Intervention de Général Olivier Bonnet de Paillerets

Je commencerai par répondre à vos questions relatives aux ressources humaines.

Pour ce qui est du recrutement, nous sommes en train de constituer une famille de métiers à part entière autour des acteurs de la chaîne cyber des armées – la DGSE, la DGSI, l'ANSSI et le COMCYBER. C'est bien dans cet écosystème qu'il va falloir, à un moment donné, créer des filières pour professionnaliser l'ensemble de la communauté. Plus on crée une communauté, plus on est capable de mener une politique commune de gestion de ressources humaines. Guillaume Poupard et moi-même sommes donc en train de préparer, pour les ressources militaires, les conditions d'un parcours dans les affectations à l'ANSSI et au COMCYBER.

Ensuite, quand on veut recruter une population, on doit réfléchir à sa sociologie. La question du niveau de contractualisation va effectivement commencer à se poser. Ce niveau est très faible actuellement, ce qui n'est pas tenable pour les raisons que vous citiez : ce sont des expertises qui vont finir par se dévaloriser et on a besoin de réoxygéner une partie de l'organisation. Il va donc falloir accepter l'idée d'augmenter la capacité et le niveau de contractualisation au sein de cette communauté.

Vous avez évoqué un déficit de personnel à recruter ; en pratique, aujourd'hui, je suis, au contraire, assez surpris de rencontrer si peu de difficultés de recrutement : nous avons affaire à une génération de jeunes qui ont très envie de servir une fonction régalienne de l'État. Ces jeunes viennent suffisamment en nombre pour répondre à nos besoins. Je parle pour le COMCYBER, mais je suis persuadé que les autres acteurs de la cyberdéfense vous diront la même chose. Cela étant, cette expertise va rapidement être mise en concurrence avec l'extérieur : nous arrivons à recruter, encore faudra-t-il savoir les retenir. Il nous faudra faire en sorte d'adapter nos formules de contractualisation pour maintenir ces jeunes dans nos structures étatiques, le temps qu'ils puissent servir l'État autant que nécessaire, et pour ne les voir partir que lorsque notre organisation pourra se le permettre.

Le volume des formations n'est pas suffisant. Dans mon ancien emploi je me suis fait l'avocat de la création de plus de formations en BTS. Dans la mesure où le cyber est une fonction qui est en train de s'organiser, nous avons besoin de bac + 2 qui se forment chez nous, au contact du métier, afin de devenir opérationnels et à notre main. Il faut multiplier ces cursus car c'est dans cette population que je trouverai une ressource humaine experte, à même d'être efficace dans mes structures opérationnelles.

Au-delà de la formation ab initio, le deuxième défi est celui de la formation continue. C'est un réel challenge. Le cyber va très vite ; l'internet modifie ses formats, ses applications tous les jours. Nous avons donc besoin d'une formation continue très robuste et très liée à ce qui se passe dans le monde civil. Nous avons sans doute intérêt à réfléchir à des partenariats public-privé afin de proposer des formations continues à nos opérateurs.

Pour ce qui est de la répartition des effectifs, sur les 1 100 combattants cyber qui sont prévus dans le cadre de la prochaine LPM, un peu plus de 500 relèvent du « grand employeur CEMA » et seront donc directement placés sous l'autorité du COMCYBER. La DGA et les services de renseignement recevront leur quote-part, étant entendu qu'il ne faut pas négliger la DGA qui constitue l'ingénierie de la cyberdéfense au profit des armées.

Pour le grand employeur CEMA, le calendrier prévoit 320 recrutements jusqu'en 2023 et le complément est prévu pour 2025. Cette montée en puissance correspond à ma capacité de recrutement. Je n'ai donc pas de souci à cet égard pour les années à venir, en tout cas pour ce qui concerne le COMCYBER.

Comment utiliser l'action cyber, en parallèle ou en combinaison, dans la manoeuvre conventionnelle ? Il s'agit, vous l'avez compris, d'intégrer une nouvelle capacité dans la planification et la conduite des opérations. C'est une question de gouvernance opérationnelle : compte tenu de la nécessité à la fois de protéger cette capacité et d'en maîtriser le risque, il appartient au COMCYBER, placé sous la responsabilité du chef d'état-major des armées, de prendre la décision ou non d'engager ces moyens. Quand un état-major est engagé à l'extérieur, au plus près des combats et de la réalité opérationnelle, toute la question est d'être à même d'établir un dialogue étroit avec le commandement de théâtre qui voudra, ou non, lancer des opérations numériques ; le risque sera évalué par le COMCYBER et ce sera au chef d'état-major des armées, in fine, de décider d'engager ou non ces capacités.

Je reviens – veuillez excuser cet esprit d'escalier – sur les ressources humaines et plus précisément sur la question de la réserve. Cette population, j'en suis convaincu, doit être véritablement assimilée à une population active, et pour bien des raisons : non seulement nous avons énormément de volontaires au titre de la réserve citoyenne, mais, et c'est une autre bonne surprise, ils ont un niveau d'expertise comme je n'en aurai peut-être jamais au COMCYBER. La réserve est donc un enjeu très important pour nous : il faut en améliorer la gouvernance, qui n'est pas encore suffisamment bien assise. La réserve est partie intégrante de la réflexion sur la politique de ressources humaine du COMCYBER.

Qu'en est-il de la cyberdéfense au sein de l'Union européenne ? Prenons – pas tout à fait au hasard – le cas de l'Allemagne qui a décidé de créer un commandement cyber, en fait une sixième armée de 15 000 hommes. Le spectre des missions du commandement cyber allemand n'est pas le même que le COMCYBER : nos voisins y ont intégré l'imagerie satellitaire, le renseignement tactique et une bonne partie de ce qu'on appelle les systèmes d'information opérationnels. La montée en puissance de cette structure, prévue sur trois ans, s'inscrit dans le contexte d'une réforme très profonde des forces allemandes qui s'est faite quelque peu dans la douleur, dont le but est d'organiser une armée à part entière. Les effectifs et moyens sont actuellement renforcés, nos amis allemands ont beaucoup investi dans cette armée cyber et développé de nombreux concepts, si bien qu'il ne fait aucun doute qu'ils deviendront, dans les années 2018-2020, au sein de l'Union européenne, un partenaire de premier plan en matière de cyberdéfense.

Quant aux Britanniques, ils disposent sans doute de l'organisation la plus mature car ils ont commencé à la développer avant nous. Ils ont organisé une interaction de proximité entre les armées, le monde du renseignement et leur ANSSI qui est une émanation du Government Communications Headquarter (GCHQ). Nous avions, encore il y a cinq ou dix ans, du retard par rapport à eux, mais nous le rattrapons petit à petit pour, dans les années à venir, les égaler en matière de maturité opérationnelle et organisationnelle. L'un des défis de la Revue stratégique de cyberdéfense a précisément été l'accélération de cette maturation.

Peu d'autres pays de l'Union européenne ont pris la décision de créer un COMCYBER à la mode allemande ou selon le modèle français, plus flexible. Mais ils y viennent : l'Estonie est en train de créer son COMCYBER, l'Espagne se pose la question… Bref, un certain nombre de pays de l'Union européenne gagnent en maturité conceptuelle et devraient, marche après marche, parvenir à se doter d'organisations de cyberdéfense, pour peu qu'ils réalisent les investissements nécessaires.

En ce qui concerne la question sur l'ARCEP comme organisme de contrôle, je me permets de vous renvoyer vers l'ANSSI. Je ne suis pas directement concerné par l'article 19 du projet de LPM, à ceci près que, évidemment, si l'ANSSI active ses capacités de détection en cas d'attaque pouvant concerner le ministère des Armées, j'ai besoin, pour en mesurer l'ampleur, de disposer des informations nécessaires pour les consolider, les corroborer.

De même, la protection et de la pérennisation du vote est de la responsabilité de l'ANSSI et non du COMCYBER. Le ministère des Armées, je le rappelle, mène des actions de protection uniquement sur ses propres réseaux, par délégation de l'ANSSI. Les actions numériques qu'il mène accompagnent l'engagement des armées à l'extérieur du territoire national.