L’Agence nationale de la sécurité des systèmes d’information (ANSSI), l’Inspection générale de l’administration (IGA), l’Inspection générale des affaires sociales (IGAS), le Conseil général de l’économie (CGE) et le Commissariat aux communications électroniques de défense (CCED) ont remis au Gouvernement leur rapport d’évaluation de la gestion, par l’opérateur Orange, de la panne du 2 juin 2021 et de ses conséquences sur l’accès aux services d’urgence.
A la suite de la panne ayant affecté le bon fonctionnement des services de téléphonie d’Orange, le Gouvernement a souhaité soumettre l’opérateur à un contrôle concernant cette panne et la gestion de la crise par l’opérateur. Ce contrôle a été confié à l’ANSSI, avec le concours de l’IGA, de l’IGAS, du CGE et du CCED. Dans une logique de transparence, le Gouvernement rend aujourd’hui ce rapport public, afin que toute la lumière puisse être faite sur les causes de cette panne et les mesures correctrices à apporter.
Sur le plan technique, le rapport retrace l’origine de la panne à des actions de l’opérateur pour permettre une augmentation de capacités d’appels, ayant déclenché un bogue logiciel préexistant sur les équipements. Ce bogue logiciel a ensuite bloqué les équipements et les a rendus incontrôlables. Il confirme ainsi que la panne ne résulte pas d’une cyberattaque. Le rapport explique que le système des numéros d’urgence d’Orange n’est pas distinct de celui permettant l’acheminement des appels classiques, et ne fait pas l’objet d’un traitement ou d’une supervision nationale spécifique. Il souligne enfin l’absence de procédures de tests avant la mise en production lors des manipulations réalisées. Des recommandations techniques ont été adressées à l’opérateur Orange pour éviter la répétition d’un tel incident.
Sur le plan de la gestion de la crise, le rapport révèle que l’opérateur a tardé dans la compréhension pleine et entière des effets du dysfonctionnement sur les services d’urgence, ce qui a affecté la remontée d’informations en interne ainsi que vis-à-vis des autorités publiques. Il souligne la montée en puissance trop lente du dispositif de crise d’Orange, eu égard à la criticité des numéros d’urgence, et l’absence d’un dispositif spécifique en cas de panne nationale sur les numéros d’urgence.
Recommandations :
Le rapport formule un certain nombre de recommandations visant à sécuriser au mieux l’acheminement des appels d’urgence et la résilience globale du système des numéros d’urgence, articulées autour de trois axes :
1. adapter le cadre légal, contractuel et technique de la gestion des numéros d’urgence ;
2. se préparer à faire face de façon efficace et rapide à ce type de crises et
3. prévenir de nouvelles pannes analogues.
Actions engagées par le Gouvernement :
Dès cet été, le ministre en charge des communications électroniques réunira la commission interministérielle de coordination des réseaux et des services de télécommunication pour la défense et la sécurité publique (CICRESCE) afin de définir précisément un plan d’actions qui précisera une série de mesures concrètes prenant en compte les recommandations du rapport. Les opérateurs de communications électroniques seront invités à les mettre en œuvre sans délai, et rendront compte de leur application dans cette même enceinte.
Le plan comprendra notamment la mise en œuvre d’une supervision technique spécifique et d’un système de remontée d’alerte spécifique aux appels d’urgence ainsi que la mise en œuvre d’une structure de collaboration avec les opérateurs tiers en cas d’urgence, ou encore la réalisation de tests lors de l’introduction de nouvelles méthodes.
Le Gouvernement procédera dans les meilleurs délais à une adaptation du cadre règlementaire en vigueur, au moyen d’évolutions législatives si nécessaire, afin de renforcer les obligations de résilience et de sécurité applicables aux opérateurs de communications électroniques en matière d’acheminement des appels d’urgence.
Par ailleurs, pour vérifier l’amélioration de la résilience du système d’acheminement des numéros d’urgence et de la gestion de crise, par les opérateurs comme par les autorités publiques, un exercice de crise sera organisé sous six mois par les services de l’Etat en associant l’ensemble des acteurs concernés. Le bilan de cet exercice de crise pourra alimenter, le cas échéant, de nouvelles mesures d’adaptation.
Enfin, le Gouvernement saisira l’Autorité en charge de la régulation des communications électroniques (ARCEP) en lui transmettant l’ensemble des éléments de cet audit afin que l’Autorité indépendante puisse apprécier le bon respect par l’opérateur de ses obligations règlementaires en vigueur, et en particulier, que toutes les mesures appropriées pour assurer l’intégrité de ses réseaux et garantir la continuité des services fournis sont bien prises.