Jérôme Bascher : « La sécurité informatique des parlementaires est proche de zéro »

Le grand public ne les remarque pas, mais elles sont bien là. Les cyberattaques sont légion. Dans un rapport sur la sécurité informatique des pouvoirs publics, présenté jeudi 24 octobre, le sénateur LR de l’Oise, Jérôme Bascher, met clairement en garde l’Assemblée nationale et le Sénat.

« Les fonctions institutionnelles sont relativement bien protégées » souligne-t-il, mais « la faiblesse » se situe au niveau des pratiques des députés et des sénateurs, libres de choisir leur matériel informatique. Autre problème : le Sénat dépend trop des Gafa (Google, Amazon, Facebook, Apple), avec par exemple « Amazon web service ». Selon Jérôme Bascher, qui était membre de la commission d’enquête du Sénat sur la souveraineté numérique, « notre niveau de sécurité informatique est insuffisant ». Entretien.

Quel est l’état de la sécurité informatique au Parlement ?
A l’Assemblée nationale, ils ont le même problème que nous, au Sénat. Ils mettent pas mal de crédits dans leur système informatique en propre et il y a beaucoup d’aides de l’Anssi (Agence nationale de la sécurité des systèmes d'information), qui s’occupe de la sécurité informatique. Mais elle s’occupe de tout le monde : ministères, un peu de la défense, Elysée et aussi d’entreprises privées. En termes d’indépendance, ça peut poser des questions, car ils travaillent pour tout le monde. Mais à un moment, on ne peut pas avoir des experts du meilleur niveau dans chaque administration.

La vraie faille de sécurité vient du fait que chaque parlementaire a sa liberté d’avoir son propre matériel, à l‘Assemblée nationale comme au Sénat. Par exemple, je pourrais avoir un téléphone Huawei ou Apple. Tout passe par les Gafa, y compris des applications logées chez les serveurs d'Amazon web service. Et on n’a rien de protégé, rien qu’on a en propre. On n’a rien sur des data center en France.

Mais il n’y a pas OVH, entreprise française basée à Roubaix ?
Oui, il y a OVH. Mais pour ça, il faudrait avoir des appels d’offres qui vont bien. Et Amazon web service est en France aussi. Donc on ne peut pas leur dire vous n’y avez pas droit. Il y a un problème de droit européen.

Pour être clair, quand vous dites que c’est un problème que les parlementaires soient liés aux Gafa, faites-vous référence aux révélations, dues à Edward Snowden, sur les « backdoor » qui ont permis aux services secrets américains d’accéder aux données de Google, Apple, Facebook ou Microsoft ?
C’est bien ça. Quand on s’inspire de ces expériences, il faut qu’on s’arme plus et qu’on soit plus prudent. Mais cela dit, aujourd’hui, on n’a pas grand-chose à cacher. Nos débats, nos votes sont publics. Il n’y a que les membres de la délégation parlementaire au renseignement qui devraient avoir des choses très sécurisées. Mais c’est vrai qu’en termes de lobby, l’accès à nos informations pourrait être une inquiétude. Le vrai sujet, c’est Internet. Du temps du 36 15, il n’y avait pas ces problèmes ! (rire)

Comment qualifiez-vous le niveau de sécurité de l’Assemblée et du Sénat ?
Notre niveau de sécurité informatique est insuffisant. Ce n’est pas une passoire. Le Parlement bénéficie de systèmes de détection des attaques par cheval de Troie sur les sites institutionnels. Mais au niveau des parlementaires, c’est là qu’est la faiblesse. Les fonctions institutionnelles sont relativement bien protégées, mais concernant les pratiques informatiques des parlementaires, c’est proche de zéro.

Y a-t-il une sensibilisation des sénateurs à la sécurité informatique ?
La sensibilisation est extrêmement faible. Tout est sur la base du volontariat. Pour ma part, je suis sur le Net depuis 1994. Je n’ai jamais eu un virus de ma vie, car je fais attention. Le personnel, c’est l’élément clef dans la sécurité informatique. Tout le monde peut être cracké un jour. C’est comme chez vous. Soit vous laissez la porte ouverte sans clef, soit vous mettez une serrure trois points. C’est exactement la même chose.

Comme mon rapport dépend de la commission des finances, il est à noter que les crédits de Public Sénat et LCP-AN sont compris dans la mission pouvoirs publics. Les deux chaînes ont donc été auditionnées. Le sujet était le suivant : TV5 Monde a été attaqué, il y a quelques années, et a dû faire des efforts d’investissement pour payer sa protection. Le risque, par exemple, serait que Public Sénat subisse du « facing ». Au lieu d’avoir votre site Internet, c’est une autre page qui fait l’apologie du terrorisme par exemple.

Combien d’attaques informatiques l’Assemblée et le Sénat ont-ils subi ?
Les dispositifs de sécurité informatique du Sénat ont intercepté au total environ 31.000 contenus à risque en 2018. Il y a 2-3 attaques par semaine. Des virus très classiques ou des chevaux de Troie sont détectés et détruits. Ce n’est pas extraordinaire, ni d’une grosse complexité. Le Sénat a eu une attaque par déni de service par exemple, c’est-à-dire par une multiplication de requêtes. Cela rend le site inaccessible. Ce n’est pas trop catastrophique.

L’Assemblée est attaquée aussi, ce sont souvent des attaques institutionnelles. On peut à un moment avoir des attaques venant de la Turquie – je ne dis pas l’Etat – car le Sénat avait reconnu le génocide arménien. Il y a aussi beaucoup d’attaques venant de Russie. C’est fait par des officines ou des travailleurs indépendants. Réussir à trouver la source de l’attaque est aussi une manière de montrer nos capacités de contre-espionnage.

La France est-elle suffisamment armée en la matière ?
La France est dotée de cyber combattants. Officiellement, nous ne répondons jamais aux attaques. Mais il y a un programme très clair d’embauches de cyber combattants par le ministère de la Défense. La France est raisonnablement équipée.

En termes de budget, pour une institution ou une entreprise, on considère qu’il faudrait que 10% des dépenses informatiques soient consacrées à la sécurité. Ce sont des mises à jour et de la formation. Dans les banques, ils ont aussi leur propre système et service de sécurité.

L’Elysée est-il mieux protégé que le Parlement ?
Oui. Ils ont plusieurs réseaux. Ils ont un réseau propre, comme le ministère de la Défense. Ce qui n’est pas le cas du Sénat. Mais ce n’est pas parfait. Si vous prenez le fameux Teorem, le téléphone sécurisé qu’utilisait Benalla, vous ne pouvez pas mettre Whatsapp dessus. Donc ils en ont un second qui n’est pas sécurisé lui… Donc à la fin, il y a une sorte d’illusion de la sécurité. En fait, la sécurité, c’est au niveau de la personne, ce que je mets, ce que j’échange et par quel moyen.

Faites-vous des préconisations ?
Quelques-unes. J’explique qu’il faudrait mieux équiper les parlementaires et renforcer les moyens de l’Anssi. Et pour le Conseil constitutionnel, il faudrait mettre à jour son système de remontée des résultats pour l’élection présidentielle. Aujourd’hui, le Conseil est très sécurisé, car ils ont un réseau propre. Le seul risque, c’est que le système tombe en rade car il est très vieux.

Au final, la vraie difficulté, c’est la ligne de faille entre pouvoir travailler facilement et être sécurisé. C’est la question du rapport coût/risque/facilité d’utilisation. Au global, la sécurité est plutôt faite sérieusement. Mais on pourrait améliorer pour pas cher la sécurité des parlementaires.