Intervention de Général de division Aymeric Bonnemaison

Je commencerai par l'Anssi. La France a choisi de faire d'une agence nationale l'autorité et l'acteur central dans le domaine de la cybersécurité. L'Anssi ne pouvant cependant porter seule le poids de ce lourd écosystème, une structure dénommée C4, ou Centre de coordination des crises cyber, a été créée afin de permettre des échanges très rapides. J'y participe pour ma part une fois par mois mais nos équipes se rencontrent plus régulièrement et nous disposons même maintenant d'une partie dénommée C4 permanent. Dès qu'une attaque cyber est signalée, les échanges se tiennent très rapidement pour assurer un large partage des analyses au sein de l'État. Y prennent part le Secrétariat général de la défense et de la sécurité nationale, qui préside ces échanges, l'Anssi, différents services de renseignements comme le Comcyber, la DGA-MI (Direction générale de l'armement Maîtrise de l'information), qui a une expertise dans ce domaine, et le ministère des affaires étrangères. C'est dans cette enceinte que nous abordons bon nombre des sujets que vous avez évoqués.

L'attribution d'une attaque est très complexe. Tout d'abord, si je peux vous dire combien d'attaques j'ai détecté, je ne peux pas vous dire combien j'en ai subi. Il se peut que des prépositionnements aient été effectués sur nos réseaux ou dans nos entreprises, avec des opérations de sabotage ou, surtout, de récupération de données et d'espionnage. La démarche chinoise, par exemple, se veut très discrète afin de piller notre savoir. Les Russes, quant à eux, pratiquent plutôt une guerre informationnelle et des actions d'entrave, ce qui n'exclut pas pour autant des opérations de renseignement préalables.

Nos services assurent la détection pour les réseaux du ministère, et l'Anssi dispose de nombreux relais dans l'État. Les services de renseignement nous aident à caractériser l'attaque en menant une étude technique fine basée sur des moyens dont nous ne disposons pas au sein de l'état-major des armées. Les services de renseignement creusent la question et mettent à profit leur première analyse, dont ils tirent des éléments techniques de caractérisation qui permettront de déterminer un mode d'action adverse.

Cependant, pour mener une attaque, il n'y a rien de mieux que de se cacher derrière un profil-type d'attaque auquel recourent les cybercriminels, et d'employer les outils du dark web qu'ils utilisent. À partir des éléments dont nous disposons, qu'ils soient techniques ou concernent le mode d'action, il est très difficile d'être certain de l'imputation technique d'une attaque. Certains éléments permettent néanmoins de le faire et, fort heureusement, les attaquants commettent aussi des erreurs.

Une fois l'imputation technique acquise, vient l'attribution, qui a un caractère plus politique et qui échappe au niveau où nous intervenons : il s'agit de décider politiquement, au nom de la France seule ou en coalition, si l'attaque sera attribuée à un pays déterminé. Ce processus est assez bien structuré dans l'État.

Pour ce qui est des collectivités territoriales, la tâche est importante. Lorsqu'on me parle de l'interopérabilité permanente et de l'interconnexion de l'armée de demain, je ne manque jamais de répondre que l'interopérabilité, si elle nous rend plus efficaces dans l'action militaire, nous rend aussi plus vulnérables sur le plan cyber. Chaque interconnexion crée une faiblesse. Il y a là un vrai défi.

Pour ce qui concerne les collectivités territoriales, ce défi ne relève pas seulement du ministère des armées. Nous y travaillons en nous efforçant d'être plus présents dans les lycées et auprès des jeunes, mais il faut sensibiliser la population avec des formations très en amont. En effet, des mesures simples peuvent permettre d'éviter une contamination trop rapide ou de détecter certains éléments.

Il ne faut pas non plus oublier nos entreprises et leurs sous-traitants, qui doivent monter en gamme sur le plan cyber. En effet, certaines entreprises nous disent encore qu'elles ne risquent rien parce qu'elles n'intéressent personne ! Il y a dix ans, lorsque nous avons écrit notre livre, beaucoup nous jugeaient pessimistes sur ce point, et on me trouve peut-être un peu trop optimiste aujourd'hui.

À tous les niveaux de l'État, une acculturation est nécessaire, dont nous sommes tous responsables. Nous y contribuerons par le biais de la journée défense et citoyenneté, qui nous permet de sensibiliser les jeunes – et aussi, je ne vous le cache pas, d'essayer de les recruter. Nous intervenons également dans des lycées, où nous proposons des jeux et activités ludiques du type Capture the flag qui permettront de faire venir des jeunes vers les domaines techniques. Alors que de nombreux jeunes abandonnent aujourd'hui les mathématiques assez tôt, cela permet de leur en faire découvrir une autre utilité et une autre vision. On peut être passionné de géopolitique et codeur, on peut être passionné de langues sans être hermétique à la technologie. Il y a là quelque chose à construire avec l'éducation nationale – j'ai déjà rencontré le directeur général de l'enseignement scolaire à ce propos – en vue de créer une dynamique. La technique, les mathématiques, ce n'est pas quelque chose de sale. Nous devons parvenir à attirer des jeunes. Je rencontre aujourd'hui un déficit de personnel et j'ai besoin de recruter. Je parraine d'ailleurs une cadette de la cyberdéfense. On s'aperçoit en effet que les formations d'ingénieurs en France peuvent accueillir plus de monde et que les femmes y sont peu nombreuses, peut-être par autocensure. Or aucune raison ne justifie leur absence dans le cyber. Nous devons mener dans ce domaine un travail collectif.

Nous travaillons, bien évidemment, sur le post-quantique, qui nous rendra peut-être plus vulnérables mais également meilleurs : le fait de pouvoir croiser des données et détecter des signaux faibles beaucoup plus rapidement nous fait progresser, mais le quantique permettra également de générer de nouvelles formes d'attaques. Dans le monde de la cyberdéfense, on ne peut jamais s'arrêter, on n'a jamais trouvé la solution, que ce soit en attaque informationnelle ou sur les réseaux. L'outil que j'utilise aujourd'hui ne sera plus valable demain, parce que le mode d'action aura été repéré ; il doit, en outre, être adapté à chaque cible. Mais ce qui est une difficulté pour l'attaquant est toujours bénéfique au défenseur. Autre aspect du travail dans le post-quantique, nous réclamons des financements en matière de chiffrement afin d'anticiper les techniques de demain, qui devront résister à ces outils. Les enjeux sont nombreux, mais nous y travaillons.

On m'a demandé si la cyberguerre était intense et massive, ou plutôt fine. Elle est, en réalité, un peu tout cela. Quant à savoir si on peut gagner une guerre par le cyber… Tout dépend de l'objectif, et notamment de la volonté de conquérir ou non du territoire. Ce qui est certain, c'est qu'on peut mettre à genoux un État : le Costa Rica s'est trouvé cet été en état d'urgence à la suite d'attaques sur tous ses réseaux. Il ne pouvait même plus payer ses fonctionnaires ni son armée. Le cyber peut servir à affaiblir durablement un État de façon sournoise et dans la durée, ou de façon brutale et visible. Mais, pour un militaire, même si le cyber permet de remporter des victoires, au même titre que les frappes aériennes par exemple, on ne gagne pas une guerre si on ne tient pas le terrain. Sans cyber nous sommes sûrs de perdre, mais nous ne gagnerons pas avec le cyber seul.

C'est là, du reste, l'un des défis de la LPM. Je ne peux pas trop m'avancer sur ce sujet : j'ai certes des exigences, mais c'est un gros édredon et je ne sais pas de quelle taille sera la valise, d'autant que toutes les armées sont aujourd'hui confrontées à une guerre de haute intensité. Le cyber s'ajoute aux autres milieux et ne se substitue pas à l'un ou l'autre d'entre eux. Même si des efforts sont faits, sans doute aurons-nous du mal à tout faire entrer dans la valise.

Pour ce qui est des risques pour la pluralité et pour la nation, je rappelle que je ne suis que l'un des acteurs de la lutte informatique d'influence, agissant pour les armées et en appui aux opérations militaires, dans un cadre très strict, qui respecte le droit international, le droit national, ainsi que des règles éthiques plus restrictives. Ainsi, je ne travaille pas sur le territoire national, mais en appui sur des théâtres d'opérations. Ce cadre est très contraint et une interaction se fait au niveau supérieur au mien avec les autres ministères pour porter les messages et assurer la coordination.

Les attaques que nous subissons dans la sphère de l'Afrique francophone montrent que nous avons encore bien du travail à réaliser ensemble, qui ne concerne pas seulement les armées mais de nombreux ministères. Ce ne sont pas les armées qui assurent la stabilité d'un pays, mais tous les acteurs ensemble, avec l'économie et la culture. C'est un travail commun que nous devons sans doute un peu mieux structurer – c'est en cours. Les points que vous évoquez ont été abordés notamment lors de la création de Viginum (service de vigilance et de protection contre les ingérences numériques étrangères) et nous disposons désormais d'un cadre assez strict, qui permet de faire les vérifications appropriées. Nous sommes, en tout cas, tous sensibilisés aux risques de dérives possibles en la matière, y compris dans les services de renseignement, où l'application de la loi est très contrôlée.

Pour ce qui est des attaques visant des pays frontaliers, il se trouve que, depuis la guerre d'Ukraine, mes échanges avec mes partenaires sont devenus plus simples. Le cyber a un petit côté régalien, surtout pour les aspects liés à l'offensif et l'influence, mais qui a moins de raisons d'être pour ce qui concerne le défensif. Aujourd'hui, le partage très rapide des informations dès que l'un d'entre nous est attaqué, dans le cadre otanien ou européen, assorti d'une capacité d'intégrer les données techniques de la manière plus fluide possible, est au cœur de nos préoccupations. Les Américains l'ont déjà fait en publiant des attaques russes ; or lorsque vous publiez le type de virus et les données correspondantes, cela permet de le filtrer et de le trouver. Jusqu'à présent, les nations avaient plutôt tendance à garder ces informations par-devers elles, y compris pour les réutiliser ultérieurement, mais aujourd'hui la dynamique consiste plutôt à les publier au plus vite afin d'éviter que d'autres pays soient contaminés. Ainsi, de même qu'elle a réveillé l'Otan, l'attaque de Poutine a finalement accéléré le partage des données, que nous travaillerons à poursuivre dans les années prochaines.

Pour ce qui est des attaques visant les territoires, le ministère des armées n'est pas l'acteur central de la réponse au sein de l'État. En revanche, c'est l'un des ministères qui ont le plus travaillé et qui disposent d'une première maturité sur ces sujets. Nous sommes bien entendu susceptibles de renforcer l'Anssi si elle a besoin d'un appui particulier, comme nous l'avons déjà fait au Monténégro. Des acteurs privés interviennent aussi pour l'État dans cette remédiation, également labellisés par l'Anssi. Il arrive d'ailleurs qu'on nous reproche, nous acteurs publics, de concurrencer les acteurs privés sur un marché qui pourrait leur être ouvert.

Notre réflexion sur les crises majeures doit être intégrée dans la loi de programmation militaire, mais tout dépendra du niveau d'ambition que nous nous fixerons dans ce domaine. En tant que militaires, nous participons évidemment à la défense nationale, mais ce que nous avons développé dans le cadre des armées sert déjà à protéger nos systèmes – ce qui est déjà un défi. En cas d'intervention sur le territoire national face à une attaque majeure, cyber ou d'une autre nature, nous aurons aussi besoin de nous déployer. Nous le ferons notamment à l'occasion des Jeux olympiques, même si le dispositif relèvera avant tout du ministère de l'intérieur, et je serai pour ma part responsable de la protection cyber des unités déployées par les armées. Si donc nous devions avoir la mission d'être plus présents dans les territoires, ce serait une ambition de la LPM et nous devrions en avoir les moyens.

Cela soulève bien sûr la question de la réserve, qui n'est pas si facile à construire et à maintenir dans la durée. Étant désormais un peu ancien dans l'institution, j'ai connu des cas, notamment lorsque je commandais un régiment en Alsace, où l'on a créé une réserve, où l'on a fait des promesses, où des gens se sont engagés, notamment vis-à-vis de leurs entreprises, et où des coupes budgétaires ont tout mis par terre. Si donc nous entrons dans une dynamique de réserve, nous devons nous structurer pour l'accueillir, mais aussi assurer une continuité sur toute la durée de la formation militaire.

S'agissant des opérations offensives ukrainiennes qui pourraient être menées sur le territoire russe, sans doute y en a-t-il, mais j'avoue être assez peu informé sur cette question. Certaines opérations ont été conduites par les États-Unis, assumées notamment par le général Nakasone. Cependant, les Ukrainiens sont en plein conflit. Or, je vous l'ai dit, une attaque bien structurée en lutte informatique offensive n'est pas le fait d'un homme en capuche qui travaille seul dans une cave : c'est un vrai travail d'équipe, qui associe des compétences diverses et qui demande des conditions préalables et un tempo qui ne sont pas forcément ceux d'un pays submergé par une attaque et qui mène déjà une guerre classique. Des gens agissent certainement – je pense en particulier à l'IT Army – mais en ordre sans doute un peu dispersé.

Pour ce qui est des invasions dormantes, j'aimerais vous dire qu'il n'y a pas de risque, mais nous ne le savons pas. Ce qui est certain, c'est que nous ne sommes pas le seul ennemi des Russes, qui eux aussi sont assez occupés en Ukraine. Certains de leurs outils ont été détectés lors des attaques qu'ils ont tentées dans ce pays et qui ont été révélées, ce qui nous donne un peu de lisibilité, mais le métier de Comcyber pousse à une grande prudence et à une grande humilité. Quand je ne détecte pas d'attaque, cela ne signifie pas qu'il n'y en a pas, mais seulement que je ne l'ai pas vue.