Le 14 janvier, à l'initiative de cyber Orange, six grands groupes, Orange, EDF, TOTAL, Naval Group, la SNCF, Sanofi se sont alliés pour promouvoir un écosystème de cyberdéfense et le partage de leurs expériences. Comment va se faire la coopération avec ces grands groupes, notamment la présentation d'un catalogue de solutions innovantes ? En matière de coopération européenne, la cyberdéfense est un domaine de coopération, mais comment le dilemme entre autonomie stratégique et souveraineté va-t-il pouvoir être transcendé ?
Général Olivier Bonnet de Paillerets.- Tout d'abord sur la problématique du partenariat avec l'Union européenne, nous faisons face à une difficulté aujourd'hui, que vous avez rappelée : peu de pays sont aujourd'hui à maturité tant conceptuelle qu'opérationnelle pour permettre un échange en profondeur sur ce problème de sécurité qui pose également des questions de souveraineté. Je suis pour ma part convaincu que nous ne devons pas perdre de temps, nous avons mis beaucoup de temps sur le contre-terrorisme à pousser l'idée qu'il faut partager de la donnée, nous n'avons pas le temps en cyberdéfense d'hésiter ainsi. Nous ne pouvons pas aujourd'hui anticiper une attaque sur Internet si nous ne travaillons pas efficacement avec nos partenaires. Or nous ne pouvons le faire, y compris lorsque l'attaque est en cours, si nous n'avons pas développé une « intimité » technique, qu'on appelle l'interopérabilité, une confiance, qui vous permet de faire en temps réel de l'échange de données au plus bas niveau de la couche de données.
L'Allemagne a créé une organisation cyber avec beaucoup d'investissement et 15 000 hommes qui est assez différente de l'idée française tout en étant très compatible. Les militaires allemands sont eux-mêmes dans des réflexes très otaniens avant d'envisager une coopération bilatérale avec la France. S'il y a un message à porter dans ce domaine, c'est que votre coopération parlementaire avec nos partenaires allemands pourrait permettre de faire prendre conscience de la nécessité de développer une coopération bilatérale dans ce domaine. Il est évident qu'il y a une question de souveraineté. Il me semble que nous pouvons envisager une souveraineté partagée sur ces sujets avec des équipements que nous développerions en commun afin de faire des échanges de données en temps réel. Il faut dépasser l'égocentrisme de certains et d'une certaine façon le code otanien. Je me sens un peu seul sur cette position, je ne vous le cache pas.
Les Britanniques n'ont pas le même problème, ils sont assez en avance en termes de maturité opérationnelle et technique. Comme l'ANSI, nous avons un bon partenariat avec eux. Toutefois aujourd'hui la position qu'ils adapteront vis-à-vis de la France en matière de sécurité collective n'est pas encore clairement définie dans le contexte du Brexit. Nous militons pour la création d'un pilier cyber en Europe et le partenariat avec la France doit permettre de créer un équilibre face à l'hyper complémentarité anglaise avec les Américains.
On ne peut pas aujourd'hui envisager la cyber dans les enceintes multilatérales. Il faut privilégier une approche pragmatique en créant d'abord des noyaux durs qui permettent d'arriver à une gestion collective du risque cyber, ensuite seulement une gestion au niveau multilatéral, au sein de l'Union européenne, pourrait être envisagée. Certains pays me donnent de l'espoir. Je citais l'Estonie qui a une vraie maturité et a adopté une organisation un peu semblable à la nôtre il y a quelques mois. Il me semble que nous pouvons également développer un partenariat avec l'Espagne qui a construit une organisation certes en attente d'investissements mais prometteuse. Quoi qu'il en soit, je ne pourrai pas répondre à ce défi seul, c'est une certitude. La démarche militaire doit être accompagnée d'une démarche politique pour casser les codes et les réflexes en matière de souveraineté cyber et de sécurité collective.
En matière de doctrine et de riposte, la lutte informatique offensive répond à deux enjeux, l'un stratégique et l'autre tactique. D'une part, le niveau stratégique correspond au fait que le chef d'état-major des armées puisse proposer des options lorsque l'on est engagé dans une escalade, comme la diplomatie peut proposer des options, comme on peut proposer des options en matière de sanctions économiques. L'option militaire peut être une option de riposte de l'État et la composante cyber peut être une option dans l'option militaire. Mais ce n'est qu'une option parmi d'autres possibilités. D'autre part, le niveau tactique soulève la question de la possibilité pour nos équipements de nous donner une supériorité opérationnelle sur les réseaux numérisés de l'adversaire. C'est ce que prévoit la doctrine.
Je n'ai pas eu d'information sur une réponse à l'attaque de TV5. Je pense que nous n'étions pas en maturité pour pouvoir le faire. De plus une réponse ne s'organise que lorsque l'on sait à qui attribuer l'attaque. C'est pour ça que comme la notion de seuil, la notion d'attribution est clé en matière d'escalade et de désescalade. L'attribution relève d'un faisceau d'indices que les services de renseignement, parce qu'ils connaissent l'intimité de l'attaquant, vont pouvoir consolider. Les pouvoirs publics peuvent alors décider d'attribuer ou non l'attaque et choisir de le faire d'ailleurs publiquement non. On peut alors s'engager dans des mécanismes de désescalade d'État à État et apprécier si cela suffit ou dans le cas contraire rendre l'attribution publique. Dans tous les cas, il s'agit d'un choix politique de riposte basée sur l'attribution.
S'agissant des satellites, qui sont de plus en plus des noeuds de communication critiques pour les armées projetées à l'extérieur, la DGA a intégré depuis longtemps des mécanismes de cyberdéfense et de cybersécurité des composants. La question qui se pose désormais concerne l'hyper connexion. Un satellite est connecté à un segment sol et va envoyer des informations à une partie des opérateurs sur les théâtres sur lesquels nous sommes engagés mais aussi à des opérateurs centraux tels que la DIRISI ou le ministère des armées. Le sujet n'est plus tellement la sécurité des composants du satellite mais comment défendre l'hyper connectivité de bout en bout. C'est tout le défi de la cyberdéfense du ministère qui nécessite une fédération de l'ensemble des chaînes de cyberdéfense du ministère et une supervision par le COMcyber pour appréhender la « défendabilité » de l'hyper connectivité de nos systèmes.
S'agissant des partenariats avec les grands groupes, nous avançons dans plusieurs directions. Premièrement nous mettons en oeuvre avec la DGA une réflexion sur les moyens de les aider. Deuxièmement, j'ai noué un contact avec ces industriels pour envisager les moyens qu'ils avaient de m'aider à anticiper les menaces sur le ministère des armées, et en particulier, lors des projections sur les théâtres extérieurs. De même, nous avons évoqué l'expertise et la formation sans doute plus pointues dont il dispose et les moyens de les intégrer dans la formation militaire. Enfin, nous réfléchissons à la possibilité d'organiser des parcours qui permettent, par des primes notamment, qu'un jeune puisse servir le ministère des armées pendant six à sept ans, puis poursuivre son parcours professionnel dans le privé, avant de revenir à des postes d'encadrement dans les organisations opérationnelles des armées. L'organisation de ces parcours me semble nécessaire en réponse au manque d'expertise que nous connaissons aujourd'hui et que nous vivrons dans les cinq ans à venir.
Comme nous manquons d'expertise, nous cherchons à évaluer les compétences cyber des jeunes présents dans le réservoir du ministère des armées afin de pouvoir les reformer et les réorienter. Nous avons lancé des enquêtes pour évaluer le niveau de technicité des personnels partout dans les armées. Nous travaillons également à créer des formations qui permettent ces transformations de métier.
Sur Huawei, je suis au-delà de mon champ de compétence. C'est un sujet qui concerne l'ANSI qui travaille à répondre aux défis de la 5G, de l'acceptation de ses composants ou équipements. Le ministère des armées s'est également lancé dans une possible politique de traçabilité. Il me semble que l'État français répondra dans quelques semaines à toutes les questions que vous vous posez.