Le rapport d’information mené par le sénateur de l’Oise Jerôme Bascher (LR), sur la sécurité informatique des pouvoirs publics, fourmille d’enseignements et de renseignements. En premier lieu, il égratigne la faible prise en considération de la notion de sécurité informatique par les parlementaires. Les résidents du Palais du Luxembourg sont notamment pointés du doigt avec « la possibilité laissée aux sénateurs de s’équiper librement, en choisissant pour eux-mêmes et pour leurs collaborateurs les modèles d’ordinateurs et de périphériques qu’ils souhaitent, rend la tâche des équipes du Sénat chargées de la sécurité informatique beaucoup plus complexe ». Le rapporteur souhaite donc une évolution des pratiques de BYOD (bring your own device) vers une maîtrise des équipements utilisés.

Dans un entretien à Public Sénat, Jérôme Bascher, a été assez lapidaire sur le niveau de sécurité des parlementaires : « Notre niveau de sécurité informatique est insuffisant. Ce n’est pas une passoire. Le Parlement bénéficie de systèmes de détection des attaques par cheval de Troie sur les sites institutionnels. Mais au niveau des parlementaires, c’est là qu’est la faiblesse. Les fonctions institutionnelles sont relativement bien protégées, mais concernant les pratiques informatiques des parlementaires, c’est proche de zéro ». Même appréciation pour la sensibilisation jugée « extrêmement faible » et basée « sur le volontariat ».

Des attaques en hausse et des inquiétudes sur le Conseil Constitutionnel

Et pourtant, le Parlement n’est pas exempt de menaces. En 2018, le Sénat a recensé 31 000 contenus à risque et l’Assemblée Nationale est régulièrement visée par des attaques. Le rapport constate la difficulté à déterminer les dépenses en matière de sécurité IT, mais estime que les investissements liés à la cybersécurité représentent environ 10% du budget informatique. Jérôme Bascher souligne l’importance et la prédominance de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) dans la protection des pouvoirs publics.

Dans son rapport, le sénateur souligne quelques inquiétudes concernant le Conseil Constitutionnel. On apprend ainsi que dans le cadre du référendum d’initiative populaire sur la privatisation d’ADP, les campagnes de phishing observées ont été multipliées par 8. Mais Jérôme Bascher s’inquiète plus particulièrement au sujet de deux missions du Conseil : le parrainage des candidats à l’élection présidentielle et la remontée des résultats. Sur le premier point, il constate « l’absence, à ce jour, de garanties concernant la mise en œuvre de la dématérialisation de la collecte des parrainages pour l’élection présidentielle ». Cette dématérialisation doit intervenir pour la prochaine élection de 2022. Concernant la remontée des données, l’édile observe que ce système « s’appuie sur un réseau dédié du ministère de l’Intérieur doté de logiciels qui datent du XXe siècle, alimenté sur des postes dédiés par des agents dédiés, dans les préfectures, qui font remonter les - 28 - données au ministère de l’Intérieur qui les transmet au Conseil constitutionnel. C’est verrouillé, car ce n’est pas très compatible avec internet. Néanmoins, ce réseau présente des risques de défaillance ». Il est donc urgent d'investir et de débloquer des crédits, conclut le rapporteur.