C'est la deuxième fois que je m'exprime devant vous et la troisième fois que je viens ici depuis ma prise de fonction en septembre. Cela démontre toute l'importance prise par le fait cyber, ce dont je me réjouis en tant que Comcyber.
Précédemment, j'ai abordé le bilan de la LPM 2019-2025 sous l'angle cyber et présenté mon analyse des enseignements de la guerre en Ukraine. Ces deux thèmes constitueront le socle de mon propos, car ils ont servi de base à nos travaux sur la future LPM et à nos demandes.
Je commencerai par rappeler les éléments d'appréciation dont nous disposons sur la menace cyber, tant ce qu'elle est que ce qu'elle pourrait devenir. Je présenterai ensuite les grandes orientations de la réponse apportée par la LPM 2024-2030, et enfin notre dynamique interne d'organisation et d'optimisation compte tenu des éléments dont nous disposons et des moyens dont nous allons être dotés.
L'état de la menace cyber vous a sans doute été en partie présenté par le directeur général de l'ANSSI. La menace générale est toujours croissante, plus complexe et sans cesse renouvelée. Elle est plus connue qu'il y a une dizaine d'années, lorsque nous commencions à l'appréhender, notamment parce que certaines collectivités locales ont été, hélas, la cible de ce type d'attaques.
Ces attaques sont de trois ordres. Certaines relèvent de l'espionnage. Ce sont celles dont on parle le moins, car elles restent sous le radar et attaquent le plus souvent le monde économique et industriel, parfois des particuliers. D'autres visent à la subversion et à la déstabilisation à partir des réseaux sociaux. Elles sont bien plus visibles. Nous les affrontons, notamment en Afrique francophone, mais tout le monde y est exposé. Des élections américaines et françaises ont été perturbées par ce type d'action par le passé. Les autres attaques sont les fuites et les ventes de données sensibles, ainsi que les sabotages, qui entraînent des dysfonctionnements.
Parmi les tendances des dernières années, il faut relever le développement d'attaques systémiques importantes. Certes, le conflit ukrainien n'a pas mis à genoux l'État ukrainien, mais plusieurs attaques survenues en 2022 méritent d'être mentionnées. En avril 2022, une attaque par rançongiciel a contraint le Costa Rica à déclarer l'état d'urgence, notamment parce que le système de santé et les systèmes financiers étaient au tapis. L'Albanie et le Monténégro ont signalé des attaques majeures, qu'ils ont attribuées à des puissances étrangères.
Depuis 2019, les attaques par rançongiciel se développent. Elles agissent sur deux plans : chiffrer les données et les rendre inaccessibles, ce qui neutralise le système ; les extraire et les revendre. Cette double extorsion tend à se développer : dans la mesure où de plus en plus de sociétés font des sauvegardes de leurs données, elles paient moins pour les récupérer que pour en éviter la divulgation par les cybercriminels.
Les acteurs sont insaisissables et entremêlés – États, services de renseignement, criminels, activistes.
Les modes d'attaque présentent une sophistication croissante. Les armes cyber se disséminent, non seulement sur le dark web, mais aussi par l'action de sociétés proposant le hacking comme un service, telles que NSO Group (Pegasus). Les attaques de la chaîne logistique, qui visent les sous-traitants d'une entreprise pour l'atteindre, sont en forte progression. Ce mode d'action est dangereux et exige de l'attaquant un investissement légèrement accru, car la protection initiale est parfois renforcée, mais il permet d'accéder à d'autres structures protégées en visant un maillon faible.
À l'avenir, le monde sera de plus en plus numérisé. Les véhicules connectés, les maisons connectées, les villes intelligentes et la dépendance croissante aux réseaux sociaux renforcent la menace cyber, tant en envergure qu'en profondeur et en technicité. En outre, les auteurs d'attaques sont de plus en plus désinhibés.
La détection des menaces et des tactiques mises en œuvre est globalement placée sous la responsabilité de l'ANSSI. Toutefois, un protocole prévoit qu'elle fasse appel au Comcyber si elle est dépassée ou si elle a besoin de soutien.
Pour ma part, je traite une menace propre aux armées- en ce sens, le Comcyber constitue aussi le bouclier du MINARM- en assurant la défense de 1 800 systèmes différents. Cette diversité – systèmes d'armes, systèmes de communication, systèmes d'information, systèmes industriels – se double d'une grande variété de niveaux de classification, du niveau non protégé jusqu'au très secret-défense. Il faut donc couvrir un large spectre de technicité, d'autant que le souhait des armées est d'aller vers toujours plus de numérisation et d'interopérabilité, pour échanger très rapidement et prendre l'adversaire de vitesse. Chaque interconnexion de réseaux signifie pour moi une part de fragilité supplémentaire sur laquelle veiller.
Les adversaires sont nombreux et dotés de motivations très diverses. S'ils sont un peu moins menaçants pour moi que pour la société civile, un peu moins bien armée structurellement, je n'en ai pas moins affaire à des attaquants de très haut niveau, qui sont soit des cybercriminels, soit des services de renseignement ou encore des hacktivistes, les uns étant souvent liés aux autres. Ces attaquants prennent le temps nécessaire pour développer leurs attaques, usant de moyens potentiellement gigantesques pour investir les réseaux et trouver le maillon faible.
Les secteurs aérien et naval sont statistiquement les plus touchés par les attaques de la chaîne logistique. Par ailleurs, nous devons travailler à résorber notre vulnérabilité potentielle sur le champ de bataille, où la proximité de nos forces avec l'adversaire fragilise, dans le spectre électromagnétique, l'intégrité de nos systèmes de liaison radio.
Dans les conflits, le cyber est devenu un espace central de conflictualité. Le conflit en Ukraine, que j'ai eu l'occasion d'analyser devant vous sous l'angle cyber, démontre qu'il est possible, avec une bonne défense et en commençant tôt – dès 2014 en l'espèce –, non d'annuler mais de limiter l'impact des attaques. Par ailleurs, ce monde reste un univers très discret, secret et invisible. Ce que l'on dit de l'Ukraine, c'est ce que l'on en sait, mais nous n'en savons pas tout.
J'en viens aux grandes orientations de la réponse apportée par la LPM 2024-2030. Il n'est pas désagréable de me présenter devant vous en disant que j'ai le sentiment, sur ce point, d'avoir été entendu. Ce n'est pas neutre : compte tenu des préoccupations suscitées par le retour de la haute intensité, chaque composante des armées, chaque armée, chaque spécialité a forcément des demandes importantes à faire valoir. Comme je l'ai dit lors de ma précédente audition, c'est un gros édredon d'expression de besoins qu'il faut faire entrer ensemble dans une valise de ressources, non extensibles à l'infini.
Les crédits accordés au cyber sont multipliés par trois. Il s'agit essentiellement d'atteindre l'objectif fixé par la Revue nationale stratégique (RNS) 2022 : « une résilience cyber de premier rang ». Ces financements seront distillés vers les entreprises du domaine Cyber françaises et européennes, notamment dans le cadre de la recherche et développement (R&D). En les faisant monter en gamme, nous obtiendrons des améliorations technologiques qui permettront par la suite de développer des capacités utiles à nos grandes entreprises et à nos PME.
L'effort d'investissement s'articule autour de quatre axes : le chiffre, la lutte informatique défensive (LID), la lutte informatique offensive (LIO) et la lutte informatique d'influence (L2I).
Le chiffre est le socle de notre protection. Nous avions au départ une dette technique élevée en la matière. La précédente LPM a amplement contribué à faire de la réparation, en y consacrant environ 60 % de l'investissement important consenti dans le cyber. L'effort sera poursuivi dans la prochaine LPM. Il faut sans cesse développer nos compétences en la matière, car la technologie évolue et l'adversaire trouvera des moyens pour décrypter nos informations. Le chiffre reçoit donc une part importante de notre budget. Il y va de la sécurisation de nos liaisons de données et de la garantie de notre interopérabilité avec les alliés, qui suppose, pour échanger avec eux des messages importants et confidentiels, d'être crédible et de disposer d'un niveau de chiffrement de haute qualité.
En outre, la forte augmentation de nos crédits permet d'en consacrer une part significative à la LID, à la LIO et à la L2I.
En matière de LID, nous aurons la capacité d'étendre nos moyens de supervision, de détection et de caractérisation. La LID consiste à patrouiller sur les réseaux pour détecter les attaques au plus tôt et intervenir promptement pour les contrer. Il s'agit de vérifier, grâce à des sondes et à des moyens positionnés sur les postes de nos militaires, que nous ne sommes pas attaqués.
Des audits et des homologations permettent de protéger les systèmes en amont. Le jour où nous sommes attaqués, des équipes font des vérifications, remontent à la source du logiciel malveillant, font de l'investigation numérique, tentent d'identifier les attaquants et défendent le plus rapidement possible les systèmes susceptibles d'être contaminés.
Dans ce domaine, nos effectifs seront renforcés. Nous nous appuyons aussi sur la réserve et attendons beaucoup des cinq mesures de simplification dont celle-ci fera l'objet dans le cadre de la LPM 2024-2030. Nous faisons appel, dans le cyber, à la part de la réserve dite de compétence. Nous adressons à nos centres, notamment celui de Rennes, ainsi qu'aux unités cyber des armées, des profils de bon niveau. Nos effectifs devraient augmenter de 300 réservistes actuellement à 500. Nous comptons beaucoup sur les mesures de simplification de la réserve pour que cette augmentation n'immobilise pas trop de personnel pour la rédaction des ordres de mission et l'organisation du suivi.
Sur la LIO, je ne pourrai pas m'étendre très longtemps, en raison du secret qui l'entoure. Dévoiler les capacités dont nous disposons et celles que nous visons demain donne de précieux indices à nos adversaires potentiels. Je me contenterai d'indiquer que nous développons, surtout à l'échelon stratégique, un premier niveau de maturité de qualité.
La L2I est en quelque sorte le petit nouveau de la LPM 2024-2030. Elle ne figurait pas dans la précédente. Cet état de fait illustre la souplesse dont doit faire preuve, selon nous, notre vision du cyber, qui ne sera pas en 2030, ni même en 2027, ce qu'il est en 2023. Nous devons conserver une certaine flexibilité, une capacité d'ajustement pour faire face aux menaces qui émergeront.
La L2I a émergé en France avec la lutte contre Daech, qui recrutait nos jeunes par une propagande agressive et brutale, faite d'incitation à la violence et à la haine. Après des débuts modestes à partir de 2015, elle a connu une amplification majeure dans le cadre de nos affrontements en Afrique avec des acteurs désinhibés travaillant globalement contre la présence française en Afrique et cherchant à nous décrédibiliser.
La L2I consiste à détecter et à caractériser l'adversaire, ce qui n'est pas simple, car il faut distinguer un acteur seul et hostile par nature ou par conviction personnelle, d'une menace construite et structurée, disposant de relais d'amplification importants. Notre travail nous a permis de progresser ; la LPM 2024-2030 doit nous permettre de passer de l'artisanat à l'industrialisation. Dans ce cadre, nous allons doubler les effectifs affectés à la L2I.
J'en viens à notre stratégie de montée en puissance. Lorsque j'ai pris mes fonctions, j'ai tracé trois lignes d'opération.
La première est celle des ressources humaines. Au-delà des moyens financiers, la principale richesse, le cœur même de la Cyberdéfense, ce sont ses ressources humaines. Elles constituent également son principal défi. Pour trouver la ressource dans un pays qui, dans le domaine de la cybersécurité, produit chaque année moins d'ingénieurs et de techniciens qu'il n'ouvre de postes, nous devons trouver les bons ressorts pour davantage recruter, former et fidéliser. Ce travail s'impose d'autant plus que nous devrons dépasser les 5 000 cybercombattants à l'horizon 2030.
Pour recruter, nous avons des atouts, notamment le sens de la mission – les jeunes cherchent du sens ; chez nous, ils en trouvent – et l'esprit d'équipe, de corps et de camaraderie. Par ailleurs, nous dispensons des formations initiales et continues qui maintiennent le niveau et sont très prisées. La possibilité de progresser dans l'institution existe aussi dans le cyber, qui donne accès à l'escalier social, que nous préférons à l'ascenseur social, car il s'agit de s'élever par l'effort. Le défi technique que représente la diversité des systèmes des armées, qui est unique en son genre, permet à un jeune ayant un bon niveau de compétence technique de progresser continuellement. En outre, nous proposons des missions en opérations extérieures (Opex), dans des milieux particuliers et dans les trois armées.
Nous avons aussi des handicaps, sur lesquels nous travaillons, notamment la fluidité du recrutement, qui pâtit parfois, notamment dans la réserve, de lourdeurs administratives. Nous avons créé un bureau d'appui au recrutement cyber, très présent au Campus Cyber, à Paris, pour faire évoluer les choses. Un jeune qui veut être militaire n'a qu'à pousser la porte d'un centre d'information et de recrutement des forces armées (CIRFA) pour obtenir satisfaction. Un jeune doté de compétences informatiques et de cybersécurité désireux de servir son pays n'a pas toujours ce réflexe, car il voit dans les CIRFA des navires, des soldats sur le terrain et des pilotes de l'armée de l'air, et se dit « Ce n'est pas mon truc » ou « Je n'ai pas la condition physique pour faire cela ». L'idée est d'aller chercher ces profils et de les attirer vers nous, en comptant sur les armées pour les recruter sur leurs droits et sous leurs uniformes.
Les salaires constituent un handicap, ce qui n'a rien d'une surprise s'agissant de la fonction publique. Des travaux sont en cours pour améliorer la situation. S'agissant du télétravail, il reste rare dans nos structures. Nous devons prendre en compte les impératifs de réalisation collective de la mission, de la confidentialité associée et de l'esprit de corps et de camaraderie que j'évoquais précédemment. Le télétravail concerne donc essentiellement des travaux de développement et d'expertise. En revanche, nous réfléchissons à des solutions pour favoriser le travail en région. Dernier handicap : la faible lisibilité initiale des parcours, qui se sont structurés ad hoc au sein de l'État. Nous offrons désormais des parcours potentiellement très complets. Un jeune qui s'engage chez nous peut ensuite travailler à l'ANSSI ou à la DGSE, et revenir chez nous ensuite. Des parcours variés et valorisants sont possibles dans le domaine technique.
Plus généralement, en matière de ressources humaines, nous avons conscience que nous ne garderons pas la plupart de ceux que nous recrutons pendant vingt-cinq ou trente ans. Nous nous inscrivons donc dans une dynamique de flux, dont l'armée a certes la culture, mais pour les flux du temps long plus que pour ceux du temps court. Par ailleurs, nous avons le sentiment que nous irriguons la société. La LPM 2024-2030 consent, pour le cyber, un gros effort de formation, dont le budget triple. Nous avons conscience qu'offrir une formation de haut niveau à notre personnel améliore le recrutement, mais s'ils restent moins de cinq ans, nous sommes perdants.
Un projet avec l'École polytechnique visant à développer encore davantage l'excellence nationale en matière de formation initiale, porté par le ministre, est en cours. Divers projets visent à amener les grandes écoles d'ingénieurs vers la cybersécurité. Par ailleurs, le Comcyber a un ancrage fort en Bretagne, où se trouve le pôle d'excellence cyber créé par la région et le ministère. Nous y développons des interactions fortes avec le monde académique, la recherche et les sociétés du domaine cyber.
Ma deuxième ligne d'opération est la recherche de l'excellence opérationnelle portée par l'amélioration de l'intégration des effets cyber aux opérations militaires. En la matière, nous avons développé des capacités de LIO et de L2I de haut niveau ; nous essayons de descendre vers les échelons opératif et tactique, pour mieux appuyer les armées avec les outils et les capacités que nous avons développés. Pour la LID, c'est le contraire : nous partons du bas, les armées disposent déjà de capacités matures et il faut désormais améliorer leur interopérabilité pour consolider l'hypervision qui nous permettra de gagner en efficacité en cas d'attaque majeure Travailler entre domaines de lutte suppose d'établir des priorités, mais la LIO peut appuyer la L2I et la L2I peut appuyer la LID. Ces interactions sont possibles entre les trois domaines de lutte.
Je ne m'étendrai pas sur ma troisième ligne d'opération, les partenariats, faute de temps. À l'échelon national, nous avons un ancrage fort dans la communauté formée par le Centre de coordination des crises cyber (C4), dirigé par le Secrétariat général de la défense et de la sécurité nationale (SGDSN). À l'étranger, nous étendons nos relations partenariales, sous forme bilatérale ou dans le cadre de l'UE.