Jérôme Bascher : « La sécurité informatique des parlementaires est proche de zéro »

Jérôme Bascher : « La sécurité informatique des parlementaires est proche de zéro »

Dans un rapport sur la sécurité informatique des pouvoirs publics, le sénateur LR de l’Oise, Jérôme Bascher, alerte sur le niveau de sécurité informatique à l’Assemblée nationale et au Sénat.
Public Sénat

Temps de lecture :

7 min

Publié le

Mis à jour le

Le grand public ne les remarque pas, mais elles sont bien là. Les cyberattaques sont légion. Dans un rapport sur la sécurité informatique des pouvoirs publics, présenté jeudi 24 octobre, le sénateur LR de l’Oise, Jérôme Bascher, met clairement en garde l’Assemblée nationale et le Sénat.

« Les fonctions institutionnelles sont relativement bien protégées » souligne-t-il, mais « la faiblesse » se situe au niveau des pratiques des députés et des sénateurs, libres de choisir leur matériel informatique. Autre problème : le Sénat dépend trop des Gafa (Google, Amazon, Facebook, Apple), avec par exemple « Amazon web service ». Selon Jérôme Bascher, qui était membre de la commission d’enquête du Sénat sur la souveraineté numérique, « notre niveau de sécurité informatique est insuffisant ». Entretien.

Quel est l’état de la sécurité informatique au Parlement ?
A l’Assemblée nationale, ils ont le même problème que nous, au Sénat. Ils mettent pas mal de crédits dans leur système informatique en propre et il y a beaucoup d’aides de l’Anssi (Agence nationale de la sécurité des systèmes d'information), qui s’occupe de la sécurité informatique. Mais elle s’occupe de tout le monde : ministères, un peu de la défense, Elysée et aussi d’entreprises privées. En termes d’indépendance, ça peut poser des questions, car ils travaillent pour tout le monde. Mais à un moment, on ne peut pas avoir des experts du meilleur niveau dans chaque administration.

La vraie faille de sécurité vient du fait que chaque parlementaire a sa liberté d’avoir son propre matériel, à l‘Assemblée nationale comme au Sénat. Par exemple, je pourrais avoir un téléphone Huawei ou Apple. Tout passe par les Gafa, y compris des applications logées chez les serveurs d'Amazon web service. Et on n’a rien de protégé, rien qu’on a en propre. On n’a rien sur des data center en France.

Mais il n’y a pas OVH, entreprise française basée à Roubaix ?
Oui, il y a OVH. Mais pour ça, il faudrait avoir des appels d’offres qui vont bien. Et Amazon web service est en France aussi. Donc on ne peut pas leur dire vous n’y avez pas droit. Il y a un problème de droit européen.

Pour être clair, quand vous dites que c’est un problème que les parlementaires soient liés aux Gafa, faites-vous référence aux révélations, dues à Edward Snowden, sur les « backdoor » qui ont permis aux services secrets américains d’accéder aux données de Google, Apple, Facebook ou Microsoft ?
C’est bien ça. Quand on s’inspire de ces expériences, il faut qu’on s’arme plus et qu’on soit plus prudent. Mais cela dit, aujourd’hui, on n’a pas grand-chose à cacher. Nos débats, nos votes sont publics. Il n’y a que les membres de la délégation parlementaire au renseignement qui devraient avoir des choses très sécurisées. Mais c’est vrai qu’en termes de lobby, l’accès à nos informations pourrait être une inquiétude. Le vrai sujet, c’est Internet. Du temps du 36 15, il n’y avait pas ces problèmes ! (rire)

Comment qualifiez-vous le niveau de sécurité de l’Assemblée et du Sénat ?
Notre niveau de sécurité informatique est insuffisant. Ce n’est pas une passoire. Le Parlement bénéficie de systèmes de détection des attaques par cheval de Troie sur les sites institutionnels. Mais au niveau des parlementaires, c’est là qu’est la faiblesse. Les fonctions institutionnelles sont relativement bien protégées, mais concernant les pratiques informatiques des parlementaires, c’est proche de zéro.

Y a-t-il une sensibilisation des sénateurs à la sécurité informatique ?
La sensibilisation est extrêmement faible. Tout est sur la base du volontariat. Pour ma part, je suis sur le Net depuis 1994. Je n’ai jamais eu un virus de ma vie, car je fais attention. Le personnel, c’est l’élément clef dans la sécurité informatique. Tout le monde peut être cracké un jour. C’est comme chez vous. Soit vous laissez la porte ouverte sans clef, soit vous mettez une serrure trois points. C’est exactement la même chose.

Comme mon rapport dépend de la commission des finances, il est à noter que les crédits de Public Sénat et LCP-AN sont compris dans la mission pouvoirs publics. Les deux chaînes ont donc été auditionnées. Le sujet était le suivant : TV5 Monde a été attaqué, il y a quelques années, et a dû faire des efforts d’investissement pour payer sa protection. Le risque, par exemple, serait que Public Sénat subisse du « facing ». Au lieu d’avoir votre site Internet, c’est une autre page qui fait l’apologie du terrorisme par exemple.

Combien d’attaques informatiques l’Assemblée et le Sénat ont-ils subi ?
Les dispositifs de sécurité informatique du Sénat ont intercepté au total environ 31.000 contenus à risque en 2018. Il y a 2-3 attaques par semaine. Des virus très classiques ou des chevaux de Troie sont détectés et détruits. Ce n’est pas extraordinaire, ni d’une grosse complexité. Le Sénat a eu une attaque par déni de service par exemple, c’est-à-dire par une multiplication de requêtes. Cela rend le site inaccessible. Ce n’est pas trop catastrophique.

L’Assemblée est attaquée aussi, ce sont souvent des attaques institutionnelles. On peut à un moment avoir des attaques venant de la Turquie – je ne dis pas l’Etat – car le Sénat avait reconnu le génocide arménien. Il y a aussi beaucoup d’attaques venant de Russie. C’est fait par des officines ou des travailleurs indépendants. Réussir à trouver la source de l’attaque est aussi une manière de montrer nos capacités de contre-espionnage.

La France est-elle suffisamment armée en la matière ?
La France est dotée de cyber combattants. Officiellement, nous ne répondons jamais aux attaques. Mais il y a un programme très clair d’embauches de cyber combattants par le ministère de la Défense. La France est raisonnablement équipée.

En termes de budget, pour une institution ou une entreprise, on considère qu’il faudrait que 10% des dépenses informatiques soient consacrées à la sécurité. Ce sont des mises à jour et de la formation. Dans les banques, ils ont aussi leur propre système et service de sécurité.

L’Elysée est-il mieux protégé que le Parlement ?
Oui. Ils ont plusieurs réseaux. Ils ont un réseau propre, comme le ministère de la Défense. Ce qui n’est pas le cas du Sénat. Mais ce n’est pas parfait. Si vous prenez le fameux Teorem, le téléphone sécurisé qu’utilisait Benalla, vous ne pouvez pas mettre Whatsapp dessus. Donc ils en ont un second qui n’est pas sécurisé lui… Donc à la fin, il y a une sorte d’illusion de la sécurité. En fait, la sécurité, c’est au niveau de la personne, ce que je mets, ce que j’échange et par quel moyen.

Faites-vous des préconisations ?
Quelques-unes. J’explique qu’il faudrait mieux équiper les parlementaires et renforcer les moyens de l’Anssi. Et pour le Conseil constitutionnel, il faudrait mettre à jour son système de remontée des résultats pour l’élection présidentielle. Aujourd’hui, le Conseil est très sécurisé, car ils ont un réseau propre. Le seul risque, c’est que le système tombe en rade car il est très vieux.

Au final, la vraie difficulté, c’est la ligne de faille entre pouvoir travailler facilement et être sécurisé. C’est la question du rapport coût/risque/facilité d’utilisation. Au global, la sécurité est plutôt faite sérieusement. Mais on pourrait améliorer pour pas cher la sécurité des parlementaires.

Dans la même thématique

G7 summit in Borgo Egnazia
6min

Politique

Nomination des commissaires européens : « On constate qu’Ursula von der Leyen ne peut pas se passer du soutien de Giorgia Meloni », note un spécialiste des partis européens 

La Commission européenne devrait pouvoir entrer en fonction dès le 1er décembre après l’accord entre les trois principaux partis européens sur le collège des commissaires. Un accord qui illustre la place centrale de la droite européenne, prête à s’allier avec l’extrême droite.

Le

Jérôme Bascher : « La sécurité informatique des parlementaires est proche de zéro »
2min

Politique

Face au « désarroi » des collectivités, Karim Bouamrane, maire PS de Saint-Ouen, « appelle à la prise de conscience du premier ministre »

Alors que le gouvernement demande un effort budgétaire de 5 milliards d’euros aux collectivités – « 11 milliards » selon les élus – le socialiste Karim Bouamrane affirme que « Michel Barnier est totalement inconscient ». Le PS a organisé ce matin, devant le congrès des maires, un rassemblement pour défendre les services publics.

Le

Jérôme Bascher : « La sécurité informatique des parlementaires est proche de zéro »
3min

Politique

« Vous croyez que ça me fait plaisir de présenter le budget que je présente en ce moment ? » : échange tendu entre Michel Barnier et Patrick Kanner

Fustigeant les économies demandées aux collectivités territoriales dans le budget 2025, le président du groupe socialiste au Sénat a accusé le Premier ministre de « mettre à genoux les élus de la République au plan local ». « Je vous ai connu plus mesuré », lui a rétorqué Michel Barnier, sous les protestations de la gauche et les applaudissements de la majorité sénatoriale.

Le