Intervention de Général Olivier Bonnet de Paillerets

Monsieur le président, Mesdames et Messieurs les députés, je suis très honoré d'être aujourd'hui devant vous. J'ai pris le commandement de cette entité cyber le 1er septembre 2017 à la suite de la création de cette nouvelle structure placée auprès du chef d'état-major des armées. J'ai passé vingt ans dans la communauté du renseignement ; auparavant, j'étais pilote d'hélicoptère.

Je commencerai par resituer le commandement cyber (COMCYBER) et par présenter ses enjeux. Puis j'expliquerai en quoi cette LPM répond aux défis de la cyberdéfense.

La fonction cyber est jeune dans l'État : c'est le Livre blanc de 2008 qui a conceptualisé pour la première fois le domaine de la cyberdéfense. L'ANSSI a été créée un an après. Puis le Livre blanc de 2013 a fait de cette fonction une priorité nationale. Plus récemment, en février de cette année, a été publiée une stratégie nationale cyber qui rappelle le niveau de la menace, une menace de plus en plus complexe et qui prend de plus en plus d'ampleurs. Certes, elle ne révolutionne pas l'art de la guerre dans la mesure où ses effets sont assez connus : le recueil d'information et l'espionnage – c'est notre premier souci, en termes de nombre d'attaques –, le sabotage – rappelons-nous ce qui s'est passé en Estonie en 2007 et plus récemment avec TV5 Monde –, des effets enfin de subversion et la désinformation : des événements récents nous ont montré qu'il pouvait y avoir, en pleine période électorale, des effets cyber quasiment existentiels pour nos sociétés. Sans parler de la cybercriminalité, très présente, qui a engendré, selon certains experts, entre 40 et 50 milliards d'euros de bénéfices. C'est enfin une menace en termes de prolifération d'armes : les Leaks Vault 7 et Vault 8 ont démontré que les outils d'attaque pouvaient être jetés en pâture dans le domaine public et constituer une menace décuplée contre nos intérêts.

Au-delà de ces menaces, réaffirmées dans la revue stratégique, l'ambition de l'État repose sur un modèle dont les principes sont la séparation d'une part entre la cyberprotection, ce que les Anglo-Saxons appellent l'information assurance, et d'autre part le renseignement, et la séparation entre le modèle défensif et le modèle offensif. Ce modèle repose sur quatre acteurs. Le premier est l'ANSSI, qui a la responsabilité de la cyberprotection et la lutte informatique défensive de l'État. Par délégation, j'ai, en tant que deuxième acteur, la responsabilité, au sein du ministère des Armées, de la lutte informatique défensive. Ces deux acteurs s'appuient sur nos services de renseignement, la direction générale de la sécurité extérieure (DGSE) et la direction générale de la sécurité intérieure (DGSI) pour constituer le premier cercle des acteurs de la cyberdéfense.

La mission du COMCYBER repose sur un triptyque. Il exerce tout d'abord une responsabilité normative, à l'image de l'ANSSI, mais restreinte au périmètre du chef d'état-major des armées : autrement dit, je suis chargé de la définition et de la conduite de la politique de sécurité des réseaux placés sous la responsabilité du chef d'état-major des armées. Le COMCYBER exerce ensuite une responsabilité sur toutes les actions, y compris actives, visant à défendre les réseaux de l'ensemble du ministère des Armées. Le troisième pilier enfin, que l'on qualifie d'action numérique, regroupe toutes les actions actives ou offensives visant à mieux soutenir la stratégie de cyberdéfense du ministère, dans le seul champ militaire. Parallèlement, le COMCYBER a une responsabilité de mise en cohérence des politiques de ressources humaines et d'animation de la réserve cyber – j'y reviendrai.

Le premier défi assigné au COMCYBER, mis en place le 1er septembre après du chef d'état-major des armées et comme conseiller du ministre, est un défi d'organisation qui tient tout d'abord à la nécessité de fédérer toutes les chaînes de lutte informatique défensive du ministère des Armées, qu'elles relèvent des armées, du commissariat ou du service de santé des armées, et de les renforcer par une gouvernance centralisée. Il s'agit de s'assurer que tous ces réseaux sont supervisés et parfaitement coordonnés : un incident chez l'un doit pouvoir être partagé chez l'autre. Ce premier défi consiste donc à mettre en place un système tout à la fois fédéré, centralisé et rationalisé. On prévoit de regrouper autour de Paris et Rennes les deux pôles qui constitueront la fonction COMCYBER.

Le deuxième défi est celui de l'adaptation. Une adaptation à l'innovation tout d'abord, car nous sommes dans un monde en constante évolution : on ne peut imaginer des équipements de détection qui ne soient pas modernisés quasiment tous les jours. Ce défi concerne à la fois les processus d'achat, d'homologation et d'intégration de ces équipements dans les structures opérationnelles que je dirige. Une adaptation de l'expertise ensuite, car on est passé, en moins de dix ans, d'une expertise « systèmes d'information » à une expertise cyber. Or le métier de la cyber n'a rien à voir avec celui des systèmes d'information. C'est une fonction qui mêle expertise technique, expertise technologique et capacité analytique pour enquêter sur les réseaux. On est en train de constituer de nouveaux métiers, confiés à une nouvelle population.

Troisième défi, celui du partenariat. De même que pour le contre-terrorisme, on ne peut pas perdre de temps en matière de cyberdéfense. Face à un problème de sécurité collective auquel on ne peut répondre seul, c'est d'abord au sein de l'Union européenne qu'il nous faut essayer d'identifier les pays ayant atteint un niveau de maturité opérationnelle et technique nous permettant d'échanger de la donnée, de prévenir les attaques et de les traiter ensemble ; puis, en dehors de l'Union européenne, nous essayons de voir avec quels autres pays nous pouvons partager la prise en charge de cette cyberdéfense.

Dans la LPM, plusieurs grands axes d'efforts concentrent les ressources qui me sont allouées.

Le premier axe consiste à renforcer nos capacités de détection et d'attribution des attaques. Il s'agit, en d'autres termes, de faire en sorte que nous puissions à la fois concentrer et renforcer nos capacités d'audit des systèmes d'information au profit des armées, des services et des autres réseaux du ministère des Armées. Cette fonction étant actuellement sous-calibrée par rapport à l'ampleur de la demande, ces capacités d'audit seront concentrées au sein d'une structure spécialisée, le CASSI, qui dépend fonctionnellement du COMCYBER.

Le deuxième effort consistera, avec la direction générale de l'armement (DGA), à mieux intégrer le COMCYBER dans l'analyse du risque, tout au long du processus de construction mais aussi de la durée de vie de nos équipements et systèmes d'armes.

Le troisième effort vise à renforcer les capacités de détection qui sont au coeur de la mission du COMCYBER. Il s'agira, d'une part, de renforcer la supervision de l'ensemble des chaînes de détection, assurée par le Centre d'analyse de lutte informatique défensive (CALID) – structure qui est fonctionnellement rattachée au COMCYBER et qui est co-localisée avec l'ANSSI. Cette co-localisation est évidemment essentielle à l'échange d'informations entre l'ANSSI et le COMCYBER. Le CALID verra ses effectifs pratiquement doubler au cours de la LPM. Il s'agira, d'autre part, de se doter de moyens de détection des attaques sur les réseaux du ministère qui en sont pour l'heure dépourvus.

Enfin, le quatrième effort visera à une plus grande réactivité et à une plus grande coordination en cas de crise, conformément aux préconisations de la revue stratégique cyber. Il s'agira de faire en sorte que le COMCYBER puisse, à travers son centre opérationnel, proposer une capacité de coordination des incidents « H 24 », ce qui n'est pas le cas aujourd'hui. La faculté d'intervenir en vingt-quatre heures nécessitant de la ressource, nous ferons en sorte d'avoir cette capacité à coordonner les incidents en temps réel, quelle que soit la posture des armées et du ministère des Armées. Un effort connexe, en matière de réactivité, visera à continuer de nous doter de nos capacités d'action numérique offensives pour être en mesure de mieux attribuer les attaques et faire en sorte de mieux intégrer l'action cyber dans la manoeuvre conventionnelle des armées.