Intervention de le capitaine de vaisseau Alexis Latty

Comme l'ont montré les précédents intervenants, le cyberespace est devenu un nouveau lieu de confrontation.

Cette situation est appréhendée par le ministère de la défense selon une approche prioritairement opérationnelle.

Pour la sphère militaire, les enjeux relèvent de l'efficacité de notre outil de défense. Nous devons d'abord protéger les données classifiées ; ensuite être en mesure de continuer à opérer sous agression cybernétique afin de garantir notre autonomie d'appréciation de la situation et notre liberté d'action ; enfin, nous devons contribuer à assurer le bon fonctionnement de l'État en cas de crise cybernétique nationale majeure.

Les théâtres d'opérations cybernétiques - c'est là l'une de leur principale spécificité - englobent non seulement le théâtre classique d'une opération extérieure mais aussi le territoire national. L'exemple malien en est l'illustration la plus récente, avec des cyberattaques - d'ailleurs peu sophistiquées et d'ampleur limitée - contre des intérêts français en réaction à l'opération Serval.

Il faut reconnaître que l'état de cybersécurité du ministère de la défense, en dépit des efforts consentis depuis dix ans, n'est pas encore à la hauteur des risques et des menaces. Nous savons qu'un effort particulier doit être consenti sur les systèmes d'information embarqués, notamment concernant les systèmes d'armes et les automatismes des plateformes.

L'ambition du ministère, en totale adéquation avec les objectifs de la stratégie nationale, est de porter rapidement la cybersécurité au niveau adéquat puis de devenir un acteur majeur de la dimension « cyber » d'une coalition militaire internationale.

Pour y parvenir, nous avons retenu une approche globale. Un schéma directeur capacitaire oriente les actions à entreprendre sur un horizon de dix ans. Il appréhende l'ensemble des systèmes d'information du ministère, dans l'acception la plus extensive possible en raison non seulement du caractère centralisé de la chaîne opérationnelle de cyberdéfense, mais aussi de l'interdépendance des processus de cyberdéfense et de cyberprotection qui a été précédemment évoquée par le directeur de l'ANSSI.

Concernant les moyens, je soulignerai trois points.

Premièrement, notre organisation a été refondue en 2011. La chaîne opérationnelle de cyberdéfense est désormais centralisée sous l'autorité du chef d'état-major des armées. La chaîne fonctionnelle de cyberprotection est distribuée autour de cinq autorités qualifiées qui ont pour mission de mettre en état de cybersécurité les systèmes d'information dont elles sont responsables.

Deuxièmement, des investissements sont planifiés selon des modalités qui devront être confirmées par la loi de programmation militaire. Ils ménagent un équilibre entre, d'une part, l'acquisition des outils urgents ou indispensables, comme des chiffreurs de données, des sondes sur les systèmes et des logiciels d'analyse technique, et, d'autre part, des dépenses d'avenir visant à étudier la cyberdéfense spécifique des systèmes d'armes et à préparer les outils de demain.

Troisièmement, le renforcement de nos liens avec l'ANSSI s'illustre de manière exemplaire par la co-localisation en 2013 du centre d'analyse et de lutte informatique défensive du ministère avec le centre opérationnel de l'Agence, dans le cadre d'un partenariat de confiance inscrit dans la durée.

Cette politique ambitieuse passe par le développement de relations étroites avec des partenaires internationaux de confiance. Les exigences de souveraineté étant fortes - ce domaine fait partie du premier cercle de souveraineté, au même titre que la dissuasion -, l'orientation principale est de rechercher des convergences avec les partenaires qui ont le même niveau d'ambition, sans toutefois s'en rendre dépendant.

Dans les quelques minutes qui me restent, je voudrais rapidement développer un angle particulier, celui de l'adéquation des ressources humaines aux ambitions

Nous le savons, la cybersécurité repose pour une large part sur des hommes et des femmes. Aujourd'hui nous disposons d'environ 1 000 spécialistes à temps partiel, soit l'équivalent d'environ 300 postes à temps plein. Pour la période 2013-2020, un plan de renforcement de l'ordre de 400 spécialistes pour les armées a été engagé. Ce plan, qui devra également être confirmé par la loi de programmation militaire, vise à professionnaliser la fonction de cybersécurité au rythme d'environ 50 spécialistes additionnels à temps complet par an, qui est le rythme maximum de ce qu'il est possible de consentir.

Les facteurs de succès en manière de ressources humaines reposent sur plusieurs éléments.

En premier lieu, une gestion prévisionnelle performante des effectifs, des emplois et des compétences. Le modèle de ressources humaines des armées reposant sur la génération de compétences en interne, le plan de renforcement CYBER est une opportunité pour remodeler les parcours professionnels et la pyramide des emplois de nos spécialistes, ce qui constitue une priorité pour cette famille professionnelle composée de civils comme de militaires.

En deuxième lieu, l'émergence d'un écosystème national propice. La cybersécurité est un domaine qui a besoin d'innovation et d'échanges, notamment entre les acteurs opérationnels et les acteurs de la base industrielle et technologique de défense, voire au-delà. La défense nationale y contribue par plusieurs initiatives, avec en particulier l'émergence d'un pôle d'excellence en matière de formation de Brest à Rennes, la mise en place d'une chaire de cyberdéfense à Saint-Cyr Coëtquidan ou un projet de pôle « cyber » du monde maritime sur la place de Brest.

En troisième lieu, la promotion d'une hygiène cybernétique implacable Aujourd'hui, nous constatons que sommes loin du compte et que les maillons faibles se trouvent en réalité chez nos grands partenaires. Cette hygiène repose sur une sensibilisation régulière, notamment dans toutes les formations internes, sur une information régulière du niveau de menace, qui permet de rappeler les bonnes pratiques, et sur des contrôles a posteriori tels que l'analyse après incident.

Enfin, la sensibilisation de la société aux enjeux cybernétiques tout en y développant l'esprit de défense. C'est toute l'ambition de la création d'une réserve citoyenne de cyberdéfense, dont Luc-François Salvador a accepté d'être le coordonnateur national, dans le cadre d'un engagement éthique et citoyen. Cette réserve citoyenne agit tant au profit de l'ANSSI que des armées et pourrait devenir apte à contribuer au traitement d'une crise informatique majeure sur le territoire national.

En conclusion, le ministère de la défense s'attelle à relever les enjeux de la cybersécurité par la mise en oeuvre déterminée d'une vision directrice à dix ans. Les défis sont nombreux mais les acteurs civils ou militaires sont motivés et les relèveront.