Intervention de Général Didier Tisseyre

Nous ne recrutons pas en effet que des savoir-faire mais aussi des savoir-être, pour être sûrs que le loup n'entre pas dans la bergerie. On peut ainsi imaginer des questions spécifiques lorsque l'on recrute des hackers parce qu'ils sont les plus performants. Nous sommes extrêmement attentifs. Des enquêtes sont menées, des contacts sont pris, des tests sont effectués et les recrutés ne sont pas tout de suite au cœur des opérations. Les faire commencer doucement nous permet de mieux les connaître. Ces personnes sont suivies de manière très précise pour qu'il n'y ait pas de difficultés.

Effectivement, plusieurs choix sont possibles en termes d'organisation au sens large. On peut regrouper l'ensemble des entités dans un seul service, sous un seul commandement : c'est le choix qu'ont fait certains États. Nous sommes plutôt sur un principe de modularité, de chaînes avec une coordination. Ainsi le commandement de la cyberdéfense est une petite entité avec un état-major inséré au sein de l'État-major des armées et des unités propres que nous sommes en train de regrouper sur la plaque rennaise pour qu'elles soient vraiment le « cœur du cœur ». Mais nous nous appuyons sur des chaînes d'armées, parce que les armées connaissent les systèmes qu'elles ont numérisés et sont en première ligne pour les défendre ou les protéger. Parce qu'on peut avoir à faire face à une attaque globale, il faut évidemment qu'on ait la connaissance de tout : mon rôle en tant que COMCYBER est d'orienter, de cadencer et de conduire l'ensemble de la défense du système, mais je m'appuie sur les chaînes d'armées, les chaînes de lutte informatique défensive d'armées – direction et services – qui sont au cœur de leur propre système. Nous sommes donc une structure relativement légère, qui n'a que les spécialistes les plus pointus, ou les plus « interarmées ».

Nous avons avec les organismes à vocation interarmées des contrats opérationnels, que nous revoyons régulièrement pour nous assurer qu'ils nous apportent les éléments de réponses escomptés.

La question s'est posée notamment par rapport à ce qu'on appelle la supervision de sécurité déployée sur les théâtres d'opérations. Le commandement de la cyberdéfense a des entités actuellement statiques, mais capables d'intervenir en fonction des incidents. Sur les théâtres d'opérations, nous nous appuyons sur l'armée de Terre et cette solution répond à nos besoins. Mais nous sommes assez attentifs. Le principe est de ne pas regrouper tout le monde et que des entités se retrouvent sans cybercombattants, sans cyberdéfenseurs. Est-ce le bon ? Cela nous amène à la question sur cette fameuse quatrième armée.

Ce qui est essentiel, c'est que le dialogue soit bon entre les divers services qui doivent travailler à la cyberdéfense. Celui qui est en charge de la défense doit être en contact étroit avec celui qui a conçu le système, et il faut des liens avec les autres opérations. Que tout le monde soit en relation est d'ailleurs un peu un principe du cyberespace ; ainsi les frontières sont peut-être plus artificielles.

Ensuite, il faut définir une cohérence d'ensemble, avec un commandant de la cyberdéfense rattaché directement au chef d'État-major des armées, et ayant une place dans le périmètre ministériel, en tant que conseiller de la ministre. Un regroupement n'est pas obligatoire, quand bien même la question de l'information devient essentielle quand on entre dans une conflictualité d'une autre nature et non plus limitée aux espaces aériens, terrestre, maritime et spatial.

Peut-être faut-il aller encore plus loin dans l'appréhension et la gouvernance globales des systèmes, en associant davantage ceux qui conçoivent les systèmes et ceux qui les défendent.

Le domaine naval est très spécifique puisqu'on trouve dans une FREMM un système de systèmes. Il faut le prendre en compte dans la cyberdéfense, tout comme la fragilité ou de spécificité d'un lien satellitaire ou par ondes et non par câble. C'est pourquoi les marins sont les plus à même de comprendre les vulnérabilités et d'apprécier les possibilités du cyber. Pour autant, il faut une cohérence d'ensemble : c'est le CYBERCOM qui définit, planifie et conduit les actions offensives. Les marins ne sont donc ni autonomes ni livrés à eux-mêmes : nous dialoguons beaucoup et je suis là pour m'assurer que ça se passe bien. C'est le cas pour le centre maritime de cybersécurité, qui relève bien de la marine et qui est partie prenante de la chaîne de cyberdéfense.

Nos contacts avec le Royaume-Uni sont bons. Nous discutons beaucoup et travaillons ensemble au sein de la coalition contre Daech. Des progrès restent à faire, pour que les coopérations donnent des résultats concrets, mais ces partenariats entre entités spécialisées dans la cyberdéfense et le renseignement sont indispensables. Il faut surtout que nous nous appuyons sur des communications sécurisées : si les signatures de malware relèvent d'un niveau de classification intermédiaire, comprendre comment on a trouvé ces éléments et qui a été attaqué est très sensible et la transmisison de l'information doit se faire à un niveau de confidentialité qui dépasse le niveau secret.

Les réserves sont essentielles. Nous avons une réserve opérationnelle, avec des gens en uniforme qui travaillent au sein de nos unités à des actions de cyberdéfense au quotidien. Nous disposons aussi de réservistes citoyens qui nous apportent des expertises technologiques, sociologiques, par exemple par un échange dans des mécanismes de recherche.