Le ministère des affaires étrangères a mis en place, depuis 2010, une plateforme de service Ariane permettant aux ressortissants français préalablement inscrits en ligne de recevoir des consignes de sécurité lors de leurs voyages à l'étranger. Chacun peut ainsi créer un compte utilisateur sur le site diplomatie.gouv.fr et s'enregistrer avant chaque voyage en précisant ses lieux de passage, son numéro de téléphone portable et son adresse électronique, ainsi que les coordonnées des personnes à prévenir en cas d'urgence. Si la situation du pays le justifie, l'usager reçoit lors de son voyage des recommandations de sécurité du Centre de crise et de soutien du ministère, par SMS ou par courriel, et peut être contacté en cas de crise. Ce service est très utile et très utilisé.
Le Centre de crise et de soutien du ministère est le service responsable du traitement. Ce centre et les postes diplomatiques et consulaires français sont destinataires des données. La plateforme est maintenue par la direction des systèmes d'information.
Le 5 décembre 2018, la plateforme Ariane a été victime d'une cyberattaque, détectée par le dispositif de protection mis en place par l'Agence nationale de la sécurité des systèmes d'information (Anssi), en périphérie des systèmes d'information du ministère. Une partie des données stockées dans cette base de données a été piratée.
Des données personnelles ont été dérobées : il s'agit de données extraites de la table des personnes à contacter en cas d'urgence : noms, prénoms, adresses électroniques, ainsi qu'une partie des identifiants téléphoniques pour lesquels il avait sagement été prévu un stockage fractionné dans deux tables différentes afin d'empêcher toute exploitation frauduleuse. Au total, 540 563 personnes sont concernées par ce vol de données. Ni les autres données des titulaires de comptes, ni leur mot de passe, ni les dates et destinations de leurs voyages n'ont été compromises. Les données dérobées ne permettent pas d'établir de lien entre les contacts et les titulaires de compte. En outre, il a été constaté lors de l'opération d'information des personnes concernées par courriel que plus de 200 000 adresses n'étaient plus actives.
Le service n'a pas été interrompu et la sécurisation des données a été restaurée, des mesures correctives ont été prises pour empêcher la reproduction d'une attaque selon les mêmes procédures.
L'incident a été connu du grand public le 13 décembre, date à laquelle le ministère a adressé un courriel aux personnes concernées et a publié un communiqué de presse annonçant que la Commission nationale de l'informatique et des libertés (CNIL) et la justice avaient été saisies des faits constatés.
Sitôt l'incident connu, nous avons demandé à organiser des auditions pour recueillir des éléments d'information sur cette attaque et, plus largement, sur la sécurité des systèmes d'information du ministère des affaires étrangères, sur lequel notre commission est fondée à exercer un contrôle, sachant en outre que cela faisait deux ans qu'elle signalait dans son avis budgétaire sur l'Anssi les résultats insuffisants de la politique de protection et de sécurité des systèmes d'information de l'État (PSSIE). La commission a validé cette démarche lors de sa réunion du 16 janvier.
Nous nous sommes naturellement concentrés dans un premier temps sur cette cyberattaque dans l'intention non pas de chercher des responsables, mais de susciter un retour d'expérience dont le ministère et, au-delà, les services de l'État pourraient tirer des enseignements à l'occasion d'autres incidents, sachant qu'il y en aura d'autres, compte tenu des vulnérabilités de nos systèmes, d'une part, de la fréquence, de l'ampleur et de la sophistication des attaques, d'autre part.
Nous avons donc entendu, dès le 19 décembre, le directeur général de l'Anssi, le directeur des systèmes d'information et le directeur de la sécurité diplomatique du ministère des affaires étrangères, puis la direction générale de la sécurité intérieure (DGSI), qui est l'un des services disposant des capacités d'investigation pour rechercher l'origine d'une cyberattaque, la CNIL et enfin la section spécialisée du parquet de Paris. Nous entendrons dans les prochains jours, lorsqu'elle aura rendu son rapport, la mission interministérielle d'inspection chargée par le Premier ministre de cartographier les moyens budgétaires et en effectifs des ministères dédiés à l'action numérique, dont la sécurité. Enfin, nous attendons de l'Anssi et du ministère des affaires étrangères les réponses à des questions complémentaires que nous leur avons adressées.
Ces éléments nous permettront de compléter notre analyse et de préciser ou de nuancer nos observations sur la capacité du ministère à éviter cette attaque, sur la déclaration du vol de données personnelles à la CNIL et ses conséquences, sur la communication sur l'attaque et ses conséquences, sur l'attribution de l'attaque et ses suites judiciaires, et sur le pilotage de la gestion de crise en cas de cyberattaque.
J'évoquerai tout d'abord la capacité du ministère à éviter cette attaque. Les attaquants ont profité d'une faille dans une brique logicielle utilisée pour construire cette plateforme. L'éditeur du logiciel avait identifié cette faille et livré à la DSI le correctif nécessaire, mais la mise à jour n'avait pas encore été installée. Elle nécessite en effet une programmation de moyens, notamment en effectifs, et n'avait pas été considérée comme une absolue priorité.
De cette situation, nous tirons deux enseignements. Premièrement : quelques attaquants connaissent les failles, l'édition d'un correctif révèle plus largement l'existence de failles et suscite des appétits, plus on tarde à installer une mise à jour, plus un système d'information est vulnérable. Deuxièmement, comme d'autres ministères, le ministère des affaires étrangères dispose d'un budget dédié aux systèmes d'information et d'effectifs en stagnation alors qu'il s'est lancé dans une politique de numérisation et de mise à disposition de services en ligne, ce qui créé une interface de vulnérabilité. Il consacre des moyens globalement insuffisants à la cybersécurité et concentre ceux-ci - on ne peut le lui reprocher - sur les systèmes d'information et de communication les plus stratégiques, comme la sécurité des postes et des réseaux diplomatiques.
La circulaire interministérielle de 2014 sur la politique de sécurité des systèmes d'information de l'État est appliquée de façon hétérogène, ce qui montre le caractère très limité des interventions réglementaires. Sans affectation de moyens, elle demeure un instrument de communication. De surcroît les fonctions-clés de la chaîne de sécurité - haut fonctionnaire de défense et de sécurité (HFDS) et fonctionnaire de sécurité des systèmes d'information (FSSI) - ont été exercées de façon intermittente ces derniers mois. Tout cela pose concrètement la question d'un pilotage interministériel par affectation de moyens, notamment par le respect d'un ratio obligatoire consacré à la cybersécurité. L'Anssi n'a pas aujourd'hui de telles capacités.