« La sécurité informatique des parlementaires est proche de zéro », alerte Jérôme Bascher, sénateur LR de l’Oise dans son rapport d’information au Sénat n° 82 (2019-2020), le 22 octobre 2019.
Il s’agit de distinguer les fonctions institutionnelles des pratiques informatiques des parlementaires eux-mêmes. Si les premières sont relativement bien protégées, puisqu’elles bénéficient d’aides comme celle de l’Anssi (agence nationale de la sécurité des systèmes d’information), les secondes sont la source d’une grande insécurité informatique.
Les facteurs d’insécurité informatique liés au personnel
1. La liberté d’avoir son propre matériel informatique
Le personnel est un élément clef dans la sécurité informatique, or chaque parlementaire a la liberté d’avoir son propre matériel (téléphone Huawei ou Apple) et l’insécurité peut provenir de ses échanges et des moyens qu’il emploie pour communiquer. En effet, les applications mobiles de messagerie instantanée qu’il est susceptible d’utiliser passent par les GAFA. Elles sont logées chez les serveurs d’Amazon web service et non OVH, par exemple, qui pourrait potentiellement être un efficace serveur français. A cela sera opposé l’argument selon lequel Amazon Web service est aussi basé en France,
2. Une trop faible sensibilisation des sénateurs
Si le Parlement bénéficie de systèmes de détection des attaques par cheval de Troie sur les sites institutionnels, le niveau de sécurité informatique des parlementaires est très bas.
Les dispositifs de sécurité informatique du Sénat ont intercepté plus de 30.000 contenus à risque en 2018. Le sénateur Bascher affirme que les services de sécurité subissent pas moins de 2 ou 3 cyberattaques par semaine.
Seuls les sénateurs volontaires sont sensibilisés à la sécurité informatique, « je n’ai jamais eu un virus de ma vie, car je fais attention » précise le sénateur Bascher. Parmi les risques que les pouvoirs publics encourent, se trouve le « facing », c’est-à-dire la création d’une fausse page internet qui pourrait faire l’apologie du terrorisme, que pourraient notamment subir les chaines Public Sénat et LCP-AN, dont les crédits sont compris dans la mission des pouvoirs publics, non sans rappeler l’attaque à l’encontre de la chaine TV5 Monde il y a quelques années, qui depuis a dû faire des efforts d’investissement pour payer sa protection.
Par ailleurs, sont envisagées des attaques par déni de service, c’est-à-dire une multiplication des requêtes rendant le site inaccessible.
Le constat des cyberattaques contre les pouvoirs publics est aujourd’hui indéniable, comme en témoignent les cyberattaques ayant frappé l’Estonie en 2007, le Bundestag allemand en 2015, ou dans une moindre mesure, le Sénat en 2011.
Les solutions à mettre en place pour renforcer la sécurité informatique des parlementaires :
1. Le dispositif de protection informatique actuel
Le Sénateur Bascher rappelle qu’en France, 10% des dépenses informatiques sont consacrées à la sécurité. Un programme géré par le ministère de la Défense consiste à recruter des cybercombattants, cependant il existe un déséquilibre de protection puisque l’Elysée a son réseau propre, ce qui n’est pas le cas du Parlement. Le budget alloué à la cybersécurité devrait être revu à la hausse, pour le sénateur.
2. Un dispositif à renforcer
L’objectif premier serait de mieux équiper les parlementaires et de les sensibiliser d’avantage aux risques informatiques.
Pour le sénateur, il faudrait également renforcer les moyens de l’Anssi, qui est actuellement la seule entité à s’occuper de tous les organes du pouvoir.
Les pouvoirs publics sont donc au cœur des enjeux stratégiques et décisionnels des démocraties occidentales, conséquence de quoi ils sont la cible privilégiée des attaques informatiques. Cela est encore plus vrai en période d’échéances électorales, comme l’a démontré l’élection présidentielle américaine de 2016. Il est temps de renforcer le dispositif de protection informatique des parlementaires.