Intervention de François Bonhomme

Monsieur le président, monsieur le rapporteur, mes chers collègues, en mars 2015, la SNCF, via son service de rappel automatique, laisse fuiter les données personnelles de ses clients, accessibles par la simple touche F5 d’un clavier d’ordinateur.

En avril 2015, TV5 Monde est victime d’une cyberattaque extrêmement forte avec des conséquences très importantes : écran noir sur les onze chaînes du groupe, comptes sur les réseaux sociaux détournés pour afficher des messages de propagande d’un groupe de pirates prétendant appartenir à l’État islamique, perte de la connexion wifi et de plusieurs fréquences de diffusion dans certains pays, avec un coût induit de près de 5 millions d’euros en 2015.

Quelques semaines plus tôt, d’autres sites étaient victimes de piratages : la Maison-Blanche, le site Labio.fr, Orange Business Services, le site de L’Union de Reims et celui de L’Ardennais, et bien d’autres encore.

Le nombre de cyberattaques contre les entreprises françaises a progressé de 51 % en un an, alors que la hausse de ces attaques sur la même période dans le reste du monde était sensiblement moindre. En un an, la France est ainsi passée du quinzième rang au quatorzième rang mondial des pays où la cybercriminalité est la plus active. En 2014, un million de nouveaux logiciels malveillants ont été découverts chaque jour dans les ordinateurs français.

Tout cela a évidemment un coût : selon une étude, les entreprises françaises ont perdu en moyenne 3, 7 millions d’euros l’an passé à cause de telles attaques, ce qui représente une hausse de près de 30 %.

On doit s’interroger aussi sur le profil de ces cybercriminels. Contrairement à une idée reçue, la majorité des menaces ne viennent pas de l’étranger. Un tiers des incidents recensés sont le fait d’employés ou d’anciens employés de la compagnie attaquée. Par ailleurs, une part grandissante de ces incidents vient des fournisseurs et prestataires de services. Il faut aussi noter qu’on assiste de plus en plus à une véritable spécialisation des cybercriminels, plusieurs personnes travaillant sur les différentes phases d’une même opération.

Ces piratages peuvent prendre des formes diverses. Selon la Commission européenne, la cybercriminalité englobe trois catégories d’activités criminelles : d’abord, les atteintes directes à des systèmes informatiques pour perturber leur fonctionnement et anéantir un serveur à distance ; ensuite, la réalisation d’actes illicites recourant aux outils numériques – vol de données bancaires ou personnelles, espionnage industriel, atteinte à la propriété industrielle ou encore sabotage – ; enfin, la modification du contenu d’un espace numérique pour y déposer ou diffuser des contenus illicites.

Ces attaques nombreuses sont de plus en plus sophistiquées et les cyberattaquants tentent de plus en plus de faire diversion, en introduisant dans le réseau de l’entreprise des outils de prise en main à distance ou de transfert des communications.

Il convient également de noter que les pirates ne cherchent pas forcément des informations confidentielles ; de plus en plus, les entreprises sont victimes de demandes de rançon. Les cybercriminels bloquent ainsi les ordinateurs ou les mobiles grâce à des « cryptolockers » et réclament ensuite de l’argent en échange du déblocage des données.

Les entreprises sont donc une cible privilégiée ; manifestement, les risques sont insuffisamment pris en compte. Ainsi, seul un tiers des entreprises du CAC 40 se sont dotées d’un centre opérationnel de sécurité, c’est-à-dire d’une équipe spécifiquement dédiée à la cybercriminalité. Ce constat est inquiétant, sinon alarmant, même si, selon l’étude de PricewaterhouseCoopers, le budget de la sécurité informatique des entreprises françaises a bondi de près d’un tiers entre 2013 et 2014.

Le rapport éclairant et roboratif de notre collègue Bruno Sido et de la députée Anne-Yvonne Le Dain, après avoir dressé ce constat sans appel, propose des recommandations et des solutions individuelles et nationales pour contrer ces risques. Je n’y reviens pas, elles ont été largement évoquées.

Je souhaite simplement insister sur quelques points. D’abord, je veux souligner la nécessité, à l’échelon national, de dispositifs d’information et de soutien à la sécurité informatique en direction des PME, particulièrement vulnérables en raison notamment du coût que représente la constitution en interne d’une équipe dédiée à la lutte contre le piratage. Le vade-mecum proposé dans ce rapport semble parfaitement adapté.

Ensuite, il convient de trouver des solutions à l’échelle communautaire afin de ne pas dépendre des États-Unis pour traiter et gérer les incidents de sécurité informatique. Je partage l’avis des auteurs du rapport, il faut protéger la souveraineté numérique de la France et de l’Europe, et ne pas inclure le numérique dans les accords de libre-échange.

Par ailleurs, la question de l’éducation à la sécurité informatique est d’importance. Certes, il paraît aujourd’hui nécessaire de développer une véritable filière d’enseignement du codage et de la sécurité informatique, mais je pense qu’il convient en même temps d’enseigner, particulièrement, bien sûr, aux jeunes générations, les comportements responsables face aux usages des nouvelles technologies de communications et aux risques que les nouveaux supports et réseaux sociaux peuvent faire courir.

Enfin, il est vrai que ces nouveaux défis sont un réel atout. Nous avons en France de véritables talents, qu’il s’agisse de nos chercheurs en mathématiques ou en cryptologie, de nos fabricants d’antivirus et même de nos jeunes hackers, qui – pourquoi pas ? – pourraient être recrutés pour concevoir, fabriquer et développer des matériels, des logiciels et des systèmes d’exploitation relatifs à la sécurité numérique.

Ces initiatives méritent d’être soutenues. Il y a là un véritable gisement d’emplois, sans parler du marché de la cyberassurance, qui a triplé en un an.

La sécurité numérique peut donc être un véritable atout pour notre pays et pour son développement économique.

Les mesures annoncées en novembre dernier par le Premier ministre reprennent pour partie ces préconisations. Elles s’articulent ainsi autour de trois axes majeurs : communiquer, sensibiliser et légiférer – même si, par nature, l’élaboration législative est longue et que le temps parlementaire est une éternité à l’échelle du numérique.

Nous regrettons ainsi que le projet de loi pour une République numérique, qui sera débattu prochainement à l’Assemblée nationale, n’aborde pas cette question. Nous espérons que le texte présenté par M. Macron traitera le sujet et reprendra certaines des préconisations du rapport de l’Office. Cela permettra d’enclencher une dynamique sectorielle importante, en limitant les contraintes législatives et réglementaires dans un secteur qui demande – vous le savez, madame la secrétaire d’État – souplesse, adaptabilité et réactivité.