Intervention de Général de division Aymeric Bonnemaison

Monsieur le président, mesdames et Messieurs les députés, je suis très honoré, à peine trois mois après avoir pris mes fonctions, de venir présenter mes analyses devant la représentation nationale. Je suis conscient des enjeux, en cette période charnière d'élaboration de la prochaine loi de programmation militaire (LPM) et surtout de fragilité stratégique, de versatilité géopolitique et d'expansion de la numérisation, dans notre société et dans nos armées, ce qui offre à la menace d'origine cyber l'opportunité de gagner encore en ampleur, en diversité et en sophistication.

Je suis responsable de la protection des systèmes d'information placés sous la responsabilité du chef d'état-major des armées (Cema), ce qui inclut, dans les armées, les systèmes d'armes. Je suis responsable de la conduite de la défense des systèmes d'information du ministère des armées ainsi que de la conception, de la planification et de la conduite des opérations militaires de cyberdéfense, sous l'autorité du Cema.

Notre approche, assez singulière, couvre trois domaines de lutte : la lutte informatique défensive, qui occupe une majeure partie de mon commandement, la lutte informatique offensive et la lutte informatique d'influence (L2I).

En Ukraine, la cyberguerre a bel et bien eu lieu, contrairement à ce qu'a donné à croire l'absence de « cyber Pearl Harbor ». Des opérations de renseignement, d'entrave et d'influence ont d'ailleurs été menées dans le cyberespace au cours des dernières années.

La cyberconflictualité présente deux spécificités, qui faussent parfois l'analyse.

La première est un paradoxe des temporalités. La fulgurance des attaques, affranchies de la tyrannie de la distance, ne doit pas masquer leurs délais incompressibles de conception et de planification. Il faut des mois, voire des années pour construire une cyberattaque.

Contrairement à ce que l'on peut croire – je fais cet exercice de pédagogie depuis plusieurs années, y compris au sein du ministère – il ne s'agit pas d'un fusil cyber qui peut tirer sur toutes les cibles qui se présentent. Toute attaque cyber est taillée sur mesure, même si elle recourt à quelques outils et approches génériques. Elle suppose un travail préparatoire pour bien connaître sa cible, la caractériser et trouver le chemin pour la perturber, l'espionner, la saboter ou l'entraver.

Ensuite, le cyber a une faible lisibilité. Il est bien sûr assez difficile de se représenter le cyberespace, mais surtout, la guerre qui s'y mène est discrète, voire secrète. Cet aspect est masqué par l'exubérance des réseaux sociaux qui, en contraste, affirment beaucoup de choses plus ou moins étayées.

Ma présentation de notre analyse du conflit ukrainien ne débutera donc pas au 24 février dernier. Les opérations dans le cyberespace ont commencé bien avant le déclenchement des manœuvres dans les autres milieux, la terre, l'air et la mer. Elles ont exigé un haut niveau de préparation et d'anticipation.

Par ailleurs, mon analyse repose essentiellement sur des sources ouvertes, recoupées lors de mes discussions avec le chef du commandement cyber américain (USCYBERCOM) et les autres commandants cyber européens, qui commencent, par leurs échanges réguliers, à former une communauté.

L'étude de la période allant de 2014 au début de l'année 2022 permet de mettre en évidence la place de la guerre hybride dans la conception russe des conflits. Les Russes ont, de longue date, intégré à la manœuvre cyber et la manœuvre informationnelle, en liant fortement les deux dans leur action. Ils couvrent aussi bien le contenu que le contenant dans leur approche.

De 2014 à 2022, des attaques d'un très haut niveau technique ont visé des infrastructures critiques en Ukraine, en commençant par des stations électriques en 2015. En 2016, une attaque bien plus complexe a visé un réseau électrique. Ces attaques sont les premières menées complètement à distance sur la fourniture d'électricité. La technique très sophistiquée mise en œuvre a suscité notre intérêt, dans la mesure où nous pourrions être amenés à la contrer. La première attaque a privé 225 000 personnes d'électricité pendant plusieurs heures. La seconde a réduit d'un cinquième la consommation de la capitale ukrainienne.

À partir de 2017, les attaques se sont diversifiées, prenant la forme d'une sorte de harcèlement et présentant une certaine viralité. Elles ont visé les réseaux ukrainiens publics et privés, et ont touché de grands groupes internationaux, tels que Saint-Gobain. Elles ont été associées à des opérations informationnelles, qui ont ajouté du commentaire aux coupures d'électricité pour exciter le mécontentement et saper la confiance de la population dans les institutions. Dans cette période, nous avons assisté à des opérations de subversion, notamment dans le Donbass, visant à la victimisation des russophones et à la surmédiatisation des grands programmes de construction russes, associées à une critique violente de l'incapacité des pouvoirs publics ukrainiens à préserver les réseaux électriques et les fonctionnalités essentielles à la vie courante.

Les Russes n'ont toutefois pas inscrit ces opérations dans le cadre de manœuvres tactiques, contrairement à leur pratique déjà ancienne : tel était le cas en Estonie en 2007, et en 2008, en Géorgie, où les opérations terrestres étaient très bien combinées avec les attaques informatiques.

Par ailleurs, à partir de 2014, l'État ukrainien a évolué dans son approche du cyber et entrepris des travaux majeurs pour se réformer en profondeur dans le cyberespace, notamment en travaillant sur le pilier stratégique. Début 2016, le gouvernement ukrainien a dévoilé sa première stratégie de cyberdéfense. Sur le plan capacitaire, le Parlement a simultanément alloué un budget pour la cyberdéfense et la protection des systèmes électoraux.

Une agence à compétence nationale, le Centre national de cybersécurité, comparable à notre Agence nationale de la sécurité des systèmes d'information (Anssi), a été fondée. Elle s'appuie sur des capacités opérationnelles de réponse aux incidents partagées par tous les pays ayant une expertise en cyberdéfense, et a ultérieurement développé une capacité dans le domaine privé. Sur le plan normatif, le gouvernement ukrainien a promulgué, à l'été 2017, une loi relative à la cybersécurité qui élargit les pouvoirs d'enquête et d'interception des services ukrainiens et crée une cyberpolice.

L'Ukraine a bénéficié d'un appui occidental précoce dans le cyberespace. Elle a travaillé sur ses vulnérabilités avec les cyberpuissances occidentales, au premier rang desquelles les États-Unis. Cet appui s'est avéré décisif pour la résilience de l'Ukraine dans les domaines des télécommunications et du numérique. Il repose sur un dialogue et des échanges accrus, ainsi que sur un rapprochement des normes et des procédures ukrainiennes avec les modèles occidentaux. L'Ukraine a ouvert une plateforme d'échange de données cyber qui est aux normes de l'Otan et de l'Union européenne (UE) et qui permet de partager rapidement les indices d'attaque et les premiers outils techniques permettant de s'en protéger.

Par ailleurs, plusieurs États, souvent limitrophes, ont proposé à l'Ukraine des solutions numériques renforçant sa résilience, telles que l'hébergement redondant des données et des services numériques dans des centres de données situés notamment en Pologne et au Pays-Bas. Les États-Unis se sont investis directement et massivement, par le biais d'un soutien de l'État et d'acteurs privés tels que Microsoft et Google. Les compagnies privées numériques américaines ont fourni des solutions numériques de cybersécurité à l'Ukraine de manière continue et de plus en plus intense, au rythme de l'évolution des tensions avec la Russie.

L'implication directe des États-Unis s'est nettement intensifiée fin 2021. Tandis que les responsables des services de renseignement occidentaux observaient les préparatifs militaires russes et craignaient de plus en plus qu'une invasion s'accompagne d'une nouvelle vague de cyberattaques, le USCYBERCOM a déployé sur place une équipe d'experts militaires, chargée de découvrir si des attaquants russes avaient d'ores et déjà infiltré les systèmes ukrainiens.

Le plus souvent, les attaques cyber appliquent une stratégie de prépositionnement, laquelle exige un important travail préalable de renseignement, ce qui explique la complexité que j'évoquais. Toutefois, l'attaque n'est pas nécessairement menée dès qu'elle est techniquement réalisable : l'attaquant peut rester positionné et attendre son heure – en veillant toutefois à agir avant une mise à jour qui peut lui faire perdre son accès ; il faut trouver la combinaison adéquate pour frapper au bon moment.

L'arrivée des Américains chargés de détecter d'éventuels logiciels prépositionnés a été capitale au cours des semaines précédant le conflit. En deux semaines, leur mission est devenue l'un des plus grands déploiements du Cyber Command américain, mobilisant plus de quarante personnes des services armés américains. Ils étaient aux premières loges lorsque la Russie a intensifié ses opérations dans le cyberespace, en janvier, éprouvant les systèmes ukrainiens de façon inédite. Ces équipes se sont engagées dans une mission de hunting forward, qui consiste à arpenter les réseaux informatiques des partenaires à la recherche de signes de prépositionnement.

À la veille du 24 février donc, la Russie jouit d'une capacité cyber mature et éprouvée dans tous les domaines de lutte, qu'elle soit informationnelle ou offensive, et a entamé une opération de sape dans le cyberespace en combinant attaques informatiques et attaques informationnelles ; l'Ukraine, elle, dans cette première confrontation, a construit, ce qui sera essentiel pour la suite, des partenariats très structurants et une première capacité de cyberdéfense solide, ancrée à l'Occident et susceptible de bénéficier d'appuis importants.

J'en viens aux mois de février et mars 2022. Dans les premières semaines du conflit, les attaques informatiques russes visent les réseaux ukrainiens, qui ne sont pas uniformes. De façon générale, la cyberdéfense suppose de cartographier ses propres réseaux, ce qui n'est pas simple car les systèmes d'information ont été constitués le plus souvent au fur et à mesure, par une superposition de systèmes ad hoc. Nous n'avons pas toujours une vision globale de nos systèmes. En Ukraine, il faut distinguer les territoires du Donbass et de la Crimée, assez isolés et surtout très connectés aux réseaux russes, de l'ouest du pays, qui est fortement intégré à la fois à la Russie et au monde occidental.

Les attaques russes consistent surtout en opérations de déni de service, qui empêchent d'utiliser la téléphonie et d'accéder à certains sites internet, notamment ceux du gouvernement, couplées à des coupures physiques, moins souvent évoquées.

Le cyberespace est organisé en trois couches. La première, la couche physique, rassemble les ordinateurs, les réseaux, les fils, les antennes. La deuxième, la couche logicielle, rassemble les dispositifs de codage, de protocole et de programmation qu'utilisent les machines. La troisième, la couche sémantique, particulièrement visible sur les réseaux sociaux, est constituée des éléments discursifs et informationnels. Par des actions de guerre classique, les Russes ont neutralisé des câbles et des points d'accès 3G et 4G, mais avec une certaine réserve et dans certains endroits seulement, car ils prévoyaient une guerre courte et pensaient réutiliser les infrastructures à leur profit.

Les effets de cette action ont été rapidement atténués par la distribution, au début du mois de mars, de routeurs de la société Starlink, qui ont permis aux populations, aux journalistes et aux autorités locales de maintenir un lien de communication minimal, et à nous-mêmes d'avoir des images de ce qui se passait. Le déploiement, dans des délais très brefs, de ce système de communication par satellite illustre les capacités et la réactivité de certains acteurs privés, en l'espèce Elon Musk, dans le contexte du NewSpace.

Dès les premières heures du conflit, les attaques cyber ont visé les ministères ukrainiens, selon un modèle appliqué en Géorgie. Il s'agissait d'empêcher les organes de gouvernement de dialoguer entre eux, voire d'empêcher le président ukrainien de dialoguer avec l'extérieur.

La deuxième vague d'attaques très poussées a visé les routeurs de communication par satellite KA-SAT, et donc la chaîne Viasat, qui est très utilisée par les troupes ukrainiennes. Starlink a en partie remédié à cette situation. La troisième vague d'attaques a plus largement visé les entreprises privées pour désorganiser le fonctionnement de la société ukrainienne.

Au cours des deux premiers mois de conflit, 350 attaques cyber ont été recensées, dont 40 % visant des infrastructures critiques susceptibles d'être utilisées par le gouvernement, l'armée, l'économie et la population, et 30 % des incidents ont touché les organisations gouvernementales ukrainiennes à l'échelon national d'abord, puis régional et municipal.

S'agissant des attaques informationnelles, nous avons assisté à une guerre inédite. Les forces en présence, rompues aux techniques de la guerre de l'information, ont saisi les opportunités offertes par le cyberespace dès les prémices du conflit. L'utilisation des réseaux sociaux, en particulier, a permis de rendre la guerre en Ukraine omniprésente dans l'opinion publique, ce à quoi nous avons tous assisté. Dès les premiers jours de la guerre, plus de 315 millions d'acteurs étaient engagés dans cette lutte informationnelle, jouant le rôle de relais d'informations.

On connaissait la domination russe dans le champ de la guerre informationnelle, mais elle a été contestée par les Ukrainiens. Les deux gouvernements ont adopté des stratégies de communication officielle diamétralement opposées dans leur forme.

La Russie s'est engagée dans un repli sur elle-même, en tentant de mettre sous cloche la sphère informationnelle et les contenus en réseau, en installant une sorte de rideau de fer numérique, en prenant un contrôle quasi total de l'information et en isolant progressivement sa population du reste du monde. L'encerclement cognitif opéré par le Kremlin a progressivement stoppé la circulation des flux d'informations de la Russie vers le reste du monde et réciproquement.

Sur le plan des infrastructures informationnelles et sémantiques, la Russie jouit, dans le cyberespace, de sa propre couche sémantique et cognitive. Elle dispose d'un web russe quasi souverain, le Runet, qui capte la majorité des usages au sein d'un écosystème informationnel composé de réseaux sociaux, tels que VKontakte et Odnoklassniki, d'une messagerie, Mail.ru, et d'un moteur de recherche, Yandex. Cette évolution, entamée il y a une dizaine d'années, n'a pas abouti à un isolement complet, comme la Chine en a la capacité, mais à la création de réseaux sociaux et de services de messagerie propres, pour résister un peu à la pression des Gafam.

Les messages circulant sur ces réseaux visent à légitimer l'opération spéciale en déshumanisant les Ukrainiens et leur président, et en présentant la Russie ainsi que la population ukrainienne russophone comme menacées. Simultanément, ils déploient un discours destiné à l'opinion publique internationale en manipulant l'information, ce qui, à défaut de persuader, sème la confusion. Sur ce point, notre analyse est parfois biaisée : si, dans le monde occidental, tout le monde attribue la victoire dans la guerre informationnelle à Volodymyr Zelensky, tel n'est pas toujours le cas dans le reste du monde, où la lecture occidentale du conflit ne fait pas l'unanimité.

Le président ukrainien, quant à lui, a adopté une stratégie d'ouverture, communiquant massivement vers sa population et surtout vers l'Occident, en utilisant abondamment son image sur les réseaux sociaux et en déployant un narratif fin, systématiquement adapté à sa cible, qu'il s'adresse aux gouvernements étrangers, à l'UE, aux États-Unis ou à ses compatriotes, dans une démarche de président combattant parlant en tenue de soldat.

Les opinions publiques européennes ont rapidement pris fait et cause pour l'Ukraine. La diaspora ukrainienne en Occident relaie spontanément cette communication. Les responsables politiques ukrainiens ont transformé la guerre informationnelle officielle en guerre de l'émotion, par le biais des réseaux sociaux, en utilisant parfaitement Twitter, Instagram et TikTok en premier lieu.

Dans le cadre de cette stratégie d'ouverture, pour l'Ukraine, ou de fermeture pour la Russie, au-delà de la véracité ou non des informations, il est intéressant de noter que chaque camp diffuse un récit particulier de sa réalité, un narratif qui lui est propre, sans que jamais ces bulles informationnelles ne se rencontrent ni se confrontent. Chacun développe son propre public.

J'en viens aux caractéristiques du conflit dont nous pouvons tirer des leçons.

Nous, militaires, tendons à attribuer à la cyberguerre un rôle majeur dans les conflits du futur. Or, dans ce conflit-là, le cyber n'a pas tout fait, malgré la domination russe initiale. Quand la poudre parle, la lutte informatique offensive trouve ses limites. Dans la phase préparatoire de la guerre comme dans sa phase intensive, les actions de sabotage cyber ont été atténuées au profit d'une guerre classique bien plus létale, cinétique et brutale. On peut être tenté de développer une vision un peu romantique selon laquelle tout se fera à l'avenir dans le monde virtuel, mais la réalité est qu'il est nécessaire de prendre en compte tous les aspects d'un conflit.

Là où le cyber joue un rôle particulièrement important, c'est avant le conflit, grâce au renseignement qu'il permet d'obtenir et à la possibilité qu'il offre de façonner les esprits, et aussi après le conflit, car la compétition, la contestation et l'affrontement demeurent en permanence dans le cyberespace.

L'armée informatique d'Ukraine, l'IT Army, qui a suscité de nombreux commentaires sur les réseaux sociaux, a eu une efficacité assez modeste. Elle a permis de structurer dans l'urgence de fortes capacités d'agression virales contre les Russes, mais les attaques menées ont été très désordonnées et d'un niveau technique relativement faible.

D'un point de vue plus strictement militaire, nous avons pris note de la difficulté qu'ont eue les Russes à intégrer pleinement les capacités cyber dans la manœuvre tactique, alors même qu'ils y étaient parvenus en Géorgie, en détruisant par voie navale, terrestre ou aérienne les stations de transmission de base, ce qui empêche l'ennemi de donner l'alerte ou de coordonner les moyens de secours. Certains y voient la conséquence de la relative impréparation du conflit, due à la croyance que la victoire serait rapide et aussi au secret qui a longtemps entouré son déclenchement, y compris parmi les gens en position de commandement, qui n'étaient pas tous informés de l'intention exacte du président Poutine.

Le deuxième enseignement de ce conflit est la capacité de la défense à prendre le dessus sur l'offensive, ce dont nous doutions. L'offensive, quand elle a le temps, cherche le maillon faible et le trouve. Toute chaîne de moyens connectés en a un, qu'il soit humain ou logiciel, ce qui permet d'y faire intrusion. Grâce à une défense en profondeur, assurée par les capacités ukrainiennes renforcées par les capacités américaines et avec l'apport significatif des Gafam, notamment de Microsoft s'agissant des analyses, l'offensive a été bien moins percutante et efficace que prévu.

Cet avantage par le défensif constitue un véritable changement de paradigme pour les divers commandements cyber et nous rend un peu espoir – nous protégeons nos réseaux en permanence en ayant parfois le sentiment d'édifier une ligne Maginot, dont chacun sait ce qu'elle a donné. Il faut des défenses permettant de protéger nativement nos réseaux, associées à une capacité de patrouille sur nos réseaux et de vérification incessante.

Je ne m'attarderai pas sur la politique américaine de hunting forward, sinon pour dire qu'elle est relativement agressive, car elle ouvre aux Américains les réseaux des pays qui font appel à eux. En l'occurrence, elle a beaucoup aidé l'Ukraine, mais cette démarche va assez loin. En pratiquant une forme d'entrisme sur les réseaux concernés, elle les protège, mais avec une présence marquée au service de la diplomatie, ce dont le général Nakasone ne se cache pas. Son appui est une forme de réassurance donnée à plusieurs pays d'Europe de l'Est.

Le troisième enseignement du conflit est la faible lisibilité non seulement des actions, mais aussi des acteurs.

Les « hacktivistes » se mobilisent en fonction de leurs opinions, avec d'importantes capacités et une bonne maîtrise technique. Leur coordination, en revanche, est malaisée, et les effets de leur action un peu désordonnés. Hormis une forme de harcèlement, leur action n'a pas été d'une grande efficacité.

Des groupes cybercriminels ont mené des attaques pour le compte de certains services de renseignement, dans le cadre d'une porosité accrue entre ces deux mondes, ce qui complique l'attribution des attaques informatiques. Les modes d'action utilisés par les cybercriminels sont parfois détournés par des services étatiques, et certains cybercriminels sont parfois mandatés par eux pour conduire des opérations.

Il règne dans le cyberespace une grande confusion entre les divers acteurs. Ma génération, qui a connu les guerres asymétriques, sait que la distinction entre civils et militaires n'a rien d'évident, mais elle encore plus complexe dans le cyberespace.

Quant aux Gafam, ils ont pris une importance considérable dans cette affaire. Certes, ils ont largement contribué à la protection de l'Ukraine, mais en prenant un poids qui soulève des questions d'ordre politique.