Recevez chaque jour toute l'actualité du numérique

x

Un rapport sénatorial pointe la faiblesse de la sécurité informatique lors des élections

La conclusion est claire : nos institutions ne sont pas bien préparées en cas de cyberattaques durant le processus électoral, selon le rapport "Sécurité informatique des pouvoirs publics", rendu par le sénateur Jérôme Bascher. Garant de l'intégrité du vote, le Conseil Constitutionnel serait un acteur stratégique à protéger face à d'éventuelles attaques. 
Twitter Facebook Linkedin Flipboard Email
×

Un rapport sénatorial pointe la faiblesse de la sécurité informatique lors des élections
Un rapport sénatorial pointe la faiblesse de la sécurité informatique lors des élections © Mairie de Vendenheim

"Notre niveau de sécurité informatique est insuffisant", a tranché Jérôme Bascher sur le site Public Sénat suite à la remise de son rapport "Sécurité informatique des pouvoirs publics". Publié le 22 octobre 2019, ce document procède à un tour d'horizon de la "préparation des pouvoirs publics pour répondre à l'ensemble des cybermenaces qui les visent". Dès ses premières pages, le rapport explicite ce qu'il entend par "cyberattaque", soit l'espionnage informatique, la cybercriminalité, la déstabilisation et le sabotage informatique.

 

Ce document vise spécifiquement les échéances électorales qui sont "des occasions propices aux attaques informatiques". En effet, selon le sénateur, "les pouvoirs publics, au cœur des enjeux stratégiques et décisionnels des démocraties, constituent une cible privilégiée des attaques de toutes origines, étatiques ou non".

 

Le spectre des élections américaines de 2016

Il prend comme exemple les accusations d'ingérences russes pendant les élections présidentielles américaines de 2016. Après la mise en cause de 13 ressortissants et trois entités russes par le ministère de la Justice américain, des spécialistes de la propagande sur Internet, supervisés par la société New Knowledge et un laboratoire de l’université d’Oxford, avaient conclu à une stratégie politique particulièrement élaborée. Les chercheurs se sont focalisés sur "une ferme à trolls" russe – un organisme privé appelé I'Internet Research Agency (IRA) – située à Saint-Pétersbourg et qui appartient à Evgueni Prigogine, un proche de Vladimir Poutine.

 

L'étude publiée le 17 décembre 2018 est claire : l'objectif était d'évincer Hillary Clinton. Les trolls russes ont œuvré sur Twitter, Facebook, YouTube mais surtout sur Instagram où les messages ont représenté 187 millions d'interactions. Les scientifiques révèlent également comment les publications de l'IRA ont instrumentalisé les communautés afro-américaines et LGBT auxquelles s'intéressait particulièrement la candidate. Pour le sénateur LR, le but est clair : empêcher qu'une telle situation ne se produise en France. 

 

Le Conseil Constitutionnel, au centre de la stratégie

Garant des élections locales ou nationales, le Conseil Constitutionnel "pourrait être prioritairement la cible d'attaques informatiques visant en particulier à discréditer la remontée des résultats ou la collecte des parrainages de l'élection présidentielle". Comme la majorité des pouvoirs publics, le Conseil Constitutionnel coopère avec l'Agence nationale de sécurité des systèmes informatiques (ANSSI). Créée par un décret de 2009 et rattachée au Premier ministre, cette autorité est chargée d'accompagner et de sécuriser le développement du numérique. Elle assure un service de veille, de détection, d'alerte et de réaction aux attaques informatiques. Or cette collaboration ne suffit pas toujours.

 

Une "absence de garanties concernant la mise en œuvre de la dématérialisation de la collecte des parrainages pour l'élection présidentielle" jugée très inquiétante par Jérôme Bascher. Un candidat à l'élection présidentielle ne peut concourir au scrutin que s'il obtient 500 signatures d'élus. Effectif à partir du 1er janvier 2020, le parrainage électronique n'est entouré d'aucun dispositif technique permettant d'apporter "les conditions de sécurité et d'authentification". Une des solutions avancées par le rapport serait la mise en place d'une "identité numérique de niveau élevé" pour les maires. Or le rapport doute fortement de la faisabilité d'un tel déploiement dans les deux ans.

 

En dehors de l'aspect technique, ce type de dispositif est pointé du doigt. En cause : la fameuse application Alicem, un outil devra permettre d'accéder à des services publics en ligne grâce à la technologie de reconnaissance faciale via "FranceConnect". De nombreuses voix se sont élevées contre ce dispositif craignant une banalisation des technologies de reconnaissance faciale. Difficile dans ce contexte d'instaurer un tel dispositif pendant une élection présidentielle, même s'il ne concernerait dans ce cas qu'aux maires.

 

L'application "Election" corrigée

Par ailleurs, le rapport cible la remontée des résultats des élections. Une fois les urnes dépouillées, ils sont centralisés dans des bureaux avant d'être déposés sur une plate-forme "sous forme de fichier, saisis en ligne ou envoyés par messagerie à la préfecture". C'est l'application "Election" qui guide ces étapes. "Elle a fait l'objet de correctifs afin de renforcer sa sécurité", peut-on lire dans le rapport. Le parlementaire exige une modernisation de ce système sans préciser les problèmes que l'outil a pu rencontrer depuis sa mise en œuvre.

 

Le flou autour des coûts liés à la sécurité informatique

Bien sûr, tout ceci a un coût. Selon le rapport, il est difficile de chiffre précisément les coûts liés à la sécurité informatiques des pouvoirs publics. Au sein du budget alloué aux directions des systèmes d'informations, "il n'est pas possible d'isoler un ensemble de dépenses spécifiquement consacrées à la sécurité informatique". A titre d'exemple, le Sénat estime qu'environ 25% de son budget total est consacré aux dépenses "infrastructures et sécurité". Les dépenses de sécurité à proprement parlé représenteraient sur la période 2016-2018 150 000 à 300 000 euros "dont la moitié consacrée à la maintenance". Pour les autres institutions, c'est 10% du budget informatique qui est consacré aux investissements en matière de sécurité.

 

Des surcoûts budgétaires importants

Une institution française n'ayant jamais subi de cyberattaque d'envergure, le rapport prend l'exemple de TV5 Monde. La chaîne de télévision a été victime d'une tentative d'intrusion le 8 et 9 avril 2015. Concrètement, son site internet et ses réseaux sociaux ont été utilisés par les attaquants pour diffuser de la propagande djihadiste. L'ANSSI avait immédiatement apporté son concours à l'équipe technique. Sur le long terme, ces mesures "continuent de peser sur le budget de fonctionnement de l'entreprise", conclut le rapport. Aujourd'hui, le coût lié à cet événement s'élève à 2,4% des dépenses totales du média. Alors une chose est sûre : il faut mieux prévenir que guérir.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media