Intervention de Florence Parly

Vous avez déjà reçu de nombreux et éminents représentants du ministère des armées pour évoquer la souveraineté des outils numériques, les attaques cyber et les moyens humains et financiers qui y sont consacrés. Je compléterai leur éclairage, tracerai quelques perspectives et essaierai de cerner les enjeux à venir.

Je rappellerai certains constats : notre supériorité opérationnelle passe par la puissance numérique. Notre outil de défense repose en grande partie sur l'exploitation de ce potentiel. L'information a toujours précédé l'action. Le numérique accélère et multiplie l'information. Plus aucune opération ne se fait sans recours au numérique. Pour repérer l'ennemi ou le terrain, agir avec précision ou optimiser les moyens, il faut des réseaux de capteurs et des capacités de modélisation numérique.

Le numérique, ce sont aussi des opportunités, pas encore toutes exploitées, mais immenses, comme l'intelligence artificielle et la capacité à traiter massivement des données. L'exercice de la souveraineté passe par l'aptitude à saisir ces opportunités.

Le numérique est partout dans notre quotidien. Le ministère des armées n'y échappe pas, que ce soit dans ses frégates, ses avions, ses blindés de plus en plus truffés de microprocesseurs, de puces ou de logiciels. Nos communications s'appuient sur des réseaux numérisés, transitant parfois par des opérateurs privés, que ce soit par des câbles ou des flux satellitaires... Cette exposition au numérique peut être pour le meilleur - puissance et opportunités opérationnelles - ou porteuse de risques - vulnérabilité et dépendance... En effet, le numérique, c'est aussi de la conflictualité : les attaques cyber ne sont pas l'apanage du secteur civil. Nos systèmes militaires sont épiés, visés, voire attaqués.

J'ai engagé une démarche de transformation numérique du ministère des armées avec ce souci constant de notre souveraineté. Pour orchestrer cela, j'ai créé la Direction générale du numérique, opérationnelle depuis juin 2018, connue et reconnue comme un acteur majeur aux niveaux ministériel et interministériel. Les enjeux de souveraineté sont au coeur de son action. Nous avons lancé la rénovation du socle numérique du ministère des armées pour tirer toutes les potentialités de la transformation numérique tout en renforçant la sécurité et la résilience. Pour cela, une nouvelle unité de management a été créée au sein de la Direction générale de l'armement (DGA) chargée de la conduite d'opérations d'armements, dont certains incluant les systèmes d'informations. Elle travaille étroitement avec la Direction interarmées des réseaux d'infrastructure et des systèmes d'informations de la défense (Dirisi), responsable des réseaux et de l'hébergement des données et des systèmes d'information du ministère des armées. Cette unité devra répondre aux enjeux de souveraineté, au même titre que les unités de management chargées des avions de combat ou des sous-marins. Systèmes d'information et numérique sont pris en compte en tant que tels.

Les données sont un sujet à part entière. Nous devons les acquérir, les stocker et les traiter en toute indépendance. Nous avons élaboré une stratégie cloud pour assurer la sécurité et la souveraineté de l'usage de nos données, sans nous priver des services de plus en plus vastes des opérateurs. Nous devrons faire émerger des opérateurs de confiance répondant aux besoins des administrations, des entreprises françaises et du ministère.

L'intelligence artificielle est un sujet majeur de préoccupation. Nous investissons massivement, 100 millions d'euros par an, sur ce défi technologique. Nous recruterons 200 experts - un véritable défi pour nos ressources humaines.

Le ministère des armées a largement contribué, par ses commandes et son soutien à la recherche, à l'excellence de la filière française sur les moyens de calcul de très haute performance. Vous avez auditionné les responsables des grandes entreprises qui y contribuent.

Concernant la sécurité d'approvisionnement des composants, nous travaillons avec le ministère de l'économie et des finances sur le plan Nano 2022, afin de créer une filière industrielle de confiance pour la conception et la réalisation des composants électroniques. La dépendance ne peut pas être un problème traité isolément par la défense, mais doit intégrer tous les acteurs industriels, et être envisagée à l'échelle européenne.

La souveraineté numérique doit garantir à la France sa capacité à agir de façon souveraine dans l'espace numérique, en conservant son autonomie d'appréciation, de décision et d'action. La revue stratégique de défense de 2017 rappelait que le cyberespace entraîne de nouvelles vulnérabilités, faisant de notre souveraineté numérique un enjeu prioritaire.

Nous avons constaté, fin 2017, des connexions anormales sur le serveur de messagerie internet du ministère des armées. Un attaquant cherchait à accéder directement au contenu des boîtes mails de 19 cadres du ministère, dont celles de personnalités extrêmement sensibles. Sans notre vigilance, toute la chaîne de l'alimentation en carburant de la marine nationale aurait été exposée. Cette tentative d'attaque a duré jusqu'en avril 2018. Nous avons pu remonter la chaîne des serveurs jusqu'aux adresses IP. Ce mode d'attaque est bien connu de nos services, et certains l'attribuent à Turla.

Tous les incidents, nombreux, ne sont pas forcément des attaques. Nous constatons en moyenne deux incidents par jour sur les réseaux du ministère des armées, mais le chef d'état-major des armées a constaté une forte croissance de ces incidents, d'environ 20 %, entre 2017 et 2018.

Le cyber est une arme d'espionnage, mais certains États l'utilisent pour déstabiliser, manipuler, entraver ou saboter. C'est vrai en temps de paix, mais surtout en temps de crise - comme actuellement dans le Golfe - ou de guerre. De plus en plus de nations intègrent la dimension cyber dans leurs stratégies ou leurs modes d'action, cumulant capacités conventionnelles et cyber. Ne soyons pas naïfs ! Ces constats fondent l'action de notre ministère, à pied d'oeuvre pour saisir les opportunités, prévenir les risques et réduire les fragilités.

Concernant les opportunités, le cyber est au coeur de la loi de programmation militaire (LPM). Les investissements humains et financiers permettent d'imposer la France comme un acteur incontournable : 1,6 milliard d'euros seront consacrés au cyber entre 2019 et 2025. Nous devons renforcer nos capacités de prévention, de détection et d'attribution des cyberattaques. D'ici à 2025, nous aurons 4 000 cybercombattants et cybercombattantes, soit 1 000 de plus qu'actuellement. Ces recrutements, très importants, concernent le développement des capacités cyber du ministère, et nous renforçons l'expertise en cyberdéfense de la DGA. Nous prenons en compte, aussi transversalement que possible, la sécurité à l'intérieur des programmes d'armement pour préserver la souveraineté numérique des armées.

Aux moyens de la LPM s'ajoute la consolidation de la stratégie de cyberdéfense, qui garantit la résilience numérique et l'aptitude au combat. En début d'année, nous avons énoncé une doctrine cyber avec une stratégie à la fois défensive et offensive. Défensivement, nous voulons mieux anticiper les menaces par le renseignement, détecter, réparer leurs effets, les caractériser, remonter jusqu'à leur source, et protéger les réseaux. Il faut repenser la résilience numérique en intégrant tous les enjeux du numérique. En 2017, nous avons créé le Comcyber, commandement de la cyberdéfense, dirigé alors par le général Olivier Bonnet de Paillerets. Ce commandement, qui a montré son utilité, est intégré dans la chaîne de commandement, et ses moyens seront renforcés par la future LPM.

En matière de cybersécurité, le ministère des armées prend ses responsabilités en lien très étroit avec l'Agence nationale de la sécurité des systèmes d'information (Anssi). Cela étant, ma conviction est que notre effort doit aller bien au-delà. Il doit être collectif pour être efficace. La cyberdéfense n'est pas qu'une affaire de spécialistes : elle relève de la responsabilité de tous et doit constituer une priorité pour tous nos agents. C'est l'esprit et l'objet de l'instruction que le ministère a diffusée en décembre dernier. C'est ce que nous appelons la « cyber-hygiène ».

C'est également l'esprit de la décision que j'ai prise en janvier de cette année d'organiser une chaîne cyberdéfensive de bout en bout, de Balard jusqu'à nos partenaires industriels et leurs sous-traitants. Cette démarche est bien avancée et se concrétisera prochainement par la signature d'une convention entre le ministère des armées et huit grands industriels de défense. Cette convention établira des objectifs partagés pour les premières actions concrètes engagées dans le domaine de la cybersécurité. Il est indispensable de renforcer les liens entre l'État et ses principaux maîtres d'oeuvre, de faciliter la concertation autour de l'évolution des moyens, et de préserver notre base industrielle et technologique de défense. Notre stratégie contribuera très directement à la préservation de notre souveraineté.

En 2019, l'actualité nous a rappelé que les groupes industriels peuvent eux aussi être l'objet de cyberattaques, ciblant non seulement les données personnelles de leurs employés, mais aussi la documentation technique des équipements que ceux-ci conçoivent. Je pense en particulier à l'attaque qui a visé l'un des sous-traitants d'un grand groupe, phénomène qui montre l'importance d'un système assurant la sécurité de chaque chaînon de notre défense nationale. Il convient d'avoir une acception très large de cette chaîne : chaque entreprise, chaque partenaire du monde de la défense a ainsi un rôle à jouer en matière de souveraineté numérique.

Aujourd'hui, nos adversaires cherchent à exploiter toutes les failles qui se présentent pour nous atteindre, qu'elles se situent chez les industriels, leurs sous-traitants et fournisseurs, ou parmi leurs employés. Chaque système d'arme, chaque ordinateur ou smartphone, chaque objet connecté, peut être demain, à l'insu même de son propriétaire, non seulement une cible, mais également le vecteur de transmission d'une cyberattaque. C'est pourquoi nous prenons cette problématique extrêmement au sérieux.

Nous sommes également prêts à employer l'arme cyber en opération à des fins offensives, que ce soit de façon isolée ou en appui de nos moyens conventionnels, afin d'en démultiplier les effets. Une stratégie offensive est indispensable, car il faut préparer nos armées à cette nouvelle guerre, en nous assurant qu'elles disposent d'une doctrine et de capacités offensives dans le domaine informatique. C'est aussi cela la souveraineté à l'heure du numérique.

Ainsi, en cas d'attaque contre nos forces, nous nous réservons le droit de riposter, et ce dans le respect du droit, par les moyens et au moment que nous jugerons opportuns. Nous nous réservons aussi le droit de neutraliser les effets et les moyens numériques employés. Nous considérons l'arme cyber comme une arme opérationnelle à part entière. C'est un choix que nous faisons en responsabilité. Il faudra naturellement en faire un usage proportionné, mais nous n'aurons pas peur de l'utiliser.

J'aurai très prochainement l'occasion de présenter à nos partenaires notre vision du droit international appliqué aux cyberopérations. Le domaine juridique et normatif est en effet un aspect essentiel de l'exercice de notre souveraineté.

Je souhaite également aborder la question des coopérations. Leur champ ne se limite pas aux seules industries numériques et de défense. L'exercice de notre souveraineté dans le domaine numérique ne se conçoit qu'à travers le développement de coopérations internationales, tout particulièrement à l'échelon européen. Certains pourraient considérer qu'il existe une contradiction entre la notion de souveraineté numérique et celle de coopération. Il n'en est rien : c'est à travers des coopérations fortes que nous pourrons préserver notre souveraineté numérique. Celles-ci conditionnent en effet la préservation de nos expertises qui ne sauraient se maintenir si elles sont trop isolées et fragmentées. Elles conditionnent également la résilience de nos systèmes qui doivent disposer d'une certaine profondeur pour anticiper et réagir aux attaques.

Nous travaillons avec nos partenaires à la fois dans le domaine industriel pour garantir notre aptitude à développer les systèmes dont nos armées ont besoin et auront besoin dans le futur, et dans le domaine militaire pour mutualiser nos compétences et nos expertises. Le Comcyber a été créé pour assurer la cohérence du modèle de cyberdéfense du ministère dans les domaines des ressources humaines, de la politique internationale ou pour des besoins techniques spécifiques. Cela étant, il développe lui-même des partenariats stratégiques que nos services de renseignements utilisent. Il s'agit là d'un défi majeur.

J'en terminerai par les quatre défis que mon ministère doit relever.

Le premier est celui de l'expertise. C'est à la Direction générale de l'armement de placer le numérique et la cybersécurité au coeur du processus d'acquisition, de développement et de qualification de nos systèmes d'armement. Il s'agit de prendre en compte cette nouvelle doctrine offensive le plus en amont possible pour concevoir et développer les armements de demain. Cet objectif ne peut être atteint sans la mise en place d'une véritable politique d'innovation numérique. L'Agence de l'innovation de défense travaille en lien très étroit avec la Direction générale du numérique pour développer des outils - en particulier dans le domaine de l'intelligence artificielle - et des méthodes managériales dédiés à l'innovation numérique. Il reviendra donc à la Direction générale du numérique de les diffuser, d'en contrôler la mise en oeuvre et de les adapter.

Le deuxième défi est celui de l'acculturation de nos militaires et de nos personnels civils à cette nouvelle arme spécifique. Je ne développerai pas ce point, car je sais que le chef d'état-major des armées l'a déjà fait devant vous. J'insisterai simplement sur l'initiative des combattantes du numérique, les Combattantes@Numérique, démarche très intéressante, qui a été lancée en septembre 2018 et que je suis de près. Ce réseau vise à encourager les femmes à s'approprier les compétences du numérique et à les attirer dans les industries du numérique. Le ministère prend une part très importante dans ce projet. Près de 70 femmes issues des filières du numérique travaillent à faire changer les représentations.

Le troisième défi a trait à la coopération avec nos partenaires internationaux. Nous devons continuer à nous tourner vers nos alliés. Comme dans le désert, les océans, l'air et l'espace, nous ne pouvons laisser aux agresseurs le monopole de l'avantage d'évoluer dans un espace sans frontières : il n'y a pas de cyberdéfense sans alliance, et il n'y a pas d'alliance sans partenaires de confiance. Aujourd'hui, toutes les attaques ont une ampleur internationale. L'OTAN, par exemple, met en oeuvre des coopérations et des exercices en matière de cybersécurité. Nous avons ainsi gagné un défi lancé par cette organisation en avril dernier.

Les cybermenaces pèsent sur tous les pays du continent européen. Nous avons donc intérêt à unir nos efforts plutôt qu'à combattre en ordre dispersé. L'union fait la force : je n'imagine pas l'Europe de la défense sans un volet « cyberdéfense ». De ce point de vue, la création du fonds européen de défense, dont nous attendons beaucoup, devrait représenter un premier pas. Nous serons pleinement engagés dans la promotion d'initiatives en matière de cyberdéfense à l'échelon européen, notamment au travers de la création de clusters permettant d'associer dans un même pôle des chercheurs, des industriels et des entrepreneurs.

Enfin, il revient au ministère de fiabiliser nos filières d'approvisionnement dans le domaine des composants, et de le faire en lien avec les acteurs civils, là encore au niveau européen. Nous avons identifié des partenaires comme l'Estonie, l'Espagne ou le Danemark avec lesquels il est indispensable de développer notre connaissance de la menace et de nous entraîner. L'exemple de l'Estonie est intéressant : ce pays, comme vous le savez, a fait l'objet d'attaques importantes il y a quelques années et a alors su réagir avec fermeté.

Le quatrième défi, probablement le plus difficile à relever, est celui des ressources humaines. Dans ce domaine, notre politique se veut ambitieuse et attractive. Certaines personnes auditionnées ont évoqué la rigidité des procédures de recrutement et le problème du niveau des rémunérations. Je souhaite au contraire insister sur les facilités nouvelles qu'un certain nombre d'outils nous offrent : je pense en particulier à la loi de transformation de la fonction publique.

Par ailleurs, la question des rémunérations est moins problématique que l'on pourrait le croire lorsqu'il est question de recruter des jeunes en début de carrière. Nous sommes en réalité parfaitement capables d'attirer de jeunes talents. Au fond, le vrai défi qui se présente à nous est celui de les fidéliser. D'ailleurs, l'enjeu est certainement davantage de déterminer la durée de l'engagement que nous leur proposons que de parvenir à les recruter. Il faut à la fois être capable d'attirer sans cesse de nouveaux talents et d'assurer un turnover permanent.

Nous sommes conscients que la cyberdéfense nécessite des compétences de haut niveau, et que celles-ci sont très rares et très disputées. Le métier de combattant du numérique est très récent : il nous revient donc de développer cette filière. Malgré un univers extrêmement compétitif, nous sommes satisfaits de constater que les jeunes montrent une réelle envie de nous rejoindre. L'attractivité du drapeau n'est pas forcément un vain mot.

Aujourd'hui, il ne faut fermer aucune porte et il faut envisager des filières de formation, d'entraînement et de recrutement nouvelles. Dans cette bataille pour l'innovation et la sécurité numérique, chacun doit être mobilisé, depuis nos combattants numériques, qui sont de plus en plus nombreux, jusqu'aux étudiants, depuis les PME jusqu'aux soldats de notre réserve cyber qui, loin d'être occasionnelle, est utilisée quotidiennement.