Intervention de Pierre Laurent

N'y a-t-il pas un risque de banalisation des doctrines offensives dans le domaine de la cyberdéfense ? Parallèlement à l'augmentation des moyens alloués aux armées à cette fin, faudrait-il envisager la signature d'instruments politiques visant à réguler les doctrines offensives ?

N'y a-t-il pas, en outre, un risque de privatisation de la défense plus important dans ce secteur ? L'emploi de la force est une mission régalienne, et c'est heureux. Mais qu'en est-il dans le domaine cyber ?

Général Olivier Bonnet de Paillerets. - La question de la privatisation tourne autour du concept de hack back : doit-on permettre aux entreprises de se doter de capacités offensives ? Considérant qu'il s'agit en l'espèce d'une mission régalienne, la position française, rappelée dans la revue stratégique de cyberdéfense, est restrictive en la matière contrairement aux positions anglo-saxonnes. Il existe toutefois une « zone grise » ; mais où faut-il positionner le curseur ? Doit-on autoriser les entreprises à scanner leurs réseaux en cas d'attaque ou à riposter ? Sur ce point, je pense que notre pays restera ferme sur sa doctrine.

S'agissant de la compatibilité entre la doctrine française et la pacification du cyberespace, des initiatives ont été prises par le président de la République au travers de l'Appel de Paris qui vise à responsabiliser les acteurs privés et à relancer des négociations multilatérales pour modifier le droit international dans ce domaine. Notre doctrine encadre la conception, la mise en oeuvre et l'utilisation des outils, réservés aux théâtres d'opérations extérieures pour conserver la supériorité technique et opérationnelle de nos forces armées. Le chef d'état-major des armées a donc décidé d'encadrer cette arme, nécessaire à l'engagement de nos armées. La revue stratégique de cyberdéfense rappelle sa vocation défensive : notre pays n'investit pas ce domaine pour déstabiliser des États, mais pour bien riposter suivant la sévérité de la crise. À cet égard, l'instruction du ministère des armées énumère douze niveaux de crise et des réponses adaptées.

La cyberdéfense est un cycle : il faut savoir anticiper ou détecter les attaques, les caractériser, puis les attribuer pour finalement réagir. La revue stratégique de cyberdéfense a organisé les responsabilités de chaque acteur : les services de renseignement, le ComCyber et l'ANSSI sont chargés d'anticiper les attaques ; la détection et la caractérisation sont de la responsabilité de chaque entité - le ComCyber s'agissant du ministère des armées, aux côtés de la DGSE et la DRSD qui ont leur propre système de détection ; l'attribution nécessite quant à elle une bonne connaissance de l'attaquant, ce qui relève de la compétence des services de renseignement, en particulier la DGSE et la DGSI. La cyberdéfense exige, par principe, une séparation des capacités offensives et défensives, ainsi que des interactions continues entre ses différents intervenants.

La ministre des armées et le chef d'état-major des armées ont communiqué sur les capacités coercitives de la France dans le cyberespace car la France assume sa doctrine - dont peu d'États sont dotés - et souhaite montrer qu'elle est vertueuse en la matière.

Le pôle de Rennes vise à déconcentrer le ComCyber au sein d'un écosystème universitaire et industriel, à proximité de la Direction générale de l'armement (DGA), pour entreprendre des innovations. Nous réfléchissons par exemple à la mise en place d'une zone de stockage des données du ministère des armées, qui serait accessible aux industriels pour leur permettre de développer leurs équipements. Par ailleurs, il me semble indispensable de repenser les formations continues ; l'écosystème rennais devrait permettre à mes cybercombattants de maintenir leurs connaissances à jour. Nous collaborons actuellement avec des universités, y compris dans le domaine de la recherche (datasphère, etc.), pour avoir une vision de la cyberdéfense plus large que sa seule dimension technique.

S'agissant des problématiques RH, nous avons aujourd'hui une population qui vient du secteur des systèmes d'information et non pas des secteurs de la sécurité des réseaux et de la cyberdéfense. Or la cyberdéfense, c'est un nouveau métier. L'enjeu est de faire passer les personnels d'un environnement à l'autre, et cela ne pourra se faire qu'avec l'extérieur, en renforçant notamment les parcours de formation continue.

Sur la question relative au partenariat avec Israël. Israël, nous le savons, a un système complétement mobilisé sur les enjeux cyber, défensifs et offensifs, avec des technologies de pointe et un emploi décomplexé. Toute la question, dans le cadre de ce partenariat, est de ne pas le subir, et d'en garder le contrôle.

Enfin sur nos capacités de défense globales, je suis optimiste. La Revue stratégique de cyberdéfense a créé des structures et des principes qui permettent de réunir les différents acteurs autour d'une vision globale. La C4, au sein du SGDSN, fonctionne très bien et permet une réponse opérationnelle de l'État ainsi qu'une bonne connaissance des efforts à fournir. Nous avons aujourd'hui des mécanismes permettant une vraie réponse.