Je souhaite, en préambule, remercier également ma collègue Anne Le Hénanff pour la qualité de notre coopération et le travail fourni. Ce fut un vrai plaisir de travailler à vos côtés, chère collègue. Je m'associe pleinement aux remerciements formulés vis-à-vis des personnes avec lesquelles nous avons travaillé.
Avant de vous présenter les défis de la cyberdéfense que nous avons identifiés et les recommandations associées, permettez-nous de vous présenter brièvement l'écosystème de cyberdéfense ; prérequis indispensable à la bonne compréhension de nos conclusions.
Le cyberespace se structure en trois couches indissociables, d'où procèdent toutes les menaces :
1/ une couche physique, constituée des équipements, des systèmes informatiques et de leurs réseaux ayant une existence matérielle (et donc une territorialité qui ouvre sur un droit national, voire international) ;
2/ une couche logique, constituée de l'ensemble des données numériques, des logiciels, des processus et outils de traitement, de gestion et d'administration de ces données, ainsi que de leurs flux d'échanges, implantés dans les matériels pour leur permettre de rendre les services attendus ;
3/ et une couche cognitive, également appelée couche informationnelle, constituée des informations et des interactions sociales de toutes sortes qui se trouvent dans le cyberespace et des personnes qui peuvent déclarer plusieurs identités numériques.
Au-delà de la notion de « défendabilité » des systèmes, la cyberdéfense au sein du ministère des Armées est déclinée en cohérence avec les six missions définies par la revue stratégique de cyberdéfense publiée en février 2018 :
1/ prévenir : il s'agit de faire prendre conscience aux utilisateurs du risque représenté par la numérisation des organisations ou des équipements qu'ils servent ;
2/ anticiper : il s'agit d'évaluer en permanence les probabilités de cyberattaques et prendre des mesures préventives lorsque la menace paraît suffisamment forte. Cette mission incombe à l'Agence nationale de sécurité des systèmes d'information (ANSSI), en coordination avec les services de renseignement et le Commandement de la cyberdéfense (COMCYBER) sur le périmètre du ministère des Armées ;
3/ protéger : il s'agit de diminuer la vulnérabilité de nos systèmes informatiques, à la fois en compliquant la tâche des attaquants potentiels et en facilitant la détection des cyberattaques ;
4/ détecter : il s'agit de rechercher des indices d'une éventuelle cyberattaque en cours. Cette mission relève de la responsabilité du COMCYBER et des unités subordonnées au ministre des Armées. Pour compléter ses informations, il sollicite ses partenaires nationaux et internationaux ;
5/ réagir : il s'agit de résister à une cyberattaque afin qu'elle n'empêche pas la poursuite de notre activité. Dans la plupart des cas, le COMCYBER déclenche alors une opération de lutte informatique défensive, en liaison avec l'ANSSI. Elle peut entraîner l'emploi de moyens qui sortent du domaine de la cyberdéfense, voire du ministère des Armées (par exemple, la saisie de la justice, une action diplomatique ou une mesure de rétorsion économique) ;
6/ attribuer : il s'agit de préciser l'auteur d'une cyberattaque par des preuves ou un faisceau d'indices. Les services de renseignement sont au cœur de ce processus de recueil d'indices d'attribution ; la décision d'attribution appartenant, in fine, aux plus hauts responsables politiques.
Ainsi, les actions de prévention et de protection concernent les systèmes informatiques du ministère des Armées, tandis que les missions d'anticipation, de détection et de réaction s'intéressent aux systèmes informatiques appartenant aux autres catégories d'acteurs.