M. Laurent Croizier attire l'attention de Mme la secrétaire d'État auprès du ministre de l'enseignement supérieur et de la recherche, chargée de l'intelligence artificielle et du numérique, sur le vol de données personnelles de millions d'utilisateurs lors de cyberattaques en ce début d'année à l'encontre de plusieurs opérateurs, qui suscitent de vifs questionnements sur les capacités des systèmes de sécurité. Entre le 21 janvier et le 4 février 2024, ce sont près de 33 millions de personnes qui ont été ciblées par le hacking des opérateurs Viamedis et Almerys, plateformes de gestion du tiers payant pour des complémentaires santé. Les données volées sont notamment l'état civil des utilisateurs ainsi que leur numéro de sécurité sociale ou encore le nom de l'assureur santé qui a informé de cette attaque. Quant à l'opérateur France Travail et le service Cap Emploi, ils étaient près de 43 millions d'utilisateurs concernés par cette infiltration dans le système informatique entre le 6 février et le 5 mars 2024. Des données telles que leur état civil, leur numéro de sécurité sociale, leurs identifiants France Travail ou encore leurs adresse mail et numéro de téléphone ont été volées. Dès lors, les risques d'usurpation d'identité, de phishing ou encore de revente d'informations sur le darkweb sont considérables et accrus. Afin d'assurer la protection des données personnelles des utilisateurs et ainsi éviter les risques évoqués précédemment, les systèmes de sécurité se doivent d'être impénétrables et préparés à résister aux cyberattaques. Il souhaite donc connaître les intentions du Gouvernement pour prévenir ces risques de cyberattaques et pour renforcer les systèmes de sécurité afin de protéger les données personnelles des Français.

De nombreux incidents de sécurité ayant donné lieu à des vols de données à caractère personnel ont été recensés depuis 2023. Leur analyse par l'Agence nationale de sécurité des systèmes d'information (ANSSI) met en évidence une insuffisante protection de ce type de données, tant lors de leur manipulation que dans le contrôle à leur accès. Une prise de conscience générale de l'ensemble des acteurs impliqués dans les chaînes de traitement de données apparaît donc nécessaire pour pallier une prise en compte encore trop hétérogène des risques liés aux fuites de données. Afin de prévenir les risques de cyberattaques, qui peuvent notamment mener à un vol de données à caractère personnel, l'ANSSI est chargée d'assurer cette montée en compétence globale du tissu économique et social national. Cette maturation cybersécuritaire est favorisée par des règlementations poussant l'ensemble de ces acteurs à sécuriser leurs infrastructures numériques. En particulier, la transposition de la directive NIS 2 dans le cadre du projet de loi Résilience, actuellement en discussion au Parlement, constitue un levier pour élever le niveau global de sécurité ; elle permettra notamment d'imposer à plusieurs milliers d'entités des règles d'hygiène informatique harmonisées et proportionnées aux besoins. L'ANSSI accompagne l'ensemble des acteurs concernés dans cette montée en compétences. Elle publie des recommandations comme par exemple Les essentiels pour se protéger contre la fuite des données et met à disposition des services pour les aider dans leur mise en conformité. Pour les acteurs les plus sensibles, cet accompagnement peut prendre la forme d'une assistance technique ou de la réalisation d'audits de sécurité. Dans le cas des réseaux les plus critiques de la Nation, l'ANSSI a par ailleurs pour mission de concevoir et administrer des capacités de détection des cyberattaques, essentielles pour être en mesure de réagir rapidement et limiter les impacts – dont le vol de données – d'une cyberattaque. Enfin, l'ANSSI poursuit son accompagnement de la filière industrielle pour assurer la disponibilité et le développement d'une offre de produits et services de sécurité de confiance, donnant les moyens à toutes les parties prenantes de protéger leurs données les plus sensibles.