30.05.2017 Propos recueillis par Alain Establier - SECURITY DEFENSE BUSINESS REVIEW

SDBR : le ministre de la Défense a prononcé en décembre 2016 un discours sur la cyberdéfense. Que devons-nous en retenir ?

VA Coustilliere : Le 12 décembre 2016, le ministre de la Défense, Jean-Yves Le Drian, a effectué à Bruz un discours fondateur en matière de cyberdéfense. Le ministre a dressé le bilan de son action et les perspectives à venir. Ce discours, prononcé à l’occasion de l’inauguration du nouveau centre de la Direction générale de l’armement - Maîtrise de l’information, donne les grandes orientations de la cyberdéfense de demain. Ainsi, l’espace numérique, un champ de confrontation à part entière, est considéré comme un milieu au même titre que la terre, la mer, l’air et l’espace. Nous devons désormais repenser notre manière d’appréhender les guerres. Pour ce faire, une doctrine et une stratégie cyber de défense sont indispensables. Jean-Yves Le Drian, en a dévoilé quatre grands axes qui sont les « missions », les « coopérations internationales », les aspects juridiques et les moyens.

Ces axes permettront au ministère de la Défense d’assurer dans l’espace numérique trois types de missions qui sont le renseignement, la protection/défense (tant sur le territoire national qu’en opération) et la lutte informatique offensive. Pour contrer les nouvelles menaces, l’outil de défense doit être adapté pour asseoir notre souveraineté et notre indépendance nationales. Aussi, le ministre a décidé de créer un Commandement des opérations cyber. La création du Commandement de la cyberdéfense vise donc à permettre à la France de consolider sa posture de protection et de défense ainsi que ses capacités d’action contre tout adversaire.

Quelles sont les conséquences de ce discours sur l’organisation du ministère de la défense ?

La création d’un Commandement de la cyberdéfense, COMCYBER, est une étape dans l’organisation du cyber au sein du ministère. Placé sous la responsabilité directe du chef d’état-major des armées (CEMA), ce COMCYBER aura aussi pour mission d’assister le ministre de la Défense pour les questions liées à la cyberdéfense. La cyberdéfense au sein du ministère se structure : ce nouveau Commandement dispose d’un état-major resserré et a autorité sur les unités opérationnelles spécialisées dans la cyberdéfense du ministère.

Quel bilan 2016 pouvez-vous faire en termes de cyberdéfense ?

Comme l’a souligné le ministre dans son discours, le ministère de la Défense a dû faire face en 2016 à plus de 24.000 attaques externes arrêtées automatiquement par les systèmes de sécurité, dont 388 incidents complexes ayant fait l’objet d’investigations poussées du Centre d’analyse en lutte informatique défensive (CALID). Chaque année, le nombre de cyber-attaques double. Nous le constatons quotidiennement, tout comme leur sophistication technologique, témoignant ainsi d’une prolifération préoccupante des moyens d’agression. En effet, le bilan 2016 montre un renforcement, une structuration et une sophistication technologique des actions malveillantes dans l’espace numérique.

Ces menaces sont de nature aussi diverses que leurs acteurs (cybercriminels, hacktivistes, Etats, groupes terroristes, etc.) entre lesquels les frontières sont poreuses. Les attaques de type cyber recouvrent des modes d’actions profondément asymétriques, dans lesquelles de faibles moyens permettent d’obtenir des effets importants, comparables à ceux d’actions plus conventionnelles, lorsqu’elles visent des infrastructures civiles critiques, voire des cibles militaires. Ces menaces sont appelées à s’intensifier.

Qu’est-ce qui différencie une attaque de cyberguerre et une attaque cybercriminelle ?

Pour différencier une attaque de cyber guerre et une attaque cybercriminelle, il faut définir les contours de l’attaque de cyber guerre au sens du Droit des Conflits Armées. Une action de cyber guerre peut être caractérisée comme telle soit par l’ampleur de l’attaque subie, qui la rend assimilable à une agression armée, soit parce qu’elle serait revendiquée par un Etat, plaçant ce dernier en parfaite opposition avec les règles du droit international. En effet, la charte des Nations Unies s’applique aux actions des Etats dans l’espace numérique, comme cela a été reconnu par le Groupe d’Experts Gouvernementaux (GGE) de l’ONU. La charte interdit notamment la menace ou le recours à la force dans les relations entre Etats. Un Etat qui emploierait la force cybernétique de manière illicite engagerait ainsi sa responsabilité. En cas de fait internationalement illicite, ne constituant donc pas une agression armée, commis par un Etat à l’encontre d’un autre Etat, ce dernier peut adopter des contre-mesures afin de faire cesser l’action dommageable. La mise en œuvre de ces contre-mesures est encadrée par le droit international et relève d’une décision souveraine des Etats. En cas d’agression armée de nature Cyber, le recours à la force par un Etat dans le cadre de la légitime défense individuelle ou collective est reconnu par la Charte.

Comment identifier l’attaquant avec certitude ? A qui attribuer l’attaque ?

L’attribution d’une attaque informatique est un processus long, coûteux et complexe, qui aboutit rarement à un résultat certain. Le plus souvent, le temps d’établissement de la preuve ne correspond pas à la temporalité d’une action de réponse. Fondée sur un faisceau d’indices tiré du recoupement nécessaire de plusieurs sources de renseignement (technique, humain, sources ouvertes), l’attribution est donc le plus souvent, in fine, le produit d’un jugement politique fondé sur une appréciation de situation et un ensemble de facteurs.

Manquez-vous de moyens, autres qu’humains, pour le cyber-offensif ?

Au sein du ministère de la Défense, depuis cinq ans, les effectifs de la cyberdéfense ont doublé et continueront d’augmenter pour consolider notre montée en puissance. A titre d’exemple, au tout début la cyberdéfense comprenait une centaine de personnes et, aujourd’hui, elle regroupe plus de 2.000 personnels. Aujourd’hui, notre priorité est de recruter 2.600 « combattants numériques » pour l’horizon 2019. Il s’agit d’un véritable défi d’aller chercher des jeunes hautement qualifiés dans un secteur concurrentiel. Ceux qui nous rejoignent ont la volonté de mettre leurs talents au service de la Nation.

Nous renforçons actuellement le Centre d’analyse en lutte informatique défensive (CALID) dont la mission est de détecter et de conduire les investigations numériques liées à une attaque informatique, la 807e compagnie de transmissions de l’armée de Terre dont la mission est de déployer des dispositifs de cyber-détection en appui des forces projetées en opérations extérieures. Mais la montée en puissance concerne également les états-majors et les services de renseignement, ou encore des unités spécialisées dans les régions de Brest, Toulon, Lyon ou Mont-de-Marsan au sein de la Marine nationale, l’armée de Terre et l’armée de l’Air. Le pôle d’excellence cyber installé en région Bretagne est également en plein essor. De nombreux recrutements sont prévus dans les années à venir, notamment au sein de la Direction générale de l’armement. A côté des recrutements pour le ministère, nous recrutons 4.400 réservistes pour la réserve de cyberdéfense. La Loi de programmation a consacré, de 2014 à 2019 au domaine cyber, une enveloppe d'un milliard d'euros. La moitié de cette somme est consacrée aux investissements, en particulier de R&D qui sont multipliés par trois.

La réserve de cyberdéfense est-elle efficace aujourd’hui ?

La réserve de cyberdéfense (RCD) à vocation opérationnelle a été lancée en mai 2016 et les premiers recrutements ont débuté à l’automne 2016. La RCD a vocation à renforcer les capacités de l’Etat et des armées en cas de crise numérique majeure, en mobilisant des professionnels ou des étudiants recrutés au préalable. Encadrée par le centre de la réserve et de la préparation opérationnelle de cyberdéfense (CRPOC), elle s’appuie sur un réseau national et régional (en cours de déploiement). Ce sont près de 4.000 réservistes citoyens à vocation opérationnelle et 400 réservistes opérationnels qui nous rejoindront. La RCD en est à ses débuts mais permettra aux citoyens de mettre leurs compétences au service de l’Etat, tout en gardant une activité professionnelle. Le premier déploiement de la réserve, dans le cadre de l’exercice DEFNET sur la base aérienne de Rochefort, a très bien fonctionné. Cela a permis aux armées de valider les processus d’activation et d’emploi de la réserve dans des conditions proches de la réalité. Cela a montré les talents du personnel qui nous a rejoint, provenant des meilleures écoles de formation spécialisées. Nous continuerons d’ailleurs à développer des partenariats avec les écoles. Cet été, nous proposerons un « bootcamp » aux réservistes de cyberdéfense pour continuer leur entraînement. Le nombre de volontaires ne manque pas, mais nous préférons avancer doucement mais sûrement en étant capable de leur proposer des activités et entrainements valorisants, sous la forme d’une sorte de « Préparation militaire Cyber ». Nous menons donc en parallèle la montée en puissance humaine et la montée en puissance de nos capacités techniques d’entrainement/formation.