Intervention de Olivier Cadic

Pour ma part, j'évoquerai la déclaration du vol de données personnelles à la CNIL et ses conséquences.

L'application Ariane a fait l'objet d'une déclaration à la CNIL. La notice de l'application indique que « le service Ariane, conçu en concertation avec la CNIL, offre toutes les garanties de sécurité et de confidentialité des données personnelles » et que « les données sont effacées un mois après la date retour ». Il s'agit des données relatives aux déplacements, non des données de base du dossier, dont les données relatives aux contacts. Plus de 500 000 noms étaient stockés dans cette table depuis l'origine, semble-t-il. Cela pose au demeurant une question, qui aura quelques conséquences lors de la communication sur la cyberattaque, celle du statut des données personnelles des contacts enregistrées par leurs proches, avec ou sans leur consentement, présumé tacite.

En outre, depuis l'entrée en application du Règlement général sur la protection des données (RGPD), la compromission de données personnelles doit faire l'objet d'une déclaration à la CNIL dans les soixante-douze heures de sa détection. Cette déclaration a été faite via un formulaire en ligne dès le 7 décembre. Le ministère s'est ensuite demandé si cette attaque présentait des risques justifiant, outre son signalement, une communication aux personnes concernées et au public. À l'issue du dialogue entre les deux parties, la DSI et la CNIL, la décision a été prise de communiquer en raison du risque d'utilisation des données pour des opérations d'hameçonnage ou d'escroquerie.

Pour autant que nous le sachions, ce dialogue est resté limité à la DSI et à la CNIL, sans appréciation externe. Nul ne s'est demandé si l'attaque visait simplement à porter atteinte à la réputation du ministère en affichant la vulnérabilité de ses applications ou n'a pris en compte le fait que les personnes concernées pouvaient découvrir leur présence dans cette base à cette occasion. Cela aurait permis, le cas échéant, d'orienter différemment la communication. La DSI expérimentait ces nouvelles obligations avec une certaine appréhension, leur non-respect pouvant entraîner des sanctions pénales. Le secrétariat général de la CNIL s'en est tenu à une vision juridique et factuelle, sur la base des seuls éléments transmis par la DSI.

J'évoquerai maintenant la communication sur l'attaque et ses conséquences.

Le 13 décembre, un courriel a été adressé aux personnes concernées, dont nous n'avons pas pu prendre connaissance à ce stade. Nous savons par l'Anssi et par la CNIL, qui ont reçu, dans la foulée, des dizaines de demandes d'information, que ce courriel a eu pour effet d'inquiéter nombre de destinataires. Soit ces deniers n'étaient pas informés de leur présence dans ce fichier, soit ils n'avaient aucune idée des données qu'il contenait. Ces personnes pensaient avoir reçu un message falsifié du ministère et être victimes d'une opération d'hameçonnage ou craignaient que leurs données bancaires ou d'autres données personnelles aient pu avoir été altérées. À mes yeux, cela constitue un début de trouble à l'ordre public. À échelle réduite, les personnes contactées ont pu être rassurées, mais personne, dans les organisations concernées, n'avait envisagé un retour de cette nature et n'y était préparé, en particulier l'Anssi, qui n'a été informée de la communication que lorsqu'elle a été confrontée à ces appels.

Le communiqué de presse a été repris par les médias, parfois de façon alarmiste, et complété sur le site du ministère par une foire aux questions. On notera que deux communiqués successifs ont été publiés, le premier mentionnant l'Anssi sans son consentement et sans qu'elle ait été associée à la mise en place des correctifs et à la préparation de cette communication, le second ne la mentionnant plus.

Ce communiqué a été mis au point par le service de la communication du ministère à partir d'éléments techniques fournis la DSI. À notre connaissance, le Centre de crise et de soutien, responsable du traitement, n'y a pas été associé. Compte tenu de l'effet de cette communication, il y a lieu de s'interroger sur un élargissement du nombre de parties impliquées dans la décision de communiquer et dans l'élaboration du contenu la communication. Enfin, nous nous interrogeons également sur l'intérêt de relativiser les faits en indiquant que la cyberattaque n'a rien d'un événement exceptionnel, que « le ministère fait l'objet d'attaques de toutes natures et de toutes origines et s'est organisé en conséquence avec l'aide de ses partenaires interministériels, notamment l'Anssi», et ce au moment où il affiche la vulnérabilité de l'une de ses plateformes.

J'évoquerai ensuite l'attribution de l'attaque et ses suites judiciaires.

Le communiqué du 13 décembre indique que le ministère a déposé une plainte auprès du Procureur. Cela est tout à fait souhaitable. Même si l'attaque ne se traduit pas par un dommage matériel pour le ministère, elle a porté atteinte à sa réputation. Il faut d'ailleurs féliciter le ministère de cette décision, qui reste exceptionnelle au sein des administrations, lesquelles sont régulièrement victimes de cyberattaques. La puissance publique incite pourtant les entreprises à porter plainte. En outre, il s'agit d'infractions, de délits, voire de crimes, dont la commission doit être portée à la connaissance de la justice, conformément à l'article 40 du code de procédure pénale, sous peine de sanctions pénales.

Nous avons donc souhaité, dans le strict respect de l'indépendance et des compétences de l'autorité judiciaire, comprendre comment fonctionnait ce que la Revue stratégique de cyberdéfense de février 2018 appelle la chaîne « investigation judiciaire » et comment s'articulait la mise en oeuvre de cette chaîne lorsque des attaques portent contre des administrations de l'État. Nous avons reçu la section spécialisée du parquet de Paris créée en 2014 et dotée d'une compétence concurrente nationale depuis 2016, laquelle reçoit entre 2 000 et 2 500 plaintes par an. Elle est en mesure de déclencher des procédures d'entraide internationale et jouit d'une solide réputation puisqu'elle coordonne à l'échelon européen l'enquête sur la cyberattaque Notpetya et un service de police, en l'occurrence la DGSI, qui peut être actionné pour constater les faits, rechercher des preuves et les auteurs.

De ces entretiens, il ressort une absence de concertation et de procédure formalisée. Le Parquet a été informé le 14 décembre par la presse, à la suite de la publication du communiqué du 13, lequel indiquait la saisine du Procureur. En réalité, la plainte ne sera déposée au Parquet que le 7 janvier, soit un mois après la détection de l'attaque. La DGSI sera officiellement saisie le 10. Cela montre que personne ne savait quelle conduite tenir et n'était préparé à ce qui devrait être un réflexe ordinaire. Même si les données relatives à l'attaque ont pu être conservées sans être altérées, on imagine qu'une intervention dans les premières heures peut avoir un intérêt : pour recueillir des preuves ou des traces susceptibles d'être effacées progressivement, comme nous l'ont confirmé les magistrats du Parquet, ou pour vérifier si les données font l'objet d'un commerce sur le Darknet.

Sans doute la mise en place du RGPD permettra-t-elle d'avancer grâce à l'obligation de déclaration et de publicité, mais un travail d'information et de coordination semble nécessaire auprès des décideurs des administrations de l'État.

J'en viens au pilotage de la gestion de crise en cas de cyberattaque. Nous voyons bien, à l'examen de ce dossier, que les administrations, à l'exception de l'Anssi, ne sont guère préparées, qu'elles hésitent à chaque étape sur la conduite à tenir parce qu'elles n'ont pas expérimenté les difficultés, parce que les précédents sont peu nombreux et parce qu'elles n'ont pas anticipé de scénarios de crise.

Une réflexion au sein des ministères et à l'échelon interministériel, impliquant l'Anssi, doit être engagée sur la gestion de crise : qui sont les acteurs internes et externes concernés ? Quels sont les niveaux de décisions adéquats ? Qui pilote ? Selon quelles procédures ? Comment communiquer et à quel moment pour ne pas ajouter une crise à la crise ? Beaucoup de choses restent à construire et à éprouver sous forme d'exercices. Il existe des plans à l'échelle interministérielle en cas d'attaques du haut du spectre pilotés par le Secrétariat général de la défense et de la sécurité nationale (SGDSN), mais les ministères restent démunis face à des attaques de moyenne ampleur.

Telles sont nos premières conclusions, à la fois alarmistes et réalistes. Elles doivent contribuer à la prise de conscience des risques et de leur caractère multiforme. En déroulant modestement le fil d'Ariane, nous mettons en évidence le sous-investissement de nos administrions publiques en matière de cybersécurité et nous lançons, comme Guillaume Poupard récemment, un cri d'alarme sur les conséquences que pourraient avoir des attaques massives contre nos administrations. Un redressement est nécessaire. Ce dossier doit être porté au plus haut niveau de l'État. Le Premier ministre a lancé plusieurs missions à cet égard, que nous allons suivre avec attention.

En attendant, nous souhaitons poursuivre cette mission, en y associant naturellement les rapporteurs du programme 105, afin de compléter la documentation du dossier Ariane et de vérifier les efforts entrepris pour la sécurité de l'ensemble des systèmes d'information du ministère des affaires étrangères. Nous solliciterons des entretiens aux niveaux appropriés du ministère des affaires étrangères et du SGDSN pour partager ce retour d'expérience, inciter les services de l'État à progresser et à mieux se prémunir contre les attaques et leurs conséquences.