministérielle de 2014 sur la politique de sécurité des systèmes d'information de l'État est appliquée de façon hétérogène, ce qui montre le caractère très limité des interventions réglementaires. Sans affectation de moyens, elle demeure un instrument de communication. De surcroît les fonctions-clés de la chaîne de sécurité - haut fonctionnaire de défense et de sécurité (HFDS) et fonctionnaire de sécurité des systèmes d'information (FSSI) - ont été exercées de façon intermittente ces derniers mois. Tout cela pose concrètement la question d'un pilotage interministériel par affectation de moyens, notamment par le respect d'un ratio obligatoire consacré à la cybersécurité. L'Anssi n'a pas aujourd'hui de telles capacités.
M. Olivier Cadic, rapporteur. - Pour ma part, j'évoquerai la déclaration du vol de données personnelles à la CNIL et ses conséquences.
L'application Ariane a fait l'objet d'une déclaration à la CNIL. La notice de l'application indique que « le service Ariane, conçu en concertation avec la CNIL, offre toutes les garanties de sécurité et de confidentialité des données personnelles » et que « les données sont effacées un mois après la date retour ». Il s'agit des données relatives aux déplacements, non des données de base du dossier, dont les données relatives aux contacts. Plus de 500 000 noms étaient stockés dans cette table depuis l'origine, semble-t-il. Cela pose au demeurant une question, qui aura quelques conséquences lors de la communication sur la cyberattaque, celle du statut des données personnelles des contacts enregistrées par leurs proches, avec ou sans leur consentement, présumé tacite.
En outre, depuis l'entrée en application du Règlement général sur la protection des données (RGPD), la compromission de données personnelles doit faire l'objet d'une déclaration à la CNIL dans les soixante-douze heures de sa détection. Cette déclaration a été faite via un formulaire en ligne dès le 7 décembre. Le ministère s'est ensuite demandé si cette attaque présentait des risques justifiant, outre son signalement, une communication aux personnes concernées et au public. À l'issue du dialogue entre les deux parties, la DSI et la CNIL, la décision a été prise de communiquer en raison du risque d'utilisation des données pour des opérations d'hameçonnage ou d'escroquerie.
Pour autant que nous le sachions, ce dialogue est resté limité à la DSI et à la CNIL, sans appréciation externe. Nul ne s'est demandé si l'attaque visait simplement à porter atteinte à la réputation du ministère en affichant la vulnérabilité de ses applications ou n'a pris en compte le fait que les personnes concernées pouvaient découvrir leur présence dans cette base à cette occasion. Cela aurait permis, le cas échéant, d'orienter différemment la communication. La DSI expérimentait ces nouvelles obligations avec une certaine appréhension, leur non-respect pouvant entraîner des sanctions pénales. Le secrétariat général de la CNIL s'en est tenu à une vision juridique et factuelle, sur la base des seuls éléments transmis par la DSI.
J'évoquerai maintenant la communication sur l'attaque et ses conséquences.
Le 13 décembre, un courriel a été adressé aux personnes concernées, dont nous n'avons pas pu prendre connaissance à ce stade. Nous savons par l'Anssi et par la CNIL, qui ont reçu, dans la foulée, des dizaines de demandes d'information, que ce courriel a eu pour effet d'inquiéter nombre de destinataires. Soit ces deniers n'étaient pas informés de leur présence dans ce fichier, soit ils n'avaient aucune idée des données qu'il contenait. Ces personnes pensaient avoir reçu un message falsifié du ministère et être victimes d'une opération d'hameçonnage ou craignaient que leurs données bancaires ou d'autres données personnelles aient pu avoir été altérées. À mes yeux, cela constitue un début de trouble à l'ordre public. À échelle réduite, les personnes contactées ont pu être rassurées, mais personne, dans les organisations concernées, n'avait envisagé un retour de cette nature et n'y était préparé, en particulier l'Anssi, qui n'a été informée de la communication que lorsqu'elle a été confrontée à ces appels.
Le communiqué de presse a été repris par les médias, parfois de façon alarmiste, et complété sur le site du ministère par une foire aux questions. On notera que deux communiqués successifs ont été publiés, le premier mentionnant l'Anssi sans son consentement et sans qu'elle ait été associée à la mise en place des correctifs et à la préparation de cette communication, le second ne la mentionnant plus.
Ce communiqué a été mis au point par le service de la communication du ministère à partir d'éléments techniques fournis la DSI. À notre connaissance, le Centre de crise et de soutien, responsable du traitement, n'y a pas été associé. Compte tenu de l'effet de cette communication, il y a lieu de s'interroger sur un élargissement du nombre de parties impliquées dans la décision de communiquer et dans l'élaboration du contenu la communication. Enfin, nous nous interrogeons également sur l'intérêt de relativiser les faits en indiquant que la cyberattaque n'a rien d'un événement exceptionnel, que « le ministère fait l'objet d'attaques de toutes natures et de toutes origines et s'est organisé en conséquence avec l'aide de ses partenaires interministériels, notamment l'Anssi», et ce au moment où il affiche la vulnérabilité de l'une de ses plateformes.
J'évoquerai ensuite l'attribution de l'attaque et ses suites judiciaires.
Le communiqué du 13 décembre indique que le ministère a déposé une plainte auprès du Procureur. Cela est tout à fait souhaitable. Même si l'attaque ne se traduit pas par un dommage matériel pour le ministère, elle a porté atteinte à sa réputation. Il faut d'ailleurs féliciter le ministère de cette décision, qui reste exceptionnelle au sein des administrations, lesquelles sont régulièrement victimes de cyberattaques. La puissance publique incite pourtant les entreprises à porter plainte. En outre, il s'agit d'infractions, de délits, voire de crimes, dont la commission doit être portée à la connaissance de la justice, conformément à l'article 40 du code de procédure pénale, sous peine de sanctions pénales.
Nous avons donc souhaité, dans le strict respect de l'indépendance et des compétences de l'autorité judiciaire, comprendre comment fonctionnait ce que la Revue stratégique de cyberdéfense de février 2018 appelle la chaîne « investigation judiciaire » et comment s'articulait la mise en oeuvre de cette chaîne lorsque des attaques portent contre des administrations de l'État. Nous avons reçu la section spécialisée du parquet de Paris créée en 2014 et dotée d'une compétence concurrente nationale depuis 2016, laquelle reçoit entre 2 000 et 2 500 plaintes par an. Elle est en mesure de déclencher des procédures d'entraide internationale et jouit d'une solide réputation puisqu'elle coordonne à l'échelon européen l'enquête sur la cyberattaque Notpetya et un service de police, en l'occurrence la DGSI, qui peut être actionné pour constater les faits, rechercher des preuves et les auteurs.
De ces entretiens, il ressort une absence de concertation et de procédure formalisée. Le Parquet a été informé le 14 décembre par la presse, à la suite de la publication du communiqué du 13, lequel indiquait la saisine du Procureur. En réalité, la plainte ne sera déposée au Parquet que le 7 janvier, soit un mois après la détection de l'attaque. La DGSI sera officiellement saisie le 10. Cela montre que personne ne savait quelle conduite tenir et n'était préparé à ce qui devrait être un réflexe ordinaire. Même si les données relatives à l'attaque ont pu être conservées sans être altérées, on imagine qu'une intervention dans les premières heures peut avoir un intérêt : pour recueillir des preuves ou des traces susceptibles d'être effacées progressivement, comme nous l'ont confirmé les magistrats du Parquet, ou pour vérifier si les données font l'objet d'un commerce sur le Darknet.
Sans doute la mise en place du RGPD permettra-t-elle d'avancer grâce à l'obligation de déclaration et de publicité, mais un travail d'information et de coordination semble nécessaire auprès des décideurs des administrations de l'État.
J'en viens au pilotage de la gestion de crise en cas de cyberattaque. Nous voyons bien, à l'examen de ce dossier, que les administrations, à l'exception de l'Anssi, ne sont guère préparées, qu'elles hésitent à chaque étape sur la conduite à tenir parce qu'elles n'ont pas expérimenté les difficultés, parce que les précédents sont peu nombreux et parce qu'elles n'ont pas anticipé de scénarios de crise.
Une réflexion au sein des ministères et à l'échelon interministériel, impliquant l'Anssi, doit être engagée sur la gestion de crise : qui sont les acteurs internes et externes concernés ? Quels sont les niveaux de décisions adéquats ? Qui pilote ? Selon quelles procédures ? Comment communiquer et à quel moment pour ne pas ajouter une crise à la crise ? Beaucoup de choses restent à construire et à éprouver sous forme d'exercices. Il existe des plans à l'échelle interministérielle en cas d'attaques du haut du spectre pilotés par le Secrétariat général de la défense et de la sécurité nationale (SGDSN), mais les ministères restent démunis face à des attaques de moyenne ampleur.
Telles sont nos premières conclusions, à la fois alarmistes et réalistes. Elles doivent contribuer à la prise de conscience des risques et de leur caractère multiforme. En déroulant modestement le fil d'Ariane, nous mettons en évidence le sous-investissement de nos administrions publiques en matière de cybersécurité et nous lançons, comme Guillaume Poupard récemment, un cri d'alarme sur les conséquences que pourraient avoir des attaques massives contre nos administrations. Un redressement est nécessaire. Ce dossier doit être porté au plus haut niveau de l'État. Le Premier ministre a lancé plusieurs missions à cet égard, que nous allons suivre avec attention.
En attendant, nous souhaitons poursuivre cette mission, en y associant naturellement les rapporteurs du programme 105, afin de compléter la documentation du dossier Ariane et de vérifier les efforts entrepris pour la sécurité de l'ensemble des systèmes d'information du ministère des affaires étrangères. Nous solliciterons des entretiens aux niveaux appropriés du ministère des affaires étrangères et du SGDSN pour partager ce retour d'expérience, inciter les services de l'État à progresser et à mieux se prémunir contre les attaques et leurs conséquences.
M. Cédric Perrin, président. - Pour information, je viens de vous envoyer le communiqué du ministère des affaires étrangères que vous n'aviez pas reçu.
M. Jacques Le Nay. - Pensez-vous qu'une plateforme de coopération européenne soit aujourd'hui essentielle pour lutter contre les cyberattaques ? Estimez-vous pertinent l'appel du Parlement européen à renforcer la coopération entre l'Union européenne et l'OTAN afin de prévenir, de détecter et de dissuader les cyberattaques ?
M. Jean-Marie Bockel. - Votre travail est de très bonne facture. Il rencontrera forcément un certain écho auprès des administrations et des politiques. Il faut toutefois qu'il soit bien clair pour l'extérieur que tant le Secrétariat général que l'ANSSI, s'ils ont des marges de progression, font leur travail, n'hésitant pas à signaler leurs problèmes et leurs besoins complémentaires. Le problème, c'est le niveau administrativo-politique, les administrations ayant une vieille culture et préférant vivre cachées. Or il faut qu'elles apprennent à se protéger, car c'est une preuve de force. Quant au niveau politique, il doit donner les impulsions nécessaires.
M. Ronan Le Gleut. - A-t-on des éléments sur les origines de l'attaque ? Est-elle le fait de hackers isolés ou d'une puissance étrangère ? Peut-on tirer des conclusions de la nature de cette attaque et du mode opératoire choisi ? Des enseignements ont-ils été tirés pour éviter que d'autres ministères ne soient à leur tour attaqués ?
M. Joël Guerriau. - Est-il possible de voir comment certains États se sont organisés contre les cyberattaques ? Taïwan, qui est particulièrement agressé par la Chine, a mis en place une organisation remarquable et une agence fédérale dotée de moyens. La France ne manque-t-elle pas d'une telle organisation ? Ne devons-nous pas remettre à plat notre organisation ?
M. Bernard Cazeau. - Le Bleu budgétaire ne nous permet pas de lire facilement les efforts dédiés à la cybersécurité. Les crédits budgétaires sont en nette diminution en 2019, cette baisse étant compensée dans le cadre d'un compte d'affectation spéciale (CAS). Or, on le sait, les recettes d'un CAS varient d'une année sur l'autre. Il faudra à l'avenir veiller au niveau de ces crédits.
M. Rachel Mazuir, rapporteur. - L'Europe consacre des moyens insuffisants à la cybersécurité. Il est sûr qu'une coordination européenne est nécessaire, mais la démarche reste encore timide pour l'instant.
Comme Jean-Marie Bockel, je pense que les administrations ne sont pas suffisamment sensibilisées aux cyberattaques. Or on estime à 80 millions le nombre de tentatives de fraude en Europe en 2017. Il faut en particulier veiller aux opérateurs d'importance vitale - les services d'approvisionnement en eau et en énergie, les transports.
D'après les spécialistes, la France n'est pas mal placée en matière de cybersécurité, mais elle souffre d'un manque considérable de coordination et de process permettant à chacun de savoir ce qu'il doit faire lorsqu'il découvre une cyberattaque. Les choses se font au doigt mouillé, comme on l'a vu dans le cas d'Ariane.
M. Olivier Cadic, rapporteur. - Il est nécessaire de renforcer la coopération entre l'Union européenne et l'OTAN, face à une volonté d'attaquer les démocraties, leur réputation et de faire en sorte que le peuple perde confiance dans ses élites. On parle de « hack and leak » : on attaque et on fait savoir que des données ont été volées. La question se pose donc, en cas d'attaque, de savoir s'il faut communiquer ou non. Si on communique, l'objectif des hackers est peut-être atteint.
Toutes les personnes que nous avons auditionnées ont mesuré à quel point notre retour d'informations était précieux pour elles et ont pris conscience de la nécessité de travailler ensemble.
Si nous disions quelque chose de l'attaque, de son origine, de sa nature, on communiquerait sur le sujet. Or qui doit décider de communiquer ou non ? Le politique ? Le Parlement, comme le procureur, a appris l'attaque par le communiqué de presse. Est-ce normal, sachant que, pour le peuple, les responsables, au final, ce sont les élus ? Des procédures doivent être mises en place pour permettre aux uns et aux autres de travailler ensemble. C'est l'enseignement qui a été tiré de ce qu'il s'est passé.
En matière de cybersécurité, chacun ne va pas réinventer la roue de son côté. L'organisation de Taïwan a été évoquée. Pour ma part, je citerai l'exemple d'Israël, qui a mis en place un numéro de téléphone permettant aux administrations, aux entreprises et aux particuliers de signaler une cyberattaque. Les États les plus attaqués - Taïwan, Israël et l'Estonie - sont les plus moteurs dans ce domaine.
Enfin, le budget est une problématique importante. Ce que nous aimerions, c'est que lorsqu'on investit 100 dans un logiciel, 5 soient consacrés à la cybersécurité. Le problème d'Ariane, c'est que les services n'ont pas eu le temps d'installer le correctif. On en mesure aujourd'hui les conséquences.
Notre but est non pas de pointer du doigt quelqu'un, mais de trouver ensemble des solutions et des process afin d'être plus efficaces.
La commission autorise la publication du rapport.