Intervention de Frédéric Mathieu

Un autre sujet de préoccupation majeur est celui relatif à l'hébergement informatique en nuage. Actuellement, le ministère des Armées met en œuvre une stratégie visant à exploiter tout le potentiel des technologies d'hébergement en nuage. Afin de satisfaire les besoins des systèmes d'information non éligibles à une migration dans des clouds externes, le ministère des Armées développe et exploite plusieurs clouds privés, selon divers niveaux de sensibilité et de classification (non protégé, diffusion restreinte, secret). Des solutions de stockage de données différenciées en fonction des performances attendues sont déployées ou en cours de construction sur ces divers clouds. Cet enjeu a été entamé mais il faut aujourd'hui faire basculer les systèmes d'information un à un sur des systèmes d'hébergement en nuage. Or, le ministère des Armées comprenant plus de 1 500 systèmes d'information, ce processus prendra du temps et on estime que d'ici 2030, entre 50 et 60 % de l'architecture de réseau du ministère seulement aura basculé sur un système de stockage en nuage. Nous estimons qu'il est nécessaire d'accélérer cette feuille de route relative à la migration vers un hébergement informatique en nuage souverain. Nous insistons sur « souverain ». Cet impératif vaut également pour les entreprises de la BITD, les OIV et les OSE, dont les données sont au moins aussi stratégiques que celles des services du ministère des Armées et au-delà.

D'ailleurs, s'agissant, des entreprises de la BITD, nous estimons qu'il est nécessaire de franchir une nouvelle étape pour renforcer leur cyber-résilience, et singulièrement les entreprises de la chaîne de sous-traitance. Lors de nos auditions, il nous a clairement été indiqué que les entreprises de la BITD sont les cibles régulières des cyberattaquants. Plus encore que les rançongiciels, qui frappent aussi les entreprises de la BITD, ce sont les logiciels de cyber-espionnage qui frappent en premier lieu ces entreprises. Il s'agit là d'un enjeu capital : quel est l'intérêt d'investir des milliards d'euros pour se doter de systèmes d'armes performants à même de donner à nos armées une supériorité opérationnelle sur le terrain si les entreprises qui conçoivent ces systèmes d'armes se font piller leurs savoir-faire ? La DRSD est en charge de la sensibilisation des entreprises de la BITD face à ce risque, et notamment le centre de veille et d'alerte dédié aux entreprises de défense créé récemment. Toutefois, nous estimons qu'il est désormais nécessaire d'aller plus loin. C'est pourquoi nous pensons qu'il faudra fixer des critères de cybersécurité aux entreprises de la BITD et à leurs sous-traitants en contrepartie de l'obtention de marchés publics.

Enfin, nous estimons qu'il faudra à l'avenir encadrer de manière très stricte les relations entre le ministère des Armées et les entreprises qui vendent des armes cyber offensives. S'agissant de ses relations avec les brokers de vulnérabilités informatiques, la DGA a indiqué que le niveau de confiance envers ceux-ci est extrêmement faible. Il est en effet quasiment impossible de connaître le cycle de vie d'une vulnérabilité ou d'un code exploitant celle-ci ; par exemple : qui l'a trouvé ? à combien de personne il a été vendu ? est-ce qu'il contient des marquants ? Dans le domaine de la LIO, la stratégie de la DGA est donc aujourd'hui de privilégier le recours à des études réalisées par des entreprises de la BITD. Cette approche permet d'avoir une confiance forte dans les vulnérabilités nécessaires à la réalisation d'armes numériques, car, ce faisant, il n'y a pas de risque d'intoxication et de vente à de multiples acteurs. Nous estimons que cette ligne est la bonne et qu'elle devra être tenue à l'avenir.