Texte intégral
I) Introduction
Monsieur le Président, cher Pierrick,
Messieurs les officiers généraux,
Mesdames et Messieurs,
Je suis très heureux dêtre avec vous ce matin, pour ouvrir ce colloque sur la cyberdéfense. Au moment où lEcole des transmissions fête ses quarante ans, cest une grande satisfaction que de la voir se tourner ainsi vers lavenir. Et notre plaisir est vif de voir, dans le même mouvement, la région Bretagne se distinguer par son excellence dans le domaine de la cyberdéfense.
II) Cybersécurité et livre blanc : le contexte
a) Le cyber espace : riche dopportunités mais lourd de menaces
La cyberdéfense est une nouvelle donne stratégique. Cest dabord un nouvel espace, riche dopportunités mais aussi lourd de risques et de menaces. Cest ensuite un champ de recherche et daction qui dépasse en effet les schémas classiques et qui nous incite à repenser globalement certains de nos modes de fonctionnement. Le Livre blanc sur la défense et la sécurité nationale, que le Président de la République vient dapprouver, prend toute la mesure de cette nouvelle donne stratégique. En la considérant dans sa globalité, il porte la cybersécurité au rang de priorité nationale. Le mouvement initié par le Livre blanc de 2008 est donc accéléré ; un cap ambitieux est désormais fixé.
b) Un enjeu sous-estimé : un effort considérable est nécessaire afin de sécuriser les systèmes dimportance vitale de la nation
Le constat est simple. Linterconnexion des systèmes dinformation qui marque notre société, a généré des vulnérabilités nouvelles, qui nont pas été suffisamment accompagnées dun effort simultané de protection. Les atteintes aux systèmes dinformations résultant dactes hostiles intentionnels ou de ruptures accidentelles pourraient dès lors engendrer des dysfonctionnements, voire une paralysie de lEtat ou de secteurs dimportance vitale pour la Nation. Je crois quil faut le reconnaître. Avons-nous été naïfs, trop confiants dans le développement de lInternet et, plus largement, des systèmes dinformation ? Comprendre le caractère stratégique de cet enjeu, reconnaître sa globalité est un défi majeur, que certains de nos grands partenaires ont bien compris.
Le temps passe et les évolutions saccélèrent. Lhypothèse dattaques informatiques majeures sest renforcée depuis 2008, et le cyberespace est devenu un champ de confrontations à part entière. A titre dexemple, le nombre dattaques traitées par le ministère de la Défense, à travers le centre CALID, est en très forte augmentation : 420 en 2012, contre 196 en 2011.
Lenjeu nest plus seulement le risque de déni daccès ou de pénétration des réseaux à des fins despionnage, alors même que ce risque est déjà considérable et avéré. Ce qui est désormais en jeu, cest la capacité de prise de contrôle à distance ou bien de destruction dinfrastructures vitales pour notre pays, reposant sur des réseaux numérisés ; cest désormais latteinte aux intérêts stratégiques de lEtat et à notre autonomie dappréciation, de décision et daction, par la menace cyber. Cest un enjeu majeur de défense et de souveraineté de la Nation.
Au-delà de la dépendance accrue de la Nation aux systèmes dinformation, les cyberattaques constituent donc, dès aujourdhui et plus encore à lhorizon du Livre blanc, une menace majeure, à forte probabilité et à fort impact potentiel. De fait, chaque nouveau conflit comporte un volet cybersécurité, qui est de plus en plus global : il touche aussi bien les individus, comme au début des révolutions arabes, que le cur dun sanctuaire national avec lépisode Stuxnet en Iran, ou encore des acteurs économiques majeurs, comme lillustrent les attaques de lété 2012 contre la société Aramco, le principal exportateur saoudien.
Mais le cyber est aussi investi par des groupes non étatiques, qui y trouvent une arme idéale. Que leurs motivations soient politiques, idéologiques ou mafieuses, ils développent ainsi la capacité daffronter à distance un Etat, avec une facilité qui leur était auparavant interdite. Bien plus, l'ordre international qui fixe les frontières et régit les rapports entre les Etats, se retourne à lavantage de ces groupes en gênant les poursuites contre eux, par une série dobstacles juridiques et politiques qui, pour lheure, nont pas été levés.
c) Ne peut que sappréhender en multinational (union européenne et OTAN)
Ce défi majeur, chaque nation européenne y fait face aujourdhui ; chacune en est consciente et développe ses propres stratégies ; mais pour peser, je veux le dire dentrée, la solution, notre solution, ne peut être queuropéenne. Je salue les efforts récents de lUnion Européenne pour se doter dune stratégie en la matière. Cest une première étape. La prochaine, avec un Conseil européen en décembre consacré aux questions de défense, devra approfondir cette ambition. Il appartient aux Européens de prendre en charge leurs propres infrastructures vitales ; il leur revient de trouver une juste complémentarité avec lOTAN. De ce point de vue, il faut valoriser les centres dexcellence dont ces organisations disposent dores et déjà. Je pense notamment au centre de Tallinn, en Estonie, pays qui fut la première victime dune attaque cybernétique de grande ampleur. Cétait en 2007. Aujourdhui, la France rallie ce centre avec une volonté, celle de rapprocher lUnion et lAlliance dans le domaine de la cyberdéfense.
III) Cybersécurité et livre blanc : la réponse
a) Le Livre Blanc 2013 précise la doctrine nationale qui associe prévention et réaction
Pour cet ensemble de raisons, le Livre blanc de 2013 élabore une doctrine nationale de réponse aux agressions informatiques majeures. Une politique de sécurité ambitieuse sera ainsi mise en uvre, afin didentifier lorigine des attaques, dévaluer les capacités offensives des adversaires potentiels et larchitecture de leurs systèmes, et de pouvoir ainsi les contrer. Cette politique sera globale, avec deux volets complémentaires.
Dune part, la montée en puissance dune posture robuste et résiliente pour protéger les systèmes dinformation de lÉtat, les opérateurs dimportance vitale et les industries stratégiques. Cette posture repose sur une organisation opérationnelle de défense de ces systèmes, qui est coordonnée sous lautorité du Premier ministre et qui associe étroitement les différents services de lEtat. Cest le premier volet.
Dautre part, une capacité de réponse gouvernementale devant des agressions qui sont de nature et dampleur variées. Cette capacité de réponse fera en premier lieu appel à lensemble des moyens diplomatiques, juridiques ou policiers, sans sinterdire lemploi gradué de moyens relevant du ministère de la défense, si les intérêts stratégiques nationaux sont menacés.
Pour atteindre ces objectifs, plusieurs axes deffort ont été identifiés, et vous me permettrez den dire un mot.
b) Une capacité offensive viendra compléter les moyens daction de lEtat
En premier lieu, au sein de cette doctrine nationale, la capacité informatique offensive, associée à des capacités de renseignement, concourt de façon significative à notre posture de cybersécurité. Elle contribue notamment à caractériser la menace et à identifier son origine. Elle permet, en outre, danticiper certaines attaques et de configurer nos moyens de défense en conséquence. La capacité offensive enrichit la palette des options qui sont à la disposition de lEtat. Elle comporte elle-même différents stades, qui sont plus ou moins réversibles, plus ou moins discrets, mais toujours proportionnés à lampleur et à la gravité de la situation.
c) Plus spécifiquement au sein du Ministère de la Défense, la posture de cybersécurité monte en puissance et concerne lensemble des milieux classiques (terre, air, mer)
La démarche est donc globale, mais elle concerne spécifiquement la défense, et je voudrais à présent my attarder. Le nouveau modèle darmée comprend des capacités de cyberdéfense militaire, en relation étroite, dabord, avec le domaine du renseignement. Dans le cyberespace en particulier, où les frontières sont floutées et où le brouillard du monde virtuel permet toute sorte de manipulation, le renseignement joue en effet un rôle majeur, pour connaître et anticiper la menace. Dans ce contexte, on comprend que limputation des attaques ne saurait se limiter à des preuves de nature juridique, mais doit intégrer lintime conviction que permettent des faisceaux dindices convergents.
Ces dernières années, des attaques ont pour la première fois explicitement visé la neutralisation de systèmes critiques, même non connectés à Internet. Ces attaques sont de plus en plus sophistiquées et ciblées. Outre la protection des informations, la fiabilité et la résilience des systèmes darmes comme des porteurs représentent donc aujourdhui un enjeu majeur pour nos armées. De nombreuses mesures ont été déjà prises, à la fois pour fortement renforcer notre posture de cybersécurité, qui repose sur un volet préventif de protection et un volet actif de défense des systèmes, mais aussi pour développer une capacité offensive.
Ainsi, les moyens humains qui sont consacrés à la cyberdéfense seront sensiblement renforcés, à la hauteur des efforts consentis par nos principaux partenaires européens. Ils vont ainsi augmenter de 350 personnes dici 2019. Ensuite, un renforcement de la sécurité des systèmes dinformation de lÉtat est nécessaire. Au-delà, lÉtat doit soutenir les compétences scientifiques et technologiques performantes du domaine cyber, car la capacité à produire en toute autonomie nos dispositifs de sécurité, notamment en matière de cryptologie et de détection d'attaque, est une composante essentielle de la souveraineté nationale. Enfin, le développement de relations étroites avec nos principaux partenaires étrangers devra être soutenu.
d) La chaîne opérationnelle de commandement intègrera dorénavant lensemble des aspects cyber
Vous comprenez ainsi que le cyberespace est désormais considéré comme un milieu à part entière par les armées ; il fait lobjet dune approche semblable à celle adoptée pour les milieux aérien, terrestre et maritime. Une chaine de commandement opérationnel de la cyberdéfense est ainsi déployée depuis 2011. Pleinement intégrée au commandement interarmées des opérations, elle traite de lensemble des volets de la cyberdéfense. Un schéma directeur, à lhorizon 2020, a été réalisé et validé il y a un an.
Cette chaine opérationnelle de cyberdéfense est donc en voie de consolidation. Elle permettra doffrir une vision globale et une mobilisation rapide des moyens en cas de besoin, tout en sintégrant pleinement aux autres chaines de conduite des opérations maritimes, aériennes, terrestre ou spéciales. Car il ne sagit pas de greffer un nouveau service qui serait autonome, mais au contraire dirriguer, sous un commandement unifié, lensemble des actions menées. Le cyberespace est partout ; il est consubstantiel des autres milieux. Lenjeu est donc de travailler autrement, dadapter la façon de commander, de coopérer étroitement, et le cas échéant de mutualiser les équipements. Cest dans cette logique que les centres de surveillance relevant de lANSSI et de la chaine cyber des armées seront co-localisés à partir de cet été. Dans le même esprit de rapprochement des acteurs et des modes de travail, des experts opérationnels des armées sont dores et déjà intégrés au sein des équipes techniques de la DGA, pour bénéficier dune boucle très courte entre les besoins opérationnels et lexpertise technique.
Au-delà de cette organisation, une nouvelle doctrine de cyberdéfense militaire est en préparation, dix-huit mois après la précédente. Cest dire si cette nouvelle donne stratégique évolue rapidement, et combien nous devons nous-mêmes savoir nous y adapter.
e) La base industrielle (grands groupes et PME) sera renforcée par un soutien à la R&D et la mise en place dune politique industrielle coordonnée
Dans la même perspective, le renforcement de la base industrielle de technologies de défense et de sécurité nationale est indispensable, car elle demeure fragile, malgré un véritable potentiel. La cybersécurité est une question de spécialistes, mais elle est en même temps laffaire de tous, et je pense ici en particulier aux acteurs économiques. Nous bénéficions de la présence en France de grands industriels de défense, capables de réaliser des systèmes complexes et performants, ainsi que de grands opérateurs. Nous disposons également de nombreuses PME innovantes, que nous devons soutenir et protéger. Mais il faut encore accroître notre effort et développer les synergies.
A cette fin, une politique industrielle est en cours délaboration, depuis le financement de la R&D au soutien à lexportation, en passant par dimportants programmes déquipement en moyens de cyberdéfense et de sécurisation de nos grands systèmes dinformation. Ce ne sont pas seulement des mots : les crédits consacrés aux études amont sont en train dêtre triplés, de 10 à 30M par an. Ces études sont cruciales ; en levant des verrous technologiques, et en développant des compétences techniques très pointues au sein des équipes étatiques et industrielles, elles préparent lavenir à court, moyen et long terme. Pour compléter cette politique, la recherche académique est encouragée, notamment au travers de contrats détude et de co-financement de thèses de doctorat.
f) La réserve citoyenne et opérationnelle doit être développée
Elaboration dune doctrine, renforcement de la chaîne de commandement opérationnelle, définition dune politique industrielle Le développement de nos capacités militaires de cyberdéfense sinsère dans une démarche globale, qui doit faire lobjet dune haute priorité, pour rester en phase avec la croissance très rapide de la menace que jévoquais il y a un instant.
Cet effort considérable que nous devons fournir, pour ne pas nous laisser distancer, reposera avant tout sur les hommes et les femmes qui vont être les acteurs de la cybersécurité de notre société numérique. Cest toute la question de la réserve. A côté de la réserve citoyenne qui a été créée pour sensibiliser la société à ces problématiques et créer un esprit de cyberdéfense, il semble important détudier la mise en place dune réserve opérationnelle, qui serait adaptée à traiter une crise informatique majeure touchant lensemble du territoire, cela en appui des différents services de lEtat et des collectivités territoriales.
IV) Cybersécurité et Bretagne
Mais cest aussi et surtout vers la formation que notre effort doit se porter, et jen viens aux lieux qui nous rassemblent aujourdhui.
a) La formation est un sujet majeur qui doit se développer notamment en Bretagne autour de Coëtquidan avec la participation des acteurs étatiques, académiques et industriels
Avec plusieurs grands partenaires du monde des technologies de linformation, le ministère de la défense soutient lidée dun pôle dexcellence de cyberdéfense. Ce pôle pourrait se traduire par un projet ambitieux, avec un centre de cyberdéfense associant les compétences des armées et de la DGA, à celles des écoles dingénieurs (SUPELEC, TELECOM Bretagne ) et des grands centres universitaires de la région (Rennes II, IUT Lannion et Saint-Malo, ou encore lUniversité de Bretagne Sud avec la mise en place dune formation originale par alternance en apprentissage). Cet ensemble bénéficierait de limage des Ecoles de Saint-Cyr Coëtquidan, autant que du soutien avisé des grands maîtres duvre des systèmes de défense.
Vous laurez deviné, cest là une vision qui me tient à cur. Elle porte certes une part dinconnues, mais devant la multiplication des enjeux cyber, je crois quil devient urgent dêtre ambitieux. Coëtquidan, où la première chaire de cyberdéfense et cybersécurité a été inauguré en novembre 2012 en partenariat avec Sogeti et Thalès, est le creuset où peut se forger cette capacité dont notre nation a besoin. La DGA soutiendra la démarche en apportant son expertise technique en termes de connaissance de la menace, de maîtrise et de simulation des systèmes complexes. LEcole des transmissions sera également fortement associée, en particulier dans le cadre de la formation à la technique, aux modes opératoires et aux doctrines, mais aussi à léthique, qui est un autre enjeu essentiel dans un espace où la technologie permet toutes les manipulations.
Cest une aventure audacieuse, une vision à laquelle il convient de donner vie. Tous les ingrédients sont réunis pour que la Bretagne accueille ce projet de centre de formation à la cyberdéfense, et jappelle dans cette perspective nos grands partenaires à rejoindre lélan qui est déjà celui de nos amis de la communauté de communes du pays de Guer. Jai dailleurs, dans cette perspective, missionné linspecteur général des armées-armement Jean-Bernard Pène, pour montrer la faisabilité académique et la viabilité économique de ce projet et, du même coup, engager un dialogue avec tous les acteurs intéressés les écoles, la DGA, les laboratoires, les entreprises La constitution dun club de partenaires me semble à cet égard une perspective intéressante.
Mais nous ne devons pas seulement nous cantonner à la formation dexperts et de techniciens. Un effort de sensibilisation doit être fait à légard des collégiens et des lycéens, et là encore, la région Bretagne, à travers son projet Bretagne numérique, a un rôle à jouer.
Enfin et surtout, lactivité dans ce domaine doit se nourrir de collaborations avec tous les acteurs comme les écoles, la DGA, les laboratoires des universités, les entreprises.
b) Le soutien à linnovation est lautre priorité, notamment à destination des PME, et particulièrement en Bretagne
A côté de la formation, une autre urgence concerne le développement et linnovation, quil faut encourager. Nous le faisons, et cest notre force. Mais il y a une difficulté, qui tient un peu de la lutte entre glaive et le bouclier. Lenjeu est dun côté de savoir détecter les attaques qui visent les systèmes dinformation, et de lautre côté, de rester en capacité de fournir le système le plus robuste possible, cela au meilleur rapport coût-efficacité. Cet équilibre nest pas simple à trouver. Dans ce domaine de linnovation, deux acteurs se distinguent au profit de la cyberdéfense, et je veux les saluer : les opérateurs, ou systémiers, qui sont les seuls à maîtriser de bout en bout la complexité croissante de la mise en uvre des réseaux et des grands systèmes, mais également les PME, nombreuses dans notre région, qui constituent ensemble un creuset sans pareil de linnovation technologique.
Dans ce domaine également, la Bretagne est appelée à jouer un rôle important. Le 7 septembre dernier, jai signé avec Pierrick Massiot un partenariat de développement des activités de recherche duale, qui va tout à fait dans ce sens. Cette convention favorise le développement des PME. Elle permet le cofinancement et laccompagnement, par la DGA et la région Bretagne, de projets innovants proposés par des industriels. Lexpertise de la Bretagne en matière de cyberdéfense se distingue par son excellence ; elle doit le demeurer. Comme je lavais annoncé en septembre 2012, deux cents emplois vont être créés au sein de DGA Maîtrise de lInformation, au profit du centre dexpertise technique pour la cyberdéfense du ministère de la défense. En 2017, nous aurons ainsi 400 experts de très haut niveau couvrant lensemble des domaines dexpertises technique de la cybersécurité : cryptologie, microélectronique, architecture déquipements de sécurité et de systèmes, analyse de composants logiciels et matériels
V) Conclusion
Mesdames et Messieurs,
Le cyberespace, dont nous ne faisons encore queffleurer les aspects les plus déstabilisants, est de toute évidence lune des clés de notre défense et de notre souveraineté. Avec le Livre blanc de 2013, nous venons de poser la pierre dangle de lambition nationale en matière de cyberdéfense. Pour présenter cette ambition, je tenais à mexprimer devant vous, car je sais lexcellence que la Bretagne représente déjà dans ce domaine et, en même temps, tout le potentiel qui est encore le sien.
En ouvrant cette journée, je forme donc le vu quelle soit fructueuse pour vous tous, et quà travers elle, vous fassiez vôtre lambition que je tenais à partager avec vous ce matin.
Source http://www.defense.gouv.fr, le 4 juin 2013
Monsieur le Président, cher Pierrick,
Messieurs les officiers généraux,
Mesdames et Messieurs,
Je suis très heureux dêtre avec vous ce matin, pour ouvrir ce colloque sur la cyberdéfense. Au moment où lEcole des transmissions fête ses quarante ans, cest une grande satisfaction que de la voir se tourner ainsi vers lavenir. Et notre plaisir est vif de voir, dans le même mouvement, la région Bretagne se distinguer par son excellence dans le domaine de la cyberdéfense.
II) Cybersécurité et livre blanc : le contexte
a) Le cyber espace : riche dopportunités mais lourd de menaces
La cyberdéfense est une nouvelle donne stratégique. Cest dabord un nouvel espace, riche dopportunités mais aussi lourd de risques et de menaces. Cest ensuite un champ de recherche et daction qui dépasse en effet les schémas classiques et qui nous incite à repenser globalement certains de nos modes de fonctionnement. Le Livre blanc sur la défense et la sécurité nationale, que le Président de la République vient dapprouver, prend toute la mesure de cette nouvelle donne stratégique. En la considérant dans sa globalité, il porte la cybersécurité au rang de priorité nationale. Le mouvement initié par le Livre blanc de 2008 est donc accéléré ; un cap ambitieux est désormais fixé.
b) Un enjeu sous-estimé : un effort considérable est nécessaire afin de sécuriser les systèmes dimportance vitale de la nation
Le constat est simple. Linterconnexion des systèmes dinformation qui marque notre société, a généré des vulnérabilités nouvelles, qui nont pas été suffisamment accompagnées dun effort simultané de protection. Les atteintes aux systèmes dinformations résultant dactes hostiles intentionnels ou de ruptures accidentelles pourraient dès lors engendrer des dysfonctionnements, voire une paralysie de lEtat ou de secteurs dimportance vitale pour la Nation. Je crois quil faut le reconnaître. Avons-nous été naïfs, trop confiants dans le développement de lInternet et, plus largement, des systèmes dinformation ? Comprendre le caractère stratégique de cet enjeu, reconnaître sa globalité est un défi majeur, que certains de nos grands partenaires ont bien compris.
Le temps passe et les évolutions saccélèrent. Lhypothèse dattaques informatiques majeures sest renforcée depuis 2008, et le cyberespace est devenu un champ de confrontations à part entière. A titre dexemple, le nombre dattaques traitées par le ministère de la Défense, à travers le centre CALID, est en très forte augmentation : 420 en 2012, contre 196 en 2011.
Lenjeu nest plus seulement le risque de déni daccès ou de pénétration des réseaux à des fins despionnage, alors même que ce risque est déjà considérable et avéré. Ce qui est désormais en jeu, cest la capacité de prise de contrôle à distance ou bien de destruction dinfrastructures vitales pour notre pays, reposant sur des réseaux numérisés ; cest désormais latteinte aux intérêts stratégiques de lEtat et à notre autonomie dappréciation, de décision et daction, par la menace cyber. Cest un enjeu majeur de défense et de souveraineté de la Nation.
Au-delà de la dépendance accrue de la Nation aux systèmes dinformation, les cyberattaques constituent donc, dès aujourdhui et plus encore à lhorizon du Livre blanc, une menace majeure, à forte probabilité et à fort impact potentiel. De fait, chaque nouveau conflit comporte un volet cybersécurité, qui est de plus en plus global : il touche aussi bien les individus, comme au début des révolutions arabes, que le cur dun sanctuaire national avec lépisode Stuxnet en Iran, ou encore des acteurs économiques majeurs, comme lillustrent les attaques de lété 2012 contre la société Aramco, le principal exportateur saoudien.
Mais le cyber est aussi investi par des groupes non étatiques, qui y trouvent une arme idéale. Que leurs motivations soient politiques, idéologiques ou mafieuses, ils développent ainsi la capacité daffronter à distance un Etat, avec une facilité qui leur était auparavant interdite. Bien plus, l'ordre international qui fixe les frontières et régit les rapports entre les Etats, se retourne à lavantage de ces groupes en gênant les poursuites contre eux, par une série dobstacles juridiques et politiques qui, pour lheure, nont pas été levés.
c) Ne peut que sappréhender en multinational (union européenne et OTAN)
Ce défi majeur, chaque nation européenne y fait face aujourdhui ; chacune en est consciente et développe ses propres stratégies ; mais pour peser, je veux le dire dentrée, la solution, notre solution, ne peut être queuropéenne. Je salue les efforts récents de lUnion Européenne pour se doter dune stratégie en la matière. Cest une première étape. La prochaine, avec un Conseil européen en décembre consacré aux questions de défense, devra approfondir cette ambition. Il appartient aux Européens de prendre en charge leurs propres infrastructures vitales ; il leur revient de trouver une juste complémentarité avec lOTAN. De ce point de vue, il faut valoriser les centres dexcellence dont ces organisations disposent dores et déjà. Je pense notamment au centre de Tallinn, en Estonie, pays qui fut la première victime dune attaque cybernétique de grande ampleur. Cétait en 2007. Aujourdhui, la France rallie ce centre avec une volonté, celle de rapprocher lUnion et lAlliance dans le domaine de la cyberdéfense.
III) Cybersécurité et livre blanc : la réponse
a) Le Livre Blanc 2013 précise la doctrine nationale qui associe prévention et réaction
Pour cet ensemble de raisons, le Livre blanc de 2013 élabore une doctrine nationale de réponse aux agressions informatiques majeures. Une politique de sécurité ambitieuse sera ainsi mise en uvre, afin didentifier lorigine des attaques, dévaluer les capacités offensives des adversaires potentiels et larchitecture de leurs systèmes, et de pouvoir ainsi les contrer. Cette politique sera globale, avec deux volets complémentaires.
Dune part, la montée en puissance dune posture robuste et résiliente pour protéger les systèmes dinformation de lÉtat, les opérateurs dimportance vitale et les industries stratégiques. Cette posture repose sur une organisation opérationnelle de défense de ces systèmes, qui est coordonnée sous lautorité du Premier ministre et qui associe étroitement les différents services de lEtat. Cest le premier volet.
Dautre part, une capacité de réponse gouvernementale devant des agressions qui sont de nature et dampleur variées. Cette capacité de réponse fera en premier lieu appel à lensemble des moyens diplomatiques, juridiques ou policiers, sans sinterdire lemploi gradué de moyens relevant du ministère de la défense, si les intérêts stratégiques nationaux sont menacés.
Pour atteindre ces objectifs, plusieurs axes deffort ont été identifiés, et vous me permettrez den dire un mot.
b) Une capacité offensive viendra compléter les moyens daction de lEtat
En premier lieu, au sein de cette doctrine nationale, la capacité informatique offensive, associée à des capacités de renseignement, concourt de façon significative à notre posture de cybersécurité. Elle contribue notamment à caractériser la menace et à identifier son origine. Elle permet, en outre, danticiper certaines attaques et de configurer nos moyens de défense en conséquence. La capacité offensive enrichit la palette des options qui sont à la disposition de lEtat. Elle comporte elle-même différents stades, qui sont plus ou moins réversibles, plus ou moins discrets, mais toujours proportionnés à lampleur et à la gravité de la situation.
c) Plus spécifiquement au sein du Ministère de la Défense, la posture de cybersécurité monte en puissance et concerne lensemble des milieux classiques (terre, air, mer)
La démarche est donc globale, mais elle concerne spécifiquement la défense, et je voudrais à présent my attarder. Le nouveau modèle darmée comprend des capacités de cyberdéfense militaire, en relation étroite, dabord, avec le domaine du renseignement. Dans le cyberespace en particulier, où les frontières sont floutées et où le brouillard du monde virtuel permet toute sorte de manipulation, le renseignement joue en effet un rôle majeur, pour connaître et anticiper la menace. Dans ce contexte, on comprend que limputation des attaques ne saurait se limiter à des preuves de nature juridique, mais doit intégrer lintime conviction que permettent des faisceaux dindices convergents.
Ces dernières années, des attaques ont pour la première fois explicitement visé la neutralisation de systèmes critiques, même non connectés à Internet. Ces attaques sont de plus en plus sophistiquées et ciblées. Outre la protection des informations, la fiabilité et la résilience des systèmes darmes comme des porteurs représentent donc aujourdhui un enjeu majeur pour nos armées. De nombreuses mesures ont été déjà prises, à la fois pour fortement renforcer notre posture de cybersécurité, qui repose sur un volet préventif de protection et un volet actif de défense des systèmes, mais aussi pour développer une capacité offensive.
Ainsi, les moyens humains qui sont consacrés à la cyberdéfense seront sensiblement renforcés, à la hauteur des efforts consentis par nos principaux partenaires européens. Ils vont ainsi augmenter de 350 personnes dici 2019. Ensuite, un renforcement de la sécurité des systèmes dinformation de lÉtat est nécessaire. Au-delà, lÉtat doit soutenir les compétences scientifiques et technologiques performantes du domaine cyber, car la capacité à produire en toute autonomie nos dispositifs de sécurité, notamment en matière de cryptologie et de détection d'attaque, est une composante essentielle de la souveraineté nationale. Enfin, le développement de relations étroites avec nos principaux partenaires étrangers devra être soutenu.
d) La chaîne opérationnelle de commandement intègrera dorénavant lensemble des aspects cyber
Vous comprenez ainsi que le cyberespace est désormais considéré comme un milieu à part entière par les armées ; il fait lobjet dune approche semblable à celle adoptée pour les milieux aérien, terrestre et maritime. Une chaine de commandement opérationnel de la cyberdéfense est ainsi déployée depuis 2011. Pleinement intégrée au commandement interarmées des opérations, elle traite de lensemble des volets de la cyberdéfense. Un schéma directeur, à lhorizon 2020, a été réalisé et validé il y a un an.
Cette chaine opérationnelle de cyberdéfense est donc en voie de consolidation. Elle permettra doffrir une vision globale et une mobilisation rapide des moyens en cas de besoin, tout en sintégrant pleinement aux autres chaines de conduite des opérations maritimes, aériennes, terrestre ou spéciales. Car il ne sagit pas de greffer un nouveau service qui serait autonome, mais au contraire dirriguer, sous un commandement unifié, lensemble des actions menées. Le cyberespace est partout ; il est consubstantiel des autres milieux. Lenjeu est donc de travailler autrement, dadapter la façon de commander, de coopérer étroitement, et le cas échéant de mutualiser les équipements. Cest dans cette logique que les centres de surveillance relevant de lANSSI et de la chaine cyber des armées seront co-localisés à partir de cet été. Dans le même esprit de rapprochement des acteurs et des modes de travail, des experts opérationnels des armées sont dores et déjà intégrés au sein des équipes techniques de la DGA, pour bénéficier dune boucle très courte entre les besoins opérationnels et lexpertise technique.
Au-delà de cette organisation, une nouvelle doctrine de cyberdéfense militaire est en préparation, dix-huit mois après la précédente. Cest dire si cette nouvelle donne stratégique évolue rapidement, et combien nous devons nous-mêmes savoir nous y adapter.
e) La base industrielle (grands groupes et PME) sera renforcée par un soutien à la R&D et la mise en place dune politique industrielle coordonnée
Dans la même perspective, le renforcement de la base industrielle de technologies de défense et de sécurité nationale est indispensable, car elle demeure fragile, malgré un véritable potentiel. La cybersécurité est une question de spécialistes, mais elle est en même temps laffaire de tous, et je pense ici en particulier aux acteurs économiques. Nous bénéficions de la présence en France de grands industriels de défense, capables de réaliser des systèmes complexes et performants, ainsi que de grands opérateurs. Nous disposons également de nombreuses PME innovantes, que nous devons soutenir et protéger. Mais il faut encore accroître notre effort et développer les synergies.
A cette fin, une politique industrielle est en cours délaboration, depuis le financement de la R&D au soutien à lexportation, en passant par dimportants programmes déquipement en moyens de cyberdéfense et de sécurisation de nos grands systèmes dinformation. Ce ne sont pas seulement des mots : les crédits consacrés aux études amont sont en train dêtre triplés, de 10 à 30M par an. Ces études sont cruciales ; en levant des verrous technologiques, et en développant des compétences techniques très pointues au sein des équipes étatiques et industrielles, elles préparent lavenir à court, moyen et long terme. Pour compléter cette politique, la recherche académique est encouragée, notamment au travers de contrats détude et de co-financement de thèses de doctorat.
f) La réserve citoyenne et opérationnelle doit être développée
Elaboration dune doctrine, renforcement de la chaîne de commandement opérationnelle, définition dune politique industrielle Le développement de nos capacités militaires de cyberdéfense sinsère dans une démarche globale, qui doit faire lobjet dune haute priorité, pour rester en phase avec la croissance très rapide de la menace que jévoquais il y a un instant.
Cet effort considérable que nous devons fournir, pour ne pas nous laisser distancer, reposera avant tout sur les hommes et les femmes qui vont être les acteurs de la cybersécurité de notre société numérique. Cest toute la question de la réserve. A côté de la réserve citoyenne qui a été créée pour sensibiliser la société à ces problématiques et créer un esprit de cyberdéfense, il semble important détudier la mise en place dune réserve opérationnelle, qui serait adaptée à traiter une crise informatique majeure touchant lensemble du territoire, cela en appui des différents services de lEtat et des collectivités territoriales.
IV) Cybersécurité et Bretagne
Mais cest aussi et surtout vers la formation que notre effort doit se porter, et jen viens aux lieux qui nous rassemblent aujourdhui.
a) La formation est un sujet majeur qui doit se développer notamment en Bretagne autour de Coëtquidan avec la participation des acteurs étatiques, académiques et industriels
Avec plusieurs grands partenaires du monde des technologies de linformation, le ministère de la défense soutient lidée dun pôle dexcellence de cyberdéfense. Ce pôle pourrait se traduire par un projet ambitieux, avec un centre de cyberdéfense associant les compétences des armées et de la DGA, à celles des écoles dingénieurs (SUPELEC, TELECOM Bretagne ) et des grands centres universitaires de la région (Rennes II, IUT Lannion et Saint-Malo, ou encore lUniversité de Bretagne Sud avec la mise en place dune formation originale par alternance en apprentissage). Cet ensemble bénéficierait de limage des Ecoles de Saint-Cyr Coëtquidan, autant que du soutien avisé des grands maîtres duvre des systèmes de défense.
Vous laurez deviné, cest là une vision qui me tient à cur. Elle porte certes une part dinconnues, mais devant la multiplication des enjeux cyber, je crois quil devient urgent dêtre ambitieux. Coëtquidan, où la première chaire de cyberdéfense et cybersécurité a été inauguré en novembre 2012 en partenariat avec Sogeti et Thalès, est le creuset où peut se forger cette capacité dont notre nation a besoin. La DGA soutiendra la démarche en apportant son expertise technique en termes de connaissance de la menace, de maîtrise et de simulation des systèmes complexes. LEcole des transmissions sera également fortement associée, en particulier dans le cadre de la formation à la technique, aux modes opératoires et aux doctrines, mais aussi à léthique, qui est un autre enjeu essentiel dans un espace où la technologie permet toutes les manipulations.
Cest une aventure audacieuse, une vision à laquelle il convient de donner vie. Tous les ingrédients sont réunis pour que la Bretagne accueille ce projet de centre de formation à la cyberdéfense, et jappelle dans cette perspective nos grands partenaires à rejoindre lélan qui est déjà celui de nos amis de la communauté de communes du pays de Guer. Jai dailleurs, dans cette perspective, missionné linspecteur général des armées-armement Jean-Bernard Pène, pour montrer la faisabilité académique et la viabilité économique de ce projet et, du même coup, engager un dialogue avec tous les acteurs intéressés les écoles, la DGA, les laboratoires, les entreprises La constitution dun club de partenaires me semble à cet égard une perspective intéressante.
Mais nous ne devons pas seulement nous cantonner à la formation dexperts et de techniciens. Un effort de sensibilisation doit être fait à légard des collégiens et des lycéens, et là encore, la région Bretagne, à travers son projet Bretagne numérique, a un rôle à jouer.
Enfin et surtout, lactivité dans ce domaine doit se nourrir de collaborations avec tous les acteurs comme les écoles, la DGA, les laboratoires des universités, les entreprises.
b) Le soutien à linnovation est lautre priorité, notamment à destination des PME, et particulièrement en Bretagne
A côté de la formation, une autre urgence concerne le développement et linnovation, quil faut encourager. Nous le faisons, et cest notre force. Mais il y a une difficulté, qui tient un peu de la lutte entre glaive et le bouclier. Lenjeu est dun côté de savoir détecter les attaques qui visent les systèmes dinformation, et de lautre côté, de rester en capacité de fournir le système le plus robuste possible, cela au meilleur rapport coût-efficacité. Cet équilibre nest pas simple à trouver. Dans ce domaine de linnovation, deux acteurs se distinguent au profit de la cyberdéfense, et je veux les saluer : les opérateurs, ou systémiers, qui sont les seuls à maîtriser de bout en bout la complexité croissante de la mise en uvre des réseaux et des grands systèmes, mais également les PME, nombreuses dans notre région, qui constituent ensemble un creuset sans pareil de linnovation technologique.
Dans ce domaine également, la Bretagne est appelée à jouer un rôle important. Le 7 septembre dernier, jai signé avec Pierrick Massiot un partenariat de développement des activités de recherche duale, qui va tout à fait dans ce sens. Cette convention favorise le développement des PME. Elle permet le cofinancement et laccompagnement, par la DGA et la région Bretagne, de projets innovants proposés par des industriels. Lexpertise de la Bretagne en matière de cyberdéfense se distingue par son excellence ; elle doit le demeurer. Comme je lavais annoncé en septembre 2012, deux cents emplois vont être créés au sein de DGA Maîtrise de lInformation, au profit du centre dexpertise technique pour la cyberdéfense du ministère de la défense. En 2017, nous aurons ainsi 400 experts de très haut niveau couvrant lensemble des domaines dexpertises technique de la cybersécurité : cryptologie, microélectronique, architecture déquipements de sécurité et de systèmes, analyse de composants logiciels et matériels
V) Conclusion
Mesdames et Messieurs,
Le cyberespace, dont nous ne faisons encore queffleurer les aspects les plus déstabilisants, est de toute évidence lune des clés de notre défense et de notre souveraineté. Avec le Livre blanc de 2013, nous venons de poser la pierre dangle de lambition nationale en matière de cyberdéfense. Pour présenter cette ambition, je tenais à mexprimer devant vous, car je sais lexcellence que la Bretagne représente déjà dans ce domaine et, en même temps, tout le potentiel qui est encore le sien.
En ouvrant cette journée, je forme donc le vu quelle soit fructueuse pour vous tous, et quà travers elle, vous fassiez vôtre lambition que je tenais à partager avec vous ce matin.
Source http://www.defense.gouv.fr, le 4 juin 2013