Je vous remercie vivement de votre invitation à m'exprimer au sujet du cyberespace, cet espace de conflictualité, et pour évoquer avec vous ses enjeux, en particulier pour la défense de notre pays. Je vous propose trois temps dans mon propos liminaire, que j'émaillerai d'un certain nombre d'exemples. Le premier temps m'amènera précisément à parler de cette conflictualité associée au cyberespace et de ce qui la caractérise. J'expliquerai ensuite comment cette conflictualité touche les questions de sécurité et de défense. Je traiterai enfin, plus spécifiquement, du commandement de la cyberdéfense : sa dynamique, son action, ses responsabilités.
La conflictualité dans le cyberespace est liée au numérique, qui est partout, dans toutes les activités humaines, et qui soutient l'ensemble des métiers – qu'ils soient privés ou publics –, et des individus. À la base, évidemment, le but est de créer du progrès, relier les uns et les autres, faciliter ces activités. Ces mécanismes techniques qui permettent de relier les uns et les autres – et en quantité : une personne vers une multitude – de contracter l'espace et le temps dans la transmission de l'information et de partager énormément d'éléments sont une chance mais aussi un risque. Certains ont clairement identifié ce risque et la valeur des données personnelles, par exemple, que d'aucuns mettent peut-être trop imprudemment sur internet. Ils ont vu qu'ils pouvaient tirer profit de ces liens entre les individus, de tout ce qui peut transiter par le cyberespace. Celui-ci attire tout type de convoitise, tout type de cybercriminalité. Cela facilite bien sûr l'espionnage, puis en élargissant, l'influence, le sabotage et la déstabilisation… Ces mots existaient déjà depuis très longtemps, mais ils prennent une dimension tout autre en raison des caractéristiques même du cyberespace.
Il est important de comprendre que le cyberespace est totalement façonné par l'homme. Par rapport aux espaces aériens, terrestre, maritime et même spatial, il est le seul à avoir été construit par l'homme, et il ne cesse d'évoluer. Cette évolution rend difficile l'identification de ses contours, actuels et futurs. Au départ, il est plutôt basé sur une gouvernance technique, dans laquelle les États ne sont pas forcément présents. Mais aujourd'hui se pose la question de la présence des États et de l'ensemble des opérateurs que l'on peut y retrouver. Le cyberespace est ainsi comme d'autres espaces, d'autres médias : un champ d'expression des rivalités entre États, entre groupes, entre entreprises, et un champ d'action pour un certain nombre de criminels. Tous ceux qui souhaitent l'utiliser à leur profit pour imposer leur volonté se servent des difficultés et des fragilités en matière d'organisation et de technologie, mais aussi parfois du manque de connaissance de la part de ses utilisateurs. Vous le voyez, de telles conflictualités présentent des enjeux de sécurité et de défense.
Je prends deux exemples. À l'été 2019, dans un cadre structuré, le Pentagone aux États-Unis a demandé à un certain nombre de hackers – hackers au sens plutôt sympathique de « bidouilleur » – de tester des systèmes et leur sécurité. En 48 heures, ces hackers ont réussi à prendre la main sur les systèmes numériques déployés au sein d'un avion F-15. On voit tout ce que cela peut avoir comme effet dans le cadre d'opérations utilisant ces moyens très modernes équipés d'armements mortels… Même sur des matériels très pointus, très évolués – même si le F-15 n'appartient pas à la toute dernière génération des avions de combat –, il existe des vulnérabilités. Ces systèmes d'armement ont été conçus il y a dix ou même vingt ans, à une époque où la cyberdéfense n'avait pas la même portée qu'aujourd'hui et où l'on n'avait pas encore la connaissance des vulnérabilités associées au cyberespace. Il y a un rattrapage à faire, et il est parfois compliqué.
Autre exemple assez emblématique de ce que l'on peut faire en matière d'actions offensives dans le cyberespace : le fameux virus Stuxnet, utilisé il y a un certain nombre d'années pour freiner le déploiement et le fonctionnement de centrifugeuses en Iran. On imagine que pour atteindre ces centrifugeuses – en fait les systèmes informatiques qui permettent de les contrôler –, il a fallu tout un travail de renseignement, de connaissance, d'ingénérie, afin que ce logiciel agisse à longue distance. Une coordination et une planification extrêmement pointues de l'opération ont permis qu'elle ait un réel effet pour ralentir les capacités d'un pays.
On voit que tout rapport de force doit intégrer cette notion de cybersécurité, de cyberaction : celui qui ne le fait pas part avec un désavantage par rapport à ceux qui le font et qui n'appliquent pas les mêmes règles éthiques que nous. Il faut donc anticiper ces risques, se montrer résilients afin de protéger tout ce qui est essentiel dans le territoire national. C'est la volonté du ministère des armées.
Je pourrais prendre d'autres exemples dans l'armée de Terre ou la Marine mais, en tant qu'aviateur, je suis évidemment très sensible au déploiement de la puissance aérienne et du feu aérien. L'apparition de l'aviation a été, en bon français, un game changer, qui nous a apporté une capacité d'action au-delà des lignes ennemies, une capacité de frapper la logistique, d'acquérir des informations, d'obtenir du renseignement, de mieux calibrer les tirs d'artillerie. Oui, celui qui disposait de ces capacités avait un avantage sur les autres. Dans toutes les opérations interarmées, l'acquisition de la supériorité aérienne, de manière continue ou ponctuelle, est un prérequis indispensable. Celui qui n'a pas cette supériorité aérienne se trouvera dans une situation beaucoup plus difficile et devra faire face à la capacité de l'adversaire en matière de renseignement, en matière de frappe dans la profondeur ou sur la ligne de front.
Le lien est évident avec cette nouvelle capacité liée au numérique et à la cyberdéfense : celui qui maîtrisera le cyberespace aura un avantage, non seulement pour se protéger, mais aussi pour assurer sa supériorité opérationnelle. C'est ce qui est fait par le ministère des armées sur nos théâtres d'opérations, au Levant, au Sahel. Les capacités dont nous disposons en matière de cyberdéfense sont le fruit d'un travail de plusieurs années et sont utilisées pour préserver nos capacités et nos systèmes d'armes très numérisés. Elles permettent un combat collaboratif, l'échange des informations en temps réel, donc des opérations combinées, imbriquées, intégrées, mais également un blocage de l'adversaire, notamment
- c'est ce qui a été fait contre Daech - de sa propagande et de la préparation de ses opérations contre nos forces déployées en opérations.
Dans l'histoire, on retrouve ces mécanismes de stratégie militaire et de leur application. Selon le stratège chinois Sun Tzu « le meilleur savoir-faire n'est pas de gagner cent victoires dans cent batailles, mais plutôt de vaincre l'ennemi sans combattre ». Avec le cyber et les attaques systémiques, certains imaginent faire tomber un système complet. Reprenons l'exemple des F-15 américains, potentiellement vulnérables à des attaques : si vous les empêchez de décoller, vous avez forcément un avantage important et, à la limite, avant même de les avoir déclenchées, vous avez gagné les batailles, vous avez gagné la guerre.
Aujourd'hui, un autre stratège, américain cette fois et du XXe siècle, John A. Warden III, voit les institutions, les structures et l'ennemi comme un système de plusieurs cercles. Il a décrit ces cercles. Vous avez évidemment les forces militaires déployées pour assurer la protection et les actions ; les populations aussi ; les infrastructures qui sont aujourd'hui des éléments importants – comme le médical, l'énergie, en plus des routes, ports, aéroports – et qui sont ciblées par certains ; dans le quatrième cercle, on trouve des fonctions organiques essentielles – production d'énergie, fourniture de carburant, approvisionnement en nourriture ; et dans le dernier, les fonctions de commandement, étatiques, régaliennes, de gouvernance et de très haute direction. Dans la conflictualité entre les armées et entre les États, on trouve toujours l'application de ces principes pour savoir si l'on va cibler des forces militaires déployées ou directement l'endroit où l'on prend les décisions, pour paralyser ou empêcher ces décisions. Au XXe siècle, on ciblait l'un ou l'autre de ces cercles. Avec le cyber, on peut cibler la totalité et mener une action combinée contre les forces armées, les populations, les infrastructures essentielles du pays, mais aussi contre des systèmes de décision. Cette double action s'exerce aussi sur les populations : sur leur quotidien, sur l'ensemble de leurs systèmes d'information, mais aussi sur leur positionnement, au travers des réseaux sociaux. C'est donc un véritable risque existentiel qui pèse sur nos sociétés, confrontées à ceux qui savent utiliser le cyberespace pour bloquer nos systèmes et imposer leur volonté.
Les impacts peuvent être très forts. Aujourd'hui on découpe les actions dans le cyberespace entre plusieurs problématiques. D'abord, qui peut nous attaquer ? Un État ? Un groupe potentiellement rattaché à un État, mais pas forcément officiellement ou en uniforme ? Ses individus ? Ensuite, quelles sont les techniques, les tactiques, les procédures utilisées ? Faisons une comparaison avec des cambrioleurs : ils ont leurs astuces, leur stratégie. Certains vont passer par les toits, certains par la fenêtre, d'autres par la porte. Les cyberattaquants appliquent aussi leurs propres stratégies. Ces stratégies sont caractéristiques d'un certain nombre de groupes, et il est important de bien les connaître pour savoir comment réagir, s'il faut protéger les toits, les sous-sols ou les fenêtres. Dans le cyberespace, on doit tout protéger, être capable de tout défendre, parce qu'il suffit que l'attaquant trouve une entrée pour pénétrer dans votre système. Fort des réponses à « qui nous attaque ? » et « comment ? », se pose ensuite la question de l'impact et des effets. Ces effets sont de trois types. Cela peut être un effet d'entrave, de perturbation du fonctionnement d'un système : j'évoquais un avion qu'on empêcherait de décoller. Mais on peut aussi bloquer une centrale d'énergie pour déstabiliser et entraver la manœuvre de l'ennemi. La deuxième action possible, c'est de capter des données ; parce qu'on fait de l'espionnage économique, on récupère l'ordre de bataille de l'autre pour pouvoir se prépositionner. La troisième finalité est de modifier la perception de l'autre, de le leurrer et d'influencer sa vision. Tels sont les trois objectifs visés par les attaques cyber.
Dans le cadre de nos opérations, nous intégrons ces trois dimensions. Nous faisons particulièrement attention aussi à nos informations et à nos systèmes. Nous essayons – et pour l'instant, nous y réussissons – d'assurer la confidentialité de ces données qui sont essentielles à notre manœuvre et à notre métier, mais aussi leur intégrité. J'ai parlé du risque de modification : leur intégrité est essentielle. Et, on a tendance parfois à l'oublier, nous veillons à la disponibilité des données. Celle des traitements est également essentielle. Pour le cyberdéfenseur, ce sont des éléments à intégrer et pour lesquels il faut déployer des mécanismes de sécurité.
On peut avoir l'impression que l'attaquant fait tout ce qu'il veut, qu'on est démuni face à lui. Il existe tout de même un cadre, de plus en plus précis. Le droit international s'applique au cyberespace. Il est toutefois difficile de savoir quelles sont les modalités précises de son application. Les États ou les groupes reconnaissent-ils ces principes ? De quelle manière les appliquent-ils ? Se sentent-ils concernés et engagés par ces principes ? À une époque, un manuel de référence – le manuel de Tallinn – expliquait, à la suite d'un groupe de travail multinational, comment appréhender ces notions de cyberespace. Désormais, deux groupes de travail y réfléchissent dans le cadre de l'ONU, l'un présidé plutôt par les Américains, le second plutôt par les Russes. Au plan national, à l'initiative du ministère des armées, un rapport sur l'application du droit international aux opérations cyber, décrit les mécanismes de perception par la France des attaques cyber sur son territoire contre ses systèmes. Qui nous attaque ? Comment peut-on réagir ? Quels sont les principes de légitime défense, les principes de souveraineté numérique – c'est très détaillé – mais aussi les principes applicables aux opérations cyber sur les théâtres d'opérations : quel est leur cadre ? Comment sont-elles réglementées ? Quels sont les principes de proportionnalité, de disponibilité et de discrimination ?
Quand on parle d'opération cyber, on imagine Tom Cruise sautant en parachute avec un ordinateur portable qui lui permet de communiquer directement et de déclencher énormément de choses pour qu'il remplisse sa « mission impossible ». Dans la réalité, au risque de vous décevoir, une opération cyber se prépare très longtemps à l'avance. Ses effets peuvent être immédiats : il suffit qu'on déclenche ce qui a été prépositionné pour avoir un effet immédiat et très large. Mais pour obtenir cet effet, il faut l'avoir préparé très longtemps à l'avance. Il faut avoir une connaissance très précise des infrastructures informatiques de la cible pour identifier de quelle manière l'atteindre. Il faut prépositionner ses équipements pour réaliser l'action que l'on souhaite mener : les phases de planification et de renseignement sont donc très importantes.
On distingue parfois les temps de paix, de crise et de guerre. Je vous assure que, dans le cyberespace – je pense que vous le savez –, nous ne sommes pas dans un temps de paix : il y a de nombreuses crises, et, d'une certaine manière, la guerre cyber a déjà commencé. Certains déploient leurs outils et se prépositionnent pour pouvoir le jour J, au moment où ils appuieront sur la touche « Enter », déclencher immédiatement les éléments. Or une fois qu'on est paralysé, il est trop tard pour réagir.
Au sein du ministère des armées, comment se positionne le commandement de la cyberdéfense que j'ai l'honneur de commander depuis septembre dernier et dont j'avais auparavant été numéro deux pendant deux ans ? Créée en 2017, cette entité est en fait le fruit de dix ans de montée en puissance, ce qui nous renvoie à 2007 et à la cyberattaque de l'Estonie par un voisin qui a voulu réagir au déplacement d'une statue. Cet événement a marqué une prise de conscience internationale : si quelqu'un a des cyber capacités et souhaite les utiliser, il peut provoquer un impact très fort sur un État. De nombreux pays se sont alors préoccupés de ces menaces cyber et ont développé des éléments de défense.
Atteindre et développer cette capacité que nous possédons aujourd'hui au sein du ministère et dont dispose le commandant de la cyberdéfense relève d'une volonté politique. Les moyens alloués par la loi de programmation militaire ont permis d'engager les budgets et les ressources humaines nécessaires pour développer ces capacités.
Des documents précis de doctrine – notamment des éléments qui ont été rendus publics sur la doctrine, sur les opérations de lutte informatique offensive à des fins militaires – ont également fixé le cadre et les objectifs de notre action. Les missions du commandement de la cyberdéfense sont donc la protection et la défense des capacités du ministère des armées, et comprennent également des possibilités d'action dans le cyberespace sur les théâtres d'opérations. Je suis le contrôleur opérationnel de l'ensemble des opérations dans le cyberespace : opérations défensives au profit du ministère des armées et opérations offensives au profit de la nation, en fonction des choix politiques qui sont faits. Dans la chaîne de responsabilité, le Président de la République, chef des armées, décide d'une action cyber au même titre que d'une action militaire.
On est dans la continuité du domaine. Par exemple, nous avons mené des actions offensives en coalition contre Daech sur les théâtres d'opérations, au même titre que des actions ont été menées de manière plus traditionnelle avec ces mêmes coalitions, pour réduire la taille et la portée des actions de Daech. Dans le cyberespace, nous avons notamment ciblé tout leur appareil de propagande, identifié où étaient localisés les serveurs, pénétré ces serveurs, effacé les données, et bloqué ces serveurs pour que la propagande ne puisse plus être diffusée. Tout cela a été réalisé dans une approche plus globale d'identification des contenus terroristes avec le relais de la plateforme Pharos (Plateforme d'harmonisation, d'analyse, de recoupement et d'orientation des signalements) du ministère de l'Intérieur – autorité administrative des opérateurs de l'internet – pour déréférencer un certain nombre de contenus de propagande terroriste.
Nous sommes confrontés à des défis technologiques, vous l'imaginez, mais aussi à des défis de captation de l'innovation. Dans un espace cyber qui évolue très vite, nous avons besoin de pouvoir capter cette innovation avec des procédures et des processus rapides. Nous le faisons notamment au travers d'une Cyberdéfense Factory installée à Rennes. Surtout, nous devons relever le défi des ressources humaines. Les cyber combattants ne sont pas uniquement des Bac + 5 en informatique – il en faut, bien évidemment –, mais aussi des techniciens, des personnes ayant un esprit très analytique, géopolitique, pour comprendre ce cyberespace. Ce sont également des psychologues, des sociologues pour comprendre cette couche cognitive : j'évoquais précédemment les réseaux sociaux, c'est évidemment essentiel. En fait, la meilleure équipe de cyber combattants est une équipe mixte, polyvalente, bien évidemment féminisée. Cela aussi est essentiel : nous avons 15 % de taux de féminisation dans le COMCYBER, ce qui est à noter dans un domaine très technique. Nous nous appuyons aussi beaucoup sur des réservistes opérationnels.
Je conclurai en disant que l'humain est fondamental. On a l'impression que le cyberespace n'est que de la technologie, mais, en fait, c'est l'humain, par son implication, par des formations régulières tout au long de son contrat et de sa carrière, qui permet de répondre dans ce domaine très évolutif.