Intervention de Amiral Arnaud Coustillière

J'ai commencé à travailler sur le dossier de la cyberdéfense en 2009, au moment de la sortie du Livre blanc sur la défense et la sécurité nationale pour 2008-2013, avant d'être nommé le premier officier général à la cyberdéfense en juillet 2011 – j'entame donc ma sixième année dans mes fonctions. Depuis, notre capacité de cyberdéfense – la lutte informatique défensive – et notre capacité offensive se sont considérablement amplifiées. L'État a ainsi fourni un très sensible effort pour rattraper son retard en la matière, si bien que, sans donner dans le triomphalisme, nous faisons désormais partie, avec les États-Unis et le Royaume-Uni, du club des trois nations occidentales dotées de telles capacités, et avec la volonté de s'en servir – de fait nous sommes en guerre contre Daech notamment.

Ma responsabilité porte sur le volet militaire des opérations de cyberdéfense. Je travaille de façon très étroite avec mon camarade Guillaume Poupard, successeur de Patrick Pailloux, en 2014, à la tête de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) – qui s'occupe de la cyberdéfense dans le domaine civil, en particulier de la cyberdéfense des grands organismes liés aux secteurs d'intérêts vitaux de l'État, et de la politique de régulation qui est en train de se mettre en place.

La cyberdéfense française se distingue de celle des pays anglo-saxons dans ses rapports avec le monde du renseignement. Le modèle anglo-saxon de la cyberdéfense est beaucoup plus intégré : le United States Cyber Command (USCYBERCOM) et la National Security Agency (NSA) américains sont en effet très proches, de même que, au Royaume-Uni, le renseignement technique, le Government Communications Headquarters (GCHQ), assure également la cyberdéfense de la société civile. En France, nous avons choisi, à l'inverse, une séparation nette entre ce qui relève des interceptions ou du renseignement dans l'espace numérique, qui est du domaine de compétence des services de renseignement, et ce qui ressort de la lutte informatique défensive, de la défense de la Nation, des données personnelles et des données des entreprises, qui ressortit aux acteurs du volet défensif de la cyberdéfense et est confié d'un côté à l'ANSSI et de l'autre à la chaîne de commandement que je dirige au ministère de la Défense – cela dans un cadre juridique particulier défini par les articles 21, 22 et 23 de la loi de programmation militaire, qui couvrent en particulier les opérateurs d'importance vitale (OIV).

Tout le fonctionnement des institutions, des infrastructures nationales repose désormais, vous le savez, sur l'informatique. C'est également le cas, dans le domaine économique, pour nos concurrents, y compris Occidentaux, qui sont donc prêts à utiliser l'espionnage informatique – et il en va de même, j'imagine, dans le monde politique. Dans l'univers stratégique et militaire, nos ennemis sont identifiés, au premier rang desquels se trouve le terrorisme islamiste. Les capacités d'action de nos adversaires sont plus ou moins importantes et représentent une menace directe ou indirecte contre nos capacités militaires – aussi devons-nous être capables de déployer nos forces face à tout type d'attaque informatique.

Nous devons faire face au sein de l'espace européen à des actions informatiques sophistiquées que l'on attribue plus ou moins à des groupes de hackers d'obédience mafieuse – on cite souvent dans les rapports des industriels de la cybersécurité, le groupe APT28 qu'on retrouve dans des attaques contre le parti démocrate américain, contre TV5, contre le Bundestag allemand et récemment contre la Suisse. On retrouve ces groupes mafieux versés dans la cybercriminalité dans des attaques à visée plus stratégique. Ainsi, le piratage de TV5 a été revendiqué par un groupe prétendument islamique dénommé Cyber Caliphate, qu'aujourd'hui les sources averties stigmatisent comme faux nez du groupe APT28. Les acteurs de l'espace numérique sont très divers et il reste très difficile d'en cibler l'origine. L'espace numérique tend à gommer les frontières, les nationalités, les références.

Cela signifie pour nous, militaires, un changement d'époque, une révolution. Depuis les années 1950, nous avons numérisé, par nos systèmes d'information, l'ensemble des processus, les espaces de bataille, ce qui nous a conféré un avantage militaire important sur nos ennemis. Puis, comme dans la société civile, il y a eu un revirement : le numérique s'impose désormais à nos vies et avec son propre tempo. Pour nous, le numérique est désormais considéré comme un nouvel espace de combat, à côté de l'espace terrestre ou de l'espace aérien. Or, dans ce nouvel espace, comme dans les autres, on ne maîtrise pas tout : quand on numérise un processus, on considère qu'on le maîtrise ; mais quand on se déploie dans un espace numérique, avec de très nombreux acteurs, sur les réseaux sociaux, qui vous observent, avec de très nombreuses technologies à intégrer dans nos systèmes d'armes, j'y insiste : on ne maîtrise pas tout – pas plus qu'on ne maîtrise le fond sous-marin ou un cumulonimbus qu'on traverse en avion. Or l'espace numérique abrite un certain nombre d'éléments nocifs qui agissent contre les intérêts de la France et qu'il va falloir apprendre à combattre. C'est à ce changement de paradigme que l'on assiste actuellement dans les armées et qui explique que l'on parle de nouvelle composante, l'Organisation du traité de l'Atlantique nord (OTAN) reconnaissant il y a peu le numérique comme un nouvel espace de combat.

Le Livre blanc sur la défense et la sécurité nationale de 2013 a défini des ambitions et la loi de programmation militaire prévue des moyens. Nous avons, au sein du ministère de la Défense, conclu un « Pacte Défense Cyber 2014-2016 ». Ce plan stratégique de six grands axes et 50 mesures – en matière de réorganisation, de financement, de recrutement… – est quasiment achevé. Il reste néanmoins beaucoup à accomplir dans le domaine des ressources humaines : une capacité en matière de cyberdéfense, c'est avant tout une capacité humaine. Ceci peut paraître paradoxal, mais s'il est vrai que la cyberdéfense suppose l'emploi d'une technologie de pointe, dans une perspective de combat – qu'il s'agisse de se défendre ou d'attaquer –, les compétences humaines sont indispensables moins d'un point de vue quantitatif que qualitatif. Vous pouvez par exemple vous doter de n'importe quelle technologie, si vous ne disposez pas pour l'utiliser des bons personnels pour régler les bons paramètres et pour comprendre le contexte, cette technologie ne sert à rien puisque le but de l'attaquant sera précisément de la contourner en en trouvant les failles ou en en modifiant les réglages.

Nous avons à cette fin créé des postes – quelque 1 500 sont prévus pour la période 2013-2019 et correspondant à tous les profils du ministère de la Défense. Le véritable enjeu est de savoir comment fidéliser ces personnels, quel parcours de carrière leur proposer, quelle doit être la part des experts pointus par rapport à la part des experts opérationnels, quelle doit être la part des civils… Voilà le chantier qui nous attend.

Le « Pacte Défense Cyber » déjà mentionné définit une stratégie de concentration des ressources humaines sur deux lieux principaux : la région parisienne, bien sûr, puisque c'est là que nous avons une série de centres d'opérations, ce qui est également le cas des grands services de renseignement ; et, fin 2011-début 2012, nous avons choisi la région Bretagne parce que s'y trouvent, d'une part, le centre d'expertise de la DGA-MI (direction générale de l'armement-maîtrise de l'information), destiné à devenir l'arsenal français en matière de cyberdéfense et, d'autre part, le creuset de la formation interarmées à l'école des transmissions situé à Cesson-Sévigné.

Dès sa prise de fonctions, le ministre de la Défense a décidé d'accélérer le processus tout en donnant une dimension certaine au pôle d'excellence cyber (PEC) de Bretagne afin qu'il concentre nos ressources humaines. Il s'agit de la création de plusieurs emplois autour de Rennes et, plus largement, dans la région Bretagne. Quatre pôles de compétence vont être institués : le premier, très technologique, à Bruz, où se trouve déjà la DGA-MI, et où un bâtiment d'expertise cyber de haute sécurité est en construction – c'est là que se développeront les activités en matière de recherche et développement ; au quartier militaire de La Maltière, où nous concentrerons une compagnie d'expérimentation de guerre électronique, une compagnie de protection de cyberdéfense et une partie de notre centre de défense informatique, travailleront 350 personnes ; les deux derniers pôles seront consacrés à la formation, l'un à Coëtquidan, l'autre à Cesson-Sévigné, avec un certain nombre d'écoles civiles. Le pôle d'excellence Bretagne comporte également un volet civil, un partenariat étroit ayant été signé avec la région.

Par ailleurs, la loi de programmation militaire prévoit un programme d'armement de plus de 350 millions d'euros consacrés au volet défensif – les chiffres du volet offensif sont classifiés mais peuvent être obtenus dans un autre cadre.

Depuis l'été 2015, nous avons déménagé au site de Balard. Le commandement de cyberdéfense est désormais en route, bien qu'encore réduit et il est pleinement intégré au pôle opérationnel du site. Je dispose ainsi d'une sorte d'état-major opératif au même endroit que l'état-major opératif du commandement des opérations spéciales (COS), que les plateaux de la direction du renseignement militaire (DRM), que les états-majors qui conduisent les opérations par zones – éléments avec lesquels nous pouvons ainsi travailler en totale synergie. Il s'agit bien pour nous d'intégrer le combat dans l'espace numérique avec les autres formes de combat, autrement dit, il s'agit de savoir comment gérer un milieu supplémentaire dans une approche globale entre les capacités de ciblage cinétique – à savoir le largage de bombes – et les capacités de ciblage numérique – à savoir l'engagement d'un ennemi dans l'espace numérique –, en fonction d'une logique milieu menant-milieu concourant, et selon laquelle nous nous appuyons les uns et les autres. Voilà les travaux que nous menons, que nous apprenons à conduire, qu'ils aient une vocation défensive en complément de nos plans CUIRASSE de protection ou de soutien des opérations extérieures (OPEX).

En matière de coopération internationale, nous entretenons des relations très étroites avec nos partenaires britanniques et avec les Américains. Nous avons également des rapports particuliers avec plusieurs pays européens comme l'Estonie – nation phare en matière de cyberdéfense et pourvue d'excellents laboratoires : nous disposons d'ailleurs d'un officier au centre d'excellence de Tallinn et nous en enverrons un second cette année pour prendre la tête de l'entraînement. En effet, nous croyons beaucoup à l'entraînement à distance tel que le pratique le centre d'excellence de l'OTAN. Lors de ces entraînements, on simule des attaques en rouge sur un grand réseau sur lequel chaque pays peut se connecter à partir de son propre centre de cyberdéfense. Nous y avons participé pour la troisième fois cette année. Nous sommes en train de mettre en place ce système d'entraînement pour nos propres armées, le coeur de ce réseau de simulation devant se situer à l'école de Saint-Cyr Coëtquidan.

Lors du sommet de Varsovie, l'OTAN va consacrer un effort supplémentaire à la cyberdéfense et reconnaître qu'elle est un domaine opérationnel à part entière. Au sein de l'Union européenne, c'est plutôt l'ANSSI donc le secteur civil qui est en pointe. Enfin, nous entretenons des relations bilatérales avec une quinzaine de nations.

Le développement d'une réserve opérationnelle de cyberdéfense est le dernier projet d'envergure en date. La phase de recrutement a déjà commencé. Nous en avons eu l'idée en 2011 avec Patrick Pailloux, puis nous l'avons suggérée dans le cadre des travaux sur le Livre blanc, enfin nous l'avons étudiée avec nos camarades de la gendarmerie, l'ANSSI et certains services du ministère de l'Intérieur. Et, une fois le projet mûr, nous en avons demandé l'inscription dans l'actualisation de la loi de programmation militaire. Les derniers textes datant de la fin mai 2016, nous avons désormais les moyens de le réaliser et avons d'ores et déjà créé la structure administrative pour pouvoir recruter. L'objectif est de mettre en place une réserve à même d'intervenir au profit du ministère de la Défense ou à celui de l'ANSSI, par réquisition, ou au profit des forces militaires selon les procédures en vigueur. Il s'agit de pouvoir mobiliser immédiatement des spécialistes pour intervenir et des personnels moins experts pour la phase de reconstruction de réseau. À cet effet, des protocoles seront passés par le ministère de la Défense avec les directeurs d'un certain nombre de grandes sociétés d'informatique qui nous auront rejoints dans le cadre du pôle d'excellence Bretagne. Nous entendons disposer d'un réservoir de forces d'un volume important : 400 postes de réservistes opérationnels et 4 000 postes de réservistes citoyens recrutés dans les écoles par le biais d'exercices de préparation militaire cyber – que nous sommes capables, quand nous les activons, de basculer en réservistes opérationnels du ministère de la Défense dans un délai d'une quinzaine de jours, délai totalement compatible avec le temps que prend l'analyse d'une intervention, la conception d'un plan de reprise et la reconstruction d'un réseau puisque, généralement, la phase d'observation d'une attaque dure plusieurs semaines.