Intervention de Général Didier Tisseyre

Tout d'abord, une réponse par rapport au droit et aux structures juridiques. Je vois deux aspects : le premier, c'est que la France puisse réagir comme elle le souhaite dans le respect du droit international et de ses principes – maîtrise de l'escalade, paix, stabilité internationale – jouer pleinement son rôle et assumer sa place dans le monde par rapport à ses engagements. Il faut donc dans un premier temps que le droit international, ou la manière dont il est compris par les uns et les autres, nous permette d'agir, notamment sur les théâtres d'opérations. Grâce aux lois de programmation militaire, un certain nombre d'éléments, gérés plutôt par l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information, à laquelle nous sommes partie prenante, permettent de réagir légalement à une attaque. Je m'explique : on se fait attaquer, on identifie qui est l'attaquant – ce peut être un État – la possibilité nous est offerte de riposter et de faire stopper l'attaque. La loi nous le permet et les choses sont dites sur la scène internationale.

Alors que le manuel de Tallinn ne donne que des indications et n'est pas prescriptif, le rapport français dit clairement que l'attaque d'un État contre nos systèmes d'information est une atteinte à la souveraineté numérique de ces systèmes. Et en fonction du type d'attaquant, de la manière dont il est entré dans nos systèmes, de l'impact sur ces systèmes, le rapport décrit la palette des réponses – cyber, mais aussi économiques, politiques – dont nous disposons.

Il faut que cette compréhension de l'application du droit international au cyberespace, de ces principes et de leurs modalités d'application, soit partagée le plus possible. Je l'ai dit, il existe deux groupes au niveau de l'ONU : l'un, d'experts gouvernementaux, le GGE (Group of Governmental Experts), plutôt dirigé par les Américains. Même s'il n'a que 25 membres, il travaille beaucoup sur ces aspects de droit, car les Américains et d'autres y sont très attentifs et souhaitent que l'on cadre mieux ce que les uns ou les autres peuvent faire, de manière à ce qu'ils puissent réagir. Les États-Unis sont très présents dans le cyberespace : pour eux, c'est un moyen fort, à la fois de se protéger des attaques qu'ils peuvent subir et d'asseoir leur supériorité opérationnelle et leur influence dans le monde…

L'autre, l' Open Working Group, qui vient d'être créé, plutôt à l'initiative des Russes, compte une cinquantaine de membres qui réfléchissent aux mêmes problématiques, mais de manière un peu différente. Nous verrons sur quoi cela va déboucher et ce que l'ONU tirera de ces réflexions pour mieux cadrer le cyberespace, avec comme toile de fond un certain nombre d'articles de la Charte des Nations Unies, comme l'article 51, la légitime défense, etc. Ce qu'il faut, c'est que chaque État puisse mieux comprendre ce qu'il peut faire et ne pas faire s'il subit une cyberattaque.

Prenons le hack back, la riposte. En France, seul l'État peut mener une riposte, attaquer l'attaquant ; on ne donne pas aux entreprises la possibilité de le faire. Aux États-Unis, certains pensent que des entreprises pourraient le faire au nom du pays. C'est parce que les positionnements sont très différents qu'il importe de faire reconnaître un cadre juridique au niveau le plus élevé possible, notamment par l'ONU.

Le commandement de la cyberdéfense intervient dans son périmètre propre, par délégation de l'ANSSI, compétente pour le périmètre national. Donc pour toutes les infrastructures civiles, même si elles sont d'importance vitale, c'est l'ANSSI qui est à la manœuvre. Il n'en demeure pas moins que l'ANSII et le COMCYBER échangent énormément d'informations sur la connaissance de la nature de la menace. La ministre des armées a signé récemment une convention avec les huit principaux grands maîtres d'œuvre de la défense pour faire en sorte d'élever collectivement le niveau de sécurité. Le ministère est bien sécurisé, et ceux qui veulent nous attaquer le feront de manière indirecte, en attaquant notre chaîne d'approvisionnement ou même les sous-traitants des grands industriels de la défense. Il faut donc que nous les protégions, et ces conventions définissent un cercle de confiance des échanges d'informations sur la nature de la menace. D'une certaine manière, même si le ministère des armées est dans son périmètre propre, on est de plus en plus dans une défense globale, d'autant que, tout le monde étant plus ou moins interconnecté, si quelqu'un est attaqué, l'autre peut l'être aussi. En résumé, si l'ANSSI est aujourd'hui à la manœuvre pour défendre le secteur et les services publics, il n'empêche que le commandement de la cyberdéfense peut y contribuer en cas de besoin, ne serait-ce qu'en matière d'assistance.

En effet, le combat entre les intelligences artificielles est essentiel. On peut les utiliser à la fois pour attaquer et pour défendre. Nous nous sommes mis en posture de le faire, avec le soutien de la DGA (Direction générale de l'armement), qui bénéficie pleinement de cet effort en ressources humaines que vous évoquiez, Madame la présidente, et travaille sur les algorithmes d'IA afin qu'ils puissent être utilisés au mieux à la fois pour l'offensif et le défensif. On a des laboratoires où on teste un certain nombre de choses… Je parlais tout à l'heure de capter l'innovation et cette innovation est souvent dans les start-up. Aussi brillants soient-ils, les ingénieurs de la DGA n'ont pas forcément toute l'information, toute la connaissance. Ainsi, la Cyberdéfense Factory est un lieu qui est ouvert, sous certaines conditions, à des start-up et des PME pour qu'elles viennent développer, tester leurs algorithmes notamment des algorithmes d'IA, avec des données représentatives de réseaux que nous avons en propre et que nous mettons à leur disposition. Cela leur permet d'y travailler et de développer, dans un cadre régalien, des logiciels et des mécanismes d'IA.

Nous avons bien conscience des enjeux et travaillons énormément dans le domaine des IA. Un comité d'éthique a été lancé au sein du ministère afin d'appréhender un certain nombre de sujets, notamment par rapport aux IA : jusqu'où peuvent-elles aller ? Jusqu'où peuvent-elles être automatisées ? Un des principes du ministère est qu'une IA doit toujours pouvoir être débranchée et ne doit pas conduire à des actions automatiques qui pourraient porter atteinte aux uns ou aux autres de manière indiscriminée. C'est le respect d'un des principes de droit international que j'évoquais, celui de discrimination entre une cible militaire et le monde civil. On ne souhaite pas, notamment au regard de l'impact que peut avoir une attaque cyber, qu'elle puisse se propager et attaquer ceux qui ne sont pas ciblés. On ne veut pas non plus que ces outils puissent être récupérés par certains, réutilisés contre nous. Nous portons une attention particulière à la non-prolifération de ce type d'outils. C'est un cadre très strict, mais il n'empêche pas que l'on travaille beaucoup et que nous soyons dans le peloton de tête.

Aujourd'hui, parmi les grands acteurs en matière de cyber, notamment ceux qui ont prouvé qu'ils pouvaient faire beaucoup de choses – directement parce que leur État l'a commandité ou indirectement par des groupes plus ou moins rattachés – il y a évidemment les Russes. Ils sont présents dans toute la palette de ce que l'on peut faire dans le cyber, des cyberattaques très ciblées jusqu'à l'influence au travers des réseaux sociaux : ils sont très forts. Les Chinois aussi et, selon les éléments que diffuse l'ANSSI, ils sont plutôt actifs dans l'espionnage économique. Mais dès lors qu'on entre dans un système pour voler de l'information économique ou industrielle, on peut faire autre chose, en entrant dans d'autres systèmes plus essentiels et mener d'autres actions. Nous y sommes très attentifs, comme nous sommes très attentifs à l'égard de pays comme l'Iran. Enfin, nous nous intéressons aux capacités américaines qui sont vraiment très développées, dans tous les domaines. Le Royaume-Uni et Israël sont aussi très pointus. En ce qui nous concerne, j'aurais tendance à dire, en particulier depuis le Brexit, que la France est la nation la plus forte dans l'Union Européenne en matière de cyberdéfense.

Pour les ressources humaines – le recrutement, la fidélisation et les spécificités de la formation des cybercombattants – évidemment sur le plan purement financier nous ne pouvons pas nous aligner sur les salaires que proposent des entreprises privées. En revanche, nous donnons du sens à l'action de ces spécialistes de la cyberdéfense : tout d'abord par la protection du ministère, de la nation, mais aussi par la possibilité de mener des actions fortes sur les théâtres d'opérations pour aller au cœur de la menace terroriste. Les sociétés privées ne mènent pas ces opérations offensives. Dans un cadre légal strict, nous offrons la possibilité de faire des choses qui ne sont possibles nulle part ailleurs, sauf de manière illégale et répréhensible.

Nous offrons aussi des formations spécifiques à la gestion de crise. Nous faisons évoluer notre système de formation pour l'adapter et mieux accompagner nos personnels. Aujourd'hui, il n'y a pas suffisamment de bac +5 spécialistes de cyberdéfense et nous allons donc prendre des BTS, que nous allons amener en quelques années au niveau souhaité, par des formations – internes ou en sous-traitance – et par la reconnaissance des acquis de l'expérience, en permettant ainsi l'obtention d'équivalences ou de diplômes. C'est attractif, motivant, et cela permet de fidéliser les personnels. Même s'ils optent ensuite pour l'industrie ou d'autres administrations, ils seront porteurs d'un niveau de cybersécurité et cela profitera à la collectivité.

L'attribution publique de l'origine de l'attaque relève de la décision politique, tandis que le commandement de la cyberdéfense et les services de renseignement travaillent à la caractérisation technique. À partir de la connaissance des modes d'action, des signatures des malwares, nous identifions le groupe spécialisé, le groupe APT – Advanced Persistent Threat, menace persistante avancée – à l'origine de l'attaque. Les programmeurs ont des habitudes, certains passent par la fenêtre, d'autres par la porte, et cela oriente leur identification. Des adresses IP spécifiques à certains modes d'action, avec leurs rebonds au plan international, nous permettent de caractériser l'attaquant et, forts de ces éléments et avec l'action complémentaire des services de renseignement, de proposer une attribution. Nous prévenons que c'est tel pays ou tel groupe qui nous attaque, avec un certain degré de certitude ; ensuite, le politique décide ou non de le révéler publiquement. En outre, cette attribution publique n'est pas une fin en soi. Une fois qu'on a dit « c'est lui qui nous a attaqués », que fait-on ? Riposte-t-on ? De quelle manière ? Il faut définir ce que l'on veut faire après et il y a des mécanismes pour cela. La France n'est évidemment pas opposée à une attribution publique : dernièrement, la ministre des armées a évoqué une attaque du groupe Turla contre les services du ministère.

Il existe aussi un mécanisme d'attribution publique, que la France a validé, dans le cadre de l'OTAN. Encore faut-il que tout le monde soit d'accord et que l'on sache à quoi cela va servir. Certains pensent qu'il est important de pointer du doigt et que désigner le responsable par le name and shame ou le name and blame – va le faire arrêter ses attaques. Mais un certain nombre d'attaquants vont nier et demander des preuves. Or les apporter contraindrait à dévoiler nos propres capacités de caractérisation et nos partenariats qui nous ont permis de mener à l'identification, donc à se fragiliser. Cela relève donc bien d'une décision politique.

S'agissant des Russes, en tant que commandant de la cyberdéfense, je travaille à la protection de nos infrastructures du ministère des armées et, bien évidemment, je me tiens au courant. Je le dis souvent, dans mes fonctions, je dois être paranoïaque, voir le pire dans toutes les situations et préparer notre défense. Mais en tant que citoyen, je suis pleinement attaché à la paix et la stabilité. On peut ne pas être naïf et chercher néanmoins comment dialoguer. Des canaux de dialogue et de désescalade potentielle ont été établis avec les Russes et sont testés. Il faut créer ce dialogue mais aussi aborder ensemble les volets de la cybercriminalité. Il est ainsi possible d'échanger nos expériences dans l'organisation de grands événements comme les Jeux olympiques, En l'occurrence, cela se ferait plutôt sous l'égide de l'ANSSI, mais l'essentiel, ce sont ces occasions de dialoguer, de comprendre, d'expliquer, de mieux se connaître, tout en restant vigilant. On le voit, tout n'est pas binaire dans le cyberespace.