Interventions sur "ANSSI"

...ission de la Défense nationale et des forces armées a créé une mission flash sur les défis de la cyberdéfense le 15 mars 2023. Elle en a désigné rapporteurs Mme Anne Le Hénanff et M. Frédéric Mathieu, ici présents. Dans le cadre de leur mission flash, les rapporteurs ont conduit 25 auditions, à l'occasion desquelles ils ont auditionné des représentants du ministère des Armées mais également de l'ANSSI, du SGDSN, du ministère de l'Intérieur, du ministère de l'Éducation nationale et du ministère de l'Enseignement supérieur et de la Recherche. Ils ont également pu s'entretenir avec des journalistes, des représentants d'ONG ainsi que des représentants d'entreprises de la BITD. Par ailleurs, les rapporteurs ont effectué trois déplacements sur le territoire national et un déplacement à l'étranger. ...

...mmission de la Défense, nous avons bien entendu orienté nos travaux avec un prisme « défense », toutefois, convaincus que nous sommes de la nécessité d'appréhender cette question au-delà du seul périmètre du ministère des Armées, nous avons également fait le choix de nous intéresser à cette question à l'échelle interministérielle, et en l'occurrence, à l'échelle du SGDSN, autorité de tutelle de l'ANSSI. Comme l'a indiqué le président, nous avons conduit 25 auditions, à l'occasion desquelles nous nous sommes entretenus avec des représentants des états-majors, directions et services du ministère des Armées bien sûr, mais également avec des représentants de l'ANSSI, du SGDSN et du ministère de l'Intérieur. En vertu de cette approche globale, nous avons choisi d'élargir notre prisme d'analyse en a...

... : il s'agit de faire prendre conscience aux utilisateurs du risque représenté par la numérisation des organisations ou des équipements qu'ils servent ; 2/ anticiper : il s'agit d'évaluer en permanence les probabilités de cyberattaques et prendre des mesures préventives lorsque la menace paraît suffisamment forte. Cette mission incombe à l'Agence nationale de sécurité des systèmes d'information (ANSSI), en coordination avec les services de renseignement et le Commandement de la cyberdéfense (COMCYBER) sur le périmètre du ministère des Armées ; 3/ protéger : il s'agit de diminuer la vulnérabilité de nos systèmes informatiques, à la fois en compliquant la tâche des attaquants potentiels et en facilitant la détection des cyberattaques ; 4/ détecter : il s'agit de rechercher des indices d'une év...

...l'acteur central est le commandement de la cyberdéfense (COMCYBER). Placé sous l'autorité directe du CEMA, le COMCYBER est un commandement opérationnel qui rassemble l'ensemble des forces de cyberdéfense sous une autorité interarmées déployé sur plusieurs emprises à Paris et à Rennes. Le COMCYBER effectue ses missions par délégation de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), qui est responsable de la cyberdéfense et de la cybersécurité des administrations publiques, des entreprises et, singulièrement, des opérateurs d'importance vitale (OIV) et des opérateurs de services essentiels (OSE). Créé en mai 2017, le COMCYBER est en charge de la conception, de la planification et de la conduite des opérations de cyberdéfense, ainsi que de la défense des systèmes d'informa...

...nt en matière de cyberdéfense : la DIRISI, la DRSD, la DPID ou encore la DGNUM sont autant d'entités qui participent, directement ou indirectement, aux capacités de cyberdéfense du ministère. Les trois armées sont évidemment également parties prenantes de la cyberdéfense du ministère des Armées, selon des modalités en cours d'évolution, mais nous y reviendrons. Au-delà du ministère des Armées, l'ANSSI est l'acteur principal de la cyberdéfense au sein de l'État. Créée en 2009 et rattachée au Secrétariat général de la défense et de la sécurité nationale (SGDSN), la principale mission de l'ANSSI est d'assurer la sécurité des systèmes d'information de l'État et de veiller à celle des administrations, des opérateurs d'importance vitale (OIV) et des opérateurs de services essentiels (OSE), auprès de...

.... Certes, mais c'est peut-être la question du modèle économique de ces entreprises qui doivent prendre en compte, comme coût d'entrée sur un marché, le fait d'être à la hauteur en termes de cyberdéfense. Nous avons espoir qu'une évolution sur le code des marchés publics pourra influencer favorablement les pratiques dans ce domaine et la responsabilisation des acteurs. Le ministère des Armées et l'ANSSI ne peuvent pas arriver systématiquement en secours curatif, au demeurant aux frais du contribuable, pour compenser des moyens qu'une entreprise n'a pas voulu mettre pour garantir sa cybersécurité alors que ses activités sont sensibles. Cela nous a été dit par l'ANSSI, et nous approuvons.

...nous savons qu'il y a un sujet. On ne sait pas ce qu'il en est spécifiquement pour chaque application, mais au sein des armées, des consignes sont passées pour sensibiliser au risque encouru par le recours à des messageries au quotidien, même lorsqu'elles prétendent être parfaitement cryptées. Enfin, s'agissant du nombre de cyberattaques, il y a des statistiques dans les rapports d'activité de l'ANSSI. Toutefois, il ne s'agit que des cyberattaques connues : il y a des cyberattaques qui ont pu toucher la France au sujet desquelles aucune publicité n'est faite pour des raisons évidentes de confidentialité.

... cette mission. Désormais, nous partageons nos conclusions. Nous avons nos recommandations mais nous n'avions pas d'objectif législatif. S'agissant de la protection de notre souveraineté, je crois beaucoup au travail de l'Europe. On a voté le projet de loi « sécuriser et réguler l'espace numérique » à l'Assemblée nationale. L'IUCS permettra de fixer le niveau de cybersécurité imposé en Europe. L'ANSSI est très impliquée à ce sujet. On souhaite que la France donne le ton quant au niveau de cybersécurité exigé en Europe. J'espère qu'on atteindra cet objectif. L'examen à venir de la directive NIS 2 permettra aussi de renforcer notre cybersécurité. Enfin, comme mon collègue l'a dit, la localisation géographique des serveurs n'entre pas en ligne de compte. Ce qui compte, c'est la cybersécurité et ...

...er dans cette phase. S'agissant de la gouvernance, je salue vos objectifs pour améliorer la lisibilité et l'approche globale de la cybersécurité et de la cyberdéfense. Sur le partage des savoir-faire des armées, jugez-vous que les armées ont des marges de manœuvre, notamment en termes d'effectifs et de temps, pour partager ces savoir-faire vers le civil ? Vous évoquez les effectifs du CERT de l'ANSSI. Avez-vous une idée du nombre d'ETP supplémentaires nécessaires ? Enfin, vous évoquez votre souhait de créer une commission parlementaire sur la cyberdéfense. Est-ce que vous jugez que la DPR ne s'intéresse pas assez à ces questions de cyberdéfense ? Vous avez évoqué l'importance du rôle des services de renseignement dans ces questions. Comme vous le savez, les Parlementaires de la DPR sont habi...

...e commission, on estime qu'il faudra mettre en place une commission plus large, en plus de la DPR et de la CNCTR, on pourra avoir ce débat. À notre sens, le sujet est celui de la visibilité et de la transparence. En termes de fonctions de contrôle parlementaire, il faut pouvoir être tenu informé des opérations conduites dans le cyberespace et dans le champ informationnel. S'agissant du CERT de l'ANSSI, nous ne sommes pas en mesure de donner une estimation précise du nombre d'ETP nécessaires pour, par exemple, armer l'ANSSI pour garantir la cybersécurité des DROM-COM. Mais cela pourrait être le cas dans le cadre de futurs travaux parlementaires.

Pensez-vous que la montée en compétences progressive de l'ANSSI pourrait amener à combler le recours au secteur privé ? Si oui, à quelle échéance ? Les protocoles de contrôle assurent-ils la protection des données auxquelles ces entreprises privées ont accès dans le cadre de leurs missions ?

S'agissant des entreprises privées, l'ANSSI intervient en propre lorsque les crises cyber sont suffisamment critiques. La plupart des temps, en effet, elle a recours à des prestataires privés agréés. La question de la confidentialité des données auxquelles peuvent avoir accès ces entreprises privées se pose en effet. Mais nous estimons que le droit pénal suffit à encadrer ce risque. La question qui peut se poser en revanche est celle de la...

... Nous discutons des articles 32 à 36 sous le regard vigilant du Conseil constitutionnel. Lors des débats en commission des lois, l'un de mes amendements, défendu au nom du groupe Socialistes et apparentés – amendement essentiel à ce volet de la loi de programmation militaire (LPM) – a été adopté. Il exige l'assermentation des agents de l'Agence nationale de la sécurité des systèmes d'information (Anssi), assermentation qui ne figurait pas dans le texte initial. Ces agents recueillent des données auprès des acteurs numériques et leur assermentation est nécessaire pour exercer cette fonction sensible. Nous nous félicitons que le texte apporte cette garantie. En tant que législateur, nous tenons à affirmer le niveau d'exigence et de garantie auquel nous sommes particulièrement attachés. Les artic...

Le groupe Horizons et apparentés est favorable à cet article qui permet à l'Anssi, en cas de menace susceptible de porter atteinte à la sécurité nationale, de prescrire plusieurs réponses graduelles affectant les noms de domaines, en particulier leur blocage, leur suspension et leur redirection vers un serveur sécurisé ou neutre contrôlé par l'Anssi. En commission, nous n'avions pas émis de réserve sur cet article, mais nous avions demandé des précisions sur son périmètre d'a...

Je suis très sceptique sur la portée de l'article 32 et sur les nouvelles prérogatives qu'il donne à l'Anssi. Nous avons eu un petit débat en commission, mais il n'a pas été suffisant pour fournir les éclairages nécessaires à l'évaluation de cet article par rapport à d'autres dispositifs en vigueur. Nous avions proposé de porter le délai d'exécution des mesures prises par l'Anssi à soixante-douze heures qui, comparé au délai de quarante-huit heures prévu pour contester un référé liberté, nous a semblé ...

L'article 32 dans sa rédaction actuelle confie à l'Anssi des prérogatives en matière de filtrage de noms de domaine dans les cas de menaces susceptibles de porter atteinte à la sécurité nationale. Cette dernière notion est très évasive. Les prérogatives de l'Anssi se trouveraient donc d'autant plus étendues que leur impact sur la liberté d'accéder aux services de communication serait fort. Il faut donc préciser – c'est la moindre des précautions – les...

... de faire face au plus grand nombre possible de situations compliquées et donc de vivre dans le temps. Or votre rédaction ne permet pas nécessairement de couvrir les cibles privilégiées des cyberattaques que sont les hôpitaux ou les collectivités territoriales. Légistiquement, votre amendement procède à un mélange de genres qui n'est pas bienvenu car il risque de provoquer un mauvais amalgame. L'Anssi est un service de cyberdéfense et de cybersécurité, elle n'est pas un service de renseignement. Nous faisons encore trop souvent cet amalgame, y compris en commission. L'Anssi n'a donc pas vocation à suivre les personnes. Son rôle est d'identifier les victimes d'attaques et de faire face aux situations compliquées provoquées par ces attaques. Dans un souci d'harmonisation de la rédaction des art...

...ssus de résolution des noms de domaine. Il répond ainsi à un objectif de clarification rédactionnelle, de cohérence vis-à-vis du droit positif et d'inclusion de tous les acteurs impliqués dans la sécurisation du système de noms de domaine (DNS). Il permet ainsi de rendre le dispositif plus effectif. Je précise que notre collègue Bothorel a rédigé cet amendement avec le concours des services de l'Anssi. Je profite de l'occasion qui m'est offerte pour saluer son travail et pour excuser son absence.

Nous n'avons pas été pleinement rassurés sur les garanties du dispositif que cet amendement vise à élargir. J'y suis donc opposé car je pense qu'il est préférable d'expérimenter les exceptions au droit commun et les prérogatives exorbitantes de l'Anssi prévues par l'article sur un périmètre sécurisé. Madame la rapporteure pour avis, vous nous expliquiez tout à l'heure que la mesure vise à défendre les hôpitaux et ainsi de suite. J'en déduis qu'actuellement nous ne les défendons pas,…

…qu'aucun dispositif n'existe, que nous regardons simplement les attaques se dérouler sans agir, que l'Anssi n'a aucune prérogative et les services de renseignement non plus. Votre précision selon laquelle l'Anssi n'est pas un service de renseignement nous a d'ailleurs fait sourire : c'est vrai, mais nous espérons que ces structures collaborent – du moins que des canaux de communication existent entre elles –, car les services de renseignement sont bien informés en matière de cyberattaques. Certes, le...