Je n'ai pas la réponse précise à votre question, monsieur le sénateur. Mais le ministère ne reste pas figé sur les sanctions classiques. Ainsi, l'Agence de gestion et de recouvrement des avoirs saisis et confisqués (Agrasc) est une autre réponse, infiniment plus efficace que la peine de prison ou d'amende. C'est un succès. L'effacement des contenus est une réponse, mais elle n'est pas toujours la plus optimale.

La réunion est close à 10 h 50.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

La réunion est ouverte à 11 heures.

Nous poursuivons nos travaux avec l'audition de Mme Florence Parly, ministre des armées. Cette audition sera diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié. Je rappelle qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal.

Conformément à la procédure applicable aux commissions d'enquête, Mme Florence Parly prête serment.

Vous avez la responsabilité d'un ministère régalien essentiel pour la souveraineté numérique. La revue stratégique de défense et de sécurité nationale de 2017 fait de notre souveraineté numérique un enjeu prioritaire et la revue stratégique de cyberdéfense de février 2018 définit la souveraineté numérique comme « la capacité de la France, d'une part, d'agir de manière souveraine dans l'espace numérique, en y conservant une capacité autonome d'appréciation, de décision et d'action, et, d'autre part, de préserver les composantes les plus traditionnelles de sa souveraineté vis-à-vis de menaces nouvelles tirant partie de la numérisation croissante de la société ».

Un pays ne peut être souverain s'il ne parvient pas à contrôler les activités numériques qui affectent son territoire et s'il ne dispose pas des technologies clés et des infrastructures critiques. Un pays ne peut pas non plus être souverain sans les armes lui permettant de garantir son autonomie et la maîtrise des théâtres opérationnels affectés par de nouvelles menaces numériques. Avons-nous aujourd'hui tous les moyens de nos ambitions dans tous ces domaines ?

Le 18 janvier 2019, notre pays s'est doté d'une doctrine militaire de lutte informatique offensive (LIO). La capacité à se protéger contre les attaques informatiques, à les détecter, à en identifier les auteurs est l'un des éléments clefs de notre souveraineté, mais elle ne pouvait se suffire à elle-même. N'avons-nous pas tardé à nous doter d'une capacité de riposter ? Nous sommes-nous donné la possibilité d'être suffisamment offensifs pour être dissuasifs ?

Vous avez déjà reçu de nombreux et éminents représentants du ministère des armées pour évoquer la souveraineté des outils numériques, les attaques cyber et les moyens humains et financiers qui y sont consacrés. Je compléterai leur éclairage, tracerai quelques perspectives et essaierai de cerner les enjeux à venir.

Je rappellerai certains constats : notre supériorité opérationnelle passe par la puissance numérique. Notre outil de défense repose en grande partie sur l'exploitation de ce potentiel. L'information a toujours précédé l'action. Le numérique accélère et multiplie l'information. Plus aucune opération ne se fait sans recours au numérique. Pour repérer l'ennemi ou le terrain, agir avec précision ou optimiser les moyens, il faut des réseaux de capteurs et des capacités de modélisation numérique.

Le numérique, ce sont aussi des opportunités, pas encore toutes exploitées, mais immenses, comme l'intelligence artificielle et la capacité à traiter massivement des données. L'exercice de la souveraineté passe par l'aptitude à saisir ces opportunités.

Le numérique est partout dans notre quotidien. Le ministère des armées n'y échappe pas, que ce soit dans ses frégates, ses avions, ses blindés de plus en plus truffés de microprocesseurs, de puces ou de logiciels. Nos communications s'appuient sur des réseaux numérisés, transitant parfois par des opérateurs privés, que ce soit par des câbles ou des flux satellitaires... Cette exposition au numérique peut être pour le meilleur - puissance et opportunités opérationnelles - ou porteuse de risques - vulnérabilité et dépendance... En effet, le numérique, c'est aussi de la conflictualité : les attaques cyber ne sont pas l'apanage du secteur civil. Nos systèmes militaires sont épiés, visés, voire attaqués.

J'ai engagé une démarche de transformation numérique du ministère des armées avec ce souci constant de notre souveraineté. Pour orchestrer cela, j'ai créé la Direction générale du numérique, opérationnelle depuis juin 2018, connue et reconnue comme un acteur majeur aux niveaux ministériel et interministériel. Les enjeux de souveraineté sont au coeur de son action. Nous avons lancé la rénovation du socle numérique du ministère des armées pour tirer toutes les potentialités de la transformation numérique tout en renforçant la sécurité et la résilience. Pour cela, une nouvelle unité de management a été créée au sein de la Direction générale de l'armement (DGA) chargée de la conduite d'opérations d'armements, dont certains incluant les systèmes d'informations. Elle travaille étroitement avec la Direction interarmées des réseaux d'infrastructure et des systèmes d'informations de la défense (Dirisi), responsable des réseaux et de l'hébergement des données et des systèmes d'information du ministère des armées. Cette unité devra répondre aux enjeux de souveraineté, au même titre que les unités de management chargées des avions de combat ou des sous-marins. Systèmes d'information et numérique sont pris en compte en tant que tels.

Les données sont un sujet à part entière. Nous devons les acquérir, les stocker et les traiter en toute indépendance. Nous avons élaboré une stratégie cloud pour assurer la sécurité et la souveraineté de l'usage de nos données, sans nous priver des services de plus en plus vastes des opérateurs. Nous devrons faire émerger des opérateurs de confiance répondant aux besoins des administrations, des entreprises françaises et du ministère.

L'intelligence artificielle est un sujet majeur de préoccupation. Nous investissons massivement, 100 millions d'euros par an, sur ce défi technologique. Nous recruterons 200 experts - un véritable défi pour nos ressources humaines.

Le ministère des armées a largement contribué, par ses commandes et son soutien à la recherche, à l'excellence de la filière française sur les moyens de calcul de très haute performance. Vous avez auditionné les responsables des grandes entreprises qui y contribuent.

Concernant la sécurité d'approvisionnement des composants, nous travaillons avec le ministère de l'économie et des finances sur le plan Nano 2022, afin de créer une filière industrielle de confiance pour la conception et la réalisation des composants électroniques. La dépendance ne peut pas être un problème traité isolément par la défense, mais doit intégrer tous les acteurs industriels, et être envisagée à l'échelle européenne.

La souveraineté numérique doit garantir à la France sa capacité à agir de façon souveraine dans l'espace numérique, en conservant son autonomie d'appréciation, de décision et d'action. La revue stratégique de défense de 2017 rappelait que le cyberespace entraîne de nouvelles vulnérabilités, faisant de notre souveraineté numérique un enjeu prioritaire.

Nous avons constaté, fin 2017, des connexions anormales sur le serveur de messagerie internet du ministère des armées. Un attaquant cherchait à accéder directement au contenu des boîtes mails de 19 cadres du ministère, dont celles de personnalités extrêmement sensibles. Sans notre vigilance, toute la chaîne de l'alimentation en carburant de la marine nationale aurait été exposée. Cette tentative d'attaque a duré jusqu'en avril 2018. Nous avons pu remonter la chaîne des serveurs jusqu'aux adresses IP. Ce mode d'attaque est bien connu de nos services, et certains l'attribuent à Turla.

Tous les incidents, nombreux, ne sont pas forcément des attaques. Nous constatons en moyenne deux incidents par jour sur les réseaux du ministère des armées, mais le chef d'état-major des armées a constaté une forte croissance de ces incidents, d'environ 20 %, entre 2017 et 2018.

Le cyber est une arme d'espionnage, mais certains États l'utilisent pour déstabiliser, manipuler, entraver ou saboter. C'est vrai en temps de paix, mais surtout en temps de crise - comme actuellement dans le Golfe - ou de guerre. De plus en plus de nations intègrent la dimension cyber dans leurs stratégies ou leurs modes d'action, cumulant capacités conventionnelles et cyber. Ne soyons pas naïfs ! Ces constats fondent l'action de notre ministère, à pied d'oeuvre pour saisir les opportunités, prévenir les risques et réduire les fragilités.

Concernant les opportunités, le cyber est au coeur de la loi de programmation militaire (LPM). Les investissements humains et financiers permettent d'imposer la France comme un acteur incontournable : 1,6 milliard d'euros seront consacrés au cyber entre 2019 et 2025. Nous devons renforcer nos capacités de prévention, de détection et d'attribution des cyberattaques. D'ici à 2025, nous aurons 4 000 cybercombattants et cybercombattantes, soit 1 000 de plus qu'actuellement. Ces recrutements, très importants, concernent le développement des capacités cyber du ministère, et nous renforçons l'expertise en cyberdéfense de la DGA. Nous prenons en compte, aussi transversalement que possible, la sécurité à l'intérieur des programmes d'armement pour préserver la souveraineté numérique des armées.

Aux moyens de la LPM s'ajoute la consolidation de la stratégie de cyberdéfense, qui garantit la résilience numérique et l'aptitude au combat. En début d'année, nous avons énoncé une doctrine cyber avec une stratégie à la fois défensive et offensive. Défensivement, nous voulons mieux anticiper les menaces par le renseignement, détecter, réparer leurs effets, les caractériser, remonter jusqu'à leur source, et protéger les réseaux. Il faut repenser la résilience numérique en intégrant tous les enjeux du numérique. En 2017, nous avons créé le Comcyber, commandement de la cyberdéfense, dirigé alors par le général Olivier Bonnet de Paillerets. Ce commandement, qui a montré son utilité, est intégré dans la chaîne de commandement, et ses moyens seront renforcés par la future LPM.

En matière de cybersécurité, le ministère des armées prend ses responsabilités en lien très étroit avec l'Agence nationale de la sécurité des systèmes d'information (Anssi). Cela étant, ma conviction est que notre effort doit aller bien au-delà. Il doit être collectif pour être efficace. La cyberdéfense n'est pas qu'une affaire de spécialistes : elle relève de la responsabilité de tous et doit constituer une priorité pour tous nos agents. C'est l'esprit et l'objet de l'instruction que le ministère a diffusée en décembre dernier. C'est ce que nous appelons la « cyber-hygiène ».

C'est également l'esprit de la décision que j'ai prise en janvier de cette année d'organiser une chaîne cyberdéfensive de bout en bout, de Balard jusqu'à nos partenaires industriels et leurs sous-traitants. Cette démarche est bien avancée et se concrétisera prochainement par la signature d'une convention entre le ministère des armées et huit grands industriels de défense. Cette convention établira des objectifs partagés pour les premières actions concrètes engagées dans le domaine de la cybersécurité. Il est indispensable de renforcer les liens entre l'État et ses principaux maîtres d'oeuvre, de faciliter la concertation autour de l'évolution des moyens, et de préserver notre base industrielle et technologique de défense. Notre stratégie contribuera très directement à la préservation de notre souveraineté.

En 2019, l'actualité nous a rappelé que les groupes industriels peuvent eux aussi être l'objet de cyberattaques, ciblant non seulement les données personnelles de leurs employés, mais aussi la documentation technique des équipements que ceux-ci conçoivent. Je pense en particulier à l'attaque qui a visé l'un des sous-traitants d'un grand groupe, phénomène qui montre l'importance d'un système assurant la sécurité de chaque chaînon de notre défense nationale. Il convient d'avoir une acception très large de cette chaîne : chaque entreprise, chaque partenaire du monde de la défense a ainsi un rôle à jouer en matière de souveraineté numérique.

Aujourd'hui, nos adversaires cherchent à exploiter toutes les failles qui se présentent pour nous atteindre, qu'elles se situent chez les industriels, leurs sous-traitants et fournisseurs, ou parmi leurs employés. Chaque système d'arme, chaque ordinateur ou smartphone, chaque objet connecté, peut être demain, à l'insu même de son propriétaire, non seulement une cible, mais également le vecteur de transmission d'une cyberattaque. C'est pourquoi nous prenons cette problématique extrêmement au sérieux.

Nous sommes également prêts à employer l'arme cyber en opération à des fins offensives, que ce soit de façon isolée ou en appui de nos moyens conventionnels, afin d'en démultiplier les effets. Une stratégie offensive est indispensable, car il faut préparer nos armées à cette nouvelle guerre, en nous assurant qu'elles disposent d'une doctrine et de capacités offensives dans le domaine informatique. C'est aussi cela la souveraineté à l'heure du numérique.

Ainsi, en cas d'attaque contre nos forces, nous nous réservons le droit de riposter, et ce dans le respect du droit, par les moyens et au moment que nous jugerons opportuns. Nous nous réservons aussi le droit de neutraliser les effets et les moyens numériques employés. Nous considérons l'arme cyber comme une arme opérationnelle à part entière. C'est un choix que nous faisons en responsabilité. Il faudra naturellement en faire un usage proportionné, mais nous n'aurons pas peur de l'utiliser.

J'aurai très prochainement l'occasion de présenter à nos partenaires notre vision du droit international appliqué aux cyberopérations. Le domaine juridique et normatif est en effet un aspect essentiel de l'exercice de notre souveraineté.

Je souhaite également aborder la question des coopérations. Leur champ ne se limite pas aux seules industries numériques et de défense. L'exercice de notre souveraineté dans le domaine numérique ne se conçoit qu'à travers le développement de coopérations internationales, tout particulièrement à l'échelon européen. Certains pourraient considérer qu'il existe une contradiction entre la notion de souveraineté numérique et celle de coopération. Il n'en est rien : c'est à travers des coopérations fortes que nous pourrons préserver notre souveraineté numérique. Celles-ci conditionnent en effet la préservation de nos expertises qui ne sauraient se maintenir si elles sont trop isolées et fragmentées. Elles conditionnent également la résilience de nos systèmes qui doivent disposer d'une certaine profondeur pour anticiper et réagir aux attaques.

Nous travaillons avec nos partenaires à la fois dans le domaine industriel pour garantir notre aptitude à développer les systèmes dont nos armées ont besoin et auront besoin dans le futur, et dans le domaine militaire pour mutualiser nos compétences et nos expertises. Le Comcyber a été créé pour assurer la cohérence du modèle de cyberdéfense du ministère dans les domaines des ressources humaines, de la politique internationale ou pour des besoins techniques spécifiques. Cela étant, il développe lui-même des partenariats stratégiques que nos services de renseignements utilisent. Il s'agit là d'un défi majeur.

J'en terminerai par les quatre défis que mon ministère doit relever.

Le premier est celui de l'expertise. C'est à la Direction générale de l'armement de placer le numérique et la cybersécurité au coeur du processus d'acquisition, de développement et de qualification de nos systèmes d'armement. Il s'agit de prendre en compte cette nouvelle doctrine offensive le plus en amont possible pour concevoir et développer les armements de demain. Cet objectif ne peut être atteint sans la mise en place d'une véritable politique d'innovation numérique. L'Agence de l'innovation de défense travaille en lien très étroit avec la Direction générale du numérique pour développer des outils - en particulier dans le domaine de l'intelligence artificielle - et des méthodes managériales dédiés à l'innovation numérique. Il reviendra donc à la Direction générale du numérique de les diffuser, d'en contrôler la mise en oeuvre et de les adapter.

Le deuxième défi est celui de l'acculturation de nos militaires et de nos personnels civils à cette nouvelle arme spécifique. Je ne développerai pas ce point, car je sais que le chef d'état-major des armées l'a déjà fait devant vous. J'insisterai simplement sur l'initiative des combattantes du numérique, les Combattantes@Numérique, démarche très intéressante, qui a été lancée en septembre 2018 et que je suis de près. Ce réseau vise à encourager les femmes à s'approprier les compétences du numérique et à les attirer dans les industries du numérique. Le ministère prend une part très importante dans ce projet. Près de 70 femmes issues des filières du numérique travaillent à faire changer les représentations.

Le troisième défi a trait à la coopération avec nos partenaires internationaux. Nous devons continuer à nous tourner vers nos alliés. Comme dans le désert, les océans, l'air et l'espace, nous ne pouvons laisser aux agresseurs le monopole de l'avantage d'évoluer dans un espace sans frontières : il n'y a pas de cyberdéfense sans alliance, et il n'y a pas d'alliance sans partenaires de confiance. Aujourd'hui, toutes les attaques ont une ampleur internationale. L'OTAN, par exemple, met en oeuvre des coopérations et des exercices en matière de cybersécurité. Nous avons ainsi gagné un défi lancé par cette organisation en avril dernier.

Les cybermenaces pèsent sur tous les pays du continent européen. Nous avons donc intérêt à unir nos efforts plutôt qu'à combattre en ordre dispersé. L'union fait la force : je n'imagine pas l'Europe de la défense sans un volet « cyberdéfense ». De ce point de vue, la création du fonds européen de défense, dont nous attendons beaucoup, devrait représenter un premier pas. Nous serons pleinement engagés dans la promotion d'initiatives en matière de cyberdéfense à l'échelon européen, notamment au travers de la création de clusters permettant d'associer dans un même pôle des chercheurs, des industriels et des entrepreneurs.

Enfin, il revient au ministère de fiabiliser nos filières d'approvisionnement dans le domaine des composants, et de le faire en lien avec les acteurs civils, là encore au niveau européen. Nous avons identifié des partenaires comme l'Estonie, l'Espagne ou le Danemark avec lesquels il est indispensable de développer notre connaissance de la menace et de nous entraîner. L'exemple de l'Estonie est intéressant : ce pays, comme vous le savez, a fait l'objet d'attaques importantes il y a quelques années et a alors su réagir avec fermeté.

Le quatrième défi, probablement le plus difficile à relever, est celui des ressources humaines. Dans ce domaine, notre politique se veut ambitieuse et attractive. Certaines personnes auditionnées ont évoqué la rigidité des procédures de recrutement et le problème du niveau des rémunérations. Je souhaite au contraire insister sur les facilités nouvelles qu'un certain nombre d'outils nous offrent : je pense en particulier à la loi de transformation de la fonction publique.

Par ailleurs, la question des rémunérations est moins problématique que l'on pourrait le croire lorsqu'il est question de recruter des jeunes en début de carrière. Nous sommes en réalité parfaitement capables d'attirer de jeunes talents. Au fond, le vrai défi qui se présente à nous est celui de les fidéliser. D'ailleurs, l'enjeu est certainement davantage de déterminer la durée de l'engagement que nous leur proposons que de parvenir à les recruter. Il faut à la fois être capable d'attirer sans cesse de nouveaux talents et d'assurer un turnover permanent.

Nous sommes conscients que la cyberdéfense nécessite des compétences de haut niveau, et que celles-ci sont très rares et très disputées. Le métier de combattant du numérique est très récent : il nous revient donc de développer cette filière. Malgré un univers extrêmement compétitif, nous sommes satisfaits de constater que les jeunes montrent une réelle envie de nous rejoindre. L'attractivité du drapeau n'est pas forcément un vain mot.

Aujourd'hui, il ne faut fermer aucune porte et il faut envisager des filières de formation, d'entraînement et de recrutement nouvelles. Dans cette bataille pour l'innovation et la sécurité numérique, chacun doit être mobilisé, depuis nos combattants numériques, qui sont de plus en plus nombreux, jusqu'aux étudiants, depuis les PME jusqu'aux soldats de notre réserve cyber qui, loin d'être occasionnelle, est utilisée quotidiennement.

Le sujet est absolument passionnant, madame la ministre. Nous savons combien votre ministère s'implique pour préserver la souveraineté numérique de notre pays. Lors de précédentes auditions, nous avons pu nous familiariser avec la politique que vous défendez, en particulier l'affirmation d'une stratégie offensive en matière de cybersécurité. Face aux défis à relever, j'ai deux préoccupations.

La première concerne la dimension économique du monde numérique. La France, que nous le voulions ou non, est un acteur important, mais minoritaire dans ce secteur. En effet, la majeure partie des investissements est aujourd'hui contrôlée par des acteurs extérieurs.

Je prendrai l'exemple du plan Nano 2022. Il s'agit d'un rendez-vous extraordinairement important. Seulement, les entreprises les plus importantes ne sont pas françaises et les débouchés de l'industrie commandent souvent, hélas, la réussite de ceux qui, en amont, conçoivent et imaginent les systèmes. Selon vous, peut-on maintenir un haut niveau de qualifications technologiques et scientifiques en France, alors que les acteurs nationaux n'auraient pas atteint une taille suffisante ? La question se pose aussi en matière de ressources humaines.

Nous avons réussi à maintenir une autonomie assez forte de nos industries de défense dans la plupart des domaines stratégiques, notamment grâce à la politique de dissuasion. Toutefois, le secteur du numérique étant profondément dual, le chiffre d'affaires des grands acteurs ne risque-t-il pas de marginaliser nos industriels au regard de leur place sur le marché ?

En matière de ressources humaines, a-t-on tenté de freiner le brain drain, notamment en s'intéressant aux expériences de pays plus petits qui ont mieux réussi que nous à mobiliser leurs effectifs ? Je suis étonné par exemple des résultats industriels d'Israël en matière de défense, malgré sa population réduite.

Mon second sujet concerne spécifiquement les conflits, tensions ou offensives cyber. Notre lutte informatique est bonne, mais le problème de l'identification de la menace se pose. En matière de défense, à la différence du domaine judiciaire, on ne peut pas se baser sur une forte présomption ; il faut travailler sur des faits établis. Cette difficulté d'identification tend à protéger nos adversaires et, en la matière, nous ne pouvons pas vraiment compter sur nos amis, en dépit des accords de coopération. Nos voisins n'hésiteront en effet jamais à nous « faire les poches »...

Votre bataille pour faire évoluer le droit international me semble donc indispensable, madame la ministre. Vous avez cité trois pays européens sérieux avec lesquels on peut travailler. Vous avez en revanche écarté trois grands pays, l'Italie, le Royaume-Uni et l'Allemagne, qui disposent pourtant d'une industrie de la défense et jouent un rôle significatif. Si nous n'arrivons pas à nous accorder avec eux et à jouer le jeu de la transparence, il sera difficile d'agir au plan international. En effet, une guerre contre un adversaire que l'on ne parvient pas à identifier ou que l'on identifie sans pouvoir le responsabiliser pour son acte est difficile à conduire.

Ces questions ne sont sans doute pas très concrètes, mais elles sont au coeur de ce problème majeur qu'est la souveraineté numérique. Il est assez facile de défendre un territoire délimité par des frontières, beaucoup moins de défendre un espace numérique traversé en permanence de part en part.

À quel moment la fréquentation non souhaitée de cet espace justifie-t-elle une réaction excédant le simple cadre numérique pour devenir politique ou militaire ? La question reste ouverte.

Le défi numérique est mondial, c'est une évidence, et nous ne pouvons pas éluder la réalité des rapports de force entre grands groupes industriels.

Nous ne sommes toutefois pas complètement démunis. Y compris dans ses périodes budgétaires les plus sombres, la France a toujours préservé sa capacité d'investissement, ce dont nous devons nous réjouir. On peut certes regretter l'abandon ou le ralentissement de certains projets, mais nous sommes l'un des seuls pays européens à avoir soutenu notre effort de défense.

Par ailleurs, comme vous l'avez mentionné, monsieur le rapporteur, la préservation de la dissuasion nucléaire sert d'aiguillon puissant pour maintenir et faire progresser certaines de nos capacités. En renonçant aux essais nucléaires et en développant un programme de simulation, nous avons ainsi pu préserver nos capacités de recherche et de développement dans le domaine des supercalculateurs. Nous ne couvrons sans doute pas tous les domaines, mais notre pays a consenti un effort considérable pour préserver son effort d'investissement contre vents et marées. Nous disposons aujourd'hui de groupes industriels de défense de taille significative.

Il en va différemment dans le domaine du numérique stricto sensu. Toutefois, les entreprises de ce secteur répondent avant tout à des besoins et des usages civils, les utilisations potentiellement militaires des capacités numériques qu'elles développent étant essentiellement indirectes.

Les données de masse concernant les individus, en particulier leur géolocalisation, sont-elles utilisées à des fins militaires, en particulier pour identifier des mouvements de population ?

On ne peut pas garantir que certains pays n'utilisent pas à des fins militaires des données individuelles. Je ne citerai aucun nom dans le cadre de cette audition publique, mais vous aurez sans doute deviné... Le risque existe, incontestablement.

Je relèverai aussi le rôle très important joué par le groupe Thales pour notre souveraineté numérique, l'acquisition stratégique majeure qu'il a récemment réalisée le confirmant. Les investissements réalisés par le groupe Orange y contribuent également.

Le combat militaire de demain sera de plus en plus connecté. D'ores et déjà, nos équipements militaires sont constitués de nombreux capteurs et logiciels, mais cette réalité sera multipliée par un facteur 50 ou 100 à l'avenir. Ainsi, les caractéristiques principales du programme d'équipements terrestres de nouvelle génération Scorpion ne résident pas tant dans le blindage et la maniabilité physique des véhicules que dans leur capacité à transmettre des flux de données en temps réel aux équipements avec lesquels ils interagiront. Nous pouvons mentionner également le système de combat aérien du futur, qui fait actuellement l'objet d'études.

Intégrer dans les équipements cette capacité d'échange de données avec des partenaires externes, c'est vraiment le défi technologique de demain pour nos armées. Il nous faudra non seulement concevoir des matériels furtifs et rapides qui volent, naviguent et roulent, mais aussi être capables d'aménager cette connectivité en toute sécurité, c'est-à-dire en la protégeant des interactions extérieures.

Je ne réponds pas directement à votre question sur le dimensionnement de nos capacités industrielles, monsieur le rapporteur, mais je peux en revanche vous dire que nous mobilisons tous les moyens dont nous disposons, dans mon ministère ou en dehors - Bruno Le Maire vous parlera plus doctement que moi du plan Nano.

S'agissant des moyens propres au ministère des armées, la loi de programmation militaire a fait du renseignement et du cyber ses deux axes prioritaires. On peut naturellement discuter de l'ampleur de l'effort consenti et de sa pertinence, mais il n'y a aucune naïveté de notre part, nous sommes parfaitement conscients de l'importance de l'enjeu.

Quant au défi des ressources humaines, nous sommes conscients qu'après avoir été attirés vers la finance, nos meilleurs cerveaux sont fortement attirés par toutes ces entreprises qui, pour beaucoup d'entre elles, se situent à l'ouest du continent américain.

Pour réagir, ne sous-estimons pas les potentialités de la loi de transformation de la fonction publique, qui assouplit considérablement les possibilités de recrutement de contractuels et leur offre une nouvelle grille de rémunération, plus en phase avec le marché de l'emploi. Le ciblage féminin n'est pas non plus un gadget, car, dans ce domaine-là également, nous ne pouvons pas nous priver de la moitié du vivier de talents.

Enfin, la réserve cyber comprend presque une centaine d'hyper-spécialistes et d'experts de leur domaine. Il s'agit de salariés d'entreprises du secteur privé qui mettent quotidiennement leurs compétences au service de nos armées.

Nous devons développer l'ensemble de ces politiques. La prise de conscience est réelle. Il nous reste maintenant à faire le meilleur usage possible des nouveaux outils à notre disposition. Avant de dire que nous ne faisons pas assez, nous devons d'abord apporter la démonstration que nous avons poussé jusqu'au bout l'utilisation des outils existants.

Israël constitue en effet un exemple d'un petit pays extrêmement actif et performant ; l'Estonie également a développé des filières de formation très performantes et produit un grand nombre d'ingénieurs cyber en proportion de l'importance de sa population.

Il faut dire que ce petit pays a des voisins assez encombrants et inquiétants !

L'identification de la menace est un sujet très sensible. Dans ce domaine, nous souhaitons exercer pleinement notre souveraineté. Nous ne souhaitons pas que les attaques soient dénoncées par tel ou tel pays ou organisation, car cela doit rester une décision souveraine de l'État.

Ce que vous dites est extrêmement important !

Le Président de la République y est très attaché. Il y va de notre diplomatie : nous pouvons avoir intérêt à dire ou ne pas dire, et c'est à nous de décider de la nécessité de communiquer nos informations.

Dans la mesure où nos partenariats sont de confiance, ils sont forcément sélectifs. La liste que j'ai présentée n'est pas exclusive, et nous avons de nombreux partenariats avec l'Allemagne, le Royaume-Uni, mais aussi les États-Unis.

Le sujet est encore en devenir. Nous avons pris la mesure des défis et nous n'entretenons aucune naïveté. Voilà pourquoi nous avons souhaité clairement énoncer que le cyber pouvait être une arme à part entière. Pour autant, tout ne doit pas être public.

Le général Lecointre, chef d'état-major des armées, et le général Bonnet de Paillerets nous ont dit que la maîtrise des codes sources était essentielle en matière de souveraineté. Votre ministère est lié à Microsoft par un partenariat de longue date. Des militaires qui ne sont pas sous votre tutelle, comme les gendarmes, ont réussi à se passer des Gafam pour mettre en place des logiciels libres. Le partenariat avec Microsoft s'achève en 2021. Intégrerez-vous le critère de la maîtrise des codes sources dans le futur appel d'offres ?

J'ai été ravi de constater l'importance que vous accordez au personnel. Selon Guillaume Poupard, seulement 60 % des places de nos écoles de formation sont remplies. C'est un problème majeur. Quant à fidéliser les étudiants que l'armée intègre, cela prend du temps. Or souvent l'armée est un passage intéressant, mais où l'on ne s'éternise pas.

La 5G complique la situation en ce qui concerne les acteurs de confiance. Quand on est en Opex, comment cela se passe-t-il ? A-t-on développé des méthodes pour sécuriser les opérations ?

Vous avez mentionné la nécessité d'une acculturation. Dans cette perspective, tous les agents de votre ministère doivent être bien conscients qu'ils sont tracés. Je vois que vos collaborateurs se déplacent avec leurs deux téléphones, l'un personnel, l'autre crypté...

Un certain nombre d'armes connectées peuvent faire feu automatiquement, ce qui pose un problème de droit, car il est nécessaire de pouvoir identifier d'où viennent la prise de décision et l'ordre de tir.

Autre question : qu'est-ce qu'une cyberguerre ? Vous avez annoncé que vous feriez des propositions sur ce sujet : quelles sont vos premières pistes ?

Enfin, version dégradée de cette dernière question : la cyberattaque offensive s'exercera-t-elle sous le radar du droit, à l'image de ce que font nos forces spéciales, ou bien fera-t-elle partie d'une échelle de graduation de la guerre, entre le conventionnel et la dissuasion nucléaire, par exemple ?

Je vous transmets une question de notre collègue Catherine Morin-Desailly qui n'a pu être présente à cette réunion. La société Palantir a été financée par des fonds d'investissement liés à la CIA. Elle bénéficie d'une avance technologique en matière de traitement des données. Elle mène une politique volontaire d'entrisme, qu'il s'agisse de la commande publique ou du recrutement. Les liens qu'elle a noués avec X-Forum portent leurs fruits puisque de jeunes polytechniciens viennent d'être recrutés.

Ce n'est pas devant le rapporteur de cette commission d'enquête que je rappellerai l'origine du partenariat avec Microsoft. Le ministère des armées disposait de très nombreuses licences éparses avec Microsoft. Nous avons souhaité rationaliser cette situation qui nous exposait à moult difficultés. La démarche a été raisonnée : mon ministère a souhaité inscrire des règles de fonctionnement sur la bonne utilisation de ces licences. Tel a été l'objet du contrat que nous avons passé avec Microsoft.

Quant à savoir si cette situation a vocation à perdurer, c'est une question légitime. Depuis la signature du contrat, des logiciels libres se sont développés. Cependant, nous devons sans cesse ménager l'interopérabilité de nos forces. Nos alliés fonctionnent à partir de codes sources qui proviennent de la même entreprise, ce qui constitue une difficulté et ralentit le développement du recours aux logiciels libres.

Quant à la fidélisation des étudiants, nous cherchons à nous assurer pendant 5 ans la collaboration de ces jeunes gens. Imposer une durée plus longue serait contreproductif. À l'échelle des évolutions technologiques très rapides, 5 ans plus tard, les étudiants qui sortent des cursus de formation ont acquis des qualifications et expertises nouvelles. Nous rémunérons donc des étudiants et leur garantissons une embauche contre cet engagement à servir et nous envisageons de faire de même vis-à-vis des personnels civils.

En opération extérieure, nous devons maintenir un flux de communications et pour ce faire disposons de systèmes de communication propres. Dans le cadre de la loi de programmation militaire, nous avons prévu le renouvellement de l'ensemble de nos capacités satellitaires. Le programme Syracuse 4 doit nous permettre de disposer des capacités d'échanges et de flux de données encore plus importantes qu'actuellement. Nous devons lancer deux satellites en 2020 et 2021 et notre système devrait être entièrement renouvelé. Nous ne sommes donc pas tributaires des opérateurs de télécommunications.

Pour ce qui concerne le droit, la question est vaste et va au-delà du cyber. Sont posées les questions des robots, de la place de l'homme dans leur intervention et face au développement de l'intelligence artificielle qui équipera un certain nombre de nos armes. Nous avons décidé de créer un comité ministériel d'éthique, car nous devons avoir une doctrine claire sur des sujets complexes.

Lors de mon annonce de l'utilisation prochaine de drones armés, j'ai rappelé le socle de notre doctrine : à aucun moment le recours à une arme ne doit être automatique ; un humain doit toujours être dans la boucle. Dans ce cas de figure, celui qui appuiera sur le bouton sera sur le théâtre d'opérations et sera intégré aux équipages qui recourent à d'autres moyens aéronautiques. C'est fondamental dans la manière de concevoir l'utilisation de ces armes.

Il en va de même pour les robots : celui qui actionnera l'arme ne sera pas le robot. En matière d'intelligence artificielle, nous devrons veiller à ce que les algorithmes ne puissent pas prendre le pas sur l'humain. Mieux vaut soulever ces défis majeurs dès le départ pour se donner une chance d'y répondre de façon satisfaisante. Nous voulons avoir la main sur ces choix fondamentaux.

Merci, madame la ministre, d'avoir répondu à la question de savoir comment les robots terrestres vont interagir : ils ne tireront pas depuis Balard.

Et d'autant moins que ceux que nous expérimentons ne sont pas armés.

Mais ils peuvent l'être !