M. le président. La parole est à M. François Bonhomme. (Applaudissements sur les travées du groupe Les Républicains.)
M. François Bonhomme. Monsieur le président, monsieur le rapporteur, mes chers collègues, en mars 2015, la SNCF, via son service de rappel automatique, laisse fuiter les données personnelles de ses clients, accessibles par la simple touche F5 d’un clavier d’ordinateur.
En avril 2015, TV5 Monde est victime d’une cyberattaque extrêmement forte avec des conséquences très importantes : écran noir sur les onze chaînes du groupe, comptes sur les réseaux sociaux détournés pour afficher des messages de propagande d’un groupe de pirates prétendant appartenir à l’État islamique, perte de la connexion wifi et de plusieurs fréquences de diffusion dans certains pays, avec un coût induit de près de 5 millions d’euros en 2015.
Quelques semaines plus tôt, d’autres sites étaient victimes de piratages : la Maison-Blanche, le site Labio.fr, Orange Business Services, le site de L’Union de Reims et celui de L’Ardennais, et bien d’autres encore.
Le nombre de cyberattaques contre les entreprises françaises a progressé de 51 % en un an, alors que la hausse de ces attaques sur la même période dans le reste du monde était sensiblement moindre. En un an, la France est ainsi passée du quinzième rang au quatorzième rang mondial des pays où la cybercriminalité est la plus active. En 2014, un million de nouveaux logiciels malveillants ont été découverts chaque jour dans les ordinateurs français.
Tout cela a évidemment un coût : selon une étude, les entreprises françaises ont perdu en moyenne 3,7 millions d’euros l’an passé à cause de telles attaques, ce qui représente une hausse de près de 30 %.
On doit s’interroger aussi sur le profil de ces cybercriminels. Contrairement à une idée reçue, la majorité des menaces ne viennent pas de l’étranger. Un tiers des incidents recensés sont le fait d’employés ou d’anciens employés de la compagnie attaquée. Par ailleurs, une part grandissante de ces incidents vient des fournisseurs et prestataires de services. Il faut aussi noter qu’on assiste de plus en plus à une véritable spécialisation des cybercriminels, plusieurs personnes travaillant sur les différentes phases d’une même opération.
Ces piratages peuvent prendre des formes diverses. Selon la Commission européenne, la cybercriminalité englobe trois catégories d’activités criminelles : d’abord, les atteintes directes à des systèmes informatiques pour perturber leur fonctionnement et anéantir un serveur à distance ; ensuite, la réalisation d’actes illicites recourant aux outils numériques – vol de données bancaires ou personnelles, espionnage industriel, atteinte à la propriété industrielle ou encore sabotage – ; enfin, la modification du contenu d’un espace numérique pour y déposer ou diffuser des contenus illicites.
Ces attaques nombreuses sont de plus en plus sophistiquées et les cyberattaquants tentent de plus en plus de faire diversion, en introduisant dans le réseau de l’entreprise des outils de prise en main à distance ou de transfert des communications.
Il convient également de noter que les pirates ne cherchent pas forcément des informations confidentielles ; de plus en plus, les entreprises sont victimes de demandes de rançon. Les cybercriminels bloquent ainsi les ordinateurs ou les mobiles grâce à des « cryptolockers » et réclament ensuite de l’argent en échange du déblocage des données.
Les entreprises sont donc une cible privilégiée ; manifestement, les risques sont insuffisamment pris en compte. Ainsi, seul un tiers des entreprises du CAC 40 se sont dotées d’un centre opérationnel de sécurité, c’est-à-dire d’une équipe spécifiquement dédiée à la cybercriminalité. Ce constat est inquiétant, sinon alarmant, même si, selon l’étude de PricewaterhouseCoopers, le budget de la sécurité informatique des entreprises françaises a bondi de près d’un tiers entre 2013 et 2014.
Le rapport éclairant et roboratif de notre collègue Bruno Sido et de la députée Anne-Yvonne Le Dain, après avoir dressé ce constat sans appel, propose des recommandations et des solutions individuelles et nationales pour contrer ces risques. Je n’y reviens pas, elles ont été largement évoquées.
Je souhaite simplement insister sur quelques points. D’abord, je veux souligner la nécessité, à l’échelon national, de dispositifs d’information et de soutien à la sécurité informatique en direction des PME, particulièrement vulnérables en raison notamment du coût que représente la constitution en interne d’une équipe dédiée à la lutte contre le piratage. Le vade-mecum proposé dans ce rapport semble parfaitement adapté.
Ensuite, il convient de trouver des solutions à l’échelle communautaire afin de ne pas dépendre des États-Unis pour traiter et gérer les incidents de sécurité informatique. Je partage l’avis des auteurs du rapport, il faut protéger la souveraineté numérique de la France et de l’Europe, et ne pas inclure le numérique dans les accords de libre-échange.
Par ailleurs, la question de l’éducation à la sécurité informatique est d’importance. Certes, il paraît aujourd’hui nécessaire de développer une véritable filière d’enseignement du codage et de la sécurité informatique, mais je pense qu’il convient en même temps d’enseigner, particulièrement, bien sûr, aux jeunes générations, les comportements responsables face aux usages des nouvelles technologies de communications et aux risques que les nouveaux supports et réseaux sociaux peuvent faire courir.
Enfin, il est vrai que ces nouveaux défis sont un réel atout. Nous avons en France de véritables talents, qu’il s’agisse de nos chercheurs en mathématiques ou en cryptologie, de nos fabricants d’antivirus et même de nos jeunes hackers, qui – pourquoi pas ? – pourraient être recrutés pour concevoir, fabriquer et développer des matériels, des logiciels et des systèmes d’exploitation relatifs à la sécurité numérique.
Ces initiatives méritent d’être soutenues. Il y a là un véritable gisement d’emplois, sans parler du marché de la cyberassurance, qui a triplé en un an.
La sécurité numérique peut donc être un véritable atout pour notre pays et pour son développement économique.
Les mesures annoncées en novembre dernier par le Premier ministre reprennent pour partie ces préconisations. Elles s’articulent ainsi autour de trois axes majeurs : communiquer, sensibiliser et légiférer – même si, par nature, l’élaboration législative est longue et que le temps parlementaire est une éternité à l’échelle du numérique.
Nous regrettons ainsi que le projet de loi pour une République numérique, qui sera débattu prochainement à l’Assemblée nationale, n’aborde pas cette question. Nous espérons que le texte présenté par M. Macron traitera le sujet et reprendra certaines des préconisations du rapport de l’Office. Cela permettra d’enclencher une dynamique sectorielle importante, en limitant les contraintes législatives et réglementaires dans un secteur qui demande – vous le savez, madame la secrétaire d’État – souplesse, adaptabilité et réactivité. (Applaudissements sur les travées du groupe Les Républicains et de l’UDI-UC.)
M. le président. La parole est à Mme Delphine Bataille.
Mme Delphine Bataille. Monsieur le président, madame la secrétaire d’État, mes chers collègues, je veux à mon tour saluer l’immense travail accompli par les rapporteurs de l’Office parlementaire d’évaluation des choix scientifiques et technologiques, Bruno Sido et Anne-Yvonne Le Dain, qui nous livrent une analyse scientifique et technologique détaillée des problématiques liées à la sécurité numérique, en particulier dans les entreprises, et qui présentent de nombreuses recommandations.
À ma connaissance, il s’agit du premier rapport sur le numérique se focalisant exclusivement sur les questions de sécurité. Faisant suite au constat de ce nouvel espace économique qui s’est déployé pour les individus comme pour les entreprises, les auteurs mettent en lumière le rôle central des opérateurs d’importance vitale. Plus de deux cents d’entre eux sont en France, notamment dans les secteurs des télécoms et de l’énergie, qui privilégient la capacité de réaction et un partage rapide des informations en cas de crise.
Les rapporteurs se sont aussi imposé – cela est considérable – un examen détaillé de la technique de transmission du système d’information de l’entreprise. Cette analyse fouillée révèle l’ampleur et la complexité du risque numérique ainsi que les enjeux stratégiques et économiques au niveau national, européen et international. Elle souligne aussi l’extrême imbrication des opérateurs et la véritable mainmise des sociétés commerciales et de leur État d’origine sur l’Internet : les géants du numérique, les fameux « GAFA » – Google, Apple, Facebook, Amazon.
Le numérique est ainsi partout : les entreprises, les individus et les États sont de plus en plus dépendants de ces technologies difficiles à appréhender.
Aujourd’hui, la France connectée, avec 83 % des Français qui utilisent internet, est aussi celle du wifi, avec plus de 13 millions de bornes publiques, chiffre qui nous place loin devant les États-Unis. Notre pays est également aux avant-postes du Big data.
Cependant, il accuse un retard certain dans l’accès au très haut débit, retard qui limite ses capacités à profiter des avantages du numérique et de son intégration dans les entreprises.
Conscient de l’importance de ce secteur pour notre avenir économique et des bouleversements majeurs qu’il entraîne sur nos modes de consommation comme de production, le Gouvernement a présenté une série de mesures au plan national comme au plan européen ainsi qu’un projet de loi s’inscrivant dans la stratégie numérique de la France.
L’enjeu est vital pour notre économie et nos libertés individuelles, mais, comme cela a été dit et répété, le développement du numérique ne peut s’accomplir sans un meilleur contrôle des risques qu’il génère pour notre pays, nos entreprises et nos concitoyens.
La plupart des entreprises n’ont, semble-t-il, pas pris la mesure des transformations à venir ni des risques ou de leur vulnérabilité face aux pillages de données, malgré les nombreuses affaires dont les médias se sont fait l’écho. On a cité l’affaire Snowden, dont je veux rappeler qu’il a été le premier informaticien à révéler au monde entier des informations classées secrètes par la NSA – écoutes téléphoniques, interceptions de mails, espionnage d’entreprises et de gouvernements alliés, etc.
La sécurité de l’information comme de l’image des entreprises, que l’on appelle encore « e-réputation », sont donc des enjeux stratégiques et économiques majeurs.
L’analyse des messages numériques des entreprises et de leurs canaux de diffusion confirme que la principale vulnérabilité est liée au comportement de l’homme, ainsi que tous les orateurs précédents l’ont dit.
C’est pourquoi les auteurs du rapport insistent, à raison, sur la nécessité de réduire « l’illettrisme numérique » par l’éducation et par la création d’une culture du numérique. Ils ont été rejoints, sur la première de leurs recommandations, qui préconise une éducation au numérique dès l’école maternelle, par la proposition du Président de la République relative à l’apprentissage du codage informatique dès le cours préparatoire.
Le rapport met également à disposition des entreprises un vade-mecum de recommandations de sécurité numérique. Ce document mériterait d’être vulgarisé auprès des entreprises, qui pourraient ainsi disposer d’un certain nombre d’outils leur permettant de mieux se protéger face aux risques croissants liés au développement du numérique. J’insiste sur ce point.
Madame la secrétaire d'État, après le récent enrichissement du projet de loi pour une République numérique par les différents contributeurs via la plate-forme en ligne, l’un des axes majeurs proposés par le Gouvernement est de renforcer la protection dans la société numérique et de fournir, à travers divers dispositifs destinés à la fois aux citoyens et aux entreprises, de nouveaux outils de confiance propices aux échanges et à la croissance.
Dans cette perspective, nous comptons beaucoup sur votre engagement pour que les riches enseignements développés par les rapporteurs de l’OPECST et les solutions qu’ils proposent figurent également parmi vos priorités. Nous vous en remercions. (Applaudissements sur les travées du groupe socialiste et républicain et du groupe CRC, ainsi que sur quelques travées du groupe Les Républicains.)
M. le président. La parole est à Mme la secrétaire d'État.
Mme Martine Pinville, secrétaire d'État auprès du ministre de l'économie, de l'industrie et du numérique, chargée du commerce, de l'artisanat, de la consommation et de l'économie sociale et solidaire. Monsieur le président, monsieur le rapporteur, mesdames, messieurs les sénateurs, Axelle Lemaire étant retenue en commission par l’examen du projet de loi pour une République numérique, j’ai le plaisir de participer au débat organisé aujourd'hui sur les conclusions du rapport de Mme Anne-Yvonne Le Dain et de M. Bruno Sido, intitulé Sécurité numérique et risques : enjeux et chances pour les entreprises.
Je veux tout d'abord insister sur la qualité des travaux menés par l’Office parlementaire d’évaluation des choix scientifiques et technologiques. Au-delà du rapport dont nous discutons aujourd'hui, ses réflexions et ses préconisations permettent aux responsables politiques de ne pas être déconnectés d’enjeux qui, certes, sont particulièrement complexes sur le plan technique, mais qui touchent au cœur de la vie des Français et des entreprises.
Parmi ces enjeux, les questions liées à la sécurité numérique occupent bien entendu une place de choix.
Mesdames, messieurs les sénateurs, le monde qui s’ouvre à nous, révolutionné par le numérique, est évidemment riche en opportunités, opportunités que nous devons saisir pour maintenir la place de la France parmi les nations les plus modernes et les plus développées. Mais ce monde, et c’est le sujet qui nous préoccupe aujourd'hui, représente aussi une source d’inquiétude pour un nombre croissant de nos concitoyens. Quelle confiance avoir dans la gestion de nos données personnelles ? Quelle confiance avoir dans les informations sensibles ou personnelles que nous échangeons chaque jour ?
Face à ces inquiétudes, il revient à l’État non seulement d’être vigilant, en anticipant les risques comme en sanctionnant les abus, mais aussi d’apporter les conditions de la confiance dans le numérique.
Le laisser-faire n’est pas une option, et c’est sur les deux dimensions essentielles que sont la protection des infrastructures et la protection des données que nous devons agir, en obligeant à plus de transparence, certes, mais également en mettant en œuvre une combinaison de mesures de sensibilisation, d’exigence réglementaire et de contrôle.
Surtout, il faut encourager une culture, un apprentissage du risque, encore balbutiant dans notre pays. En effet, les failles dans la sécurité numérique commencent souvent par une méconnaissance des risques et par des comportements individuels inadaptés.
La sécurité numérique doit devenir un réflexe individuel et collectif. L’excellent rapport de l’OPECST dont nous débattons aujourd'hui œuvre en ce sens.
Pour atteindre cet objectif, nous avons des moyens et des champs d’action bien identifiés. Nous pouvons, d’une part, nous reposer sur le travail de l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, et, bientôt, sur les avancées contenues dans le projet de loi pour une République numérique. Nous savons, d’autre part, qu’il faut donner la priorité à l’éducation et l’économie. Tels sont les points que je vais développer dans mon propos.
L’ANSSI a présenté, au mois d’octobre dernier, devant le Premier ministre et Axelle Lemaire, une proposition de stratégie nationale pour la sécurité du numérique. Il faut saluer le travail inédit et ambitieux qui a été réalisé par l’Agence ; il témoigne de l’importance accordée à ce sujet par le Gouvernement.
Plusieurs mesures comprises dans cette stratégie vont dans le sens des propositions du rapport de l’Office.
On peut retenir notamment l’assistance de proximité aux victimes d’actes de malveillance. Cette action essentielle doit être conduite dans un souci de rationalisation des moyens et de qualité du service rendu, sans ajouter au millefeuille administratif.
On peut citer également le développement de l’offre nationale en matière de produits et de services de sécurité. Le ministère joue un rôle central dans ce domaine.
On peut penser aussi à la diffusion des savoir-faire acquis vers le secteur privé : les services de l’État, notamment l’ANSSI, disposent d’un savoir-faire et d’une expertise technique reconnue nationalement et internationalement, qui doit irriguer un écosystème d’expertise privée.
Vient enfin la question de la sensibilisation des citoyens. Elle est l’affaire de tous. Le ministère prévoit de jouer un rôle en la matière, notamment via le programme « Transition numérique », en lien avec l’ANSSI.
D’autres actions sont en rapport direct avec le déploiement de cette stratégie.
Je pense tout d’abord à la structuration du Comité de la filière industrielle de sécurité, le COFIS, qui a eu lieu à la fin de l’année 2013 et qui accorde une place importante aux questions de cybersécurité.
Je pense encore aux 45 millions d’euros du programme d’investissements d’avenir alloués aux projets de sécurité des systèmes d’information sur des thématiques telles que la sécurité des terminaux mobiles ou la détection des attaques informatiques.
La sécurité est aussi l’un des trois axes fondamentaux de l’appel à projets « Grands défis du numérique ».
Enfin, Axelle Lemaire a lancé au début du mois d’octobre un appel à projets sur la protection des données personnelles. Doté de 10 millions d’euros, ce programme permettra à des entreprises françaises de développer une expertise et des produits de niveau mondial, qui leur ouvriront des marchés importants, en même temps qu’ils contribueront à la protection de nos concitoyens.
La question de la confiance est également au cœur du projet de loi pour une République numérique porté par Axelle Lemaire.
Ce projet de loi a un double objectif : d’une part, promouvoir et accélérer la diffusion des données au sein de la société et de l’économie, afin que nous puissions en tirer toute la valeur ; d’autre part, renforcer les droits et les garanties des individus et des entreprises en apportant de nouvelles procédures et de nouveaux moyens.
Ces deux ambitions peuvent parfois paraître contradictoires, et c’est la raison pour laquelle le secrétariat d’État chargé du numérique a souhaité les inclure toutes deux dans le projet de loi. C’est en avançant sur ces deux jambes que l’on construira le meilleur cadre possible de régulation de l’économie numérique.
La France ne doit pas adopter un comportement craintif face aux enjeux qui se présentent en matière de numérique, en particulier sur le sujet de l’exploitation des données. Nous devons nous saisir pleinement du sujet, en créant, en France, les meilleures infrastructures de données et en attirant les meilleurs ingénieurs et les entreprises les plus innovantes.
Dans le même temps, il faut reconnaître que nos outils de régulation doivent évoluer. C’est pourquoi le projet de loi prévoit de rétablir certains droits, comme le droit à l’oubli ou le droit à la mort numérique, pour redonner aux citoyens le sentiment de maîtriser leur vie numérique, qu’ils ont parfois perdu.
Ces questions sont complexes et n’appellent pas de réponses univoques. C'est la raison pour laquelle une consultation publique ouverte s’est tenue pendant trois semaines, afin de permettre à chaque citoyen de donner son opinion sur les projets du Gouvernement. Le bilan en est très positif : plus de 20 000 participants, 8 500 contributions, plus de 147 000 votes et l’intégration dans le texte du projet de loi d’un certain nombre de propositions des internautes.
Aussi technique soit-elle, la question de la sécurité numérique est une source de préoccupation réelle pour les Français. Pour transformer cette préoccupation en un apprentissage collectif en vue d’une plus grande maîtrise, et donc de davantage de confiance, l’éducation et la formation jouent, comme le rapport le souligne, un rôle essentiel.
Une meilleure connaissance du numérique favorisera une meilleure sécurité numérique. C’est pour cela qu’il faut encourager l’apprentissage du code, au moins au titre des activités périscolaires dans un premier temps.
Par ailleurs, le plan numérique à l’école doit inclure la formation initiale et continue des enseignants ou encore l’implication de l’enseignement supérieur et de la recherche.
La grande école du numérique lancée le 17 septembre dernier permettra à des jeunes, à des personnes sans diplôme ou à la recherche d’un emploi de se former aux nouvelles technologies et de trouver un travail. Elle sera également un vecteur de cette sensibilisation.
Mais cette ambition ne se limite pas à la jeunesse : il faut que chaque personne envisageant d’aller sur internet puisse être accompagnée pour maîtriser l’environnement auquel elle va être confrontée.
Pour le grand public, les lieux de médiation numérique sont aussi le moyen d’une éducation aux enjeux de sécurité et de sécurisation des données personnelles. C’est aussi pour cette raison que l’inclusion, l’accès au numérique pour tous sont au cœur du projet de loi pour une République numérique. Cet effort en faveur de l’éducation est indispensable pour faire du numérique une force, et non une menace.
Au-delà, la volonté du Gouvernement est de faire de cette prise de conscience un atout pour notre économie et une chance pour nos entreprises.
Un des plans de la « nouvelle France industrielle » relève de cet objectif, en introduisant notamment un « label France ». Ce dispositif permet d’accorder la reconnaissance et la visibilité qu’ils méritent à des acteurs industriels d’envergure mondiale et à des PME performantes dans le secteur du numérique.
En parallèle, nos entreprises, comme nos administrations, doivent être sensibilisées aux enjeux de cyber-sécurité et disposer des moyens d’y répondre par des offres à la qualité et à la fiabilité reconnues.
Enfin, comme le rapport de l’OPECST le souligne, nous ne devons pas rester isolés dans nos initiatives en faveur d’une plus grande sécurité numérique. Il faut agir à l’échelle européenne, comme en témoigne le récent exemple de l’invalidation de l’accord Safe Harbour.
Par cette décision, la Cour de justice de l’Union européenne a affirmé la possibilité, pour une autorité nationale de protection des données, de contester la validité du mécanisme de la sphère de sécurité qui s’appliquait pour des données transférées aux États-Unis.
Au travers de cet arrêt, la Cour de justice de l’Union européenne a confirmé la position du Gouvernement français, qui demande depuis plusieurs mois une révision de l’accord Safe Harbour afin de protéger les droits fondamentaux des Européens et d’imposer le même régime de contrôle à toutes les entreprises actives sur le marché européen, y compris lorsqu’elles fournissent leurs services depuis d’autres continents. C’est une victoire encourageante.
Telle est la contribution que le Gouvernement pouvait apporter au débat d’aujourd’hui. Ainsi que le rappelle le rapport de l’OPECST, les chantiers sont nombreux et tous sont essentiels. La question de la confiance est bel et bien au cœur de la croissance et de l’appropriation du numérique par la société tout entière.
Vous pouvez compter sur l’engagement du Gouvernement pour convaincre institutions, entreprises et citoyens de l’importance de la sécurité pour bâtir une société numérique à laquelle ces derniers puissent se fier et dans laquelle ils pourront créer des entreprises, échanger, se divertir. Il y va de la compétitivité de notre pays. (Applaudissements sur les travées du groupe socialiste et républicain et du groupe écologiste.)
M. le président. Mes chers collègues, l'ordre du jour de ce matin étant épuisé, nous allons maintenant interrompre nos travaux ; nous les reprendrons à quinze heures.
La séance est suspendue.
(La séance, suspendue à douze heures trente, est reprise à quinze heures, sous la présidence de M. Gérard Larcher.)