Intervention de Alexandra Valetta Ardisson

M. le Président, chers collègues, demain, est-ce qu'une succession logique de 0 et de 1 au sein d'un code informatique binaire pourra provoquer autant de dégâts qu'un missile de croisière naval ou qu'un obus tiré par un canon Caesar, en rendant inutilisables des équipements, des matériels ou des infrastructures militaires ? Est-ce qu'un virus aux effets systémiques, par la désorganisation massive qu'il provoquera, pourra aboutir à la mort d'êtres humains, y compris des civils ? Comme le souligne la Revue stratégique de cyberdéfense publiée par le SGDSN, il est probable qu'une attaque informatique consistant en des actes de blocage ou de sabotage des systèmes informatiques aura, un jour, des conséquences létales.

Ce qui, hier encore, pouvait relever de la science-fiction apparaît dorénavant comme une éventualité stratégique à prendre en considération en termes de doctrine militaire, de conduite des opérations et, plus globalement, d'organisation de la protection et de la résilience de l'ensemble de la société.

L'intérêt et la compétence de notre commission pour le « sujet cyber » sont évidents et légitimes. Les fondements de notre système de cyberdéfense ont majoritairement été posés dans le cadre des différentes LPM adoptées depuis 2009. La LPM 2019-2025, qui devrait être promulguée dans une dizaine de jours, ne fait d'ailleurs pas exception : un chapitre spécifique y est ainsi consacré.

Avant d'entrer dans le vif du sujet, je formulerai deux remarques liminaires de « méthodologie ».

Tout d'abord, notre rapport ne prétend pas à l'exhaustivité, et ce pour plusieurs raisons. Premièrement, le cyber est par nature une réalité globale, qui touche pour ainsi dire tous les champs de l'activité sociale. Il dépasse donc le champ de compétence d'une seule commission.

Deuxièmement, c'est un domaine en perpétuelle évolution. Son analyse n'est donc pas et ne sera jamais achevée.

Troisièmement, la Revue stratégique de cyberdéfense a déjà dressé un panorama très complet de la question, et il était évidemment inutile de doublonner le travail déjà effectué dans ce cadre.

Enfin, il faut rester conscient du fait que les travaux menés dans ce domaine se heurtent rapidement à l'obstacle du secret de la défense nationale. En matière cyber comme en matière de renseignement par exemple, tout n'est pas dicible, encore moins publiable. Je vous laisse imaginer la situation lorsqu'un même service cumule compétences en matière de renseignement et en matière cyber… Si toutes nos questions n'ont pas pu trouver réponse du fait de ce nécessaire secret, nos interlocuteurs ont toujours fait preuve de la plus grande ouverture possible et permise pour éclairer nos travaux. Ils n'ont pas hésité à nous faire part d'éléments certes non couverts par le secret, mais néanmoins sensibles et nécessaires à la compréhension du sujet. Nous ne pouvons évidemment pas en faire état, mais nous tenons à souligner l'excellent état d'esprit de nos interlocuteurs, et à les en remercier.

La seconde précision méthodologique est que notre rapport n'a pas vocation à constituer le guide de référence du parfait cyber-attaquant ou du parfait cyber-défenseur. Nous ne sommes donc pas rentrés dans des considérations trop techniques, puisque telle n'est pas notre vocation et que tel n'est pas l'intérêt de ce travail.

Ce rapport étant fait au nom de la commission de la Défense nationale et des forces armées, nous nous sommes attachés plus particulièrement aux problématiques intéressant la défense. Mais pas exclusivement toutefois, puisque le cyber irrigue tous les domaines et brouille les frontières traditionnelles entre les États, entre les acteurs et entre les secteurs.

La « cyberguerre », au sens d'un conflit mené exclusivement dans le cyberespace avec l'emploi des seules armes cyber n'est sans doute pas une réalité opérationnelle. Du moins pas encore. Mais il n'y aura plus, demain, de conflit sans dimension cyber. Le cyberespace est un espace qui n'est ni en guerre ni en paix, mais en état de tension permanente. Un tel constat exige de ce fait une organisation et la mise en place de politiques et d'actions à la fois spécifiques et globales de la part des pouvoirs publics.

Nous n'allons pas abuser de votre patience avec de longs rappels sur l'organisation de la cyberdéfense en France, sur l'état de la menace ou sur les dernières cyberattaques massives qui ont eu lieu un peu partout dans le monde. Nous avons abordé ces sujets à l'occasion de l'examen de la LPM, et vous trouverez de longs développements consacrés à ces différents aspects dans le rapport écrit. Nous allons simplement revenir sur un certain nombre de points qui nous semblent importants, avant de vous présenter nos principales observations et recommandations.

Tout d'abord, de quoi parle-t-on lorsqu'on évoque la cyberdéfense ?

Le sujet étant assez technique, il semble nécessaire de définir quelques notions au préalable. Vous trouverez plusieurs définitions dans la version écrite du rapport. Dans le cadre de cette présentation, je n'en rappellerai que deux.

La cyberdéfense comprend l'ensemble des mesures techniques et non techniques permettant à un État de défendre dans le cyberespace les systèmes d'information jugés essentiels. Il ne faut pas la confondre, comme on le fait souvent, avec la cybersécurité. En résumé, celle-ci est l'état recherché pour un système d'information lui permettant de résister à des événements issus du cyberespace et susceptibles de le compromettre.