Risques cyber et déstabilisation électorale [Partie 2/2]

L’élection présidentielle française de 2022 est un événement démocratique majeur et hautement stratégique sur lequel pèsent de nombreuses menaces numériques. Les événements survenus à l’occasion des derniers scrutins ont montré qu’une anticipation de ces risques est indispensable au bon fonctionnement de la démocratie. La France doit donc être prête à se défendre et à entreprendre des coopérations, notamment européennes, si elle veut prévenir et traiter efficacement les risques auxquels elle fait face.

De la prise de conscience à l’anticipation des risques

L’État et les différents acteurs du scrutin présidentiel façonnent et améliorent en continu leurs dispositifs de prévention et de gestion des risques cyber, en se basant notamment sur les menaces s’étant déjà réalisées, en France ou à l’étranger. Cependant, des angles morts demeurent et des interrogations subsistent quant aux évolutions futures du système électoral, l’impératif ultime restant la préservation de l’équilibre entre prévention des risques et légitimité du scrutin.

À l’instar de l’immixtion du Kremlin dans les élections ukrainiennes en 2014 via l’action du groupe de hackers CyberBerkut à l’encontre du système de centralisation des votes, ou encore dans les élections américaines de 2016 (leak des emails du comité national du Parti Démocrate), les dernières élections présidentielles françaises ont été marquées par les Macron Leaks, opération attribuée au groupe Fancy bear (APT28) relié au renseignement militaire russe (GRU). La compromission de la confidentialité de nombreuses données (des mails principalement) de l’équipe de campagne du candidat Macron via leur diffusion moins de 48h avant le début du second tour a permis de constater que la France n’était pas à l’abri d’opérations de déstabilisation menées par le biais de cyberattaques. 

En réaction, l’État a sensiblement accru son potentiel de lutte en créant d’une part l’agence Viginum, dépendante du Premier ministre et chargée de lutter contre les ingérences numériques étrangères, et d’autre part en renforçant l’accompagnement par l’ANSSI des partis politiques. Ces derniers peuvent en effet bénéficier de l’assistance de la puissance publique, que ce soit dans l’établissement et le suivi de leur stratégie cyber ou dans la réponse aux incidents qu’ils pourraient rencontrer. Une partie des risques gît également autour de l’organisation concrète des opérations électorales : La sécurité informatique des dispositifs de remontées des résultats, au niveau des collectivités territoriales organisatrices ainsi que du Ministère de l’Intérieur est un point d’attention particulier. À cet effet, l’ANSSI opère aux côtés des mairies afin que ces dernières puissent adopter des pratiques sûres pour éviter la compromission des résultats électoraux et une potentielle suspicion sur le résultat du scrutin, au moins localement. De manière plus générale, la posture étatique de cybersécurité s’est étoffée à mesure de la prise de conscience des risques pesant sur l’ensemble du processus électoral et ses acteurs, proches ou lointains.

Cependant, force est de constater que de nombreuses problématiques subsistent malgré les mesures implémentées. D’abord, même si les partis politiques ont pu bénéficier d’une sensibilisation au risque numérique dans le cadre de la campagne présidentielle, ils ne bénéficient pas nécessairement de moyens particulièrement adaptés pour faire face à des attaques complexes, ceci d’autant plus que la problématique budgétaire impose le strict respect d’un plafond de dépenses, dans lequel doivent être comprises les dépenses engagées pour assurer la cybersécurité. À cet égard, des voix s’élèvent pour demander la sanctuarisation des financements de campagne dédiés à ce poste de dépenses. 

 

Quelle politique de prévention ?

Il est aussi primordial pour les partis de disposer d’une politique efficace de gestion des risques internes, l’ENISA identifiant une mauvaise configuration comme source de 50 % des cyberattaques. C’est donc un défi de taille qui attend les diverses organisations partisanes, qui connaissent une montée en puissance exponentielle à mesure de l’approche du scrutin, et qui doivent constamment adapter leurs infrastructures de cybersécurité en conséquence. En effet, le nombre de militants s’accroissant, il est nécessaire pour les partis d’avoir une politique rigoureuse de gestion des identités et d’accès aux informations, en plus de sensibiliser l’intégralité des individus ayant accès à des informations sensibles à l’hygiène informatique de base. Par ailleurs, les attaques par supply chain ne sont pas à ignorer non plus, comme l’a démontré la cyberattaque conduite à l’encontre du prestataire Adrexo, distribuant la propagande électorale à l’occasion des élections régionales de 2021.

En sus, les partis ne sont pas les seules entités à présenter des risques particuliers. Les instituts de sondages notamment sont des acteurs importants de l’élection de par l’attention qu’ils suscitent. Il est ainsi loisible d’imaginer un attaquant s’introduisant dans le système d’informations d’un sondeur pour altérer l’intégrité des résultats d’une enquête d’opinion, même si ce risque est à modérer, étant donné la multiplicité des sondages et la complexité inhérente à la falsification d’études dont la méthodologie est quasi-systématiquement publiée et donc vérifiable.

Au-delà des risques identifiés précédemment, une question demeure centrale et conditionne toutes les autres lors d’une élection : celle de la légitimité du scrutin. Un résultat électoral illégitime rend caduque l’ensemble du processus électoral et les efforts menés pour le préserver des différentes menaces auxquelles il est confronté. À cet égard, bien que la possibilité de voter par internet ait été offerte aux français de l’étranger dès les élections consulaires de 2021 et soit reconduite à l’occasion des législatives de 2022, sa généralisation future risque cependant de se heurter à un obstacle de taille. En effet, depuis la Révolution française, les opérations électorales occupent une place à part dans la vie démocratique du pays et l’accomplissement du devoir citoyen en lui-même est particulièrement ritualisé : un bulletin en papier glissé dans une urne transparente, elle-même dépouillée par la suite en présence d’assesseurs citoyens. Tout ceci concourt à légitimer les résultats des différents scrutins car chacun est à même de saisir le fonctionnement du processus électoral et d’en avoir un aperçu tangible. Or, cette transparence de l’acte de voter en lui-même n’existe pas dans le cas du vote électronique, qu’il s’opère via internet ou en bureau de vote via une machine à voter tel qu’on l’observe notamment aux USA. Cette absence de transparence a ouvert la porte à des accusations de falsification des résultats par voie électronique lors des élections présidentielles américaines de 2020. Aussi, dans un contexte de défiance vis-à-vis du pouvoir politique et d’abstention particulièrement élevée, l’introduction d’une modification dans le déroulement du scrutin comporte un risque particulier dès lors qu’elle est de nature à réduire la confiance des citoyens dans les résultats et ce, même si elle permet par ailleurs d’attirer davantage vers les urnes. En cela, le sujet du vote électronique constitue tout à la fois un enjeu et un risque démocratique. 

 

Vers une cybersécurité européenne… ? 

Si l’échelon national reste privilégié dans la lutte contre les risques cyber, des actions sont mises en place au niveau de l’Union européenne afin de mettre en place un cadre unifié, à la fois préventif et réactif. En cours de construction, cet écosystème européen de cybersécurité comporte des instances permettant aux États de tirer le meilleur parti d’une démarche coopérative, avant l’avènement encore incertain d’un système intégré de prévention des menaces numériques.

Si les États sont les victimes d’immixtions d’acteurs étrangers ou de tentatives de déstabilisation internes, leurs actions tant de prévention des risques que de traitement et de remédiation de ces derniers s’effectuent principalement au sein du périmètre national. Cependant, les systèmes démocratiques étant pour partie imbriqués, particulièrement au sein de l’Union Européenne, les États perçoivent l’importance d’actions communes dans la lutte contre les risques cyber, y compris lors des périodes électorales. Dans cette perspective, plusieurs normes ont été adoptées au niveau européen afin de dégager des standards communs de protection contre les risques cyber, à l’instar de la directive NIS adoptée en 2016 ou encore du Cybersecurity Act de 2019. Cependant, les élections relevant de la compétence interne des États-membres, l’Union européenne ne peut pas intervenir directement hormis par la voie normative. À ces fins, des agences comme l’ENISA, en charge de la cybersécurité au niveau communautaire, peuvent porter de manière concrète de bonnes pratiques, même si dans le cadre d’élections nationales, l’efficacité de la démarche est plutôt diffuse. 

En termes de coopération interétatique, la présidence française de l’Union européenne donne l’occasion à l’ANSSI de favoriser la coopération entre les États-membres sur les aspects techniques de la sécurité des systèmes d’information, notamment par le biais du réseau CyCLONe. Cette entité coopérative réunit les différents organismes chargés de la gestion de crise au niveau européen et se place, au niveau stratégique, en complémentarité du réseau des CSIRTs. CyCLONe vise également à discuter des besoins communs en matière de solidarité et d’assistance mutuelle en cas de crise majeure entre les États-membres et commencer à identifier des recommandations quant aux travaux à mener pour les développer. Cette approche collaborative est toutefois centrée sur la gestion immédiate d'événements dans lesquels les risques se sont déjà réalisés. De plus, le périmètre de cette coopération s’axe davantage sur le volet cyber que sur le volet informationnel, offrant une faiblesse en termes de prévention dans la coopération européenne.

Une illustration concrète de la prise de conscience des dernières années autour des problématiques cyber est sans doute celle de la création du CSIRTs Network avec une première réunion qui s’est tenue dès 2017. Il se veut être le premier réseau de coopération et de partage d'informations techniques entre CERT nationaux. Un CSIRT (Computer Security Incident Response Team) est un centre d’alerte et de réaction aux attaques informatiques. Il assure notamment la centralisation de demande de réponse à incident, la réaction aux attaques informatiques ou encore la prévention face aux risques cyber. Cette collaboration entre États sur des sujets aussi techniques, donc potentiellement confidentiels, représente un challenge important à relever. C’est néanmoins un pas en avant non négligeable vers une unité européenne de la sécurité des systèmes d'information et une meilleure prévention face aux risques cyber, y compris dans le cadre des opérations électorales, ces dernières étant au cœur des valeurs démocratiques mises en avant par l’Union Européenne.

 

Conclusion 

L’examen des différentes menaces susceptibles de perturber le processus électoral, qu’elles soient d’origine étrangères ou internes, met à jour un écosystème démocratique certes plus aguerri qu’il ne l’était lors des dernières élections présidentielles en termes de cybersécurité, mais toujours vulnérable. Le renforcement des mesures de sécurité et la prise de conscience des risques présents tant sur le volet cyber que sur le volet informationnel s’accompagne d’une complexification progressive de l’environnement, et donc de la prévention des menaces qui en sont issues. Les actions conjointes des divers acteurs de l’élection et les coopérations européennes sont assurément un premier pas vers une gestion des risques mieux maîtrisée, qui passera nécessairement par une sensibilisation et une formation accrue de l’intégralité des participants au scrutin, du parti politique à l'État en passant par le citoyen. 

 

Raphaël Barrasset et Guillaume Brechler, pour le club Cyber AEGE

Première partie : Risques cyber et déstabilisation électorale [Partie 1/2]

Pour aller plus loin :