Intervention de Didier Brugère

Office parlementaire d'évaluation des choix scientifiques et technologiques — Réunion du 21 février 2013 : 1ère réunion
Audition publique ouverte à la presse conjointe avec la commission de la défense nationale et des forces armées de l'assemblée nationale et la commission des affaires étrangères de la défense et des forces armées du sénat sur « le risque numérique : en prendre conscience pour mieux le maîtriser »

Didier Brugère, directeur des relations institutionnelles et de l'intelligence économique, Thales :

Je commencerai par une anecdote : voilà environ vingt ans, l'entité que je dirigeais avait livré à l'un de nos clients militaires un système opérationnel embarqué qui, pour des raisons de coût, utilisait de la micro-électronique civile. En examinant l'un de ces équipements qui nous avait été retourné à la suite d'une panne, nous avons constaté qu'il était infesté par un virus. Plus surprenant encore : des jeux électroniques avaient été intégrés dans le système. Après enquête menée avec l'utilisateur, il est apparu que l'un des opérateurs, utilisant le lecteur de disquettes du système civil, avait introduit des jeux récupérés auprès de ses enfants et dont l'un était piraté et porteur d'un virus.

La première leçon de cette anecdote est que les problématiques que nous rencontrons aujourd'hui ne datent pas d'hier. Ce qui est nouveau, c'est la prise de conscience de l'importance et du danger de cette menace.

La deuxième leçon est que la vulnérabilité des systèmes de défense vient souvent de l'emploi des technologies civiles, bien connues et largement ouvertes et interconnectées. Cet emploi appelle certaines précautions.

La troisième est qu'il ne faut pas agir seulement au stade de la conception ou du développement d'un système, mais tout au long du cycle de vie des équipements.

Pour ce qui concerne le premier point, les industriels, dont Thales, s'emploient depuis des années à développer et intégrer des savoir-faire liés à la sécurité. Thales travaille ainsi depuis des décennies sur le chiffrement et la cryptographie et le fait que nous employions environ 1 500 ingénieurs dans ce domaine est le résultat de ces travaux engagés de longue date.

Pour ce qui concerne le deuxième point, les performances croissantes des systèmes d'armes tiennent à l'utilisation croissante des capacités de l'informatique, issues du monde civil et appliquées à des systèmes de défense. Pour bénéficier de l'apport de ces technologies numériques tout en assurant fiabilité et sécurité, il faut établir entre l'ensemble des intervenants des processus de développement - grandes entreprises, PME-PMI, services officiels et utilisateurs - une chaîne de confiance, un écosystème industriel qui s'inscrira dans la durée - c'est-à-dire parfois sur dix ou vingt ans, voire trente.

Cela suppose toujours une forte dimension nationale, car les enjeux relèvent de la souveraineté nationale. Une ouverture européenne est souhaitable et possible, mais elle est encore limitée.

Cela suppose aussi la maîtrise de certaines technologies critiques et des moyens de production associés. Ainsi, notre maîtrise des technologies et des savoir-faire en matière de chiffrement et de cryptographie nous assure une pleine indépendance sur ce terrain. Si nous sommes leaders dans ce domaine, c'est parce que l'État a investi depuis de nombreuses années dans l'industriel national spécialiste du chiffrement.

Cela suppose également la conception et la réalisation de composants électroniques. Si nous avons mis en place avec EADS une filiale commune pour les composants hyperfréquence - UMS - et racheté récemment la petite société allemande SYSGO, qui développe des systèmes d'exploitation à haut niveau de fiabilité et de sécurité, c'est pour pouvoir garder en France ou en Europe la maîtrise de ces technologies.

Cela suppose encore le développement de champions nationaux. Je ne reviendrai pas sur ce point, qui a été évoqué tout à l'heure, mais il faut mettre en oeuvre une véritable politique industrielle dans ce domaine.

Cela suppose enfin le développement d'expertises très pointues, c'est-à-dire la mobilisation et l'entretien de tout un ensemble d'acteurs dans le domaine de la formation et de la recherche. En soutenant des chaires consacrées aux systèmes complexes à l'École Polytechnique ou sur la cybersécurité à Saint-Cyr, Thales contribue à développer cet écosystème.

Quant à la troisième leçon, selon laquelle tout ne se règle pas dès la conception et qu'il faut être capable de surveiller et de garantir la fiabilité et la sécurité du système tout au long de sa durée de vie, elle suppose la mise en place de mécanismes de surveillance et de détection en temps réel de l'intégrité des processus. Être en mesure de proposer de tels dispositifs est pour Thales un important axe de recherche.

Il faut pour cela une grande coopération entre l'ensemble des acteurs, notamment entre le fournisseur et l'utilisateur. Cette relation exige un partenariat de confiance fondé sur l'acceptation par les industriels de contraintes et d'engagements. Le ministère de la défense et l'Agence nationale de la sécurité des systèmes d'information (ANSSI) ont en la matière un rôle à jouer.

Une approche globale au niveau des systèmes, la maîtrise des technologies critiques, l'investissement dans la recherche et la formation, la surveillance continue des processus et la notion de partenaires de confiance sont, pour conclure, les concepts clés qui doivent guider notre approche de la fiabilité et de la sécurité des systèmes de défense face aux cyber-menaces.

Ces domaines dépassent le cadre des seuls systèmes de défense et touchent l'ensemble des systèmes d'information critiques que l'on retrouve aussi bien dans l'aéronautique que dans le secteur de l'espace ou dans les infrastructures de transports et d'énergie. Ce que nous faisons dans le domaine de la défense trouve très naturellement à s'appliquer dans les autres domaines. Thales, dont les activités relèvent pour moitié de la défense et pour moitié du domaine civil, s'attache donc à développer cette capacité à maîtriser les systèmes d'information critiques, qui conditionne la mutualisation des efforts et des investissements et rend la charge du développement des savoir-faire et des technologies supportable pour nos clients et pour nos propres capacités d'investissement. Cette mutualisation et cette approche globale des systèmes de souveraineté doivent nous permettre de rester leader en matière de maîtrise de la cyber-sécurité des grands systèmes.

Aucun commentaire n'a encore été formulé sur cette intervention.

Inscription
ou
Connexion