Intervention de Franck Montaugé

La revue stratégique de défense et de sécurité nationale de 2017 et la revue stratégique de cyberdéfense de février 2018 ont reconnu le rôle majeur de la cyberdéfense militaire. Notre pays s'est doté d'une doctrine militaire en lutte informatique offensive tout en renforçant la politique de lutte informatique défensive du ministère des Armées. La capacité à se protéger contre les attaques informatiques, à les détecter, à en identifier les auteurs mais également à riposter, est devenue l'un des éléments clefs de notre souveraineté.

Je commencerai donc, général Lecointre, par vous demander comment vous appréhendez la notion de souveraineté numérique. Distinguez-vous la souveraineté classique, de défense du territoire, de la souveraineté numérique, par nature dématérialisée ? Pouvez-vous nous présenter la doctrine prenant en compte et les modifications de la souveraineté classique par le monde numérique : quelle est la place du numérique dans ce cadre ?

Un pays ne peut être souverain s'il ne parvient pas d'une part à contrôler les activités numériques qui affectent son territoire, et s'il ne dispose pas d'autre part des technologies clés et des infrastructures critiques. Un pays ne peut être souverain sans les armes lui permettant de garantir son autonomie et sans la maîtrise des théâtres opérationnels affectés par de nouvelles menaces numériques. Avons-nous aujourd'hui les moyens de nos ambitions dans tous ces domaines ?

Général François Lecointre, chef d'état-major des armées. - Ma mission est d'assurer à la France la capacité d'une part à agir de manière souveraine dans l'espace numérique, d'autre part de conserver une capacité autonome d'appréciation, de décision et d'action, et de préserver également les composantes les plus traditionnelles de sa souveraineté vis-à-vis de menaces nouvelles, qui tirent parti de la numérisation croissante de la société. Les menaces et les risques s'accroissent, en témoignent les graves incidents tels que Wanacry ou Notpetya, ou celui observé lors des élections américaines. Les opérations de désinformation sont difficiles à contrer car nous sommes ouverts au niveau européen, l'article 10 de la convention européenne des droits de l'homme nous y oblige. Le débat, en outre, est permanent entre sécurité collective et droits individuels...

Un certain nombre de réponses ont visé à réduire les tensions et les menaces, en particulier par la régulation internationale et la création de normes, je songe au Règlement général sur la protection des données ou au Cloud act du 23 mars 2018.

Les armées sont la cible d'attaques informatiques particulièrement nombreuses. Ainsi, en 2018, 831 événements significatifs ont été recensés par le commandement de la cyberdéfense (Comcyber), soit une augmentation de l'ordre de 20% par rapport à 2017. Une centaine consiste en des attaques informatiques avérées, dont six sont caractéristiques de modes d'action de groupes structurés affiliés à des États. Toutes ces attaques ont été menées à des fins d'espionnage de hauts responsables du ministère ou de fonctions opérationnelles.

En 2018, le ministère des armées a été la cible d'attaques par un mode d'action connu de nos services, que certains attribuent à Turla, groupe affilié au service fédéral de sécurité russe. Les cibles identifiées sont des membres du ministère ayant des responsabilités dans le domaine des relations internationales, ou des fonctions opérationnelles d'intérêt, comme l'approvisionnement en carburant des bâtiments de la marine nationale, afin de suivre les escales de nos bâtiments. Aucune attaque de groupe affilié à la Chine n'a été observée ; les cybermenaces iranienne et nord-coréenne ne semblent pas non plus, à ce stade, viser les armées ou le ministère.

En tant que chef d'état-major des armées (CEMA), j'assume des responsabilités et des prérogatives - de nature défensive - définies dans la revue nationale cyber de février 2018. Cette revue organise la gouvernance cyber de l'État autour de quatre piliers aux gouvernances spécifiques : la prévention, sous la responsabilité de l'Agence nationale de la sécurité des systèmes d'information et du Premier ministre ; le renseignement, avec la DGSE, la DGSI et les ministères de tutelle ; l'action judiciaire qui relève à la chancellerie, et l'action militaire, conduite par le chef d'état-major des armées et le Président de la République.

Chaque pilier a une gouvernance autonome et tous se coordonnent autour d'un comité de coordination des crises cyber ou « C4 », qui articule le cycle de la cyber défense - détection, attribution, réponses, car il s'agit de définir les stratégie de réponse qui sont soumises au politique.

Les orientations prises par la revue fonctionnent très bien ; le CEMA dépositaire de la conduite des opérations militaires a été renforcé dans sa responsabilité de cyber défense sur le périmètre du ministère des armées, et pour la conduite des opérations numériques. Le commandement cyber a été créé il y a moins de deux ans, il me seconde dans cette double responsabilité. Le rôle stratégique, central, de la cyberdéfense militaire a été parfaitement reconnu.

Dans mon périmètre de responsabilités, je vise une numérisation maîtrisée, qui doit profiter des opportunités offertes par les technologies émergentes tout en maintenant les systèmes à un très haut niveau de sécurité. La souveraineté numérique est dans l'ADN du ministère et des armées ! Nous sommes parfaitement conscients des vulnérabilités de nos systèmes et nous avons le souci constant de préserver à la fois l'intégrité, la confidentialité et la disponibilité des données. Celles-ci sont la matière première de nos systèmes d'information. Elles sont maîtrisées sur toute la durée de leur utilisation, dans la collecte comme dans le stockage, en fonction de leurs niveaux de sensibilité. Les données opérationnelles sont les plus sensibles, mais les données médicales ou relatives aux ressources humaines, par exemple, sont sensibles également. Leur exploitation exige un personnel habilité et des systèmes homologués par les armées, elles transitent sur des réseaux maîtrisés et chiffrés.

La direction interarmées des réseaux d'infrastructures et des systèmes d'information de la défense (Dirisi), opérateur du ministère, assure la gestion des réseaux qui lui sont dédiés, administre plus de 1500 systèmes d'information et héberge les données du ministère au sein d'infrastructure réparties sur tout le territoire.

L'utilisation de l'internet par les armées fait l'objet d'une attention particulière : surveillance permanente des échanges de fichiers, sécurisation des sites, anonymisation des recherches sur source ouverte.

Enfin, tous, du cadre au soldat, sont sensibilisés et formés à l'hygiène numérique.

Il demeure que nous traversons une période charnière de fragilité : l'utilisation des dernières technologies disponibles doit être intégrée à nos systèmes pour garantir notre supériorité informationnelle ; mais ce, avec une grande prudence lors de l'intégration, afin de conserver un haut niveau de sécurité.

C'est pourquoi nous poursuivons nos efforts en termes de big data et d'intelligence artificielle, pour développer le traitement et l'analyse de quantités de données qui ne sont pas humainement exploitables afin de produire une information valorisée à partir de la très grande masse de données disponibles. La ministre a annoncé un investissement de 100 millions d'euros par an dans ce domaine. Le point le plus crucial est celui du recrutement de spécialistes.

Il s'agit aussi de mener une stratégie cloud robuste. Les armées vont devoir appuyer leur transformation numérique, désormais permanente, sur un opérateur de confiance en mesure de garantir la souveraineté numérique du ministère. La stratégie industrielle doit nous permettre de construire un écosystème national de confiance, s'appuyant sur des niveaux de cloud différenciés, selon le niveau de confidentialité des données. Cela exige, j'y insiste, une sensibilisation de tous, soldats et cadres, quant aux risques : il nous revient d'instruire nos soldats sur la grammaire et l'orthographe de l'espace numérique, objets connectés compris. L'ensemble du personnel du ministère de la défense doit maîtriser l'utilisation d'internet, au plan professionnel ou privé, tous étant présents sur les réseaux sociaux, en France comme sur les théâtres d'opération... Enfin, il faut adapter les organisations à la gouvernance du risque cyber.

La collecte et l'exploitation des données doivent évoluer pour que nous profitions de la pleine capacité offerte par les nouveaux capteurs spatiaux et numériques, inscrits dans la loi de programmation. La direction du renseignement militaire (DRM) s'appuiera ainsi sur le programme Demeter pour exploiter efficacement les giga-octets de données techniques issues des programmes électromagnétiques. Cela implique de recourir à l'intelligence artificielle.

Il faut également maîtriser la projection de puissance en tout point du globe - une des caractéristique de l'armée française - avec une sécurité des raccordements des systèmes d'information et de communication projetés aux réseaux d'infrastructure : le « bout en bout » numérique, depuis Balard jusqu'aux échelons tactiques de base, sur le terrain, est fondamental. Les réseaux doivent donc augmenter leurs capacités et consolider leur fiabilité, en maîtrisant la cryptologie. La Dirisi assure le chiffrement des réseaux, y compris pour le déclenchement de la dissuasion nucléaire.

Dans le cadre de ma mission cyber, je dois disposer d'une autonomie d'appréciation, pour proposer au pouvoir politique des options dans le champ de mes responsabilités, et d'une capacité automne d'opérations cyber, au profit des opérations en cours. Le cyber est en effet considérée comme une arme d'emploi, pour la défense de nos intérêts et de notre souveraineté.

Cela exige de maîtriser la détection, la caractérisation et l'attribution d'une attaque - donc de disposer d'un équipement en sondes souveraines. D'où la montée en puissance des capacités cyber du Comcyber et des services de renseignement, avec une mutualisation entre les deux.

Il est impératif de pouvoir proposer au pouvoir politique une option de réponse en cas de crise majeure, y compris dans le champ cyber, par l'engagement de moyens militaires autonomes, en particulier la capacité à produire des effets cyber à partir de moyens militaires.

Il convient aussi sur le champ de bataille de développer une capacité d'actions numérique propre, intégrée à la manoeuvre militaire. Cela est de plus en plus nécessaire sur des champs de bataille qui se numérisent de plus en plus. Notre supériorité opérationnelle passe par la capacité à protéger nos moyens et à démultiplier les effets que nous produisons : obtention de renseignement opérationnel, neutralisation d'un système de commandement adverse, désorganisation de centres de propagande adverses,...

Il nous faut aussi développer des partenariats pour consolider notre appréciation de situation et nos coalitions. Mais peu de pays disposent de la maturité conceptuelle, organisationnelle et opérationnelle suffisante pour nous permettre de nouer des échanges de confiance.

Il importe de jouer un rôle moteur dans la promotion d'une culture militaire cyber partagée entre partenaires européens, au sein de l'OTAN ou de l'Union européenne : nous y travaillons notamment à travers l'initiative européenne d'intervention (IEI). Autre exigence, promouvoir au plan international un comportement responsable, facteur de stabilité.

Enfin, il s'agit d'opérer un rapprochement avec le monde industriel numérique, pour que nos armées restent connectées au progrès et pour garantir les ressources humaines dont nous avons besoin. C'est notre premier défi, car contrairement à ce que nous avons connu au sortir de la Deuxième guerre mondiale et jusqu'à la fin de la guerre froide, aujourd'hui, c'est de moins en moins la recherche militaire qui tire la recherche civile. Les technologies civiles, duales, nous imposent de rester étroitement connectés à ce monde industriel qui innove sans cesse. En janvier dernier, le ministère a signé une convention avec les industriels de défense.

Il nous faut une famille professionnelle RH SIC armée et structurée, or nous avons enregistré à fin 2018 un déficit de 1 300 emplois militaires et civils, en retrait de 8% par rapport aux besoins, compte tenu de la menace cyber, de la transformation numérique et du plein emploi des cadres dans le secteur civil des systèmes d'information. Nous avons de plus en plus de mal à fidéliser une main d'oeuvre qui est très recherchée. Nous nous efforçons donc à favoriser les recrutements d'agents civils sous contrats (ASC), voie qui n'est pas entièrement satisfaisante.

En matière d'intelligence artificielle et de big data, des compétences spécifiques sont nécessaires également au plus près des opérationnels pour répondre au besoin des armées selon des « approches agiles ». Dans le domaine cyber, l'objectif est de disposer de 1000 cyber-combattants supplémentaires d'ici à 2025. La ressource humaine en sortie des écoles et sur le marché du travail n'est pas suffisante. Il faut donc développer une politique spécifique pour le recrutement, la fidélisation, la formation. Cela nous amène également à réfléchir sur le rôle du personnel civil dans l'action militaire cyber.

Le numérique a envahi toute les activités humaines, dans les sphères étatiques, professionnelles, privées. Il gomme toutes les frontières physiques sans pour autant les faire disparaître, autorise une circulation quasi instantanée de l'information et permet un niveau d'interaction jamais atteint. Il peut remettre en question la notion d'État, de souveraineté. Il inquiète par ses potentialités vertigineuses et ses conséquences sur nos sociétés et organisations étatiques.

Mais les armées, investies de la responsabilité de préserver la souveraineté nationale, sont plutôt en avance. La donnée occupe depuis longtemps une place centrale ; sa protection et son utilisation ont toujours été une préoccupation. Dans ce champ comme ailleurs, l'autonomie stratégique, garante de la souveraineté, est l'objectif que nous nous fixons.

Aujourd'hui, notre organisation, qui repose sur la Dirisi et le Comcyber, est mature. Nos capacités d'action et de protection sont de très bon niveau, comme le montre notre victoire récente lors de l'exercice international Locked shields.

Il nous faut rester à la pointe de l'innovation technologique ; et recruter, former et fidéliser les meilleurs cyber-combattants. Tels sont nos défis actuels.