Rapport d'information fait au nom de la commission des affaires étrangères, de la défense et des forces armées sur la cyberattaque de la plateforme ARIANE du ministère de l'Europe et des affaires étrangères

Auteur(s) moral(aux) : Sénat. Commission des affaires étrangères, de la défense et des forces armées

Consulter nos sélections de rapports publics

En savoir plus

Date de remise :

Temps de lecture > 30 minutes

Présentation

Le but de ce rapport d'information est, à partir d'un cas de cyberattaque aux conséquences limitées contre la plateforme « ARIANE » du ministère de l'Europe et des affaires étrangères (MEAE), de tirer des enseignements qui permettront d'améliorer la résilience des administrations de l'Etat (cybersécurité). Le MEAE a mis en place, depuis 2010 une plateforme de service « ARIANE » qui permet aux ressortissants français qui s'inscrivent en ligne de recevoir des consignes de sécurité lors de leurs voyages à l'étranger. Le 5 décembre 2018, la plateforme a été victime d'une cyberattaque. Cette attaque a été détectée par un dispositif de protection mis en place par l'Agence nationale de sécurité des systèmes d'information (ANSSI) en périphérie des systèmes d'information du ministère. Ce dispositif a pu constater qu'une partie des données stockées dans cette base de données a été piratée.

Revenir à la navigation

Sommaire

PRINCIPALES RECOMMANDATIONS

INTRODUCTION

ÉVALUATION DE LA CAPACITÉ DU MINISTÈRE DE L'EUROPE ET DES AFFAIRES ÉTRANGÈRES À ÉVITER UNE CYBERATTAQUE

1. Le ministère de l'Europe et des affaires étrangères bénéficie d'un niveau de protection élevé

2. Ce niveau élevé de protection n'a pas empêché la survenue d'une cyberattaque visant un système ouvert sur l'Internet, le système « ARIANE »

3. De cette situation, cinq enseignements peuvent être tirés

LA DÉCLARATION DU VOL DE DONNÉES PERSONNELLES À LA CNIL ET SES CONSÉQUENCES

1. L'inscription des données de tiers et leur conservation : une information insuffisante

2. L'application des obligations du RGPD en cas de perte de données

LA COMMUNICATION SUR L'ATTAQUE ET SES CONSÉQUENCES

1. L'information directe des personnes concernées

2. La communication publique

LES MODALITÉS DE SAISINE DE L'AUTORITÉ JUDICIAIRE

1. Le communiqué du 13 décembre indiquait que le ministère avait déposé une plainte auprès du Procureur

2. De ces entretiens, il ressort une absence de procédure formalisée au sein des administrations

UN SENSIBILISATION NÉCESSAIRE AU PILOTAGE DE LA GESTION DE CRISE EN CAS DE CYBERATTAQUE

CONCLUSION

EXAMEN EN COMMISSION

LISTE DES PERSONNES AUDITIONNÉES

ANNEXES
 (1) Chronologie
 (2) Notice de présentation de l'application Ariane
 (3) Courriel adressé le 13 décembre aux personnes concernées
 (4) Communiqué à la presse
 (5) Communiqués et FAQ successifs publiés sur le site France Diplomatie
 (6) Circulaire interministérielle de 2014
 (7) Guide de la CNIL sur la sécurité des données personnelles

 

Revenir à la navigation

Fiche technique

Autre titre : Cyberattaque contre « ARIANE » : une expérience qui doit nous servir

Type de document : Rapport parlementaire

Pagination : 55 pages

Édité par : Sénat

Collection : Les Rapports du Sénat

Revenir à la navigation