Intervention de André Gattolin

Commission des affaires européennes — Réunion du 12 mars 2015 à 10h05
Justice et affaires intérieures — Action de l'union européenne contre les sites internet faisant l'apologie de la violence terroriste : communication de m. andré gattolin et de mme colette mélot

Photo de André GattolinAndré Gattolin :

Lorsque nous avons été chargés de cette mission sur la lutte contre le terrorisme sur Internet, j'ai proposé que nous étudiions la question de la cybersécurité et des cyberattaques afin de déterminer si elles étaient le fait ou non de terroristes djihadistes. C'est également pour nous l'occasion d'évoquer le projet de directive européenne sur la sécurité des réseaux et de l'information, en discussion à Bruxelles depuis plus de deux ans déjà et qui avait été l'objet d'une résolution du Sénat adoptée le 19 avril 2013, à l'initiative de Jacques Berthou et Jean-Marie Bockel.

Actuellement, parmi l'ensemble des cyberattaques constatées, il est difficile de distinguer celles qui sont le fait de terroristes, dans le sens où il ne s'agit pas d'un phénomène majeur, ou du moins pas encore. Les cyberattaques sont surtout perpétrées par des criminels de droit commun qui détournent des biens ou des fonds.

À côté de ces cybercriminels de plus en plus rompus techniquement, les djihadistes ne doivent pas pour autant être négligés bien qu'ils semblent, pour l'instant, à un stade moins avancé. L'objet de leurs attaques est autre, ils visent le plus souvent l'accès à l'information. On peut, à ce titre, évoquer l'attaque qu'a subie le journal Le Monde au début de l'année. Mais on peut très bien imaginer qu'une attaque qui viserait à désorganiser n'importe lequel de nos systèmes d'information (administration, grand groupe privé) puisse être mise en oeuvre dans le but de créer la panique ou le désordre dans la population.

Nous avons auditionné Jean-François Beuze, qui est le président de Sifaris, une entreprise spécialisée dans la gestion des risques des systèmes d'information (elle assure la sécurité de grands établissements financiers et, par ailleurs, de Charlie Hebdo). Pour lui, « les djihadistes sont dans un mode start-up ». En effet, même si cette « cyber-activité » semble encore naissante, les terroristes disposent de compétences et d'outils, et ont largement la capacité de trouver les moyens financiers pour assurer leur plein essor. Dès lors, la menace peut facilement et rapidement atteindre une ampleur critique. Ceci est d'autant plus probable que ces djihadistes pourraient recruter des mercenaires pour réaliser ce « travail », si l'on peut dire les choses comme cela.

Face à cette menace, quels sont nos moyens de défense ?

Tout comme en matière de police, la cybersécurité relève d'abord de la responsabilité des États. Depuis 2009, notre pays dispose d'une Agence nationale de sécurité des systèmes d'information, l'ANSSI. Selon Guillaume Poupard, son directeur général, l'Exécutif français a pris la mesure du danger que représentent les cyberattaques pour la France. Ainsi, l'Agence, qui a vu ses effectifs passer de 100 à 400 personnes en 5 ans, dispose de moyens assez significatifs pour protéger non seulement les administrations, mais aussi ce qu'on appelle des acteurs de taille critique.

Cependant, tous les pays européens ne sont pas aussi avancés dans la lutte contre les cybermenaces. Le Royaume-Uni, l'Allemagne et les Pays-Bas font également partie des pays dits en capacité. On peut encore y ajouter la Suède, le Danemark, voire la Norvège bien qu'elle ne fasse pas partie de l'Union européenne. On peut aussi évoquer l'Estonie qui avait subi une violente attaque en 2007, l'Espagne qui s'est impliquée plus tardivement mais qui depuis s'investit beaucoup et, enfin, l'Italie, dont les grands groupes privés sont compétents sur le sujet. Les autres pays estiment, en revanche, qu'ils ne disposent pas des moyens suffisants pour assurer leur cyberdéfense et préfèrent se tourner vers l'OTAN ou l'Union européenne. Pour cette raison, l'adoption prochaine de la proposition de directive sur la sécurité des réseaux et de l'information est non seulement importante, mais surtout pressante !

Que propose ce texte ? Principalement trois choses :

Tout d'abord, la nécessité pour chaque État membre de désigner une autorité nationale compétente en matière de sécurité des réseaux et de l'information, d'élaborer une stratégie nationale de cybersécurité et d'établir un plan national de réponse aux crises cyber, accompagné de la mise en place d'une équipe dédiée à ces questions.

Deuxièmement, la directive permettrait un renforcement de la coopération européenne en matière de gestion de crise cyber et de réponse aux incidents. Cela passerait par la mise en oeuvre de trois mesures : tout d'abord, la création d'un « réseau européen des autorités nationales de cybersécurité » ; ensuite, l'instauration du principe de notification obligatoire par ces autorités à leurs homologues européens et à la Commission européenne de tous les incidents de sécurité informatique rencontrés au niveau national ; et, troisièmement, la constitution d'un réseau informatique d'échange d'informations sensibles. Je précise que la participation à ce réseau devrait se faire sur la base du volontariat.

Enfin, et c'est capital, le texte promeut l'instauration du principe de notification obligatoire d'incidents informatiques significatifs par les opérateurs économiques d'importance critique visés par la directive-cadre du « paquet » Télécom. Il prévoit également la possibilité pour l'autorité nationale de cybersécurité ou pour des prestataires qualifiés de conduire des audits réguliers.

Cette proposition de directive a été présentée par la Commission européenne le 7 février 2013. Le Conseil et le Parlement européen ont, chacun, adopté une position. Les discussions se font désormais en trilogue avec la Commission. Nous ne pouvons que demander au Gouvernement de favoriser une adoption rapide !

Aucun commentaire n'a encore été formulé sur cette intervention.

Inscription
ou
Connexion