Il est passionnant de vous entendre. Notre audition est captée, j'essaierai de ne pas vous mettre dans une situation difficile par mes questions.
La guerre est chose connue. Les cyberattaques le sont moins. Vous parlez des problèmes de détection, caractérisation, identification : c'est une question majeure, qui n'est pas facile à traiter, car il s'agit de manoeuvres autour du conflit, qui ne sont pas en elles-mêmes le conflit, tout en étant conflictuelles...
Vous avez parlé avec beaucoup de pudeur des pays qui ne nous ont pas attaqués. Vous n'avez pas cité, parmi eux, l'Islande, Andorre, Monaco ou Saint-Martin. Je m'interroge !
Plus sérieusement, selon vous, les outils cyber, l'espace numérique facilitent-ils les conflits dissymétriques ? Le monde numérique est à dominante civile, où les technologies civiles ont un effet d'entraînement. La taille est-elle un facteur essentiel d'autorité, ou au contraire, la modestie des moyens à mettre en oeuvre, la subtilité voire la perversité des procédures, la difficulté pour attribuer une attaque renforcent-elles le risque de conflit dissymétrique, opposant un pays à des forces non identifiées et dotées de moyens importants ? La fragilité provient non des systèmes militaires, car vous avez la culture de la sécurité, mais de la société. Vous avez parlé à bon droit d'hygiène numérique... Le plus grand pays allié, avec lequel nous entretenons des relations anciennes, a été pris la main dans le sac, si l'on peut dire, et à plusieurs reprises, notamment avec ses bons alliés de l'OTAN, pour sa capacité à s'intéresser à ce qui n'est pas sur la place publique. Les plus petits peuvent-ils tout autant déstabiliser un système de défense ?
Les champs d'opérations extérieures sont contrôlés et commandés par l'intermédiaire des réseaux, qu'il s'agisse d'apporter un appui aérien aux combattants ou de prendre une décision politique. Tout est relié, en instantané, les temps de réaction sont minimes : dans cette chaîne, où sont les maillons faibles ? Existe-t-il des risques plus importants sur tel ou tel théâtre ? Où sont les fragilités éventuelles de notre système militaire ?
La gestion des effectifs spécialisés est une affaire difficile, en raison de la concurrence du secteur civil et des carrières que l'on y peut faire. L'actualisation des compétences et des savoirs est une exigence permanente. Quels outils vous manque-t-il ? Il y a la défense du pays, la sécurité des armées, la sécurité des particuliers, des industries de défense, des administrations étatiques. Une attaque frappant le secteur privé peut affaiblir le pays, je pense à la déstabilisation de Saint-Gobain via une filiale en Ukraine.
La défense est un tout. Quels hommes et quelle coordination avec les services de l'État, afin que vous soyez correctement informés ?
Général François Lecointre. - Voilà des questions simples ! Le champ cyber facilite-t-il des agressions dissymétriques ? Oui, mais ce n'est pas le principal sujet pour moi. Un ennemi peut capter des innovations d'usage et être inventif dans le détournement de moyens, pour nous agresser, comme sur les théâtres du Sahel ou du Levant. N'importe qui, surtout dans la génération montante, peut s'emparer de ces outils, ce qui facilite des modes d'attaque dissymétriques. Ce sont des compétences répandues, duales, qui n'exigent pas d'armée structurée. Plus ennuyeux à mon sens, cette situation favorise les conflits hybrides, combinant des attaques sur plusieurs fronts, dans plusieurs champs, dont le champ cyber, et visant aussi la désinformation et la propagande. C'est une difficulté supplémentaire dans l'art de la guerre et la défense de notre souveraineté. Au-delà de quel seuil dois-je considérer qu'il faut mener des contre-attaques, des rétorsions, et dans quel champ ?
Général de division Olivier Bonnet de Paillerets, commandant cyber de l'état-major des armées. - Il y a aussi une difficulté, pour une société très numérisée, à répondre face à une société qui l'est moins.
Aujourd'hui, les menaces et le nombre des attaquants augmentent, mais la capacité d'attaques complexes appartient encore aux États. Les investissements en organisation, doctrine d'emploi, recrutement d'experts, nécessitent une cohérence qui n'existe que dans certains États. Cela nous donne tout de même un avantage comparatif dans une guerre même dissymétrique.
Général François Lecointre. - Concernant les OPEX et le danger pour nos forces, là où l'adversaire est capable d'agir dans le champ cyber, je précise que nous utilisons l'arme cyber comme une arme du champ de bataille. La ministre et moi-même l'avons dit lorsque nous avons présenté la doctrine de lutte informatique offensive : nous savons désorganiser un ennemi, le positionner, le traiter. Nous utilisons couramment cet outil ! Il y faut des moyens et des spécialistes, mais il nous donne un avantage très net au Sahel ou au Levant.
Il n'existe aujourd'hui aucun ennemi potentiel, à part l'Iran, voire la Russie (mais nous ne sommes pas confrontés à eux), qui puisse menacer nos réseaux et notre capacité à agir dans un espace numérisé. Tous nos systèmes d'armes sont de plus en plus numérisés, mais ils intègrent nativement la nécessité d'une protection - je pense à Scorpion ou au Scaff par exemple. Sur le champ de bataille, seules des puissances très élaborées pourraient nous menacer et nous prenons bien garde à préserver une supériorité opérationnelle qui dépend essentiellement de la mise en réseau et de la capacité à agir de façon partagée avec des effets sur une même cible mais à partir de lieux différents et selon des champs et dans des domaines différents. Nous sommes très attentifs à protéger cette capacité de transmission des données.
Général Olivier Bonnet de Paillerets. - Sur les OPEX, la gouvernance du risque cyber (lequel n'est pas sous-évalué) est descendue jusqu'au décideur opérationnel, elle relève de la responsabilité pleine et entière de celui qui commande sur le terrain. Nous avons organisé une cyber défense de bout en bout, avec une coordination entre les réseaux déployés et Paris, totalement interconnectés.
Autre axe sur lequel l'état-major a progressé : l'intégration du cyber dans toutes les composantes de toute opération interarmée ou de milieu. Pas de déploiement sans processus, équipements et gouvernance particulière autour de ce risque cyber.
Général de brigade Jean-Jacques Pellerin, chef de la division de l'état-major des armées, en charge du numérique et de la cohérence des programmes interarmées. - Un mot des maillons faibles. Le risque zéro n'existe pas. Il faut donc assurer la résilience de nos systèmes, grâce à des redondances. Ce n'est pas tant l'intégrité ou la confidentialité de la donnée qui pourrait être le maillon faible que leur acheminement : nos moyens de communication satellitaire sont très fragiles : d'où la nécessaire mise en place de moyens pour la transmission de l'ordre par plusieurs chemins. Si ce maillon faible est attaqué, toutes les fonctions ne sont pas conservées, certaines seront dégradées, mais nous pourrons mener à bien la mission qui nous a été confiée.
Général François Lecointre. - Cela explique aussi toute la réflexion conduite aujourd'hui sur l'action dans l'espace pour nous protéger contre des attaques visant nos moyens satellitaires.
Quant aux ressources humaines, nous sommes face à un défi, car la ressource est rare, mais elle peut être mutualisée, nous y reviendrons. Soit dit en passant, la condition militaire reste un sujet central : le décalage par rapport à la condition civile ne se réduit pas, ce qui pose le problème du recrutement et de la fidélisation dans toutes les spécialités rares, alors que nous avons besoin de compétences de plus en plus pointues, sur des équipements de plus en plus sophistiqués. Nous conduisons une réflexion : qu'est-ce qu'être militaire, que signifie mettre en oeuvre la force de façon délibérée pour préserver la souveraineté, en quoi y a-t-il une obligation de confier la défense de la nation à des gens dont le statut comporte des obligations de disponibilité et de discipline ? Selon moi, il faut limiter le nombre de civils dans la fonction de cybercombattant, pour laquelle nous avons réellement besoin de militaires.
Général Olivier Bonnet de Paillerets. - Les métiers sont en cours de redéfinition, car on passe de métiers sur les systèmes d'information et d'administration à des métiers sur la donnée et de la cyberdéfense. Le processus n'est pas terminé et l'on s'interroge sur la meilleure façon de mener la transition.
Quant à la valorisation des parcours, c'est une bonne surprise : nombre de jeunes supertechniciens nous rejoignent, parce qu'ils cherchent du sens à leur activité professionnelle. Il faudrait pouvoir leur proposer des parcours au-delà de trois ou six ans, au-delà desquels le décrochage de rémunération est trop important, il est difficile de les retenir. Avec l'Anssi et les services de renseignement, nous avons entrepris l'an dernier une gestion croisée des parcours, sur des cycles de six à dix ans, suffisants pour nous. Et pourquoi ne pas organiser des parcours croisés avec le monde de l'entreprise ? Autre bonne surprise, les groupes privés sont intéressés, car ils trouveraient là des cadres intermédiaires capables de structurer une partie de leur organisation - et nous obtiendrions de notre côté une partie de leur expertise.
Nous sommes en train de réécrire notre politique de formation. Les armées ont un rôle à jouer dans la formation préliminaire ; il ne faut pas s'acharner en revanche, selon moi, à faire de la formation continue, mieux vaut « up-skiller » des technicités venues du monde de l'entreprise. Enfin, nous ne sous-estimons pas l'importance de la réserve, composée de professionnels qui ont envie de nous apporter leur expertise - celle-ci est à portée de nos armées, reste à organiser la rencontre optimale de l'offre et de la demande.
La réforme de la réserve cyber est engagée depuis un an : elle n'est pas une réserve de non emploi, en attente du Pearl Harbour cyber, elle est sollicitée au quotidien, y compris dans les structures opérationnelles, car ces réservistes sont dépositaires d'expertises que nous n'avons pas. Cela n'est pas facile à mettre en oeuvre mais nous nous y attelons.