Mme Morin-Desailly m'a par ailleurs informé que la commission de la culture nous déléguait l'examen au fond des articles 4, 5 et 5 bis dudit projet de loi, transmis par l'Assemblée nationale.
La réunion est close à 10 h 50.
La réunion est ouverte à 10 h 55.
La sécurité informatique dans le cadre de l'interconnexion des réseaux d'information, ou la lutte contre ce que l'on appelle le risque « cyber » constitue l'une des priorités de la présidence française du G7 en 2019. Dans ce cadre, le ministre de l'économie et des finances, Bruno Le Maire, a annoncé qu'un exercice de simulation d'une cyberattaque transfrontalière dans le secteur financier sera organisé à l'échelle du G7 le mois prochain, réunissant vingt-quatre autorités financières dont la Banque de France.
Cet exercice témoigne de l'émergence de ce nouveau type de risque, favorisée par l'interconnexion des systèmes d'information. Le risque « cyber » ne concerne évidemment pas le seul secteur financier, mais l'ensemble des activités - publiques, à l'instar du service de santé britannique en 2017, et privées. Il porte à la fois sur la continuité des activités et sur la confidentialité des données, ce qui peut faciliter ensuite des fraudes plus traditionnelles.
Comme tout risque émergent, le risque cyber demeure mal appréhendé, tant par les régulateurs que par les personnes exposées. C'est pourquoi j'ai souhaité consacrer un temps d'échange pour mieux le définir et envisager ses conséquences en matière économique et financière.
Nous avons le plaisir d'accueillir messieurs Guillaume Poupard, directeur général de l'Agence nationale de sécurité des systèmes d'information (ANSSI), Bertrand Peyret, secrétaire général adjoint de l'Autorité de contrôle prudentiel et de résolution (ACPR), Christophe Delcamp, directeur-adjoint assurance de dommages et responsabilité de la fédération française de l'assurance (FFA), et Alain Bouillé, président du club des experts de la sécurité de l'information et du numérique (CESIN).
Je m'adresse d'abord à Guillaume Poupard, qui dirige l'ANSSI, l'agence nationale responsable des questions de cybersécurité, afin qu'il nous précise ce que désigne le risque cyber et nous détaille l'action de l'agence pour le prévenir et accompagner les acteurs à risque.
Le risque cyber est difficile à appréhender, en particulier parce qu'il évolue très vite. La presse s'en fait l'écho. Pas plus tard qu'hier WhatsApp annonçait des risques justifiant une demande à ses usagers de mettre à jour leur logiciel. Pendant la nuit, nos collègues américains ont dévoilé une vulnérabilité des microprocesseurs utilisés dans tous nos ordinateurs.
Selon nous il existe trois types de risques.
Le premier est proprement criminel et connaît un développement inquiétant. Il s'agit de groupes criminels très organisés et disposant de fortes compétences qui ciblent une entreprise particulière non pas tant pour voler ses données que pour la paralyser et demander une rançon. N'importe quelle entreprise et d'ailleurs n'importe qui est nécessairement très sensible à ce genre d'attaques qui peuvent entraîner de très lourdes pertes. La complexité de ces attaques tient au fait que les agresseurs sont très mobiles : ils peuvent facilement passer d'une cible à une autre en fonction de l'issue de leurs attaques. Or, trouver de nouvelles victimes est très facile d'autant que les victimes vulnérables demeurent nombreuses.
Le deuxième type d'attaque est également connu : le vol des données, qui peut être le fait de groupes criminels comme d'États. Les données, c'est le nouvel or noir. Cela peut toucher n'importe qui. Ces deux catégories de menaces peuvent aussi viser le secteur financier, qui mobilise des données sensibles.
Cependant, ce qui constitue une très forte inquiétude pour l'Agence nationale de la sécurité des systèmes d'information, qui est, je le rappelle, rattachée au secrétariat général de la défense et de la sécurité nationale, c'est la perspective d'actes de guerre. Dans nos échanges avec les institutions financières, cette dimension est désormais pleinement prise en compte à côté de celles, plus naturellement sensibles pour elles, que j'ai mentionnées. Dans les scénarios que nous nous efforçons d'anticiper, c'est bien l'éventualité d'agressions visant à créer une sorte de chaos que nous prenons particulièrement en cause. Il est essentiel de prendre en compte ce risque pour bâtir une défense appropriée.
Bien sûr, pour être complet sur les menaces, il faut évoquer le risque d'atteinte à nos processus démocratiques, mais ce n'est pas le sujet de cette audition. Cela peut atteindre la sécurité du vote ou celle des équipes de campagne...Nous sommes vigilants lors de chaque campagne électorale. La lutte est compliquée ; il n'y a pas de trucs et astuces imparables. Pour être efficace, tous les acteurs doivent être mobilisés. C'est une approche qui doit être collective. Au demeurant, je connais tous les intervenants réunis ici aujourd'hui. Dès 2013, à l'Agence nationale de la sécurité des systèmes d'information, nous avons pris conscience que si le conseil importait, il ne suffisait pas. Il est nécessaire d'imposer aux opérateurs d'importance vitale, parmi lesquels figurent les banques de grande taille, des mesures coercitives. Il existe donc un certain nombre d'obligations : mettre en place des systèmes de sécurité informatique, appliquer certaines normes, notifier les attaques à l'Agence nationale de la sécurité des systèmes d'information ...Cela a suscité une réelle dynamique dans le secteur financier notamment avec les banques, mais aussi des acteurs du système comme l'Autorité de contrôle prudentiel et de résolution (ACPR), l'Autorité des marchés financiers (AMF) ou la Banque de France. Nous avions développé trois axes stratégiques : la prévention, la détection et la réaction. Nous avons ainsi enclenché le développement d'un écosystème en mesure d'apporter sa contribution indispensable et nous sommes conduits à l'Agence nationale de la sécurité des systèmes d'information à qualifier ces intervenants.
Je conclurai mon propos sur un dernier point : bien entendu, le défi est international, les systèmes informatiques étant transnationaux. C'est pourquoi nous poussons au développement d'une coopération internationale, que ce soit dans le cadre du G7 comme vous l'avez mentionné, de l'Union européenne, qui a adopté une directive, la directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information (ou NIS pour network and information system security) inspirée par la France et l'Allemagne et transposée dans notre droit interne l'an dernier. Mais c'est plus largement au niveau planétaire qu'il faut intervenir.
Je me tourne désormais vers Bertrand Peyret, secrétaire général adjoint de l'Autorité de contrôle prudentiel et de résolution, le régulateur des banques et assurances, pour qu'il nous précise les conséquences spécifiques du risque cyber en matière financière et l'action des régulateurs en la matière.
Mon intervention reflètera largement celle de Guillaume Poupard. Je voudrais rappeler que 19 % des attaques cyber concernent le secteur financier. Cela justifie que la lutte pour la cyber sécurité soit devenue une priorité de contrôle dans le domaine bancaire mais également dans le domaine des assurances.
L'ACPR partage cette priorité avec le mécanisme de supervision unique de la Banque centrale européenne pour les établissements bancaires qualifiés de « significatifs » et entrant ainsi sous la supervision directe de la Banque centrale européenne (BCE).
Cette priorité de contrôle découle de graves menaces potentielles que les cyberattaques font peser sur les institutions prises individuellement mais aussi collectivement via un potentiel effet domino, qualifiable de risque systémique. En effet, les institutions peuvent être doublement interconnectées : par des liens financiers, à savoir la défaillance de l'un se propageant à l'autre, et par des liens techniques, les infrastructures de place par exemple, potentiels vecteurs de transmission de virus.
Quels sont nos pouvoirs d'action ? Ils découlent principalement de la règlementation sur le contrôle interne et sur le risque opérationnel. Mais ces textes sont parfois un peu anciens et c'est pourquoi les autorités de supervision renforcent progressivement leurs actions, à travers l'adoption de nouvelles lignes directrices.
Nous disposons d'enceintes internationales à cet effet : les groupes de travail du G7 (cyber expert group), du Forum de stabilité financière (FSB) de la Banque des règlements internationaux (BRI), de l'Autorité bancaire européenne (ABE), de la BCE, de l'Association internationale des contrôleurs d'assurance (ou IAIS pour International Association of Insurance Supervisors). L'enjeu est de structurer ces démarches pour éviter le morcellement.
Les lignes directrices adoptées par l'ABE, très inspirées d'une étude de l'ACPR de 2018, qui s'attachait à caractériser les risques, vont entrer en vigueur en 2020. Nous avons choisi d'inscrire notre action sur trois axes : la clarification des concepts et des événements ; l'identification des vulnérabilités ; le type de réponse à apporter.
Je relève que la clarification des catégories d'incident est également utile au développement d'un marché de l'assurance du risque cyber par les compagnies d'assurance. Qu'est-ce qu'on assure ? Il faut développer la taxonomie des événements. Aujourd'hui il y a grosso modo 5 000 milliards de dollars de primes d'assurance, parmi lesquelles seulement entre 6 milliards et 7 milliards de dollars de primes couvrant des risques cyber.
L'enjeu de ces démarches, notamment pour leur volet réglementaire, est d'éviter le risque de prolifération de textes produits par les instances de normalisation dans les domaines bancaire, des paiements, des services liés aux titres, de l'assurance ou des marchés financiers. Cette prolifération serait susceptible de permettre des arbitrages réglementaires. L'ACPR et la Banque de France oeuvrent pour structurer au plan mondial une démarche coordonnée sous les auspices d'une instance faîtière. C'est conforme aux souhaits du ministre de l'économie et des finances Bruno Le Maire et cela répond également à la doctrine du Gouverneur de la Banque de France, François Villeroy de Galhau.
Sur le plan opérationnel, la Banque de France promeut également des initiatives concrètes à caractère transfrontières. Ainsi, dans le cadre de la présidence française du G7, un exercice de simulation d'une cyber attaque du secteur financier touchant les sept pays sera conduit courant juin afin d'évaluer l'efficacité des dispositifs de coordination internationaux. Il y a aura vingt-quatre autorités de supervision qui participeront à cet exercice. Quatre pays, l'Italie, l'Allemagne, la France et le Japon, impliqueront également leur industrie. Nous vérifierons si nos procédures fonctionnent correctement.
Je m'adresse maintenant à Christophe Delcamp, qui représente la fédération française des assurances, afin qu'il nous présente le marché de l'assurance contre le risque cyber, qui demeure encore embryonnaire en Europe, contrairement aux États-Unis.
Les assureurs ont toujours soutenu les entrepreneurs et l'innovation, que ce soit pour le transport de marchandises dans la Méditerranée au XIIe siècle ou contre les incendies lors des première et deuxième révolutions industrielles. Nous assistons aujourd'hui à une troisième révolution, celle du numérique. Les assureurs ont là encore toute leur part à jouer pour accompagner cette mutation économique et accepter de gérer les risques que les entrepreneurs ne peuvent pas supporter seuls.
En quoi le risque cyber est-il un risque spécifique pour les assureurs ? D'abord, les assureurs travaillent avec des chiffres, pour analyser le risque et sortir la cotation la plus pertinente. Or, on ne commence à parler du risque cyber en France que depuis cinq ans, contre quinze ans aux États-Unis. Nous ne disposons donc que de très peu d'éléments chiffrés. Les seuls que je peux confirmer, ce sont les primes du marché cyber : 80 millions d'euros en France ; 2,7 milliards aux États-Unis. Si on regarde les ratios de couverture du risque cyber par rapport au total des risques couverts, on est à 0,14 % en France contre 0,54 % aux États-Unis. Cet écart n'est pas aussi important qu'il en a l'air : les États-Unis, du fait de la réglementation, telle l'obligation des frais de notification en cas de cyberattaque, ont commencé à travailler sur le risque cyber dès le début des années 2000, ce qui n'est pas le cas de la France.
Le deuxième élément, c'est que les assureurs regardent les sinistres, le passé. Il y a eu beaucoup d'attaques, comme celle ayant affecté les antennes de TV5 Monde, Stuxnet en Iran à des fins d'espionnage militaire, et beaucoup d'autres à des fins économiques. La dernière en date a touché les terminaux de cartes bleues dans les stations-services. Le problème en France, c'est qu'il y a peu de contrats et peu de sinistres, les assureurs doivent donc se référer aux évaluations fournies par les cabinets d'audit ou par les prestataires informatiques. Les seuls chiffres officiels dont nous disposons sont ceux du comité des conseillers économiques du président américain. Son rapport publié en 2019 pour l'année 2018 s'est en effet concentré sur le risque cyber et l'intelligence artificielle. Ils estiment que le coût global de la cyber-malveillance est compris entre 57 milliards et 109 milliards de dollars en 2019, soit entre 0,31 %et 0,58 % du PIB américain. Si l'on appliquait ces chiffres à la France, cela représenterait entre 7 milliards et 13 milliards d'euros, voire entre 10 milliards et 20 milliards d'euros si on les actualisait pour l'année 2018. C'est donc très loin des 80 millions d'euros de primes.
D'après le rapport annuel d'Accenture et de Ponemon, le coût moyen de la cybercriminalité pour une entreprise a augmenté de 12 % entre 2017 et 2018 et de 70 % sur quatre ans. Les assureurs, à défaut de bases actuarielles, travaillent sur des scénarios, en étroite coopération avec l'Agence nationale de sécurité des systèmes d'information, au sein de l'Institut de recherche technologique System X. L'an dernier, ils ont fait une simulation d'attaque cyber sur les sous-traitants du secteur aéronautique. Si une attaque touchait les 1 500 premiers sous-traitants du constructeur européen Airbus, cela représenterait un coût de 400 millions d'euros pour les assureurs.
Troisièmement, face à un risque, les assureurs ont l'habitude de travailler tant sur l'aléa que sur la vulnérabilité. L'aléa, c'est la connaissance du risque. Les assureurs ne sont pas des experts mais développent des capacités dans ce domaine, en employant par exemple des ingénieurs. La vulnérabilité mesure la prévention et la protection. C'est bien plus compliqué de prévenir le risque cyber que de prévenir les risques incendie ou inondation.
Les assureurs essayent de quantifier les enjeux, sur la base de scenarios. On parle aujourd'hui beaucoup d'hygiène informatique, de règles à respecter. Une théorie monte progressivement, poussée par le laboratoire national de l'Idaho, en charge de la sécurité du nucléaire civil et de toutes les industries à risque. Selon elle, l'informatique est beaucoup trop compliquée et on ne devrait pas y appliquer une couche supplémentaire de règles de prévention et de protection. Il faudrait d'abord revenir au manuel, à l'analogique, faire une cartographie des risques et, une fois identifiés les processus à risque, les déconnecter de toute connexion informatique et les faire contrôler et surveiller par l'homme. Le laboratoire a ainsi mené un premier test avec l'un des plus grands fournisseurs de gaz et d'électricité aux États-Unis. Ils vont aussi le faire avec un corps d'armée. Ils en concluent qu'il est tellement difficile de se protéger face à des acteurs étatiques très bien armés pour s'introduire dans les systèmes d'information qu'il vaut mieux revenir en arrière et faire du manuel. Le risque vient de la conjugaison entre aléa et vulnérabilité. Les assureurs travaillent sur les garanties, sur l'unification des définitions, en lien avec l'Agence nationale de sécurité des systèmes d'information et le groupement d'intérêt public « Action contre la cybermalveillance » (GIP ACYMA), qui a développé la plateforme www.cybermalveillance.gouv.fr.
Enfin, la dernière problématique pour les assureurs est celle de la maîtrise des cumuls. Les assureurs doivent savoir combien ils doivent mettre face à chaque risque. Par exemple, WannaCry a touché sept villes le premier jour, 1 500 le quatrième. Pour les assureurs, cela peut donc coûter très cher en termes de capacités et d'engagements.
Je me tourne enfin vers Alain Bouillé, qui préside le club des experts de la sécurité de l'information et du numérique, regroupant les directeurs des systèmes d'information de la plupart des grandes entreprises françaises, pour qu'il nous indique comment ce risque se matérialise et comment il est perçu par les acteurs qui y sont exposés.
Je voudrais tout d'abord insister sur un point. On a l'habitude de définir des dates et des échelons dans le risque. Je retiendrai à cet effet l'année 2017, où on est entré dans une nouvelle ère. On est passé d'attaques massives, assez peu efficaces ou d'attaques ciblées, silencieuses, à des attaques destructives, comme WannaCry. Le virus rentre dans l'entreprise et détruit tout sur son passage si le responsable sécurité n'y a pas semé d'embûches. Saint-Gobain a ainsi annoncé 250 millions d'euros de pertes. On a aussi eu Renault ou même Altran, une entreprise informatique, également victime de ce type d'attaques. Le secteur financier n'est pas non plus à l'abri. Après ces attaques, on doit tout reconstruire ; les systèmes d'information de Saint-Gobain et d'Altran ont été totalement détruits et ont dû être reconstruits dans leur ensemble. C'est donc inquiétant pour les responsables de la cybersécurité.
Le deuxième aspect du phénomène, c'est la digitalisation. On a déjà eu une numérisation de l'économie. À cet égard, certains considéraient que comme que le système financier avait été précurseur en termes d'informatisation, la révolution digitale serait assez mineure pour lui. C'est l'inverse : le secteur financier est celui qui digitalise le plus. C'est particulièrement frappant dans le domaine de l'assurance. Tout est maintenant numérique, on n'a quasiment plus de contrat signé sous format papier chez un assureur. Tout cela veut dire que l'entreprise a ouvert son patrimoine informationnel, son système d'information à ses clients, mais aussi aux malveillants. La surface d'exposition a donc augmenté : on est passé d'un site de vente en ligne, un site promotionnel, à la possibilité de quasiment tout faire en ligne. Cette surface d'exposition oblige les responsables sécurité à devoir penser sécurité « du sol au plafond ». On parle aujourd'hui de « zero trust » pour confiance zéro. Avant, on disait que les « méchants » étaient dehors et les « gentils » étaient à l'intérieur - salariés, réseau interne de l'entreprise. Les entreprises étaient donc moins vigilantes en interne. Or, avec l'extension de la surface d'exposition, il n'y a plus de « gentils » et de « méchants » ; tout est mélangé. Ce concept de « zero trust » doit conduire les responsables sécurité à se renforcer, y compris sur des dispositifs internes considérés jusqu'ici comme bien sécurisés.
Or, pour faire ça, les directeurs des systèmes d'information des entreprises manquent trop souvent d'imagination et ont tous recours aux mêmes solutions, par exemple, un contrat avec Microsoft pour externaliser la messagerie, ou avec Amazon pour l'informatique en nuage ou cloud. En plus de l'exposition, il y a un phénomène de concentration.
Ce recours au cloud suscite ainsi une double-préoccupation : on va avoir une extrême dépendance vis-à-vis de quelques fournisseurs - essentiellement Microsoft, Google et Amazon - mais aussi un enjeu de souveraineté, car les données des entreprises se trouvent livrées sur un « plateau d'argent » à des grands acteurs américains qui n'ont plus autant besoin de recourir à l'espionnage économique. Cela rend ces systèmes vulnérables : quelqu'un qui voudrait s'en prendre aux États-Unis n'attaquerait pas la Maison Blanche mais les centres de conservation de données informatiques ou datacenters, ce qui provoquerait des dégâts aux États-Unis, mais aussi partout ailleurs.
Que fait-on par rapport à tout cela ? J'évoquerai quatre points.
Premièrement, on fait beaucoup de prévention. Ce sont tous les sujets de formation des salariés, de recrutement d'informaticiens, de gestion minutieuse des droits d'accès. Le concept de « zero trust » va sans doute obliger à aller plus dans la gestion des droits d'accès. Cela comprend aussi la sécurité « by design », soit l'intégration de la sécurité dès la phase de conception. Une voiture connectée qui sort d'une usine sans être correctement sécurisée va faire la une des journaux sous 48 heures. Le site web non sécurisé d'une entreprise ne va pas faire la une des journaux mais les résultats seront tout aussi catastrophiques. La prévention, c'est aussi avoir une gouvernance appropriée, au bon niveau. Le responsable sécurité des systèmes d'information (RSSI) se trouve en général dans le giron de l'informatique, plus ou moins muselé par le directeur des systèmes d'information. Cela est en train de changer, notamment sous l'impulsion de l'ACPR, qui fournit des modèles de gouvernance sur ce thème. Enfin, on trouve aussi dans cette action les sujets de conformité et d'assurance. Une enquête a été réalisée au sein du club auprès de ses 500 membres : plus de 50 % des répondants ont dit qu'ils avaient déjà signé un contrat de cyber-assurance. Le risque cyber est en train d'entrer dans la cour des grands risques, même si les montants en jeu ne sont peut-être pas à la hauteur des attentes du secteur des assureurs. À la prévention s'ajoute la protection. Des multitudes de produits sont proposés. Les experts du club préfèrent certes choisir des produits bien labellisés par l'Agence nationale de sécurité des systèmes d'information, mais cela ne suffit pas toujours. Avoir une véritable architecture de sécurité est un grand défi pour les entreprises.
Deuxièmement, quand la prévention et la protection ont péché, il faut savoir détecter. Quand un logiciel malveillant ou malware du type WannaCry rentre dans l'entreprise, un système de supervision approprié permettra de le détecter. S'il est détecté suffisamment tôt, il aura fait des dégâts, mais il n'aura pas tout détruit dans l'entreprise. Les entreprises que j'ai mentionnées ont peut-être eu un défaut de surveillance.
Troisièmement, il faut ensuite être capable de réagir : que faire si on se retrouve dans la situation de Saint-Gobain ou d'Altran ? Comment piloter l'entreprise sans informatique ?
En dernier lieu, il faut se préparer à la reconstruction. C'est aujourd'hui le point sur lequel les entreprises sont le moins bien préparées. En effet, si cela fait des années qu'on prépare des plans de continuité d'activité, des plans de secours informatiques, les attaques récentes ont montré qu'ils étaient sans doute insuffisants.
Les enjeux liés à la dématérialisation des moyens de paiements - le « zero cash » - ont été évoqués lors du déplacement récent du bureau de la commission des finances en Europe du nord et à l'occasion d'une table ronde en commission sur ce sujet. Au regard de l'essor de la dématérialisation des moyens de paiements, vos propos ne sont pas très rassurants. En effet, en cas de cyberattaque majeure, comment les avoirs des Français seraient-ils protégés ? Est-ce bien réaliste d'avoir une société tendant vers la dématérialisation totale des moyens de paiements ?
Ma deuxième question concerne le développement de faux sites Internet, en particulier les faux sites administratifs qui en copient l'ergonomie et visent à usurper les consommateurs et les contribuables. De quels moyens disposez-vous pour lutter contre le développement de tels sites, dont la plupart ne sont pas hébergés en France ?
Enfin, certaines applications ne respectent pas les dispositions législatives visant à sécuriser les paiements, notamment celles issues de l'application de la directive « DSP 2 ». Quels sont les pouvoirs de l'ACPR en la matière ?
Lorsque j'étais membre de la commission des affaires étrangères, j'ai été sensibilisée aux questions de protection de l'industrie de défense, et notamment nucléaires, contre les cyberattaques. Comment les différents outils de protection sont-ils coordonnés ? La France dispose-t-elle d'ingénieurs et autres spécialistes suffisamment formés pour prévenir ces attaques ? Si oui, quelles seraient vos préconisations pour améliorer la formation des agents mobilisés sur ces sujets ?
En dépit des techniques sophistiquées qui existent contre les cyberattaques, le risque demeure. Quelles autres solutions préconisez-vous pour l'avenir ? Par ailleurs, certains entreprises ou secteurs d'activités sont-ils particulièrement ciblés par les attaques ?
En tant que rapporteur spécial de la mission « Direction de l'action du Gouvernement », je souhaiterais savoir si l'Agence nationale de la sécurité des systèmes d'information dispose de moyens humains et matériels à la hauteur des enjeux qui nous sont aujourd'hui présentés.
Par ailleurs, en matière de souveraineté numérique, nous sommes dépendants d'opérateurs étrangers, ce qui pourrait poser des difficultés en cas de guerre économique entre États. Ce risque de dépendance technologique est d'autant plus accru en raison du développement d'outils technologiques toujours plus performants pour mener ces attaques, et à cause du recours à la dématérialisation et aux objets connectés, telles que les voitures autonomes. Comment pourrions-nous assurer une plus grande souveraineté numérique pour se prémunir contre ces risques ? À ce titre, le déploiement de la 5G comprend le risque d'une dépendance future à l'égard de la technologie chinoise. Ne faudrait-il pas encourager le développement d'outils français ou européens ?
Le risque cyber ne s'applique pas uniquement à la sphère économique et financière, mais il pose des difficultés également aux États en raison du risque de piratage des services administratifs. En matière de protection des personnes, certains États européens ont développé la pratique des coffres forts électroniques afin de protéger les documents confidentiels, ce qui n'est pas le cas en France. Comment pourrions-nous encourager cet usage et développer une vision plus structurée des coffres forts électroniques ?
Enfin, les collectivités territoriales sont également des cibles de cyberattaques. J'ai connu le cas d'une attaque informatique ayant entraîné la communication des noms, adresses et numéros de comptes bancaires de bénéficiaires du revenu de solidarité active (RSA), ce qui représente un grand danger. Nous devrions en faire davantage et mieux les sensibiliser pour sécuriser leurs systèmes d'information.
Monsieur Delcamp, vous avez évoqué les estimations américaines du coût global du risque cyber. Dans quelle mesure ces évaluations sont-elles fiables ? Il semblerait qu'une réflexion soit en cours sur la nécessité de ré-humaniser une partie du traitement de l'information pour prévenir les attaques. Quel segment de la chaîne d'informations pourrait-il être concerné ? La tâche semble difficile à mettre en oeuvre au regard de la quantité élevée d'informations à traiter, en particulier dans le domaine bancaire et assurantiel.
Par ailleurs, les collectivités territoriales font en effet face à des risques considérables en matière de cyber sécurité. Le coût de ces attaques pourrait être très élevé, le pire est malheureusement à craindre.
Enfin, la question du vote électronique reste d'actualité. Au regard des risques évoqués, le risque financier serait certes important, mais le risque politique le serait d'autant plus.
Tout le monde semble bien conscient des défis. Il ne suffit pas d'avoir des spécialistes de la cybersécurité car le problème concerne l'ensemble de l'entreprise. Les efforts financiers, au niveau national, sont-ils aujourd'hui à la hauteur de cet enjeu ?
Je suis d'accord : la situation n'est pas rassurante. Le numérique évolue rapidement et les attaquants sont plus agiles que ceux qui doivent se défendre. Ce qui doit nous rassurer, toutefois, c'est que l'écosystème évolue, également, rapidement et qu'il est, aujourd'hui, en capacité de répondre à la menace. En France et dans le secteur privé, nous avons des leaders. Il ne faut pas être tétanisé par la peur mais, au contraire, il faut s'engager.
Sur la question du « zero cash », je voudrais faire remarquer que la Suède, pourtant pays très engagé dans cette voie, a récemment conseillé à ses citoyens de faire des réserves en cas de crise.
Effectivement, l'administration suédoise publie une sorte de « guide de défense citoyenne » où elle expose plusieurs préconisations de cet ordre. La remarque que vous faites est d'autant plus notable qu'on constate un affaiblissement important du paiement en espèce en Suède qui est un pays où, par ailleurs, les commerçants ne sont pas contraints de les accepter.
D'une manière plus générale, on peut prendre un certain nombre de mesures de protection mais je pense qu'il faut surtout penser à sécuriser les outils numériques eux-mêmes. Par contre, il peut être utile de recourir à certains dispositifs « archaïques » pour assurer la sécurité de systèmes critiques. Dans le monde de la défense par exemple, des stratégies de ce type sont mises en oeuvre.
S'agissant des « faux-sites » ou des « faux-mails », je pense que la question majeure tient à l'information des personnes. Le rôle des institutions, comme les banques, est déterminant. Certes, cette approche demeure fragile mais elle est absolument nécessaire. On doit, aussi, mettre en oeuvre des moyens de détection mais c'est, malheureusement, sans fin.
Je voudrais ajouter un point sur la question des « faux-sites ». Une bonne pratique consiste, pour les organisations, à surveiller le dépôt de noms de domaines qui sont proches des leurs. Cela permet de contrer, préventivement, le risque de voir un « faux-site » se créer et de gagner du temps.
Je pense qu'il faut se saisir pleinement du règlement général sur la protection des données (RGPD) car les règles qu'il pose répondent à la menace. Au-delà, il convient, naturellement, de faire le travail de police préventive et répressive nécessaire mais il faut faire du RGPD un succès.
Il y a, aussi, le sujet de la formation qui est central. En France, nos experts sont bons mais il n'y en a pas assez au regard des besoins. On souffre de quelques biais sur lesquels nous devons travailler. Nos experts sont insuffisamment fidélisés ou recrutés par la voie des filières professionnelles, par exemple. Nous connaissons, en outre, une mauvaise synergie entre les développeurs, d'un côté, et les experts en cybersécurité, de l'autre. Des initiatives existent néanmoins et, par exemple, nous travaillons avec le ministère de l'Éducation nationale pour inciter à l'apprentissage des langages de programmation dès le collège.
Vous m'avez interrogé sur la pertinence des moyens dont nous disposons. L'Agence nationale de la sécurité des systèmes d'information compte, aujourd'hui, près de 600 personnels. C'est beaucoup pour un service rattaché au Premier ministre même si cela pourrait être plus. Toutefois, le sujet est moins celui des effectifs de l'Agence nationale de la sécurité des systèmes d'information que celui de l'effort à consentir pour doter l'ensemble des administrations des moyens de répondre à ces défis qui ont une nature transverse. Il faut trouver un équilibre et être capable d'identifier précisément les besoins. Récemment une mission d'inspection s'est trouvée en grande difficulté pour dénombrer les experts en cybersécurité au service des administrations.
La question de la sécurité informatique des collectivités territoriales nous préoccupe car elle est globalement faible et inégale alors que la menace est réelle. Notre constat, c'est que leurs besoins se recoupent souvent. Il faudrait parvenir à concilier la liberté de choix de chaque collectivité avec la possibilité de proposer des solutions sécurisées communes.
Enfin, le sujet du vote électronique me parait constituer une thématique à part entière. Pour les élections majeures, comme les présidentielles, ce serait une erreur de le mettre en place. Au niveau local, à l'étranger ou pour les élections professionnelles, on peut faire un bilan des risques et des avantages pour se prononcer. Aujourd'hui, avec le ministère de l'Intérieur, nous travaillons aussi à sécuriser davantage les chaînes de remontée d'information lors des élections. En effet, il nous parait peu probable qu'une attaque parvienne à modifier le résultat d'une élection par ce biais. A l'inverse, elle pourrait déstabiliser le processus d'agrégation des données et provoquer des difficultés importantes.
Pour conclure, je voudrais rappeler que la cybersécurité n'est pas une affaire de spécialistes mais de gouvernance. Je le rappelle régulièrement lors de mes interventions : les décisions dans ce domaine appartiennent à des personnes qui ne sont pas des experts. Il y a donc une urgence à intégrer le risque cyber dans le processus général de maitrise des risques et à ne pas l'en dissocier comme c'est souvent le cas.
Aux termes du RGPD, les entreprises qui ne respecteraient pas la confidentialité des données peuvent être sanctionnées par des amendes. Ce sujet nous concerne car il n'y a pas encore de clarification sur l'assurabilité de ce risque émergent. Il faudra donc être clair sur ce point : une entreprise qui ne respecte pas la protection des données prévue par le RGPD et sanctionnée à ce titre peut-elle être assurée pour rembourser l'amende infligée en conséquence ? Nous souhaitons faire trancher cette question. Ceci est un point clé pour le bon développement du risque cyber, surtout que nous sommes en phase de décollage en la matière.
Sur la coordination générale, j'ai évoqué tout à l'heure le site www.cybermalveillance.gouv.fr, qui travaille très bien. Je souhaite que cela devienne l'observatoire des risques cyber pour consolider les informations et voir si l'on peut envoyer des alertes sur ces nouveaux risques.
Les secteurs les plus attaqués sont au nombre de trois : les secteurs financier, pharmaceutique, et des services en réseaux. En termes d'assurance, la question est de savoir comment avoir une meilleure visibilité et une meilleure protection. On mène un travail sur les garanties, on peut être couvert par une garantie d'assurance cyber, par une garantie d'assurance traditionnelle de dommage au bien, ou encore par une assurance responsabilité civile. Il faut donc avoir une clarification du sujet.
Sur l'ordre de grandeur de ce risque aux États-Unis, le régulateur américain des banques mène également des enquêtes relatives à ce risque et impose un mécanisme de déclaration de ce risque aux entreprises d'assurance. Un tel reporting pourrait être utile en France car il offre, aux États-Unis, une vision claire des primes et des sinistres.
Enfin, s'agissant de la « ré-humanisation » de certains dossiers, cette dernière ne doit subsister que pour quelques procédures bien identifiées pour les assureurs. La directive sur la sécurité des réseaux et des systèmes d'information (directive NIS) qualifie certains opérateurs d'opérateurs de services essentiels. En tant que tels, leur travail de cartographie des risques doit les conduire à identifier les procédures les plus à risque.
S'agissant de la question de la souveraineté numérique, il importe de prendre en considération les problèmes les plus urgents, car on a perdu depuis longtemps la bataille du logiciel - software - et du matériel - hardware. Nous sommes actuellement en train de perdre la bataille de la donnée. Cette souveraineté numérique n'est actuellement pas incarnée, il faut donc absolument qu'il y ait des solutions qui voient le jour, mais il faut s'en donner les moyens au niveau européen. Si on n'accompagne pas cette construction souveraine de nature législative pour orienter les données les plus importantes vers des sites souverains, nous courrons un risque. Or, on a légiféré sur les données à caractère personnel, mais pas assez sur les données stratégiques des entreprises, qui ne sont pas toutes des données à caractère personnel. Sans loi, on n'ira sans doute pas assez loin sur le sujet.
Tout cela n'est pas rassurant mais il s'agit d'un fait durable et non éphémère. C'est une menace durable face à laquelle nous devons nous prémunir. En 2016, quand nos spécialistes de la cyber sécurité rendaient compte de leurs constats aux organes exécutifs des banques, il arrivait que certains dirigeants répondent qu'il s'agissait de la responsabilité de la direction des systèmes d'information. Cette situation s'est poursuivie jusqu'à ce que des cyber attaques aient conduit à des démissions de dirigeants.
Il y a également une prise de conscience progressive de la part du personnel. Les entreprises lancent des campagnes de faux phishing interne, très efficaces. Ce n'est que par l'accoutumance, par l'exercice de chacun des collaborateurs, que la sensibilisation est efficace.
En tant que représentant de l'ACPR, je ne suis pas le plus à même d'évoquer la question du « zero cash », mais je peux relater ce constat de la Banque de France : le nombre de billets en circulation augmente et le nombre de transactions baisse. Comme dans tous les dispositifs de gestion de crise, nous avons développé une série de plans de continuité des activités. La duplication des sites ne relève pas de nous, mais des établissements eux-mêmes, même si nous les encourageons à avoir des systèmes de veille. Les plus grosses entités ont des centres d'alerte et de réaction aux attaques informatiques - ou computer emergency response teams (CERT). Ces équipes surveillent en permanence le système d'information de l'institution.
Je n'ai pas davantage d'opinion sur le sujet de la formation des ingénieurs. Je peux toutefois affirmer que nous subissons un problème de recrutement car les ressources sont rares et chères.
Pour revenir sur la souveraineté numérique, nous constatons un recours des banques à l'informatique en nuages - ou cloud computing - en particulier, même si ce recours est limité, puisque ce dispositif ne garantit pas la pérennité des données. Les banques veulent toutefois bénéficier des performances de traitement du nuage tout en ayant un espace d'informatique en nuage privé et sécurisé - private cloud computing. La situation des banques est assez hétérogène. Cet élément constitue un enjeu important et la réflexion à ce sujet mérite d'être menée en amont. Le marché est aujourd'hui principalement partagé entre Google, Amazon, Microsoft et Alibaba. Compte tenu de leur caractère dominant, et de la sensibilité des informations qu'ils traitent, devra-t-on un jour réguler cette industrie ? La question de la concentration est ancienne. Dans les années 1980, on parlait du monopole d'IBM. Leur position dominante est claire, mais la question de leur régulation se pose. En creux, il y a la question de savoir pourquoi l'Europe n'a pas une industrie de cette nature.
Les banques disposent de données nombreuses sur leurs clients, qui, si elles venaient à être volées, pourraient servir à faire du chantage ou encore de l'extorsion de fond. Quel est le niveau de protection exigé des banques en la matière ? L'ACPR fait-elle des contrôles sur la protection de ces données ? Quelle serait la responsabilité d'une banque si ces informations venaient à être divulguées ?
La qualité de la protection de ces données rentre dans le cadre général du contrôle interne et du risque opérationnel. Nous n'avons donc pas de prescription précise mais nous nous fondons sur certains principes directeurs. Nous demandons aux établissements de faire des cartographies des informations qu'ils ont à conserver et de les coter en leur donnant un degré de sensibilité devant entrainer des mesures de cryptage plus ou moins rigoureuses. Les contrôles informatiques ne sont pas sur la protection des données individuelles, mais sur la protection des données en général et nous vérifions que les données sont affectées à la bonne catégorie, avec un niveau de cryptage associé pertinent. Dans les outils que nous avons à notre disposition, nous faisons des rapports d'enquête et des recommandations. Si les règles ne sont pas appliquées, nous pouvons passer aux mises en demeure et aux sanctions.
J'ajoute que, dans le RGPD, la peine maximale encourue en ce cas est de 4 % du chiffre d'affaires mondial.
Cette possibilité de sanction s'applique-t-elle également aux banques, alors même que la collecte de ces informations est obligatoire dans la procédure dite KYC (know your customer) ?
Oui, si la banque perd ces informations. La sanction est très dissuasive et entre sans doute dans la réflexion des banques en la matière.
Le RGPD s'applique aux données collectées, même si leur collecte est obligatoire.