Interventions sur "cyber"

... de centres de données ou de réseaux divers et variés. Messieurs, votre audition doit nous aider à comprendre comment des entreprises d'importance telles que les vôtres s'organisent pour anticiper les risques d'ampleur et protéger leurs activités si le pire arrivait. Nous souhaitons savoir de quelle façon vous identifiez les risques, comment vous formez et sensibilisez vos agents, notamment à la cybersécurité – on dit souvent que le risque, en matière de cyber, est entre le clavier et la chaise. Vous pourrez également nous éclairer sur ce que la crise covid et surtout la guerre en Ukraine vous ont fait redécouvrir ou réapprendre. Quel Retex en tirez-vous pour l'avenir ? Quelles sont les forces à mettre en exergue et les faiblesses à combler ? Le statut des opérateurs d'importance vitale (OIV...

Les JOP sont une cible importante pour les cyberattaques. Nous devons nous assurer que nous sommes prêts à faire face aux menaces. Les OIV jouent un rôle crucial dans la sécurité de ces événements. Leur vigilance et leur expertise sont essentielles pour anticiper, détecter et neutraliser les cybermenaces. Leur mission est d'autant plus importante lors d'événements d'envergure internationale, qui portent les enjeux de sécurité à leur paroxysme....

En ce début de XXIe siècle, on ne peut que constater l'hybridité des conflits. La guerre ne se fait plus uniquement par les armes. Porter atteinte à un OIV permet de nuire gravement à la population, en l'empêchant de se nourrir et d'accéder à l'eau potable, voire à l'électricité. La paralysie de tout un pays met en cause sa défense. Le conflit russo-ukrainien en offre un exemple. La cyberattaque de Kyivstar, principal opérateur de télécommunication ukrainien, a gravement nui aux capacités d'action ukrainiennes. L'attaque par drones de la centrale nucléaire de Zaporijia fait peser une lourde menace, en raison de la radioactivité et de la privation d'électricité, sur la population civile et militaire. Cela doit nous inciter à redoubler de vigilance s'agissant de nos OIV, d'autant q...

J'ai visité, en Estonie, une entreprise qui construit des miroirs parfaits de systèmes d'information, ce qui permet de réaliser des exercices dans des situations aussi réalistes que possible. Lors d'un exercice, l'équivalent estonien de l'Anssi est allé jusqu'à simuler le black-out d'un centre de production d'électricité. Les salariés n'avaient pas été informés. Les agents de cybersécurité sont donc intervenus dans une situation de tension extrême, le désordre s'ajoutant au choc des cultures pour provoquer des conflits entre agents et salariés. Le Retex a démontré l'importance du facteur humain. Il a notamment démontré que certains réflexes allant de soi dans le cadre d'une simulation ne sont pas automatiques en cas de crise véritable. Quel est le niveau de réalisme de vos...

...ans divers aspects de la vie quotidienne, notamment les communications gouvernementales, les services d'urgence et, en ce qui concerne Orange, les câbles sous-marins. Rapporteure d'une mission flash sur les fonds marins et auditrice de l'Ihedn, j'ai visité plusieurs installations. La protection et la sécurisation des réseaux des OIV sont une priorité, car ils peuvent être ciblés par des attaques cybernétiques ou des actions hostiles visant à perturber les services essentiels. Comment les directives du SGDSN sont-elles intégrées dans les stratégies de sécurité pour garantir la résilience des infrastructures critiques ? Quelles sont les mesures prises pour anticiper et répondre aux menaces cybernétiques émergentes ?

Madame la rapporteure, Monsieur le rapporteur, mes chers collègues, nous sommes réunis ce matin pour entendre les conclusions des rapporteurs de la mission flash sur les défis de la cyberdéfense. Avant toute chose, je tiens à excuser M. le Président Thomas Gassilloud pour son absence. Il est en effet actuellement en déplacement en Afrique avec nos collègues Benoît Bordat, François Piquemal et Anna Pic. La commission de la Défense nationale et des forces armées a créé une mission flash sur les défis de la cyberdéfense le 15 mars 2023. Elle en a désigné rapporteurs Mme Anne Le Hén...

Merci Monsieur le Président, mes chers collègues, je suis très heureuse de vous présenter les conclusions de notre mission flash sur les défis de la cyberdéfense. Mon collègue et moi souhaitons d'emblée remercier le président Thomas Gassilloud de nous avoir confié cette mission flash, sur un sujet dont nous estimons qu'il est à la fois capital et encore trop peu estimé à sa juste valeur. Je souhaite également remercier mon collègue co-rapporteur Frédéric Mathieu, avec lequel j'ai pris plaisir à travailler. Nos relations de travail ont été excellent...

Je souhaite, en préambule, remercier également ma collègue Anne Le Hénanff pour la qualité de notre coopération et le travail fourni. Ce fut un vrai plaisir de travailler à vos côtés, chère collègue. Je m'associe pleinement aux remerciements formulés vis-à-vis des personnes avec lesquelles nous avons travaillé. Avant de vous présenter les défis de la cyberdéfense que nous avons identifiés et les recommandations associées, permettez-nous de vous présenter brièvement l'écosystème de cyberdéfense ; prérequis indispensable à la bonne compréhension de nos conclusions. Le cyberespace se structure en trois couches indissociables, d'où procèdent toutes les menaces : 1/ une couche physique, constituée des équipements, des systèmes informatiques et de leur...

Par ailleurs, les opérations dans le cyberespace reposent sur trois doctrines : la lutte informatique défensive (LID), qui regroupe l'ensemble des actions, techniques ou non, conduites pour faire face à un risque, une menace ou à une cyberattaque réelle ; la lutte informatique offensive (LIO), qui regroupe l'ensemble des actions entreprises dans le cyberespace, conduites de façon autonome ou en combinaison des moyens militaires convention...

Le schéma qui s'affiche derrière nous vous présente une version simplifiée de l'écosystème de la cyberdéfense à l'échelle de l'État. S'agissant des acteurs de la cyberdéfense au sein du ministère des Armées, l'acteur central est le commandement de la cyberdéfense (COMCYBER). Placé sous l'autorité directe du CEMA, le COMCYBER est un commandement opérationnel qui rassemble l'ensemble des forces de cyberdéfense sous une autorité interarmées déployé sur plusieurs emprises à Paris et à Rennes. Le COMC...

D'autres acteurs au sein du ministère des Armées jouent un rôle prépondérant en matière de cyberdéfense : la DIRISI, la DRSD, la DPID ou encore la DGNUM sont autant d'entités qui participent, directement ou indirectement, aux capacités de cyberdéfense du ministère. Les trois armées sont évidemment également parties prenantes de la cyberdéfense du ministère des Armées, selon des modalités en cours d'évolution, mais nous y reviendrons. Au-delà du ministère des Armées, l'ANSSI est l'acteur pri...

De leur côté, les armées sont en train d'acquérir des compétences nouvelles en matière de cyberdéfense grâce à la mise en place de la communauté cyber des armées. Annoncée en filigrane lors des débats sur la LPM, la création d'une « communauté cyber des armées » a été officialisée en novembre 2023. En effet, au-delà des moyens financiers et humains, le COMCYBER indiquait en avril 2023 devant notre commission qu'un effort particulier serait fait pour adapter les modalités et les niveaux d'ac...

Mais la cyber-résilience de la Nation impliquera également de renforcer l'éducation à la cybersécurité à l'école en vue de diffuser une culture de l'hygiène numérique au sein de la population. De ce point de vue, l'école a un rôle primordial à jouer. En formant les jeunes au risque cyber dès l'école, un très grand nombre de cyberattaques pourraient être évitées. Il n'est en effet plus à démontrer que la sensib...

Par ailleurs, afin d'améliorer le niveau de cyber-résilience de la Nation, la participation à des exercices est indispensable. Dans le cadre de nos travaux, nous avons été alertés sur la faible participation des armées et des services de l'État aux exercices cyber organisés à l'échelle internationale. Nous n'avons par ailleurs pas eu connaissance d'exercices cyber organisés par la France et en France à destination de nos partenaires. Nous estimo...

Venons-en désormais au deuxième défi : le défi des ressources humaines. Les difficultés de recrutement et de fidélisation du ministère des Armées dans le domaine de la cyberdéfense sont connues. Toutefois, le ministère des Armées possède de nombreux atouts pour attirer les talents et plusieurs pistes permettraient de mieux recruter, former et fidéliser les agents cyber du ministère. Tout d'abord, même si cela peut paraître évident, il convient de rappeler que le ministère des Armées est en concurrence avec les secteurs publics et privés dans le cadre du recrutement ...

En outre, la feuille de route relative à la féminisation des agents cyber de l'État que nous appelons de nos vœux gagnerait à être déclinée au sein du ministère des Armées. Celui-ci prend d'ores et déjà des initiatives dans le cadre du plan relatif à l'égalité professionnelle entre les femmes et les hommes, qui doivent être poursuivies. Les agents cyber comprennent également les réservistes de cyberdéfense, qui peuvent jouer un rôle fondamental à la fois pour le minis...

... de portes dérobées dans des solutions étrangères permettant à l'État fournisseur d'espionner l'État client n'est un secret pour personne. Les mesures prises pour réduire les risques sont salutaires. Mais cela suppose d'être en mesure de détecter les éventuelles portes dérobées installées sur les solutions étrangères. Or, comme nous avons pu l'entendre en audition, si on estime qu'il n'y a pas de cyberattaque, cela peut vouloir dire deux choses : soit il n'y en a effectivement pas, et tout va bien ! soit il y en a une que nous ne détectons pas, et c'est beaucoup plus gênant … ! Nous pensons donc qu'il est nécessaire de limiter autant que possible le recours à des solutions étrangères. Cette ambition va de pair avec l'élaboration d'une feuille de route pour réduire l'empreinte des GAFAM au sei...

...t informatique en nuage souverain. Nous insistons sur « souverain ». Cet impératif vaut également pour les entreprises de la BITD, les OIV et les OSE, dont les données sont au moins aussi stratégiques que celles des services du ministère des Armées et au-delà. D'ailleurs, s'agissant, des entreprises de la BITD, nous estimons qu'il est nécessaire de franchir une nouvelle étape pour renforcer leur cyber-résilience, et singulièrement les entreprises de la chaîne de sous-traitance. Lors de nos auditions, il nous a clairement été indiqué que les entreprises de la BITD sont les cibles régulières des cyberattaquants. Plus encore que les rançongiciels, qui frappent aussi les entreprises de la BITD, ce sont les logiciels de cyber-espionnage qui frappent en premier lieu ces entreprises. Il s'agit là d'u...

...ens et délais nécessaires à cette nouvelle technologie, ainsi qu'à une estimation de la capacité de la France à s'en doter en propre ou si nous avons besoin d'un partenariat européen pour y parvenir. Par ailleurs, nous avons été alertés lors de nos travaux sur l'influence croissante de l'intelligence artificielle, et singulièrement de l'intelligence artificielle générative, dans le domaine de la cyberdéfense. Les avancées récentes significatives sont à la fois une opportunité et une menace dans le domaine cyber. Elles peuvent constituer une opportunité notamment pour la LID, par exemple pour l'analyse et la caractérisation de malwares ou la détection de scénarios d'attaque ou la L2I pour aider à détecter des manœuvres informationnelles (par exemple pour l'aide à la formulation de contre-argume...

Enfin, le dernier défi est celui de la transparence. Ce défi est avant tout le résultat de notre expérience dans le cadre de notre mission. Le sujet de la cyberdéfense, et singulièrement dans les domaines offensif et informationnel, est d'une sensibilité particulière. Nous avons pu le mesurer lors de nos auditions, au cours desquelles les questions relatives à la LIO et à la L2I se sont très vite heurtées à une absence de réponse compte tenu du fait que les informations relatives à ces deux domaines de lutte informatique sont classifiées et revêtent une ...