Intervention de Général Olivier Bonnet de Paillerets

J'ai soutenu avec force la disposition qui figure aujourd'hui à l'article 21 du projet de LPM parce que je me sens responsable des personnels qui travaillent sous mon commandement. Or je n'étais pas certain que, dans le cadre d'actions numériques que je leur demandais d'exécuter, ils ne fassent pas un jour l'objet d'une procédure judiciaire – les opérations en question ayant évidemment été validées et les procédures respectées. Je me suis appuyé sur des juristes qui m'ont conseillé de défendre ce dispositif. Peut-être le mot « action » n'est-il pas clair, car c'est surtout de l'effet qu'il s'agit. Les actions cyber conduites au titre du COMCYBER ont un effet en dehors du territoire national. Je ne mène pas d'action dont les effets se produiraient sur le territoire national. Sur ce dernier, je ne m'occupe que de la protection des réseaux du ministère des Armées. Les actions numériques que je conduis le sont, je le répète, à l'extérieur du territoire national, sur un réseau, un groupe de personnes ; et si, par un effet de bord, il y a un risque de judiciarisation, je veux être sûr que l'opérateur du COMCYBER soit pénalement non responsable.

Et ce sont bien les militaires qui mènent des opérations cyber qui doivent bénéficier de ce dispositif. Les civils de la DGA n'entrent pas dans cette catégorie. L'excuse pénale a pour but de garantir la protection de ceux qui sont dans l'action car, vous avez raison, la distinction entre OPINT et OPEX n'a pas grand sens en matière cyber, si ce n'est au regard des limites du mandat du COMCYBER, appelé à engager des effets sur les théâtres où les armées françaises sont engagées.

Faut-il réserver à certains pays la technologie ou non ? À mon sens, le champ de la souveraineté est en train de se déplacer : il faut essayer de rechercher, avec certains pays de confiance et même de grande confiance – et en premier lieu des pays européens –, une convergence entre nos systèmes de détection. Je ne vois pas pourquoi nous ne serions pas capables de nous allier avec les entreprises de ces pays afin de fabriquer des produits qui rendent nos systèmes de cyberdéfense interopérables. Encore une fois, je suis convaincu qu'il s'agit d'un problème de sécurité collective : si l'Allemagne est attaquée, elle doit pouvoir me transmettre en temps réel des données qui me permettront de m'assurer que la France ne l'est pas – pour ce qui concerne le champ militaire en tout cas. Je ne sais pas s'il faut « réserver » des technologies ; en tout cas, je crois qu'il faut faire en sorte que des équipements et des technologies soient mutualisés avec certains pays à même de consolider une communauté d'intérêt sur ce problème de sécurité.

Dans le même ordre d'idées, qui est allié, qui est concurrent ? Cela suppose au préalable de résoudre le problème de la souveraineté. La France et l'Union européenne devront identifier les équipements et les technologies souverains – la revue évoque à cet égard la détection, le chiffrement, les radios, l'intelligence artificielle… On n'a pas encore créé les conditions de cet environnement mais il faut y arriver ; en attendant, c'est une question de gestion de risque : pour tout ce dont sont pourvus les équipements les plus précieux, on doit être à un niveau de confiance, vis-à-vis de l'entreprise ou du pays, qui rende le risque assumable. C'est la seule réponse que nous puissions donner : les révélations de Snowden ne m'ont pas échappé, celles de WikiLeaks non plus avec en particulier les documents Vault 7 et Vault 8. Nous ne sommes pas dans un monde parfait et notre responsabilité est d'admettre que nous ne pouvons que nous inscrire dans le cadre d'une gouvernance du risque tant que nous n'avons pas d'autres solutions.

Les GAFA sont-ils nos alliés, des adversaires ou bien sont-ils neutres ? La réponse est dans la question : un peu des trois… Là encore, les représentants de l'ANSSI seront bien plus précis que moi. Je vais néanmoins tâcher de vous éclairer en vous donnant un exemple. Le COMCYBER, dans ses actions numériques en soutien de l'engagement militaire, par exemple au Levant, surveille la propagande des djihadistes et la combat. Quand un contenu de cette propagande, en français, va toucher un public français, je le communique au ministère de l'Intérieur et je vérifie avec les responsables de certains des GAFA qu'ils ont bien pris en compte le fait qu'il va falloir retirer ce contenu de la Toile. Nous sommes passés en quelques mois d'une situation où nous n'avions pas de réponse de leur part, à une situation où les taux de retrait sont de 50 à 80 %. J'ai donc réussi, dans le champ opérationnel, à engager un dialogue avec les GAFA et, par le biais du ministère de l'Intérieur, à les sensibiliser un peu plus sur leurs responsabilités. Reste que nous nous trouvons ici dans un contexte d'omnipotence que nous ne pouvons que subir ; le jour où nous serons capables de rééquilibrer les choses au sein de l'Union européenne, tout le monde ne s'en portera que mieux.

Je suis désolé de ne pouvoir répondre à la question portant sur les moyens offensifs. Tout ce que je puis dire est qu'il est illusoire de croire que l'un pourrait aller sans l'autre, qu'on pourrait renforcer l'un sans renforcer l'autre : on ne peut pas bien se défendre si l'on n'a pas la capacité de neutraliser les effets d'une attaque, si l'on n'est pas capable d'engager des moyens actifs. Permettez-moi d'en rester à cette modeste généralité…