[DECODE] Pourquoi la sécurité informatique des parlementaires pose question
- À la suite de son rapport sur la « sécurité informatique des pouvoirs publics », le sénateur Jérôme Bascher pointe du doigt «la très grande faiblesse de la conscience des parlementaires en matière de sécurité informatique».
- Pourquoi cette conscience est-elle si importante? Car en dehors de leur poste de travail au sein de leurs institutions respectives, les sénateurs et députés s’organisent comme ils veulent et équipent leurs collaborateurs comme bon leur semble. Rien ne les oblige par exemple à installer d’antivirus au sein de leur permanence.
- Les enjeux de sécurité sont pourtant réels. Ils manipulent des données plus ou moins sensibles en fonction des groupes de travail auxquels ils participent.
- Jérôme Bascher pointe également du doigt un enjeu de souveraineté. Une situation étonnante au sein des arcanes du pouvoir. L’Assemblée nationale et le Sénat dépendent excessivement des Gafam: pour gérer leurs agendas, partager des calendriers, et cela jusqu’à leur solution cloud.
Une liberté totale laissée quant au matériel informatique qu’ils utilisent en dehors du poste de travail fourni au sein de leurs institutions respectives, aucune formation obligatoire… alors que les cyberattaques sont en recrudescence partout dans le monde, la sécurité informatique des parlementaires français ressort comme défaillante à la suite du rapport du sénateur Jérôme Bascher «sur la sécurité informatique des pouvoirs publics». En effet, face à l’absence de contrôle, les niveaux de protection sont extrêmement variés d’un parlementaire à un autre, faisant des sénateurs et des députés la porte d’entrée idéale pour d’éventuelles attaques.
« Les institutions Sénat et Assemblée nationale sont très bien protégées. Le problème ce sont les parlementaires et leurs collaborateurs« , résume ainsi Jérôme Bascher contacté par FrenchWeb. Mais en plus du manque d’hygiène informatique des parlementaires, les institutions elles-mêmes ne sont pas exemptes de situations problématiques qui posent des questions en termes de souveraineté. Il s’agit de leur trop grande dépendance aux Gafam: l’organisation des outils contraint par exemple les parlementaires à passer par Google Agenda, et les solutions Apple sont utilisées pour partager certains calendriers, sans oublier le recours au cloud d’Amazon… Alors, à quel point la situation est-elle alarmante? Quelles sont les mesures préconisées pour passer un capte et régler ces enjeux?
31 000 contenus à risque interceptés par le Sénat en 2018
En 2018, les dispositifs de sécurité informatique du Sénat ont intercepté 31 000 contenus à risque: spams, phishings, sites Internet compromis ou encore des fichiers téléchargés infectés. Plus généralement, sans grand étonnement, «les assemblées parlementaires sont la cible privilégiée des attaques visant à la diffusion d’un message politique ou partisan», note le rapport. « En tant que lieu de débat, ‘vitrine’ de la démocratie, elles doivent subir des attaques répétées visant à faire passer des messages, notamment pour contester l’adoption imminente d’une loi ».
S’il est difficile d’isoler précisément les ressources allouées à la sécurité des réseaux informatiques au sein du budget général dédié à l’IT, à partir des chiffres qu’il a pu consulter, Jérôme Bascher estime leur niveau convenable. «La seule évaluation généralement donnée est que 10% du budget informatique doivent être consacrés aux investissements en matière de sécurité», explique-t-il. La direction des systèmes d’information du Sénat estime que 25 % environ de son budget total est consacré aux dépenses «infrastructures et sécurité». La somme a représenté entre 150 000 et 300 000 euros sur la période 2016-2018, dont la moitié consacrée à la maintenance. Même difficulté du côté de l’Assemblée nationale. Cependant, les dépenses d’investissement gérées par le service des systèmes d’information de l’institution se sont élevées à 5,64 millions d’euros en 2018.
Les deux entités profitent également de l’appui extérieur de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). L’organisme créé en 2009, découle d’une longue série d’entités qui l’ont précédé. Sa mission est d’assurer la sécurité des systèmes d’informations de l’État mais aussi de prodiguer conseil et soutien aux administrations et aux opérateurs «d’importance vitale». Cela notamment «en participant à la recherche et au développement des technologies de sécurité et à leur promotion». Elle dispose d’un budget annuel qui tourne autour de 100 millions d’euros. Quel est donc le problème?
Des parlementaires qui utilisent le Wi-Fi des aéroports
«Le fonctionnement de la démocratie n’est pas menacé. Pour l’instant, les institutions de la République sont de ce point de vue là assez bien protégées. Le problème est la très grande faiblesse de la conscience des parlementaires en matière de sécurité informatique», explique Jérôme Bascher. En effet, si ces derniers sont bien protégés lorsqu’ils utilisent les appareils au sein de leurs institutions respectives, ils sont ensuite libres d’utiliser le matériel informatique qu’ils souhaitent, pour eux et leurs collaborateurs: ordinateurs et téléphones portables, installation informatique au sein de leurs permanences…
Une situation qu’illustre très bien Laure de La Raudière, députée et co-présidente du groupe d’études cybersécurité et souveraineté numérique. « L’Assemblée nationale nous donne des outils sécurisés, comme un poste de travail sur le réseau avec une messagerie exchange, avec accès à un code choisi par l’Assemblée, la possibilité quand on se déplace d’avoir un téléphone qui n’est pas un smartphone, des data blockers… Ces outils sont mis à notre disposition mais après chaque député est libre de s’organiser comme il le souhaite« .
Exemple de cette organisation qui peut être anarchique, la situation des parlementaires en déplacement à l’étranger. «Ils prennent l’avion régulièrement et se connectent au Wi-Fi des aéroports. Là, c’est protection zéro», illustre Jérôme Bascher.
Une situation que constate en effet Laure de La Raudière. «Nous avons tous reçu un guide avec les règles de base en matière d’hygiène de la sécurité informatique, comme changer ses mots de passe, choisir des mots de passe résilients, ne pas utiliser le Wi-Fi public», explique-t-elle. «Mais beaucoup de députés, comme ils n’ont pas des forfaits internationaux au niveau des data, utilisent les Wi-Fi publics quand ils sont à l’étranger en dehors de l’Europe. Nous avons droit à un dépassement de 150 euros par mois sur le forfait téléphone. Mais en une journée, par exemple aux Etats-Unis, vous l’avez explosé». Mais le problème va plus loin qu’un manque de bonne conduite pendant les déplacements.
Absence totale de contrôle au sein des permanences
L’autre grande difficulté est l’absence totale de contrôle de ce qui se passe au sein des permanences des parlementaires. «La situation est extrêmement variable entre le député qui a conscience des enjeux de sécurité informatique, parce qu’il est membre de la commission de la défense par exemple ou qu’il s’intéresse à ces sujets et les autres”, observe Laure de La Raudière.
«Le poste de travail à l’Assemblée nationale pour un collaborateur est branché sur le réseau. Il est sécurisé par l’institution. En revanche, pour mes collaborateurs dans ma permanence à Nogent-le-Rotrou, c’est moi qui ait acheté leurs matériels. Parfois d’autres députés passent par un prestataire de services qui installent l’antivirus, choisit la solution cloud…Pour ma part j’ai pris une solution française. Mais on peut imaginer que certains n’aient même pas d’antivirus, cela peut aller jusqu’à cet extrême-là». Les parlementaires peuvent s’adresser à leur institution pour des recommandations mais rien n’est obligatoire.
Pourtant les risques sont réels. « Nos lieux de permanence sont publics, tout comme nos numéros de téléphone, nos adresses mails professionnels,. De plus, la plupart des députés ont leur propre nom de domaine… », rappelle Laure de La Raudière.
Tous les parlementaires manipulent-ils des informations sensibles?
D’ailleurs, quels sont réellement les risques encourus? « Notre risque d’exposition d’un point de vue sécurité de la France est très variable d’un député à l’autre», explique la députée. «Par exemple, un député qui est président d’un groupe d’amitié entre la France et un pays sensible, va régulièrement discuter avec le gouvernement, le Quai d’Orsay, les différents ministères concernés par les relations diplomatiques avec ce pays. Il va échanger des informations parfois par e-mail, par SMS… Là, ce se sont des informations qui sont par nature confidentielles». Mais même si les données qu’ils manipulent ne semblent pas de prime abord si délicates, tous les parlementaires devraient se sentir concernés selon Jérôme Bascher.
«La politique ce n’est pas le seul métier où il n’y a pas de secret des affaires, même si à la fin nos votes sont publics», explique-t-il. «Il peut y avoir un enjeu en termes de liberté de ce que l’on échange. Si on ne peut plus plus dire, lire, écrire des choses en toute liberté, la seule chose qui nous restera sera de pouvoir penser en toute liberté mais plus de l’exprimer nul part».
Pour l’instant, aucune mesure coercitive n’est envisagée
Pourtant malgré cette situation, en dehors du guide qu’ils reçoivent, il est étonnant de constater qu’aucune formation obligatoire n’est imposée aux parlementaires. Ces derniers peuvent suivre des sessions de « sensibilisations optionnelles », explique Jérôme Bascher. La difficulté est que «les parlementaires sont libres et indépendants», rappelle ce dernier, même s’ils manipulent des données qui concernent l’État.
«Chaque député est une petite entité avec ses collaborateurs autonomes. Nous sommes des employeurs individuels. Ce n’est pas l’Assemblée nationale qui les recrute. Nous sommes donc aussi responsable de la sécurité informatique de notre petite entité», développe Laure de La Raudière. «Pour exercer notre mandat, il faut que nous soyons capables d’organiser notre travail comme nous le souhaitons. Et l’organisation des outils informatiques au sein d’une équipe est une déclinaison des méthodes de travail. Donc c’est compliqué d’imposer un seul modèle à tout le monde », poursuit-elle.
Cependant, face à la recrudescence des cybermenaces, cette dernière a bien conscience que la situation doit évoluer. «Il faudrait que l’on ait plus de conseils proactifs. Par exemple, une personne du service informatique qui aurait l’obligation de prendre rendez-vous avec le député pour faire un point sur son organisation et le conseiller. Deuxièmement, il faudrait qu’un reporting soit fait aux présidents des groupes parlementaires sur la situation aux sein de chaque groupe parlementaire avec l’accent mis sur les cas à risque», développe la députée.
De son côté, Jérôme Bascher préconise aussi une meilleure sensibilisation des parlementaires et des collaborateurs avec des recommandations et une dotation dédiée au fonctionnement des appareils, qui concernerait par exemple les antivirus utilisés.
Les propositions pour l’instant mettent donc l’accent sur plus de sensibilisation et de recommandations, des mesures coercitives n’étant nullement envisagées. Or, on peut se demander si les enjeux ne mériteraient pas un changement d’organisation plus profond. D’autant plus qu’il ne s’agit pas de la seule problématique que les pouvoirs publics ont a réglé en matière de sécurité informatique.
L’omniprésence des Gafam pose un problème de souveraineté
Dans son rapport, Jérôme Bascher pointe également du doigt une trop grande dépendance des pouvoirs publics aux Gafam. «C’est un sujet qui relève plus de la souveraineté que de la sécurité», explique le sénateur. «Que ce soit Google, Amazon avec AWS ou Apple… Certaines données sont hébergées sur le cloud d’Amazon Web Services, des messageries appartenant aux Gafam sont utilisées pour pouvoir coordonner des agendas…».
En effet, étonnant de constater que d’un côté l’Etat prône l’utilisation du moteur de recherche français Qwant au sein de ses administrations, et que de l’autre les parlementaires ne se voient pas proposer de solutions pour minimiser leur dépendance aux Gafam. Au contraire, en plus de l’utilisation de Gmail pour échanger, l’organisation des outils les contraints par exemple à utiliser un autre outil comme Google Agenda pour gérer un élément aussi essentiel que leurs emplois du temps. De plus, certains calendriers partagés avec le Sénat fonctionnent sous Apple. Une dépendance qu’a illustré Christine Lavarde, sénatrice des Hauts-de-Seine, lors de l’examen en commission du rapport de Jérôme Bascher:
«En matière de sécurité informatique des différentes instances publiques, des questions se posent sur le fonctionnement de la messagerie du Sénat. Appuyée sur une solution libre, elle ne bénéficie pas d’un agenda associé. La plupart des sénateurs utilisent donc un agenda partagé avec leurs collaborateurs sur Google. C’est un premier Gafam. Les paramètres du serveur sortant de la messagerie n’étant acceptés que par les systèmes d’exploitation d’Apple, nous utilisons tous un iPhone ou un iPad pour répondre en direct à nos e-mails. C’est un deuxième Gafam. Est-ce la solution la plus appropriée pour sécuriser les échanges électroniques du palais du Luxembourg? ».
Il y a donc une réelle dissonance entre le discours public est la réalité des usages dus à la façon dont sont organisés les outils informatiques au sein des instances parlementaires.
Autre exemple: l’utilisation du cloud d’Amazon plutôt qu’une solution française comme OVH. Pour Jérôme Bascher, il s’agit d’un problème de droit européen qui oblige à considérer Amazon Web Services dans les appels d’offres puisqu’ils sont présents sur le sol français. «Nous sommes touchés par le droit de la concurrence européen. Vous ne pouvez pas choisir OVH directement, qui serait la seule solution adéquate», explique le sénateur. Pour que cela change, il faudrait une directive européenne explique ce dernier.
À noter que début octobre, le ministre de l’Économie et des Finances Bruno Le Maire a annoncé la volonté du gouvernement de développer une offre cloud alternative pour contourner le Cloud act américain. Cette loi permet aux agences de sécurité du pays de réquisitionner auprès des opérateurs de cloud américains des données de leur clients, même si ces données sont stockées à l’étranger. Il a donc demandé à Dassault Systèmes (3DS Outscale, filiale à part entière depuis 2017) et OVH de travailler sur la mise en place d’un « cloud de confiance». Ce nouveau cloud souverain pourrait être créé en collaboration avec l’Allemagne dans un premier temps, puis éventuellement à un niveau européen.
Celui-ci pourrait constituer une alternative à condition de ne pas reproduire le fiasco du projet «Andromède» (150 millions d’euros d’investissement), première tentative de cloud souverain lancée en 2011 par le gouvernement de l’époque et qui s’est soldée par un échec.
Un système de remontée des informations électorales « obsolètes »
Autre sujet sur lequel les pouvoirs publics vont devoir sérieusement se pencher: «Il y a un système de remontée des informations électorales depuis les préfectures qui est très vieux voire obsolète», prévient Jérôme Bascher. Ce dernier fait référence au Conseil constitutionnel. Parmi ses différentes fonctions, c’est lui qui proclame les résultats de l’élection présidentielle.
Or, pointe le sénateur dans son rapport: «Le Conseil constitutionnel s’appuie sur un réseau dédié du ministère de l’intérieur doté de logiciels qui datent du XXe siècle». «C’est verrouillé, car ce n’est pas très compatible avec Internet. Néanmoins, ce réseau présente des risques de défaillance. Il faut donc investir assez rapidement pour que l’élection présidentielle de 2022 soit sûre. J’appelle le ministère de l’intérieur à investir dans ce domaine». Le risque est tout simplement qu’il tombe en désuétude, et peut-être particulièrement au mauvais moment.
Mais en matière de sécurité informatique, la plus grande défaillance reste bien le manque de bonne conduite des parlementaires insiste Jérôme Bascher.
Que retenir?
- Pour l’instant, les mesures proposées pour améliorer la sécurité informatique des parlementaires mettent surtout l’accent sur plus de sensibilisation et de moyens pour les accompagner dans le choix de leurs équipements informatiques. Aucune mesure coercitive n’est envisagée car ces derniers sont considérés comme des entités indépendantes rattachées à l’Assemblée nationale ou au Sénat.
- Pour régler la dépendance aux Gafam, le Sénat et l’Assemblée nationale doivent d’une part revoir la manière dont ont été pensés l’organisation de leurs outils informatiques mais également régler ce problème du cloud souverain.
- Le rapport montre également que l’État doit rapidement investir dans son système de remontée des informations électorales en vue des élections présidentielles de 2022.
- Northvolt se débranche de ses créanciers / Plan marketing 2025, la méthode Maxime Baumard (Pennylane) / SOLTEO lève… - 22/11/2024
- SOLTEO lève 1,5 million d’euros pour développer les micro-centrales solaires - 22/11/2024
- EDEN AI lève 3 millions d’euros pour démocratiser l’accès à l’IA en entreprise - 21/11/2024