M. Jean-Michel Jacques a relevé la continuité du rôle des armées à l'extérieur et à l'intérieur avec l'opération Sentinelle. Je ne puis que répéter que si le COMCYBER a bien la responsabilité de défendre les réseaux informatique et de télécommunication utilisés par Sentinelle, il n'a aucune responsabilité en matière d'action cyber sur le territoire national autre que ce qui relève de la défense.
Je vous confirme qu'il n'y a pas de continuité en matière d'action cyber : seuls les services de police et de renseignement sont autorisés par la loi à mettre en oeuvre des techniques de renseignement sur le territoire national – y compris sur la base d'actions informatiques. Le COMCYBER n'y est pas autorisé. Je ne mène pas d'actions numériques sur le territoire national ; ma responsabilité concerne l'extérieur et les théâtres en soutien.
En matière d'équipements, un double effort doit être engagé à travers la LPM. Le premier concerne l'industrialisation des moyens de détection et de supervision. Ce changement d'échelle constitue un défi. Je dois m'assurer que des sondes dans l'ensemble du réseau des armées me permettent de centraliser, au niveau du CALID, une hypervision des informations qui remontent, et une coordination des éventuels incidents. Mon premier défi est donc celui de l'industrialisation de toute la chaîne de détection du ministère des Armées, y compris en intégrant dans les années à venir tout ce que l'intelligence artificielle générera en termes d'automatisation, d'enrichissement, de moyens de détection et de supervision. En l'état actuel des choses, peut-on dire que tout est parfait ? Je n'irai pas jusque-là, mais le ministère des Armées dispose bel et bien de moyens de détection et d'hypervision. Des investissements sérieux sont toutefois nécessaires pour assurer le passage à l'échelle appropriée, ce qui nécessitera une importante approche programmatique avec la DGA.
Le second effort concerne la capacité à intégrer des équipements qui répondent aux besoins opérationnels immédiats des structures opérationnelles, qu'il s'agisse du CALID ou du CO CYBER. Nous avons pris la décision, avec la DGA, de mettre en place des circuits courts d'achat en lançant des « défis » aux entreprises françaises. Nous leur disons par exemple : « Dans les six mois, j'ai besoin d'une capacité d'analyse de données projetable pour me moderniser et accompagner les forces à l'extérieur du territoire. » À elles de me proposer un produit dans les six mois. S'il me convient, nous passons à l'échelle industrielle. Nous mettons en place des systèmes qui nous permettront de disposer d'équipements sur des temps courts, car le temps court correspond aux réalités de l'innovation et de l'accélération technologique liée à l'internet.
Comment puis-je m'assurer que les militaires et les civils qui travaillent pour nous respectent les règles de confidentialité ? Tous ceux qui rejoignent le COMCYBER font évidemment l'objet d'une enquête qui permet de leur attribuer un niveau d'habilitation ad hoc. Par ailleurs, je mets actuellement en place une charte de déontologie qui, au-delà des aspects réglementaires, vise à créer une identité commune autour de valeurs professionnelles, mais également de la notion de responsabilité. Ces chartes de déontologie permettent de marquer les esprits et d'organiser collectivement la responsabilité des actions individuelles.
Existe-t-il un lien entre le cyber et la diplomatie ? D'une certaine manière, le cyber change le statut des États, parce que ceux qui se numérisent sont les plus en pointe en matière de cyberdéfense, ce qui signifie qu'ils disposent aussi de capacités cyber offensives. Ce statut ouvre la possibilité de partenariats et d'échanges et permet d'accéder à des responsabilités politiques nouvelles, y compris dans les chaînes diplomatiques. Pour des raisons liées à l'économie et à la sécurité collective, la cyber est aujourd'hui devenue un vecteur de rapprochement à part entière. Elle constitue bien une dimension de notre diplomatie.
Il est un peu difficile de comparer les ambitions des armées françaises et allemandes en matière de cyberdéfense. L'armée française est dans les opérations au quotidien. Nous avons décidé d'une gestion plutôt transversale de la responsabilité cyber, ce qui m'évite de devoir gérer chaque jour des questions organiques. Je peux me concentrer sur ma responsabilité opérationnelle et fonctionnelle. J'ai l'autorité opérationnelle sur les structures (CALID, CASSI…) et d'autres s'occupent de leur fonctionnement. Je ne vois aucun problème à ne pas disposer de rattachements organiques aussi imposants que ceux décidés en Allemagne. Tout l'enjeu est de parvenir à identifier et faire accepter des mécanismes de gouvernance efficaces: comme toute nouvelle capacité, elle doit être comprise et accompagnée. Le défi que j'ai à relever, c'est de faire monter en puissance la culture collective des armées dans ce domaine. J'estime aujourd'hui que la fonction transverse qui est la mienne me permet d'exercer mes missions. Cela relève de l'exercice de ma responsabilité et de mon leadership, ainsi que de ceux de mes adjoints : à nous de faire en sorte que cette fonction transverse soit acceptée et apporte de la plus-value au système.
Les quatre chaînes opérationnelles sont articulées autour des quatre acteurs dont je vous ai parlé. Parce que ce modèle a séparé l'offensif, le défensif, l'information assurance et le renseignement, la revue stratégique a souhaité mettre en place un système de coordination de l'ensemble acteurs. Ceux-ci participeront non seulement à un comité stratégique qui veillera à la montée en puissance de la communauté cyberdéfense, mais aussi à des centres de coordination des crises cyber (C4) qui permettront d'améliorer le partage de l'analyse de la menace, la coordination et l'organisation d'une réponse en cas de crise. La revue cyber prévoit donc de maintenir le modèle français fondé sur des principes de séparation tout en organisant une coordination aux niveaux politiques, opérationnels et techniques pour veiller à ce que ces quatre piliers fonctionnent ensemble.
La fonction cyber est opérationnelle. Elle est devenue une capacité à part entière ; le ministère des Armées et le chef d'état-major n'ont aucun doute sur ce point., le temps viendra où nous participerons à un défilé du 14 juillet pour montrer que la France est une puissance cyber, et qu'elle l'assume dans le champ militaire.