Intervention de Bruno Sido

Monsieur le président, madame la secrétaire d'État, mes chers collègues, j’ai aujourd’hui l’honneur et le plaisir de vous présenter le rapport de l’Office parlementaire d’évaluation des choix scientifiques et technologiques sur le risque numérique, intitulé Sécurité numérique et risques : enjeux et chances pour les entreprises, rapport dont l’élaboration avait été confiée à Mme Anne-Yvonne Le Dain, députée et vice-présidente de l’Office, ainsi qu’à moi-même.

Saisi par la commission des affaires économiques du Sénat, l’Office a adopté un rapport qui a nécessité une centaine d’auditions, dont trois journées d’auditions publiques et des déplacements. Le document a été présenté à la commission des affaires économiques au mois de juin 2015.

Le président de cette commission, M. Jean-Claude Lenoir, que je salue, a estimé que l’intérêt des recommandations méritait leur présentation au nom de l’Office en séance plénière du Sénat, ce dont je le remercie, ainsi que la conférence des présidents, au nom de l’Office.

En concertation avec le précédent président de la commission des affaires économiques du Sénat, M. Daniel Raoul, la réflexion a été centrée sur les entreprises constituant des opérateurs d’importance vitale, les OIV, et en priorité sur celles du secteur des télécommunications et du secteur de l’énergie. Soumises à des directives nationales de sécurité, les fameuses DNS, qui imposent des obligations extrêmement précises, ces entreprises ne doivent en aucun cas voir leur fonctionnement interrompu, notamment pas en raison d’une défaillance de leur système d’information numérique.

Les activités desdits opérateurs dépendent de la fiabilité de la chaîne de sécurité numérique qu’ils constituent avec leurs fournisseurs, leurs sous-traitants, leurs clients et leurs personnels.

Le présent rapport est centré sur la sécurité que doit présenter une technique nouvelle à évolution extrêmement rapide et moins familière qu’on ne le croit.

L’élaboration du rapport de l’Office a été jalonnée par les annonces du Gouvernement, en 2014, au sujet du dépôt, plusieurs fois ajourné, d’un ambitieux projet de loi sur le numérique.

Ainsi le Gouvernement et nous-mêmes avons conclu que la sécurité numérique, voire la sécurité tout court ne pouvait être assurée qu’à partir de mesures reliées entre elles.

Au mois de mai 2015, Mme Axelle Lemaire, secrétaire d'État chargée du numérique, a invité les rapporteurs de l’Office à venir lui présenter leurs travaux. Elle a réservé le meilleur accueil à leurs recommandations. Je l’en remercie.

Tout récemment, la secrétaire d’État a élaboré un projet de loi relatif au numérique et aux libertés individuelles. Un autre projet de loi portant sur les aspects plus économiques du numérique est annoncé. Mais aucun de ces deux textes ne concerne directement la sécurité numérique des entreprises. C’est davantage l’objet de la stratégie nationale pour la sécurité du numérique, présentée par M. le Premier ministre au mois d’octobre 2015.

Certaines mesures de cette stratégie nationale rejoignent les propositions émises par l’Office au début de l’année 2015, comme l’atteste la synthèse du rapport de l’OPECST qui vous a été adressée voilà quelques semaines.

Les ramifications du numérique constituent le système nerveux de la société et même, en partie, celui des individus, d’où l’impossibilité de scinder les préoccupations de sécurité en divers segments d’études. C’est ce qu’ont toujours su les attaquants des systèmes numériques.

Déjà, depuis quelques années, pour relever le défi de la sécurité numérique, de réels moyens ont été développés. Je pense à la création, en 2009, de l’Agence nationale de sécurité des systèmes d’information, l’ANSSI, qui a succédé à d’autres dispositifs, mais en les renforçant. Toutefois, cette agence ne saurait résoudre à elle seule toutes les questions posées par les failles de la sécurité numérique, ni parer toutes les attaques.

En effet, cette question transversale de sécurité suppose l’acquisition par l’ensemble de la société d’une culture du numérique, ainsi que d’une éducation initiale et continue à la hauteur des services rendus par la technique, à la fois en dépit et en raison des fragilités qu’elle recèle.

Les rapporteurs de l’OPECST sont partis d’une réflexion sur le mécanisme de transmission d’un message au sein du système d’information de l’entreprise et sur les fragilités, souvent de conception, des matériels, des logiciels, des réseaux, des services et des diverses applications numériques.

La mission de l’Office consiste à comprendre et à faire comprendre les raisons de ces fragilités, thème particulièrement technique, et à proposer des solutions.

Ainsi, qu’en est-il du pillage organisé des informations des entreprises ? Des tiers, des concurrents vont puiser dans ces informations comme dans un libre-service.

La situation de l’économie française s’accommode-t-elle de tels pillages ? Ou bien résulte-t-elle en partie de ceux-ci, alors justement qu’ils durent depuis des années ?

Cependant, le rapport montre que les imperfections constatées constituent également des chances à saisir, car la situation comporte bien des facettes pouvant inciter à une mobilisation constructive.

La France possède de nombreux atouts en ce domaine. En effet, sans même parler des fabricants d’antivirus, les connaissances de l’école française de mathématiques, alliées à une grande tradition en matière de cryptologie et de cryptographie, les ressources des centres de recherche de la Direction générale de l’armement, la DGA, ou de l’Institut national de recherche en informatique et en automatique, l’INRIA, pour ne citer qu’eux, devraient permettre de conforter les entreprises œuvrant dans ces domaines.

Pour mettre en valeur de tels atouts français, il faut se débarrasser de préjugés et d’attitudes routinières. Je pense par exemple aux préjugés négatifs associés à l’image des hackers, dont certains pourraient être employés par l’administration française pour élaborer des solutions de prévention et de riposte aux attaques numériques, à condition d’être recrutés à des niveaux de salaires en rapport avec leur haute technicité. Cela ralentirait le départ vers l’étranger de ces compétences indispensables.

Il faudrait également éviter que de jeunes entreprises extrêmement innovantes dans le numérique ne soient aussitôt rachetées par des financiers d’outre-Atlantique venus, en quelque sorte, faire leur marché en France.

Mais les comportements de chacun d’entre nous sont-ils adaptés aux exigences de la sécurité numérique, trop souvent négligée dans la vie quotidienne ?

Par exemple, qui d’entre nous hésite avant de s’abonner à une messagerie électronique contrôlée par une firme étrangère et d’accepter d’un clic toutes les conditions qu’elle pose ? Qui prend le temps minimal de réflexion avant de choisir la voie la plus sécurisée pour transmettre un message urgent et/ou confidentiel ? Les assemblées, les collectivités territoriales sont-elles en pointe quant à la sécurité informatique ? Qu’en est-il enfin des entreprises les plus au fait en matière de technologie de sécurité numérique ?

Parmi la vingtaine de recommandations prioritaires retenues par l’Office, certaines concernent l’éducation nationale. Il est ainsi proposé d’enseigner le codage de manière ludique dès l’école maternelle et de créer une véritable filière d’enseignement de l’informatique incluant systématiquement des modules significatifs sur sa sécurité, et ce jusque dans l’enseignement supérieur.

La situation actuelle est malheureusement loin de traduire le respect d’une telle exigence, d’abord parce que l’informatique est souvent absente des programmes ou doit se contenter d’un nombre d’heures restreint, de surcroît malheureusement non couplé, ou si peu, à un enseignement de la sécurité du numérique, y compris dans les écoles spécialisées...

Que devraient être les effectifs, les compétences, la réactivité et la formation continue des enseignants spécialisés censés faire face à cette nouvelle demande ?

Plus généralement, il faut rappeler que les contextes international, européen et national actuels se caractérisent par une totale symbiose entre le numérique et la société.

Il est donc inutile d’élever des digues juridiques ou technologiques si des accords internationaux ou la réalité d’un rapport de force non encadré viennent dans le même temps ruiner ces efforts.

Ainsi, ont été explicités dans le rapport les enjeux de la négociation actuelle du traité de partenariat transatlantique, les raisons du rythme d’avancée de l’élaboration de la directive et du projet de règlement européens, ou, en France, de la maturation de la stratégie nationale pour la sécurité du numérique, ainsi que du ou des textes sur le numérique.

La protection simultanée des droits et libertés dans l’univers numérique et la protection de la souveraineté numérique de la France comme de l’Union européenne supposent également des mesures techniques.

Ces objectifs vitaux doivent primer la libre circulation des marchandises, l’abaissement des droits de douane ou l’instauration d’une concurrence libre et non faussée.

Ne faudrait-il pas aller jusqu’à concevoir une exception numérique d’après le modèle de l’exception culturelle, qui a sauvé l’industrie cinématographique française quand celle-ci était menacée par des principes commerciaux qui prétendaient la dominer, tandis que de grands cinémas d’autres pays d’Europe n’ont pas survécu à l’application de ces principes ?

De même, dans le numérique, avant qu’il ne soit définitivement trop tard, toutes les chances doivent être mises de notre côté pour que des industries françaises et européennes puissent concevoir, fabriquer ou, au moins, contrôler pour les labelliser, les matériels, les logiciels, les systèmes d’exploitation et les cœurs de réseaux qui forment la longue chaîne de la sécurité numérique.

Pour expliciter une réalité numérique multiple difficile à appréhender, l’Office a conçu pour son rapport d’indispensables schémas, plus explicites que de longs discours.

Je pense, par exemple, au « schéma de l’éléphant », pour illustrer la perception trop parcellaire du numérique, ce que traduisent aussi d’ailleurs la juxtaposition des initiatives gouvernementales et européennes, le foisonnement de rapports parlementaires ou autres traitant de certains aspects de ce thème : ouverture des données ou open data, traitement des données massives ou big data, gouvernance mondiale de l’internet, ou encore le numérique aux États-Unis d’Amérique...

Toutes ces questions sont interdépendantes. La sécurité numérique est présente derrière chacune d’entre elles et devrait permettre, peut-être, de reconstituer le puzzle des internets et de tous les aspects du numérique en général.

De l’ensemble de tous les liens entre ces divers éléments, de leur continuité, de leur intégrité, dépend la sécurité numérique en général, en particulier celle, très ramifiée, des entreprises.

Mais très peu de ces initiatives ou rapports ont approfondi la question transversale, et essentielle, de l’insécurité découlant du recours croissant au numérique par les entreprises.

À cet égard, la recommandation de l’Office consistant à couper totalement de l’Internet les SCADA, c’est-à-dire les systèmes numériques commandant la production d’une entreprise, n’est pas si radicale qu’il y paraît. Elle l’est d’autant moins au regard de l’anecdote éclairante de la pénétration du système des SCADA d’un hôpital nord-américain par un adolescent de seize ans réussissant à bloquer la climatisation de cet établissement et exigeant ensuite, naturellement, le paiement d’une rançon pour rétablir le bon fonctionnement de ce sanctuaire de santé.

Ce fait est à rapprocher de la possibilité d’acquérir dans le commerce des logiciels d’attaques informatiques.

Cependant, au-delà des failles technologiques, les failles humaines, souvent inconscientes, entraînent les plus graves vulnérabilités, d’où l’ampleur de l’effort d’éducation et, plus généralement, de l’action de sensibilisation à mener jusqu’à l’acquisition des indispensables réflexes d’une hygiène numérique ; le rapport propose des pistes pour les acquérir.

En effet, toute nouvelle avancée du numérique doit proposer des instruments de sécurité, d’une sécurité « par conception », comme disent les spécialistes, malheureusement toujours quasi absente de la conception des objets connectés.

Mais je vois que je suis trop long, monsieur le président, et j’en viens à ma conclusion.

L’Office a émis une vingtaine de recommandations générales, ainsi qu’une centaine de recommandations plus techniques dans un vade-mecum destiné à ceux qui voudraient approfondir la question. Chacun d’entre nous peut immédiatement en tirer des leçons pour son comportement numérique quotidien personnel.

Nos recommandations concernent les trois phases d’une attaque numérique : avant, pendant et après l’attaque. La vigilance doit être permanente.

Face au risque numérique, il s’agit de renforcer les conditions de la sécurité numérique et aussi de favoriser les conditions de la confiance à placer dans l’usage du numérique.

Je souhaite vivement que ce rapport de l’Office parlementaire d’évaluation des choix scientifiques et technologiques, l’OPECST, qui a reçu un très bon accueil des professionnels de la sécurité numérique et des sites spécialisés, puisse avoir les retombées les plus concrètes et les plus rapides possible.