Rapport d'information fait au nom de la commission des affaires étrangères, de la défense et des forces armées sur la cyberattaque de la plateforme ARIANE du ministère de l'Europe et des affaires étrangères

International

Remis le : 6 février 2019

Auteur(s) : Olivier Cadic ; Rachel Mazuir

Auteur(s) moral(aux) : Sénat. Commission des affaires étrangères, de la défense et des forces armées

Disponible en ligne :

Rapport d'information fait au nom de la commission des affaires étrangères, de la défense et des forces armées sur la cyberattaque de la plateforme ARIANE du ministère de l'Europe et des affaires étrangèresAccéder au rapport(nouvelle fenêtre)

Pour lire les formats PDF et ePub vous avez besoin d’un lecteur adapté.

Le but de ce rapport d'information est, à partir d'un cas de cyberattaque aux conséquences limitées contre la plateforme « ARIANE » du ministère de l'Europe et des affaires étrangères (MEAE), de tirer des enseignements qui permettront d'améliorer la résilience des administrations de l'Etat (cybersécurité). Le MEAE a mis en place, depuis 2010 une plateforme de service « ARIANE » qui permet aux ressortissants français qui s'inscrivent en ligne de recevoir des consignes de sécurité lors de leurs voyages à l'étranger. Le 5 décembre 2018, la plateforme a été victime d'une cyberattaque. Cette attaque a été détectée par un dispositif de protection mis en place par l'Agence nationale de sécurité des systèmes d'information (ANSSI) en périphérie des systèmes d'information du ministère. Ce dispositif a pu constater qu'une partie des données stockées dans cette base de données a été piratée.

PRINCIPALES RECOMMANDATIONS

INTRODUCTION

ÉVALUATION DE LA CAPACITÉ DU MINISTÈRE DE L'EUROPE ET DES AFFAIRES ÉTRANGÈRES À ÉVITER UNE CYBERATTAQUE

1. Le ministère de l'Europe et des affaires étrangères bénéficie d'un niveau de protection élevé

2. Ce niveau élevé de protection n'a pas empêché la survenue d'une cyberattaque visant un système ouvert sur l'Internet, le système « ARIANE »

3. De cette situation, cinq enseignements peuvent être tirés

LA DÉCLARATION DU VOL DE DONNÉES PERSONNELLES À LA CNIL ET SES CONSÉQUENCES

1. L'inscription des données de tiers et leur conservation : une information insuffisante

2. L'application des obligations du RGPD en cas de perte de données

LA COMMUNICATION SUR L'ATTAQUE ET SES CONSÉQUENCES

1. L'information directe des personnes concernées

2. La communication publique

LES MODALITÉS DE SAISINE DE L'AUTORITÉ JUDICIAIRE

1. Le communiqué du 13 décembre indiquait que le ministère avait déposé une plainte auprès du Procureur

2. De ces entretiens, il ressort une absence de procédure formalisée au sein des administrations

UN SENSIBILISATION NÉCESSAIRE AU PILOTAGE DE LA GESTION DE CRISE EN CAS DE CYBERATTAQUE

CONCLUSION

EXAMEN EN COMMISSION

LISTE DES PERSONNES AUDITIONNÉES

ANNEXES
(1) Chronologie
(2) Notice de présentation de l'application Ariane
(3) Courriel adressé le 13 décembre aux personnes concernées
(4) Communiqué à la presse
(5) Communiqués et FAQ successifs publiés sur le site France Diplomatie
(6) Circulaire interministérielle de 2014
(7) Guide de la CNIL sur la sécurité des données personnelles

Autre titre : Cyberattaque contre « ARIANE » : une expérience qui doit nous servir
Type de document : Rapport parlementaire
Pagination : 55 pages
Édité par : Sénat
Collection : Les Rapports du Sénat
Numéro dans la série : 299

MOTS CLÉS

Derniers rapports publics

Contrôle de l'activité du groupe Médicharme

Rapport d'inspection

Auteur(s) : Frédéric Lavenir ; Antonin Nguyen ; Lucile Waquet-Airy ; Laurent Habert ; Agnès Josselin ; Claude Gady-Cherrier ; Inspection générale des affaires sociales ; Inspection générale des finances

Remis le 17 mai 2024

La sûreté nucléaire et la radioprotection en France en 2023

Rapport d'activité

Auteur(s) : Autorité de sûreté nucléaire

Remis le 16 mai 2024

L'organisation territoriale des soins de premier recours

Rapport d'étude

Auteur(s) : Cour des Comptes

Remis le 13 mai 2024

Voir tous les rapports

Haut de page