Intervention de Cédric Perrin

Nous poursuivons nos travaux par une audition au coeur de l'actualité, celle du Général Olivier Bonnet de Paillerets, Commandant de la cyberdéfense.

Le 18 janvier dernier, la ministre des armées, Mme Florence Parly, a présenté la stratégie de cyberdéfense des armées. Cette stratégie explicite le positionnement de nos Armées dans ce nouvel espace de conflictualité, le cyberespace, où les menaces contre nos intérêts fondamentaux se développent. Cette stratégie expose aussi plusieurs évolutions majeures. D'abord, la redéfinition de la lutte informatique défensive pour protéger « de bout en bout » non seulement le ministère, les armées et services mais aussi une chaîne englobant les industries de défense et leurs sous-traitants, afin de prendre en compte la cybersécurité dès la conception des outils de défense, ensuite la mise en place d'une posture permanente de cyberdéfense, enfin la publication d'une doctrine d'emploi des capacités de lutte informatique offensive.

Nous sommes très heureux de pouvoir avec vous prendre mieux conscience des menaces, et surtout des réponses que le commandement Cyber des Armées y apporte : avec quels modes d'actions, selon quelles procédures d'engagement ?

Les moyens prévus par la LPM sont-ils suffisants et surtout pourront-ils être mobilisés selon le calendrier prévu : on connait bien les tensions sur les ressources humaines dans ce domaine, ce qui est un sujet majeur.

Comment vous articulez-vous avec les services de renseignement ? Je vous laisse la parole.

Général Olivier Bonnet de Paillerets, Commandant de la cyberdéfense - Je vous remercie de me permettre de témoigner sur cet espace de confrontation qui est en évolution continue, et sur lequel je ne suis pas sûr d'avoir toutes les réponses. Comment à partir d'une analyse de la menace du ministère des armées avons-nous tenté de répondre au défi d'un changement de nature en termes de menace ?

Si je devais synthétiser ces menaces qui sont très en phase avec ce que voit l'ANSSI dans son périmètre de responsabilité, statistiquement ce qui touche le plus le ministère des armées, c'est évidemment la cybercriminalité. Sur les 700 incidents constatés en 2017 et probablement près de 800 en 2018, la majorité sont soit des problèmes d'hygiène, soit de la cybercriminalité. Qu'est ce qui se cache sous ce terme ? D'abord, des tentatives de faire fuir de la donnée pour la revendre sur Internet. Ensuite, une tentative d'enrôler des serveurs du ministère pour les utiliser dans des architectures d'attaque vers d'autres pays. Enfin, de l'extorsion de fonds par du cryptolocking en vue d'obtenir une rançon pour déverrouiller les ordinateurs .Statistiquement, c'est la menace la plus quotidienne.

Celles qui mobilisent le plus, ce sont des menaces des États parce que, derrière, il y a des architectures avec une complexité extraordinaire qui nécessite de mettre en face des ressources nombreuses, pluridisciplinaires pour comprendre à la fois le périmètre visé par l'attaquant mais aussi l'origine de l'attaque. L'année dernière, on a constaté une dizaine d'attaques de ce type contre les intérêts du ministère et ses réseaux, y compris opérationnels. Le ministère n'a pas constaté comme pour l'attaque de TV5 Monde de tentative de sabotage contre ses réseaux. Pour autant, c'est le scénario le plus inquiétant et qui est dans ma première préoccupation.

Si je devais y mettre des tendances. La première tendance est l'accessibilité des outils d'attaque, en raison de leur prolifération sur internet, ce qui abaisse le coût de l'investissement de départ et rend, de fait, le nombre d'attaquants toujours plus important. La deuxième tendance est que les attaquants les plus expérimentés, notamment ceux qui sont sponsorisés directement ou indirectement par les Etats, ont compris que, si le ministère des armées se sécurisait de plus en plus, il fallait toucher les maillons faibles et que ceux-ci se trouvaient dans l'écosystème, en particulier industriel du ministère des armées ; quand on veut toucher un système d'armes, il est plus facile de toucher toute la sous-traitance de ce système d'armes que le système lui-même. Troisième tendance, la démystification de l'usage du cyber, que ce soit à des fins de sabotage ou de désinformation par des Etats qui l'assument comme une arme de déstabilisation ou de désorganisation massive à part entière.

Derrière ces tendances, il y a un changement de nature qui fait qu'aujourd'hui les Etats démocratiques réfléchissent à des changements de stratégie et d'organisation pour répondre à ces défis. Il y en a trois. Le caractère massif de l'information, son instantanéité et les difficultés d'attribution ont mis les organisations face à une pression tout à fait nouvelle. Les stratégies tant française, qu'allemande ou britannique ont cherché à réévaluer cette menace et la façon d'y répondre.

La stratégie nationale française a organisé sa réponse autour de quatre piliers : un pilier de prévention avec une gouvernance ANSSI-SGDSN-Premier ministre, un pilier renseignement nécessaire pour la caractérisation et l'attribution d'une attaque, un troisième pilier « action judicaire » et un quatrième pilier « action militaire » qui démontrait deux singularités. La première, c'est que le ministère des armées devait avoir une organisation spécifique en délégation de l'ANSSI parce qu'il était en opérations, parce qu'il avait des réseaux opérationnels et d'autres avec des enjeux très critiques. La seconde parce que les armées devaient assumer le cyber comme une arme d'opportunité et d'emploi dont le ministère devait encadrer l'intégration.

Cette stratégie nationale formulait également une centaine de recommandations sur la façon dont on acculture les sociétés, comment on monte en puissance les administrations, comment on dirige les investissements de l'Etat et surtout comment on coordonne les administrations face au défi de ces attaques. A été créé un centre de coordination de la crise cyber (C4) au niveau du SGDSN, piloté par l'ANSSI qui, avec les ministères concernés et les services de renseignement, permet d'échanger l'analyse des menaces quand l'Etat est attaqué par des actions cyber d'une certaine ampleur et de voir comment on y réagit et comment on encadre l'escalade ou la désescalade avec un Etat qui se trouverait derrière ces attaques.

Concernant le ministère des armées, il a été doté d'un commandement de la cyber organisé autour d'un trépied : une mission normative de cybersécurité et de prévention, une mission coeur de cyberdéfense à l'échelle du ministère et une mission d'action numérique, appelée désormais de lutte informatique offensive, qui permet au commandant de la cyber d'engager des moyens offensifs en combinaison des autres armes sur les théâtres d'opérations extérieurs.

Ce commandement de la cyberdéfense s'articule autour de deux grands axes de progrès.

Le premier est la prise en compte de la vulnérabilité que constitue la numérisation. Il fallait qu'il partage sur l'ensemble des organisations et à tous les niveaux de responsabilité la maîtrise de risque cyber. Quand vous êtes pilote de chasse et que vous avez une attaque sur votre avion, ce n'est pas au commandant de la cyberdéfense de dire si l'on continue la mission ou pas, c'est au pilote de le dire, de l'assumer et de comprendre les conséquences de l'attaque sur sa mission. Ceci est vrai pour un système d'arme, c'est vrai pour un système de systèmes, pour un commandement opérationnel ou organique. Comment faire en sorte que les armées et les services, la direction générale de l'armement, le secrétariat général de l'administration, et le cabinet du ministre aient des organisations qui assument la prise en compte de ce risque cyber. C'est ce qui a été soclé dans l'instruction ministérielle signée par la ministre des armées : organiser une maitrise des risques cyber de façon à ce que le ministère mature, quelle que soit l'organisation, dans l'appréhension de ce nouveau risque.

Le commandement de la cyberdéfense a la responsabilité d'aider à cette maturation et de superviser l'ensemble de ces chaînes. Quand un système d'armes de l'armée de l'air est touché, par exemple un hélicoptère, je dois m'assurer que le même hélicoptère employé par l'armée de terre n'est pas touché. La mission du commandement est ainsi de s'assurer que, quel que soit le réseau du ministère, il n'y ait pas d'effet de contagion et que la ministre puisse organiser une réponse si nécessaire.

Il y a un autre enjeu : le commandement cyber doit s'assurer, avec l'ANSSI, que l'interaction avec la « supply chain » du système d'armes est elle-même sécurisée. C'est la « sécurité de bout en bout ». Enfin, le commandement cyber ne peut pas agir seul : chaque attaque a une dimension internationale et quand le ministère des armées français est touché, d'autres en Europe le sont. Pour une réponse et une anticipation collégiale, il faut des partenaires forts, ce que l'on a du mal construire.

Mais le cyberespace est aussi un espace d'opportunités. Les armées françaises doivent assumer cette arme nouvelle qui a des contraintes comme n'importe quelle arme conventionnelle. Il faut la démystifier, c'est-à-dire l'intégrer et en assumer l'emploi sans laisser croire qu'elle puisse tout résoudre. Elle ne trouve en effet sa pleine capacité que combinée avec les autres effets. Démystifier, c'est aussi encadrer. Des éléments ont été publiés, mais la doctrine du chef d'état-major des armées est bien évidemment classifiée. Cette doctrine était nécessaire pour décrire les schémas de décision opérationnels, les contraintes d'emploi et l'encadrement dans lequel on voulait concevoir et planifier les opérations. Enfin, cette doctrine sera utilisée pour former les officiers dans les structures de planification et de conduite, afin que cette arme puisse être intégrée dès le départ à la conduite des opérations sur les théâtres d'opérations extérieurs.

Il faut en outre que la DGA, de la conception jusqu'à la mise à disposition, intègre ces nouveaux outils qui seront mis en oeuvre au niveau tactique sur les théâtres d'opérations.

On ne pourra arriver au niveau des ambitions fixées que si l'on surmonte deux obstacles : l'intégration des innovations qui sont extérieures au ministère des armées ; il s'agit de savoir comment mettre les industriels directement dans les organisations. Deuxième obstacle : il faut rationaliser ces compétences rares entre entreprises et administration par des parcours croisés, des formations, etc.