Cyberdéfense – Discours de Jean-Yves Le Drian

M. Jean-Yves Le Drian,

ministre de la Défense

 

Discours à l’occasion de la visite de la Direction générale de l’armement – Maîtrise de l’information (DGA-MI)

 

A Bruz, lundi 12 décembre 2016

 

– Seul le prononcé fait foi –

Monsieur le préfet,

Mesdames et Messieurs les élus,

Monsieur le délégué général pour l’armement, cher Laurent Collet-Billon,

Mesdames et Messieurs les officiers généraux,

Mesdames et Messieurs,

Ce jour du 12 décembre est une date importante pour moi, ministre de la Défense. Je l’attendais depuis longtemps, elle est placée sous le signe de la cyberdéfense, au travers de trois visites importantes, la première en début de matinée au pôle d’excellence cyber, la seconde ici, et la dernière cet après-midi à Lannion, haut lieu depuis tant d’années de l’effort de la France en matière de technologies des télécommunications et de l’information. Mais c’est ici, devant vous, que j’ai choisi de prononcer ces quelques mots en forme de bilan et de perspectives de mon action dans ce champ éminemment stratégique, en me concentrant sur le champ de responsabilité spécifique qui est le mien en tant que ministre de la Défense.

Les menaces

Vous le savez, notre dépendance au numérique s’accroît, avec les progrès rapides et continus de celui-ci, avec le développement de l’Internet des objets- je rappelle l’hypothèse de 20 milliards d’objets connectés en 2020- avec les progrès dans le domaine des intelligences artificielles et de la cognitique, les travaux sur les blockchains, ou encore le fonctionnement numérique des installations industrielles complexes. Tout cela renforce en retour notre exposition à ces vulnérabilités nouvelles.

Les menaces dans le cyberespace sont le fait d’une diversité inédite d’acteurs (cybercriminels, hacktivistes, Etats, groupes terroristes, etc.) entre lesquels les frontières sont poreuses. Ces menaces sont en outre extrêmement variées. Une attaque, même rudimentaire, sur un système de vote électronique peut perturber la vie démocratique d’une nation ; la paralysie de médias peut perturber profondément la vie sociale ; l’extinction d’un système électrique peut sérieusement altérer la vie quotidienne des citoyens, comme l’économie. Et je n’évoque pas des scénarios de paralysie ou de destruction plus cataclysmiques, qui semblaient encore, il y a peu, dignes de films d’anticipation, mais dont la faisabilité s’est malheureusement accrue.

Les menaces de type cyber recouvrent en outre des réalités profondément asymétriques, dans lesquelles de faibles moyens permettent d’obtenir des effets importants, analogues à ceux d’actions plus conventionnelles. En particulier, lorsqu’elles visent des infrastructures civiles critiques, voire des cibles militaires. Ces menaces sont appelées à s’intensifier. La fréquence et l’ampleur des attaques augmentent en effet sans cesse dans le cyberespace, nous le constatons quotidiennement, tout comme leur sophistication technologique se poursuit, témoignant ainsi d’une prolifération préoccupante des moyens d’agression.

Parallèlement, si peu d’Etats disposent à l’heure actuelle des moyens de mener des actions cyber offensives de grande ampleur, causant des dommages importants, leur  nombre d’une part et leurs capacités d’autre part, devraient s’accroître rapidement, sous l’effet du faible coût et de la diffusion rapide des technologies numériques. Par ailleurs, d’ores et déjà, des capacités d’attaques plus rudimentaires de type « saturation » sont à la disposition de tous les acteurs.

C’est une des caractéristiques de ce milieu sur laquelle je veux insister : l’arme cyber peut avoir des effets tout à fait comparables à l’armement plus conventionnel, que je qualifierai de « cinétique ». Un missile sophistiqué, tiré d’un avion de chasse, n’est à l’évidence accessible qu’à peu d’organisations dans le monde. Alors que l’arme cyber, dont la conception nécessite parfois des moyens colossaux, est, la plupart du temps, répliquable à l’infini. Stuxnet en constitue un exemple flagrant, puisqu’au-delà de l’effet visé sur le programme nucléaire iranien, de nombreuses variantes en ont été déclinées. On peut dire qu’il a en quelque sorte échappé à ses concepteurs.

Pour toutes ces raisons, et notamment la grande accessibilité de l’arme, les groupes terroristes qui utilisent actuellement Internet à des fins de planification, de propagande et de recrutement pourraient devenir des acteurs à part entière du domaine cyber. Les opérations asymétriques étant par nature inscrites dans leur ADN, le cyberespace leur ouvre un champ évident d’action, où des dommages importants pourraient être obtenus avec des moyens limités.

Notre réflexion doit aussi tenir compte de la grande diversité de contextes  dans lesquelles les attaques cyber peuvent être deployées : ce peut être une arme parmi d’autres dans le cadre d’un conflit conventionnel, un moyen de pression dans le cadre d’une crise en cours de développement, ou un outil utilisé ponctuellement pour causer du tort à nos intérêts. Et nous connaissons bien, désormais, les problèmes redoutables qui se posent le plus souvent pour déterminer l’origine des attaques, problèmes qu’exploitent bien sûr nos ennemis. Parfois, dès lors, les auteurs des attaques souhaiteront être connus ; dans d’autres cas, ils préféreront demeurer anonymes ; souvent, ils choisiront un certain degré d’incertitude sur leurs responsabilités.

A cet égard, je tiens à lever d’emblée toute ambiguïté concernant l’utilisation du concept de dissuasion, qui est souvent évoqué à propos de la cyberdéfense. En France, historiquement, ce terme est employé de manière exclusive dans notre stratégie pour caractériser la dissuasion nucléaire, garantie ultime de notre souveraineté. Contrairement à certains de nos partenaires, nous n’avons jamais adopté la notion de « dissuasion conventionnelle », estimant que jamais un armement classique n’exercerait l’effet radical de dissuasion propre au nucléaire. Il ne me semble pas qu’il faille modifier ici notre analyse. Je ne vois pas en quoi, en effet, l’arme cyber exercerait l’effet de retenue ou de dissuasion très spécifique que nous constatons et entretenons avec la dissuasion nucléaire. Et le mode de fonctionnement de la dissuasion nucléaire est profondément différent des batailles cyber. C’est la raison pour laquelle je rattache plus volontiers, dans nos modes de raisonnement, les problématiques cyber aux problématiques conventionnelles. .

La nécessité d’une doctrine 

A mon sens, l’émergence d’un nouveau milieu, d’un champ de bataille cyber, doit nous amener à repenser profondément notre manière d’aborder l’art de la guerre. De la même manière que l’émergence de l’aviation au début du XXème siècle a profondément transformé la doctrine militaire, au point que ceux qui en avaient le mieux et le plus rapidement pensé l’utilisation en ont tiré des bénéfices opérationnels et stratégiques considérables, de même il me semble aujourd’hui indispensable de développer une doctrine et une stratégie cyber de défense, et d’intégrer l’ensemble des volets cyber dans notre pensée militaire.

La défense de la France doit s’adapter aux enjeux actuels et futurs de ce champ de bataille. La supériorité opérationnelle de nos forces armées, c’est-à-dire la capacité à maîtriser des crises où intervient l’art militaire, comme la capacité d’entrer en premier sur un théâtre de conflit et à y contraindre un adversaire, passent désormais aussi, j’en ai la conviction, par la recherche et l’obtention de la supériorité dans l’espace cyber.

Ainsi pour gagner les nouvelles guerres, j’estime qu’une adaptation de notre outil de défense est indispensable. Ce sont quelques-uns des grands principes de cette adaptation que je veux vous présenter aujourd’hui. Je me limiterai, pour l’essentiel, à ce qui relève du ministère de la Défense, mais il va de soi que nombre de ces questions ressortissent aussi d’un champ plus large, interministériel et gouvernemental, notamment pour ce qui concerne la protection de nos infrastructures critiques. Cette doctrine devra donc s’intégrer dans une stratégie d’ensemble, à définir sous l’égide du Président de la République et du Premier Ministre.

Les missions et le cadre juridique

Je me concentre ici sur les missions de notre appareil militaire et de défense, que l’on peut classer en trois catégories: les missions de renseignement et investigation, celles de protection/défense, celles de riposte et neutralisation.

Ces catégories sont originairement celles des opérations « conventionnelles ».

Dans le domaine cyber, la phase de renseignement prend une dimension encore plus essentielle C’est la première mission. Elle a pour objectifs :

• de contribuer à identifier nos failles ou nos vulnérabilités potentielles ;
• de détecter des actions hostiles dans le cyber-espace, de les caractériser et éventuellement d’en trouver la source ;
• de mener les investigations nécessaires pour attribuer une attaque, la caractériser, en déterminer les effets, et en découvrir les motivations ;
• de participer aux actions de remédiation ;
• de contribuer à préparer, planifier et soutenir les actions offensives.

C’est le premier pilier de la stratégie de défense cyber ; il suppose des moyens dédiés, qui ne sont pas tous de nature numérique d’ailleurs, puisque l’ensemble de la panoplie des actions de renseignement peut être utilisée, y compris le renseignement humain. Dans une opération offensive complexe, et je reprendrai l’exemple largement public de Stuxnet, l’humain est souvent la première source d’introduction de l’arme informatique, dans un réseau totalement déconnecté du reste du monde. Il faut dès lors identifier une cible, identifier ses centres d’intérêts, s’en rapprocher, et la transformer en une forme de vecteur numérique qui injectera, comme par mégarde, le virus informatique.

J’ajoute que, bien entendu, l’arme cyber sera elle-même une source croissante de renseignement dans la prévention et la conduite de la guerre, comme dans le renseignement de théâtre ou tactique. Nous devons tous en avoir conscience et en tirer les conclusions pour nos équipements et nos ressources humaines.

La deuxième mission de la fonction cyberdéfense est la posture de protection/défense :

• sur le territoire ou en opération, la posture permanente cyber regroupe l’ensemble des mesures prises pour réduire les risques qui peuvent concerner nos systèmes ;
• le périmètre d’action du ministère de la Défense couvre non seulement l’ensemble de ses systèmes, en métropole comme en opérations extérieures mais également, en coordination avec  l’ANSSI, les opérateurs d’infrastructures vitales, auprès desquels nous pouvons intervenir lorsque la situation le requiert, via des groupes d’intervention rapides ;
• la posture de défense intègre ainsi :
  •  une défense en profondeur, c’est la cyber-protection, qui consiste schématiquement à bâtir d’épaisses murailles, ainsi qu’à veiller en permanence à leur efficacité, face à une menace toujours évolutive ;
  •  une défense de l’avant, c’est la lutte informatique défensive, qui consiste à patrouiller, guetter, et intervenir dans l’espace numérique en cas d’intrusion, pour éradiquer la menace et reconstruire la muraille ;
  • pour la protection de ses propres systèmes, le ministère doit pouvoir disposer d’outils de protection immédiate, éventuellement automatisés en cas d’attaque susceptible de provoquer des perturbations de grande échelle, ou touchant massivement à l’intégrité de données sensibles. Nous en élaborons, et ils n’ont pas vocation à sortir des réseaux internes au ministère;
  • cette posture défensive s’applique de manière indifférenciée sur les réseaux parcourant le territoire national, comme sur les théâtres d’opérations.

Le troisième et dernier pilier est celui de la lutte informatique offensive, que je caractériserai plus précisément par ces deux termes : riposte et neutralisation. Il doit permettre d’agir ou de répliquer contre un ennemi cherchant à nuire à nos intérêts de sécurité et de défense.

Face à une attaque, au demeurant, il conviendrait que nous puissions présenter au Président de la République un large éventail de réponses possibles, sans nous limiter par avance à la sphère militaire ni au domaine cyber.

Et la réciproque est tout à fait vraie également : en temps de guerre, l’arme cyber pourra être la réponse, ou une partie de la réponse, à une agression armée, qu’elle soit de nature cyber ou non.

Nos capacités cyber offensives doivent donc nous permettre de nous introduire dans les systèmes ou les réseaux de nos ennemis, afin d’y causer des dommages, des interruptions de service ou des neutralisations temporaires ou définitives, justifiées par l’ouverture d’hostilité à notre encontre En utilisant pour cela des moyens sophistiqués, dont nous sommes parfois les concepteurs et qui doivent résister à tout risque de détournement. C’est aussi un enjeu technologique complexe, mais devenu fondamental

Quels seront nos objectifs ?

En premier lieu, entraver les actions d’un individu ou d’un groupe d’individus à l’origine d’une attaque, en paralysant ses actions.

En second lieu, si celles-ci s’apparentent dans leurs effets à une attaque armée contre nos intérêts ou nos infrastructures, et en fonction de leur intensité, nos moyens de défense doivent pouvoir y apporter deux autres types de réponse.

D’abord, la neutralisation, y compris de façon permanente, des infrastructures (matérielles ou immatérielles) utilisées pour nous causer des dommages. C’est la réponse immédiate visant à interrompre une attaque, par la neutralisation des outils utilisés pour la mener.

Le droit français a d’ailleurs été récemment modifié pour permettre des actions de neutralisation, en particulier des effets d’attaques informatiques visant des systèmes d’information particulièrement sensibles (article 21 de la LPM du 18 décembre 2013, codifié à l’article 2321-2 du code de la défense).

Ensuite, là aussi en fonction de la gravité des évènements, peut venir le temps de la riposte– dans le cadre d’un combat numérique ou non. Si une attaque cyber s’apparente à un acte de guerre, notamment par la gravité de ses effets, une riposte adéquate s’imposera, au-delà même de la neutralisation des seules infrastructures impliquées, dans une logique cette fois de conflit ouvert.

Plus spécifiquement, en cas d’attaque informatique transitant par des infrastructures ou par le territoire d’un Etat qui n’aurait pas empêché une telle utilisation, alors même qu’elle visait à commettre un acte internationalement illicite, la responsabilité de cet Etat pourrait être mise en jeu et justifier l’édiction de contre-mesures. Cela serait vrai dès lors qu’il serait établi que cet Etat n’a pas pris les dispositions nécessaires (« due diligence ») pour éviter une telle utilisation.

Vous l’aurez compris, j’estime que le droit et spécialement le droit  international s’appliqueau domaine cyber. Ce principe a d’ailleurs été admis par le groupe d’experts gouvernementaux, réunis dans le cadre des travaux de l’Assemblée générale des Nations-Unies sur la cybersécurité (UNGGE). La France s’est fortement mobilisée en faveur de son action.

Ainsi, une attaque informatique majeure, eu égard aux dommages qu’elle causerait, pourrait constituer une agression armée au sens de l’article 51 de la Charte des Nations Unies et justifier ainsi l’invocation de la légitime défense.

Et, dans ces cas, tous les principes associés à l’exercice de la légitime défense à l’égard d’agressions armées, effectives ou imminentes, notamment la proportionnalité et la nécessité, trouveraient à s’appliquer, que cette agression émane d’Etats ou de groupes perpétrant des actes assimilables par leur gravité ou leur nature. Cette mise en œuvre pourrait paraître indispensable.

Par ailleurs, le cyber nous offre une nouvelle panoplie d’instruments pour maîtriser l’escalade d’une crise, avec la possibilité d’actions significatives sans emploi de la force armée.

En résumé, l’arme cyber est une arme à part entière, qui fait partie de la panoplie des moyens à disposition du commandement militaire, en les complétant de manière particulièrement efficace. Aucune opération militaire, aucuneaujourd’hui ne se conçoit plus sans que cette dimension soit prise en compte. Mais, vous le comprenez aussi, par ses modes d’action, par ses effets, par sa propagande extrêmement rapide et large, et par sa complexité d’emploi, l’arme cyber impose une refonte importante de nos schémas de planification et de conduite, afin d’en tirer le meilleur bénéfice.

Les coopérations

La nouvelle doctrine intégrera aussi une dimension de coopération internationale et son corollaire, une définition précise de la souveraineté appliquée à ce domaine.

Nos moyens militaires cyber doivent participer à nos efforts de coopération militaire, avec les pays alliés ou amis de la France :

• La coopération internationale doit permettre un soutien à ceux de nos partenaires souhaitant renforcer leurs capacités ; des échanges d’information ou de doctrine avec nos alliés ; ou encore une coordination spécifique pour les actions en coalition.
• Cette coopération nécessite l’établissement de capacités nationales robustes, garantes de notre autonomie dans ce milieu et de celle de nos partenaires. C’est la raison pour laquelle j’ai défendu et obtenu à l’OTAN l’affirmation d’un engagement politique formel, le « cyber pledge », invitant tous les Etats membres de l’Alliance atlantique à atteindre un niveau minimal de robustesse dans ce domaine. Cet engagement a été adopté au niveau des chefs d’Etat ou de gouvernement au sommet de l’OTAN de juillet dernier. Dans le domaine cyber, comme pour les autres domaines conventionnels, rien de solide, rien de sérieux ne peut être fait à l’OTAN, qui ne parte pas de capacités nationales robustes.
• C’est également un enjeu à l’Union européenne où, depuis l’adoption d’un cadre d’action dédié à la cyberdéfense en 2014 et un accord UE-OTAN en 2016, nous travaillons à la protection des réseaux de communication de la PSDC et à la coopération UE-OTAN sur la résilience et la réponse aux incidents.

Il apparaît donc clairement que le champ cyber sera dans les années à venir un domaine majeur d’investissement humain, technologique et donc financier. Cette stratégie appelle en effet des moyens, comme nous en avons commencé la programmation dès la LPM votée en décembre 2013, mouvement qui s’est amplifié avec la LPM actualisée de juillet 2015.

Les moyens.

En premier lieu, j’attache une importance particulière aux moyens humains, car peut-être encore plus que dans tout autre domaine opérationnel, la cyberdéfense est avant tout affaire de compétences techniques de haut niveau.

Ainsi, au terme de la montée en puissance prévue par l’actualisation de la loi de programmation militaire, ce sont 3200 personnes qui devraient, pour la défense, participer à la mission « cyber », soit plus du double des effectifs à mon arrivée à la tête du ministère  en 2012.

J’ai également souhaité que la réserve prenne en compte la réalité de notre action future dans ce domaine. La réserve de cyberdéfense, que j’ai décidé de créer, est un pari certes ambitieux mais dont les premiers résultats sont encourageants. A la fin de l’année, près de 400 réservistes l’auront intégrée, ce qui est remarquable pour une opération lancée au mois de mai. Les étudiants de nos écoles d’ingénieurs sont candidats et participent aux exercices. Des experts des plus grandes entreprises de défense viennent ponctuellement mettre leurs compétences à notre service.

Cette montée en puissance des recrutements s’incarne particulièrement ici, à la DGA Maîtrise de l’information. Dans des domaines essentiels, vous êtes le cœur de l’expertise technique du ministère de la Défense: les systèmes d’information et de communication, la guerre électronique, les systèmes de missiles tactiques et stratégiques et, bien sûr, le cyber, vous nous l’avez encore démontré tout à l’heure. Je suis très heureux et très fier d’être de nouveau parmi vous dans ces locaux d’exception. C’est ma troisième visite. En 2012, j’étais venu annoncer, déjà, le renforcement très significatif du nombre d’experts en cyberdéfense à la DGA.

Il fallait un bâtiment pour les accueillir. Ainsi en octobre 2014, j’ai posé la première pierre d’un ensemble qui s’annonçait déjà particulièrement ambitieux et moderne. Je me souviens que nous avions, avec Louis Pouzin lui-même et Laurent Collet-Billon, fait un peu de maçonnerie pour garantir sa future solidité. Et je crois que nous avons été performants au vu du magnifique immeuble que nous avons inauguré tout à l’heure !

C’est pour moi une véritable satisfaction, de constater la pleine réalisation en 2016 de ce qui n’était encore, en 2012, que le projet d’une montée en puissance. Ce bâtiment donc, que nous avons appelé « Louis Pouzin » en l’honneur de l’ingénieur français à l’origine de travaux qui ont conduit à Internet, est destiné à accueillir les activités  de cyberdéfense. Je pense notamment à l’analyse de composants de sécurité et à l’analyse de logiciels malveillants.

Unique en Europe, le centre Louis Pouzin sera le saint des saints de nos programmes cyber. Il rendra possible la préparation et l’équipement  de nos forces ainsi que la protection de nos moyens, en offrant à nos experts un centre pour développer de nouveaux systèmes et appuyer nos actions dans l’espace cyber :

• sur une surface de 9000 m² ;
• il dispose d’une capacité d’accueil de 250 à 270 personnes et un potentiel d’extension a été prévu dès sa conception ;
• cet espace se distingue par son très haut niveau de sécurité de défense, j’ai pu le mesurer. J’ai l’impression qu’on initie là un nouveau concept de bâtiment à « haute qualité cyber », si je peux me permettre cette expression.

Pour pouvoir défendre nos systèmes contre les virus, les malwares et les différentes menaces cyber, pour les détecter à coup sûr, empêcher leur prolifération et les éradiquer, il faut pouvoir les étudier en détail. Il faut également disposer de plates-formes capables de simuler de manière réaliste un environnement complet, mais extrêmement confiné, pour étudier l’ensemble des caractéristiques des logiciels malveillants et mettre en œuvre la réponse technique, elle aussi extrêmement sensible, par les savoir-faire qu’elle mobilise. Vous faites tout cela ici.

Au-delà des chiffres, la question est celle des recrutements et de la formation. Si je prends l’exemple de votre site, il comptait 150 experts cyber en 2012, quand j’y suis venu pour la première fois. Il en compte désormais 420 et devrait atteindre 650 personnes à la fin de la LPM. Soit quatre  fois plus !

Cet effort de recrutement est conséquent pour vos équipes, Monsieur le délégué général pour l’armement, j’en ai conscience. D’autant qu’il s’agit d’un secteur particulièrement concurrentiel en matière de ressources humaines. Au moins, vous pouvez mettre en avant l’intérêt technique des sujets proposés aux experts que vous embauchez, sans oublier la qualité de vie en Bretagne, bien entendu ! Et cet intérêt technique, l’excellence de DGA Maîtrise de l’information  comme la conviction de servir son pays et l’intérêt général sont des marqueurs forts de votre attractivité.

Il est prévu que les recrutements, déjà élevés ces dernières années, augmentent encore en 2017 : cent experts supplémentaires sont prévus. La localisation géographique de DGA Maîtrise de l’information et son  excellence technologique reconnue permettent de sélectionner des candidats  expérimentés et de très haut niveau. Ces atouts ont permis d’envisager dès 2015 l’accélération des recrutements, sans pour autant diminuer leur qualité, et tout en garantissant une très bonne intégration des nouveaux venus.

L’expertise technique de la DGA dans la conduite de programmes complexes est unique, en France et en Europe. C’est un véritable atout pour le ministère. Je suis conscient de la rareté des compétences requises,  notamment dans le domaine de la cyberdéfense.

Une fois que les personnels sont recrutés, il faut les former, puis entretenir leurs compétences. J’aborde là un sujet qui me tient particulièrement à cœur, à savoir le pôle d’excellence cyber. Vous savez qu’en la matière, le cœur battant du ministère de la Défense dans le domaine technique se trouve ici, en Bretagne.

Tout un réseau est constitué. Il comprend DGA Maîtrise de l’information mais également le commandement des systèmes d’information et de communication de l’armée de terre (le COMSIC), l’École des transmissions à Cesson-Sévigné, le Centre d’Analyse de Lutte Informatique Défensive (CALID) de Bretagne, la 785e compagnie de guerre électronique, la 807e compagnie de transmissions, les écoles de Saint-Cyr Coëtquidan, sans oublier l’École navale et l’ENSTA Bretagne à Brest.

C’est pour cette raison qu’en partenariat avec la région Bretagne nous avons décidé d’implanter à Rennes le Pôle d’excellence cyber, qui a une vocation nationale. Dès septembre 2015, 13 grands partenaires industriels nous ont rejoints, venus de tous les horizons : grands industriels de défense, opérateurs d’infrastructures vitales, SS2I, fournisseurs de solutions, ou encore opérateurs télécoms.

D’autres nous ont ralliés depuis, ainsi que de nombreux partenaires institutionnels, établissements de formation et de recherche. Je veux mentionner par exemple, parmi de nombreux autres opérateurs de formation , le CNAM de Saint-Brieuc, que je connais bien et qui délivre une formation remarquable à destination des ministères de la Défense et de l’Intérieur ; je pense également à Telecom Bretagne, particulièrement investi et qui anime le club de formation ; à l’Université de Bretagne Sud, qui a notamment instauré une formation cyber par alternance, : c’est un concept qui a vocation à prospérer, j’en suis convaincu ; l’Université Rennes 1 qui a mis en place, avec l’UBO de Brest et l’UBS de Vannes, un diplôme universitaire « programmation sécurisée » élaboré dans le cadre du pôle d’excellence, avec le soutien de DGA MI, ses experts y délivrent d’ailleurs des enseignements.

Ce pôle, transformé depuis en association, présidé par Monsieur Verdier, du groupe La Poste, vient de se matérialiser dans des locaux que j’ai inaugurés ce matin-même, à Rennes. J’y ai vu une véritable animation, des acteurs qui se rencontrent, qui échangent, qui créent. C’est une très grande satisfaction, elle dépasse nos espérances initiales. Je tiens à féliciter et remercier chaleureusement tous ceux qui se sont impliqués dans ce projet, et je sais qu’il y en a quelques-uns ici.

Vous savez que ce pôle repose sur trois piliers que sont la formation, la recherche et le développement de la filière industrielle.

Concernant la formation, et conformément aux objectifs que j’avais fixés ici même en 2014, ce sont plus de 2800 étudiants qui ont été formés ou sensibilisés à la cybersécurité durant l’année scolaire 2015-2016, soit 40% de plus que l’année précédente. Pour l’année scolaire en cours, 2016-2017, ce sont plus de 3500 étudiants qui seront à nouveau formés ou sensibilisés, soit une nouvelle croissance de 25%.

Sur le plan de la recherche, l’accord général de partenariat signé fin 2014 par la DGA, le Conseil régional de Bretagne, le CNRS, l’INRIA et 9 universités ou écoles d’ingénieurs trace une feuille de route commune, associée à un financement de 12 millions d’euros sur 6 ans. Concrètement, cela se traduit par le financement de 10 nouvelles thèses de doctorat par an et de séminaires scientifiques dans les domaines de l’électronique, de la cryptographie et de la sécurité des systèmes logiciels.

Au-delà des travaux de recherche et du renforcement du corps professoral, ces chaires permettront de former plus de 20 docteurs ;  elles constituent également des lieux de dialogue permanent entre l’industrie et le monde de la recherche.

Par ailleurs, dans le cadre du contrat de plan Etat-Région, 6,3 millions d’euros sont investis pour équiper les laboratoires académiques de plates-formes destinées aussi bien aux travaux de recherche qu’aux travaux pratiques, dans le cadre des formations.

Une véritable ambition de rayonnement anime le pôle. Les nombreux échanges européens et internationaux engagés l’illustrent déjà.

Télécom Bretagne, Airbus Defense and Space et Thales ont organisé un challenge auquel ont participé plus de 400 étudiants de toute la France, issus de 40 écoles.

Ce succès ouvre la voie à la pérennisation de cette European Cyber Week, appelée à monter en puissance au cours des prochaines années et à devenir un rendez-vous annuel majeur de la cybersécurité en Europe.

Enfin, pour compléter ce chapitre des moyens, je voudrais dire un mot des investissements en technologies et équipements.

Dès 2014, les travaux de recherche et de développement se sont intensifiés en matière de cyber. Cela a notamment permis d’intégrer le volet cyber aux travaux de conception des futurs navires, ou des systèmes de défense aérienne. Je pense tout particulièrement à la frégate de taille intermédiaire (FTI) que j’ai lancée lors du salon Euronaval. C’est probablement le premier bateau qui intégrera à ce point la dimension numérique, et son corollaire sécuritaire, dès sa conception.

S’il en est ainsi sur les nouveaux programmes, ceux qui sont déjà lancés en bénéficieront également : en 2017, 30 millions d’euros seront notamment engagés pour intégrer la cybersécurité dans les évolutions du TIGRE et  dans le programme SCORPION. Vous avez assisté ce matin à une démonstration de la menace qui pèse sur ce type de véhicules. Les travaux que la DGA mène sur tous ces systèmes d’arme sont essentiels.

Plus généralement, la LPM prévoit de multiplier par trois les crédits avec près de 440 millions d’euros  engagés pour le développement et l’acquisition de nouvelles solutions de cybersécurité sur la période 2014-2019. Cette augmentation significative a déjà été mise à profit pour apporter au ministère les solutions de cyberprotection dont il a besoin, et outiller la chaîne opérationnelle de lutte informatique défensive.

En matière de protection, le développement de produits de chiffrement, comme par exemple des chiffreurs réseau ou des téléphones chiffrants, se poursuit conformément aux feuilles de route redéfinies en 2014.

La mise en service du nouveau chiffreur CRYPSIS apte à protéger des informations jusqu’au niveau Secret Défense va débuter dans les semaines à venir ; elle permettra d’améliorer encore la sécurité de nos réseaux en intégrant les dernières technologies de cryptographie et de protection.

Le développement de produits souverains de détection, comme des sondes réseaux ou de sondes hôtes vient aussi d’être notifié à nos industriels de confiance ; cela doit contribuer à renforcer , là encore, la détection des attaques visant nos systèmes les plus sensibles.

Le commandement militaire

Mesdames et Messieurs, à ce point de mon intervention, j’ai exposé les principes d’une nouvelle doctrine de cyberdéfense que je compte publier très prochainement. Elle repose sur quatre axes : celui des missions, celui de la coopération internationale, l’axe juridique et l’axe des moyens. Vous avez perçu, j’en suis certain, toute l’ambition d’un tel programme, et les résultats déjà accomplis. Pour être à la hauteur de tels enjeux, il fallait que le ministère de la Défense se réorganise : c’est une ambition majeure de la doctrine que je viens d’énoncer.

En l’espace de quelques années, la guerre s’est métamorphosée : il est donc nécessaire de créer une nouvelle composante au sein des armées pour asseoir notre souveraineté et notre indépendance nationales, et rester ainsi maîtres de notre destin.

C’est pourquoi j’ai décidé, de créer un commandement des opérations cyber. Cette création engage résolument nos armées vers les nouvelles formes des combats globaux du XXIème siècle. Nous devons en tirer sans tarder toutes les conséquences. .

La nouvelle organisation de cyberdéfense consacrera donc, au sein du ministère de la défense, la création d’un CYBERCOM.

Ainsi, la France disposera, aux côtés du Directeur général de l’ANSSI, relevant du Premier Ministre, pour tout ce qui concerne la manœuvre générale de protection des infrastructures vitales du pays, et du Délégué général pour l’armement, placé auprès de moi, pour l’ingénierie technique et l’acquisition des technologies et équipements, d’un commandeur pour mener les opérations militaires dans l’espace numérique.

A eux trois, avec l’apport, essentiel, de nos services de renseignement d’une part, de nos meilleures entreprises d’autre part, ils permettront à la France de consolider sa posture de protection et de défense ainsi que ses capacités d’action contre tout ennemi.

La planification, le contrôle et la conduite des opérations de cyberdéfense seront effectués au sein de la chaîne de conduite des opérations des armées, selon une doctrine militaire en cours de révision pour y intégrer au mieux l’impact de cette nouvelle capacité.

Ce commandement assistera le ministre en matière de cyberdéfense et sera placé sous la responsabilité directe du chef d’état-major des armées.

Il disposera d’un état-major resserré et aura autorité sur toutes les unités opérationnelles spécialisées dans la cyberdéfense du ministère, appartenant à toutes les armées, directions et services, soit 2600 personnes, c’est-à-dire 2600 combattants numériques en 2019, auxquels s’ajouteront les 600 experts de la DGA.

Ces forces seront complétées par 4400 réservistes de cyberdéfense, soit 4000 réservistes citoyens de cyberdéfense, et 400 réservistes opérationnels, chiffres qui seront atteints, je l’espère, grâce à la nouvelle politique des réserves que j’ai impulsée, et qui commence déjà à porter ses fruits, comme je l’ai indiqué tout à l’heure.

De manière macroscopique, et pour reprendre les thématiques évoquées précédemment, ce commandement sera structuré en 4 pôles:

• un pôle protection qui reposera notamment sur les personnels de la DIRISI en charge de la sécurisation des réseaux ;
• un pôle défensif qui intègrera notamment le CALID ;
• un pôle que je qualifierai d’« action numérique » et qui couvre les différentes missions vues précédemment, que ce soit les actions offensives, ou de renseignement par exemple. Des unités de « combat informatique » seront d’ailleurs créées pour remplir les missions offensives et s’appuieront en tant que de besoin sur les personnels engagés dans la réserve ;
• enfin le quatrième pôle sera chargé de la réserve.

Comme je l’ai précisé, l’ensemble de la chaîne de commandement cyber s’appuiera sur la DGA et sera étroitement reliée avec elle pour bénéficier de ses capacités en matière d’expertise technique et d’ingénierie, de conduite de programmes, et d’acquisition de moyens. Il s’appuiera en outre sur la DGRIS, pour mieux penser l’intégration de cet outil dans notre stratégie de défense et pour assurer l’articulation avec nos partenaires et alliés ; il s’appuiera également sur la DAJ pour les aspects juridiques. Bref, toutes les composantes du ministère seront associées à cette belle ambition.

Les décrets et arrêtés modifiant le code de la défense sont en cours d’élaboration et devraient être promulgués au printemps 2017. Une structure préfiguratrice sera mise en place dès le 1^er janvier 2017. Cette institutionnalisation de la cyberdéfense ne signifie pas que son évolution est achevée, au contraire, mais elle stabilise sa base pour lui donner un nouvel élan, pour aller encore plus loin.

Mesdames et Messieurs,

J’avais lancé début 2014 un pacte défense cyber pour structurer l’intégralité de mon action dans ce domaine. Près de trois ans plus tard, j’en mesure les résultats, et ils sont remarquables. Les niveaux de recrutements envisagés ont été dépassés et les engagements financiers prévus ont été réalisés. L’écosystème que j’appelais de mes vœux est lui aussi en train de se constituer comme le prouve cette journée au titre de laquelle, dans la même matinée, j’inaugure le pôle d’excellence cyber, et le bâtiment Pouzin, le tout avant d’aller à Lannion cet après-midi, mesurer l’avancement de l’implantation par Nokia d’un unité dédiée également à la cyber, preuve que le noyau que nous créons ici possède une puissance d’attraction très forte.

Cet effort n’est qu’un point de départ. La prolifération, inéluctable à court terme, de l’usage de l’arme cyber va rencontrer celle tout aussi importante de la numérisation de nos systèmes. Le développement de l’Internet des objets, les avancées récentes de l’intelligence artificielle, vont eux aussi bouleverser notre système de défense, le rendre beaucoup plus performant mais aussi augmenter notre exposition à la menace cyber.

Le prochain défi de la cyberdéfense ne sera donc plus uniquement de détecter les attaques informatiques mais bien de pouvoir continuer à mener nos opérations militaires en étant sous le coup d’une agression cyber, et en utilisant l’espace cyber pour conduire nos propres opérations.

Nous devons donc engager une nouvelle accélération de l’effort national afin que la France puisse faire prévaloir ses intérêts dans ce nouveau champ de confrontation. Les démonstrations qui m’ont été faites ce matin comme les échanges que nous avons eus me l’ont de nouveau prouvé, s’il en était encore besoin: dans toutes les composantes du ministère, nous avons une compétence technique exceptionnelle ; il m’appartenait de la structurer. C’est désormais chose presque faite, puisque dans quelques jours  un commandement de la cyberdéfense sera installé ; il s’appuiera sur une doctrine publique clarifiée.

Je mesure à nouveau aujourd’hui la chance de ces cinq années à la tête du ministère de la Défense. Elles m’ont permis non seulement de lancer, mais également de concrétiser et de venir constater le résultat d’actions à la portée considérable. C’est vrai dans de nombreux domaines, et tout particulièrement dans celui de la cyber, objectif majeur de mon mandat. Si nous atteignons une telle réussite, c’est grâce à la qualité des personnels, à votre motivation, à votre expertise, et à votre engagement. Au nom de la France, soyez-en remerciés.

Source: Site Ministère de la Défense