Peut-être aurais-je dû le préciser, il existe deux réserves de cyberdéfense : la réserve citoyenne de cyberdéfense (RCC), gouvernée par le triptyque gendarmerie-ANSSI-COMCYBER, et la réserve opérationnelle de cyberdéfense, directement placée sous l'autorité du COMCYBER. En tant que responsable de ces deux réserves, je suis confronté à plusieurs enjeux. Tout d'abord, nous sommes en train de réviser en profondeur les missions et la gouvernance de la réserve citoyenne de cyberdéfense. Actuellement, celle-ci est utilisée pour réaliser des actions de sensibilisation à la cyberdéfense et de communication concernant le COMCYBER et les besoins du ministère. Or, pour vous dire les choses franchement, ce n'est pas ainsi que l'on motive des réservistes, qui veulent travailler pour une structure opérationnelle. Il faut donc rapprocher cette réserve des besoins quotidiens du COMCYBER, y compris sur le plan opérationnel. Par ailleurs, si sa gouvernance parisienne a été très bien pensée, ce n'est pas le cas au niveau territorial. Nous avons donc décidé, avec l'ANSSI et la gendarmerie, de créer des gouvernances dans treize régions afin qu'elle s'inscrive davantage dans le tempo des besoins du COMCYBER, de l'ANSSI ou de la gendarmerie. Il s'agit d'une réforme assez lourde.
Vous l'aurez compris, je souhaiterais atténuer la distinction entre les deux réserves. En effet, il ne me paraît pas sain de créer un fonctionnement à deux vitesses, les motivations étant différentes dans chacune des deux réserves. J'ai besoin d'une partie de leur expertise et je ne voudrais pas que des problèmes de statuts ou de dénomination de missions m'interdisent d'utiliser l'une ou l'autre. Nous sommes donc en train de réfléchir aux moyens de créer entre ces deux réserves une interaction afin que le COMCYBER puisse, en définitive, se tourner vers une population globale et faire appel à l'une ou l'autre selon qu'il a besoin du maillage de la réserve citoyenne ou de la réserve opérationnelle de cyberdéfense. Le défi que nous devons relever consiste, encore une fois, à disposer d'une réserve active qui s'inscrive dans le tempo du besoin quotidien des opérations du COMCYBER.
Par ailleurs, la relation entre le COMCYBER et le SGDSN se fait directement avec l'Agence nationale de sécurité des systèmes d'information, à plusieurs niveaux. Tout d'abord, le centre nerveux et opérationnel du COMCYBER est co-localisé avec l'ANSSI. Ma structure, le CALID, qui a pour mission de superviser les réseaux du ministère des Armées, a ainsi directement accès aux informations, aux expertises ou aux formations dont il a besoin. Cette co-localisation crée un terreau très favorable à l'interaction avec l'ANSSI et le SGDSN.
Mais Guillaume Poupard – le directeur général de l'ANSSI, avec qui j'ai une relation très précieuse – et moi-même souhaitons faire en sorte que le champ du partenariat entre le COMCYBER et l'ANSSI ne se limite pas à cette co-localisation : nous voulons pouvoir réfléchir à des politiques de ressources humaines et de formation continue communes ainsi qu'à une mutualisation des équipements. Il s'agit également de mettre en oeuvre une politique partenariale pour remédier aux problèmes de symétrie d'organisation auxquels nous sommes constamment confrontés avec les pays étrangers ; de fait, tous les pays n'ont pas une ANSSI et un COMCYBER. Du reste, je rappelle que, si j'ai la responsabilité opérationnelle au regard du CEMA et du ministère des Armées, je suis sous la responsabilité de l'ANSSI pour ce qui touche aux aspects réglementaires et normatifs.
La question du Patriot Act ne relève pas du COMCYBER, mais de l'ANSSI… Faut-il des systèmes d'État ? Encore une fois, c'est une question extrêmement lourde. J'en reviens à l'idée de la souveraineté : ne faut-il pas envisager une souveraineté partagée ? Je ne fais là que soulever la question – mais vous aurez compris mon inclination.
À propos de l'article 19, il me semble naturel que l'on renforce les prérogatives de l'ANSSI pour qu'elle puisse mettre en place, dans certaines structures d'intérêt, des systèmes de détection d'attaques qui, directement ou indirectement, vont toucher les intérêts de l'État. Ensuite, il revient à l'ANSSI, qui est au point d'équilibre entre la cyberprotection, le renseignement et l'offensive, de décider ou pas du transfert des marqueurs, par exemple. C'est fondamentalement le SGDSN qui sera à la manoeuvre dans ce domaine. Ce que je dis simplement, c'est que, agissant sur délégation de l'ANSSI, il faut que, si cette attaque touche le ministère des Armées, mes chaînes de détection me permettent de la corroborer et de mesurer son amplitude et son agressivité. C'est un environnement sur lequel nous devrons travailler avec l'ANSSI, pour définir un protocole, des règles de bonne conduite, etc.
Je n'exerce pas de responsabilités directes dans la protection des câbles, qu'ils touchent le territoire national ou qu'ils se trouvent dans les eaux territoriales. Quant aux satellites de communication, seuls les satellites militaires relèvent de ma responsabilité ; les satellites civils relèvent de l'ANSSI. Cependant, lorsque les intérêts français sont touchés, le COMCYBER a le devoir de soutenir ceux qui les défendent dans un champ non militaire et il a la responsabilité de développer des scénarios qui permettent de neutraliser l'agresseur ou de diminuer les effets de son attaque. C'est ainsi que j'interviens, indirectement, en proposant des options de nature militaire au niveau politique.
En ce qui concerne la formation, je reprendrai une des conclusions de la revue stratégique cyber : nous devons former nos concitoyens, dès le plus jeune âge, à la notion de cybersécurité. C'est très bien d'avoir un téléphone portable ou d'être inscrit sur Facebook ; encore faut-il en mesurer les conséquences. Plus tôt nous les sensibiliserons à cette culture et nous les responsabiliserons dans leur utilisation des outils connectés à internet, mieux ce sera. Ce qui est vrai pour nos concitoyens l'est également pour le ministère des Armées mais, même si l'on peut toujours mieux faire, je crois que celui-ci a pris un peu d'avance dans ce domaine. Le véritable enjeu réside plutôt dans l'organisation de la formation continue. Je veux en effet m'assurer que le niveau de professionnalisation des opérateurs du COMCYBER demeure le plus haut possible.
La DGA s'est engagée, il y a quelques années, dans l'expertise de l'intelligence artificielle. Frédéric Valette, l'un des adjoints du DGA, chargé du domaine cyber, avec qui je collabore étroitement, me tient informé de l'évolution des programmes et des investissements réalisés dans ce domaine. Je n'ai donc pas d'inquiétudes : la DGA m'accompagnera dans la mise en place et l'intégration de l'intelligence artificielle. Celle-ci suscite beaucoup d'interrogations, qu'il s'agisse du management de l'information dans les états-majors, de la manière dont le deep learning et la robotisation permettront d'améliorer le fonctionnement de la cyberdéfense… L'enjeu pour moi est de faire en sorte que, dans la trajectoire de la LPM, la révision de l'ensemble de l'architecture de détection et de supervision puisse coïncider avec le moment où les techniques liées à l'intelligence artificielle arriveront à maturité : le but, et nous y travaillons avec Frédéric Valette, est d'éviter toute obsolescence dans les programmes que nous avons lancés et de faire en sorte que, dès que la virtualisation et le deep learning arriveront à maturité, on puisse les intégrer naturellement dans les architectures en cours d'élaboration.