Rapport d'information fait au nom de la commission des affaires étrangères, de la défense et des forces armées sur la cyberattaque de la plateforme ARIANE du ministère de l'Europe et des affaires étrangères
Pour lire les formats PDF et ePub vous avez besoin d’un lecteur adapté.
Présentation
Le but de ce rapport d'information est, à partir d'un cas de cyberattaque aux conséquences limitées contre la plateforme « ARIANE » du ministère de l'Europe et des affaires étrangères (MEAE), de tirer des enseignements qui permettront d'améliorer la résilience des administrations de l'Etat (cybersécurité). Le MEAE a mis en place, depuis 2010 une plateforme de service « ARIANE » qui permet aux ressortissants français qui s'inscrivent en ligne de recevoir des consignes de sécurité lors de leurs voyages à l'étranger. Le 5 décembre 2018, la plateforme a été victime d'une cyberattaque. Cette attaque a été détectée par un dispositif de protection mis en place par l'Agence nationale de sécurité des systèmes d'information (ANSSI) en périphérie des systèmes d'information du ministère. Ce dispositif a pu constater qu'une partie des données stockées dans cette base de données a été piratée.
Sommaire
PRINCIPALES RECOMMANDATIONS
INTRODUCTION
ÉVALUATION DE LA CAPACITÉ DU MINISTÈRE DE L'EUROPE ET DES AFFAIRES ÉTRANGÈRES À ÉVITER UNE CYBERATTAQUE
1. Le ministère de l'Europe et des affaires étrangères bénéficie d'un niveau de protection élevé
2. Ce niveau élevé de protection n'a pas empêché la survenue d'une cyberattaque visant un système ouvert sur l'Internet, le système « ARIANE »
3. De cette situation, cinq enseignements peuvent être tirés
LA DÉCLARATION DU VOL DE DONNÉES PERSONNELLES À LA CNIL ET SES CONSÉQUENCES
1. L'inscription des données de tiers et leur conservation : une information insuffisante
2. L'application des obligations du RGPD en cas de perte de données
LA COMMUNICATION SUR L'ATTAQUE ET SES CONSÉQUENCES
1. L'information directe des personnes concernées
2. La communication publique
LES MODALITÉS DE SAISINE DE L'AUTORITÉ JUDICIAIRE
1. Le communiqué du 13 décembre indiquait que le ministère avait déposé une plainte auprès du Procureur
2. De ces entretiens, il ressort une absence de procédure formalisée au sein des administrations
UN SENSIBILISATION NÉCESSAIRE AU PILOTAGE DE LA GESTION DE CRISE EN CAS DE CYBERATTAQUE
CONCLUSION
EXAMEN EN COMMISSION
LISTE DES PERSONNES AUDITIONNÉES
ANNEXES
(1) Chronologie
(2) Notice de présentation de l'application Ariane
(3) Courriel adressé le 13 décembre aux personnes concernées
(4) Communiqué à la presse
(5) Communiqués et FAQ successifs publiés sur le site France Diplomatie
(6) Circulaire interministérielle de 2014
(7) Guide de la CNIL sur la sécurité des données personnelles
Fiche technique
Autre titre : Cyberattaque contre « ARIANE » : une expérience qui doit nous servir
Type de document : Rapport parlementaire
Pagination : 55 pages
Édité par : Sénat
Collection : Les Rapports du Sénat