Dans un rapport sur la sécurité informatique des pouvoirs publics, présenté jeudi 24 octobre, le sénateur LR de l’Oise, Jérôme Bascher, met clairement en garde l’Assemblée nationale et le Sénat. Nos confrères de PublicSénat l’ont interrogé. Extraits.
Quel est l’état de la sécurité informatique au Parlement ?
[…] La vraie faille de sécurité vient du fait que chaque parlementaire a sa liberté d’avoir son propre matériel, à l‘Assemblée nationale comme au Sénat. Par exemple, je pourrais avoir un téléphone Huawei ou Apple. Tout passe par les Gafa, y compris des applications logées chez les serveurs d’Amazon web service. Et on n’a rien de protégé, rien qu’on a en propre. On n’a rien sur des data center en France.
Mais il n’y a pas OVH, entreprise française basée à Roubaix ?
Oui, il y a OVH. Mais pour ça, il faudrait avoir des appels d’offres qui vont bien. Et Amazon web service est en France aussi. Donc on ne peut pas leur dire vous n’y avez pas droit. Il y a un problème de droit européen.
Combien d’attaques informatiques l’Assemblée et le Sénat ont-ils subi ?
Les dispositifs de sécurité informatique du Sénat ont intercepté au total environ 31.000 contenus à risque en 2018. Il y a 2-3 attaques par semaine. Des virus très classiques ou des chevaux de Troie sont détectés et détruits. Ce n’est pas extraordinaire, ni d’une grosse complexité. Le Sénat a eu une attaque par déni de service par exemple, c’est-à-dire par une multiplication de requêtes. Cela rend le site inaccessible. Ce n’est pas trop catastrophique.
L’Assemblée est attaquée aussi, ce sont souvent des attaques institutionnelles. On peut à un moment avoir des attaques venant de la Turquie – je ne dis pas l’Etat – car le Sénat avait reconnu le génocide arménien. Il y a aussi beaucoup d’attaques venant de Russie. C’est fait par des officines ou des travailleurs indépendants. Réussir à trouver la source de l’attaque est aussi une manière de montrer nos capacités de contre-espionnage.
La France est-elle suffisamment armée en la matière ?
La France est dotée de cyber combattants. Officiellement, nous ne répondons jamais aux attaques. Mais il y a un programme très clair d’embauches de cyber combattants par le ministère de la Défense. La France est raisonnablement équipée.
En termes de budget, pour une institution ou une entreprise, on considère qu’il faudrait que 10% des dépenses informatiques soient consacrées à la sécurité. Ce sont des mises à jour et de la formation. Dans les banques, ils ont aussi leur propre système et service de sécurité.
L’Elysée est-il mieux protégé que le Parlement ?
Oui. Ils ont plusieurs réseaux. Ils ont un réseau propre, comme le ministère de la Défense. Ce qui n’est pas le cas du Sénat. Mais ce n’est pas parfait. Si vous prenez le fameux Teorem, le téléphone sécurisé qu’utilisait Benalla, vous ne pouvez pas mettre Whatsapp dessus. Donc ils en ont un second qui n’est pas sécurisé lui… Donc à la fin, il y a une sorte d’illusion de la sécurité. En fait, la sécurité, c’est au niveau de la personne, ce que je mets, ce que j’échange et par quel moyen.
