Cybersécurité : face à une menace grandissante, les parlementaires sont-ils bien protégés ?

« La menace reste à un niveau particulièrement élevé. » Dans son bilan de l’année 2024, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) observe ainsi une hausse de 15 % des signalements et incidents par rapport à 2023. Dans un contexte d’instabilité géopolitique, la menace de cyberattaques ne faiblit pas, bien au contraire.

Le rapport de l’ANSSI pointe notamment des attaques de déstabilisation « particulièrement nombreuses ». À la différence des attaques dites « à but lucratif », ces dernières ne visent pas à sous tirer de l’argent aux victimes, mais plutôt à perturber le fonctionnement de certaines infrastructures et organisations.

Piratage des mails, espionnage des téléphones… Les parlementaires en première ligne

En parallèle de cette menace grandissante, l’ANSSI indique que « les attaques à finalité d’espionnage sont celles qui ont le plus mobilisé [ses] équipes opérationnelles ». Dans son rapport, l’agence prend ainsi l’exemple du logiciel espion Pegasus, détecté sur les téléphones de deux eurodéputées, dont la Française Nathalie Loiseau. Conçu par une société israélienne et vendu à plusieurs dizaines d’Etats à travers le monde, le logiciel permet d’accéder à la quasi-totalité du contenu des téléphones sur lesquels il est installé.

Au Sénat, c’est par le biais d’un mail en apparence anodin que des hackeurs ont infiltré l’ordinateur de l’ancien élu André Gattolin, en janvier 2021. Une boîte mail piratée, qui cache en réalité une affaire d’espionnage bien plus large. Il y a un an, le ministère de la Justice américain annonçait l’inculpation de sept pirates informatiques chinois membres du groupe APT31, connu pour ses liens avec les services de renseignement de Pékin.

Parmi les cibles des pirates, on retrouve 116 parlementaires issus de 15 pays différents, tous membres d’un groupe d’étude sur la Chine et les droits de l’homme, dont l’ancien sénateur André Gattolin, le sénateur centriste Olivier Cadic et son collègue socialiste Bernard Jomier. Les parlementaires français visés par l’attaque ont porté plainte, une enquête est ouverte.

« En France, les services ont une absence totale de considération pour les parlementaires »

Cette attaque à grande échelle a-t-elle provoqué un électrochoc ? « Un an après notre plainte, la même situation pourrait se reproduire », estime Olivier Cadic. Lors du dépôt de leur plainte, les parlementaires avaient pourtant formulé plusieurs demandes auprès du gouvernement. Ils réclamaient notamment une meilleure information des élus visés par des attaques, une revendication qui ne semble pas avoir été entendue. « Aujourd’hui, les services n’ont aucune obligation de nous informer s’ils savent que nous sommes la cible d’une attaque. Cela ne veut pas dire qu’ils ne le font pas, parfois ils mettent les victimes au courant, mais ils n’y sont pas obligés », pointe Olivier Cadic.

De son côté, André Gattolin dresse un constat autrement plus sévère. « Aux Etats-Unis, quand la messagerie d’un parlementaire est attaquée, c’est le FBI qui débarque. Mais en France, les services ont une absence totale de considération pour les parlementaires », dénonce-t-il. Pour l’ancien sénateur, les services de l’Etat restent encore bien trop passifs face à ces menaces : « J’avais conservé les mails envoyés à mon adresse de sénateur. Dès que j’ai été informé de l’enquête américaine, j’ai rapidement identifié un mail suspect et contacté l’Anssi et la DGSI pour leur communiquer les éléments. Ils m’ont envoyé paître. »

« Le Sénat est bien protégé contre ces attaques, mais il faut une vraie prise de conscience individuelle »

Face à cette menace grandissante, les sénateurs sont tout de même de plus en plus nombreux à se protéger. « Lors d’un voyage en Estonie, mon téléphone a été hacké, de toute évidence. L’attaque a été tellement violente qu’il n’a pas résisté, il était complètement bloqué », témoigne la sénatrice socialiste Hélène Conway-Mouret. Élue des Français de l’étranger et vice-présidente de la commission des affaires étrangères, elle prend désormais des précautions, notamment lors de ses nombreux déplacements. « Je ne partage jamais d’informations sensibles au téléphone, je le fais de vive voix. Je me suis aussi équipée d’un VPN sur mon téléphone, d’un étui spécial pour protéger ma carte bancaire… Ce sont des choses toutes simples », raconte-t-elle.

Aujourd’hui, la chambre haute sensibilise les élus à ces risques, un kit pour protéger les ordinateurs est par exemple transmis aux élus, indique la sénatrice. Des mesures de prévention qui ne datent pas d’hier. Dans un guide de l’ANSSI à destination des sénateurs daté de 2017, que Public Sénat s’est procuré, l’agence listait déjà « les dix règles d’or » et les dix « bonnes pratiques » en matière de sécurité numérique. « Il y a toujours la place pour l’amélioration en matière de prévention », souligne toutefois Olivier Cadic. « Le Sénat est bien protégé contre ces attaques, mais il faut une vraie prise de conscience individuelle, pour que chacun se protège », ajoute Hélène Conway-Mouret.

En attendant, c’est la protection des « infrastructures critiques » – dans le secteur de l’énergie, des transports, des banques, de la santé, ou encore de l’administration publique – que le gouvernement entend renforcer. Ce 11 mars, les sénateurs examinent un projet de loi visant à transposer trois réglementations européennes en matière de cybersécurité. Le texte est notamment axé sur la « résilience », explique Olivier Cadic, qui a présidé la commission spéciale chargée de son examen : « Il y a de plus en plus de cyberattaques, c’est un fait. L’objectif, c’est donc de permettre aux infrastructures attaquées de redémarrer le plus vite possible, pour démonter la capacité de nuisance des attaques. »