Intervention de Michel Cadic

Mon propos introductif comprendra trois points. Je décrirai d'abord le dispositif du ministère de l'Intérieur, auquel la DPSIS, qui en est une entité récente, se rattache. Je m'intéresserai ensuite à la filière des industries de sécurité. Enfin, je me consacrerai au problème des attaques informatiques contre les entreprises, spécialement les PME et TPE.

Au sein du ministère de l'Intérieur, quatre services prennent en charge, en lien avec le Parquet, les enquêtes relatives à ces attaques : le C3N de la gendarmerie nationale, l'OCLCTIC et la brigade d'enquête sur les fraudes aux technologies de l'information (BEFTI) de la police nationale, enfin la direction générale de la sécurité Intérieure (DGSI).

Dès 2015, le ministère de l'Intérieur s'est préoccupé d'élaborer une politique de réponse unifiée, une stratégie d'action transversale, face au phénomène émergent des cybermenaces. Une étude du préfet Jean-Yves Latournerie a conduit à ajouter la lutte contre les cybermenaces à la mission de la Délégation des industries de sécurité. Une concertation avec l'ANSSI a abouti à la création d'une entité externe à même de prendre en charge les aspects de prévention : le GIP ACYMA.

Lors de la rédaction du livre blanc relatif à la sécurité Intérieure, le ministère a perçu la nécessité de développer un continuum de sécurité entre les territoires, de même qu'entre les secteurs public et privé. Deux Délégations, l'une consacrée aux industries de sécurité et à la lutte contre les cybermenaces (DMISC), l'autre aux coopérations de sécurité (DCS), ainsi que la mission ministérielle de normalisation, ont fusionné pour donner naissance, le 11 septembre 2020, à la DPSIS. Celle-ci réunit les dimensions de forces, de moyens en hommes, en technologies et en innovations, de territoires, de travail normatif.

Le secteur économique français des industries de sécurité et son contrat stratégique de filière restent méconnus. Or, ce secteur représente près de 30 milliards d'euros de chiffre d'affaires annuel, 140 000 emplois, une croissance supérieure à 5,5 % entre 2014 et 2020. La part de ses exportations dépasse 50 %.

Il se divise en trois segments principaux : pour 44 % les produits électroniques (identification, authentification, vidéosurveillance, détection d'intrusions incendies, renseignement et centres de commandement), pour 33 % les produits physiques (véhicules et plateformes de sécurité, équipements de protection incendie), pour 23 % les produits et solutions de cybersécurité.

Forte d'un total de 4 400 entreprises, la filière des industries françaises de sécurité rassemble 95 structures majeures, 118 entreprises de tailles intermédiaire (ETI), 1 800 PME ou TPE et plus de 2 400 micro-entreprises. Éclatée, elle décèle cependant un fort potentiel de croissance, supérieur à celui de la moyenne nationale.

Fin 2018, elle est devenue la 18e filière du conseil national de l'industrie (CNI). En janvier 2020, à l'occasion du forum international de la cybersécurité (FIC), et afin de favoriser son développement, elle a signé avec l'État un contrat de partenariat stratégique. Il vise à sécuriser l'organisation des grands événements, en particulier celle des Jeux olympiques de Paris 2024, à garantir la sécurité de l'internet des objets, à promouvoir l'identité numérique, à définir des territoires de confiance, à structurer un numérique de confiance. Du côté de l'État, le ministère de l'Intérieur porte directement certains de ces projets.

Ambitieux, l'objectif consiste à doubler le chiffre d'affaires de la partie cybersécurité de la filière et d'y créer 75 000 emplois supplémentaires.

S'agissant des attaques informatiques, je confirme leur augmentation notable et, concomitamment, l'impossibilité d'en préciser le nombre exact. Trois rapports annuels de la DMISC se sont consacrés à l'état de la menace numérique du point de vue des services dits répressifs, après réception des plaintes. Or, nous savons que ces dernières ne représentent qu'une proportion infime des faits constatés.

À titre d'illustration, le GIP ACYMA indique dans son bilan de 2019 que le chantage à l'aide des caméras périphériques d'ordinateurs (webcams) a donné lieu à 140 000 consultations de son site en ligne, 30 000 parcours d'assistance, 28 000 signalements, mais au dépôt de seulement 2 000 plaintes. Celles-ci ont entraîné deux arrestations. D'un bout à l'autre de la chaîne, l'effet d'entonnoir apparaît évident.

J'ai coutume de dire qu'une fois que l'ANSSI s'est occupée de la situation des opérateurs d'importance vitale (OIV) et de services essentiels (OSE), demeurent les quelque trois millions de PME et TPE, ainsi que les collectivités territoriales et les associations. Ces structures se caractérisent par leur faible capacité économique et, plus encore, par leur faible capacité de maîtrise d'ouvrage. Elles ne sont guère en mesure de définir leurs besoins en matière de cybersécurité, ni d'acquérir les solutions qui leur permettraient de les satisfaire.

Nous nous apercevons que différents niveaux de menace coexistent. Si les tentatives les plus graves de déstabilisation concernent l'État et les principales entreprises nationales, le rançonnage et l'hameçonnage, soit environ 80 % de la menace cyber globale, représentent pour les PME, les TPE et les petites collectivités l'intégralité du risque numérique qu'elles encourent.

Par ailleurs, nous constatons que la criminalité s'organise. Ses réseaux s'industrialisent et, depuis l'étranger, se segmentent. Une partie de leurs acteurs mettent à disposition des outils, d'autres les utilisent, d'autres encore les exploitent sur un plan économique. Nombre d'entreprises ou de collectivités font l'objet d'une intrusion dans leur système d'information sans, cependant, que l'attaque soit immédiatement mise en oeuvre. Elle le sera dès lors qu'un acteur aura conçu le modèle économique qui permettra d'en tirer le profit attendu.

Menée avec le programme Grand défi sur l'automatisation de la cybersécurité, une étude du Secrétariat général pour l'investissement (SGPI) a suggéré une approche nationale qui favorise des navigateurs virtuels moins vulnérables aux attaques, ainsi qu'une meilleure protection contre le contenu des pièces jointes lors des téléchargements.

Quant à l'amélioration du dispositif répressif, une décision du Parquet de février 2020 a posé le principe d'une co-saisine systématique avec les différents services du ministère de l'Intérieur : BEFTI, C3N, DGSI et sous-direction de la lutte contre la cybercriminalité (SDLC). L'approche favorise la spécialisation, des saisines par familles de rançongiciels (ramsonwares), pour une efficacité accrue de la réponse pénale devant le caractère diffus de la menace.

Actuellement, sur 400 dossiers de rançongiciels objets de poursuites en France, la brigade de lutte contre la cybercriminalité (BL2C), qui a succédé à la BEFTI, en traite environ 260, le C3N 35, l'OCLCTIC 100.

Une lacune nous apparaît cependant. Elle a trait à la qualité de l'information du plaignant. Pour une entreprise, un dépôt de plainte suppose qu'elle y consacre du temps. Ne pas savoir ce qu'il advient de sa plainte risque de la décourager.

Un autre axe d'amélioration de la réponse du ministère de l'Intérieur tient à la mise en place dans chaque préfecture d'un référent départemental. Nous estimons primordial de sensibiliser au plus près de leur action quotidienne, les autorités publiques sur le risque des attaques informatiques et la nécessité qu'elles se dotent des moyens de s'en garantir. Nous regrettons que des villes importantes qui consacrent autant de ressources à la vidéosurveillance ou au développement des services numériques à la population, investissent, en comparaison, aussi peu dans la cybersécurité.

À ce stade, ma conclusion sera celle-ci : afin d'élever le niveau de résilience de la société française, l'action majeure à mener demeure celle de sa sensibilisation aux questions de sécurité numérique.