Intervention de Amiral Arnaud Coustillière

Pour répondre aux deux dernières questions de M. Candelier, mener des attaques informatiques contre nos systèmes protégés n'est pas si simple : il s'agit de réelles opérations militaires qui nécessitent le recueil de très nombreux renseignements en amont, de mener des actions préalables. Grâce au chiffrement souverain, à la segmentation des réseaux, à la séparation et à la duplication des réseaux, on peut estimer que même une nation disposant de fortes capacités ne serait pas capable d'une prise de contrôle telle que celle que vous évoquez et qu'il lui serait plus simple de parvenir à ses fins par des moyens cinétiques ou par le biais d'une action humaine. Pour chacun des systèmes que nous développons, nous tenons compte du critère d'exposition à une attaque : plus le système est éloigné d'internet, plus une attaque est compliquée à mener.

Il faut bien se rendre compte que l'introduction d'une dimension supplémentaire, l'espace numérique, tend à amplifier tout ce que vous pouviez déjà imaginer dans les autres espaces. Certes, un romancier imaginera un type qui, depuis son laboratoire, prendra à distance le contrôle d'un drone mais, personnellement, je n'y crois pas : des gaps (séparations physiques) ont été mis en place – du moins dans le domaine militaire. Et si nous réalisons d'énormes investissements en matière de cyberdéfense, c'est bien pour nous prémunir de telles éventualités, et avoir un coup d'avance.

Vous avez par ailleurs posé une excellente question, Monsieur Candelier, sur la place des grandes entreprises comme Cisco ou Microsoft. Nous n'allons pas refaire le monde : il avance et demain, Cisco ou Microsoft et leurs concurrents sont Huawei ou autres… L'Europe a raté son tournant numérique et le plan informatique qu'elle avait élaboré dans les années 1970 a échoué. Le monde avance, et les usages s'imposent à vous : vous n'allez pas arrêter Facebook ni Twitter. Quand on observe la façon dont certains pays manipulent tous les réseaux sociaux, on se rend bien compte que ces usages font partie intégrante de la vie d'une nation.

C'est ce que signifie l'idée selon laquelle nous avons basculé d'une numérisation de systèmes vers l'espace numérique. Nous vivons dans cet espace et c'est un fait. Il va donc falloir que nous utilisions des technologies de provenances diverses, de la technologie non maîtrisée – plus personne ne fabrique de composants élémentaires en France, aujourd'hui ; aussi, sauf cas très particulier, nous allons les acheter chez un fabricant tiers. Or, dans 80 % des cas, ce fabricant est asiatique. Nous devons donc apprendre à constituer un ensemble de sous-systèmes dont les composants ne nous inspirent pas la moindre confiance, et à entourer ces sous-systèmes de points de mesure pour être sûrs que ce qui y entre et ce qui en sort ne renseigne ni nos concurrents ni nos adversaires. Et, à cette fin, la direction générale de l'armement dépense beaucoup d'argent. Quand on lance un appel d'offres pour acheter des routeurs, on trouve, sur le marché, Cisco, IBM… L'industrie européenne, en matière de technologie des réseaux, n'existe quasiment plus, hormis, sans doute, Alcatel qui est en train d'être repris par Nokia, mais je m'éloigne de mes domaines de compétence.

L'affaire Snowden n'entre pas dans mon périmètre et je regrette de devoir botter en touche : je ne dirige pas un service de renseignement. Cette affaire a éclaté aux États-Unis parce qu'il s'y trouve toujours quelqu'un pour donner l'alerte. Prenez le système russe, vous y trouverez un équivalent. L'internet chinois, l'internet iranien sont complètement contrôlés. L'Algérie vient de débrancher ses réseaux sociaux pour éviter la tricherie au baccalauréat. De nombreuses nations essaient ainsi de réguler cet espace et les réseaux sociaux. L'affaire Snowden en fait partie et je ne suis pas naïf. C'est pourquoi, au début de mon propos, je distinguais les concurrents des ennemis. Or dans le monde économique, nous avons des concurrents y compris parmi nos proches alliés.

Dans l'OTAN nous n'avons jamais quitté la structure politique et militaire de l'Alliance. Nous disposons d'équipements de chiffrement nationaux et nous maîtrisons complètement la cryptographie qui, je le rappelle, repose sur l'école de mathématiques française ; or si l'on fragilise cette dernière, d'ici à vingt ans il n'y aura plus de cryptographie nationale. Pour l'heure, la cryptographie est entretenue par l'État au sein de la DGA-MI, ses équipements étant fabriqués par nos industriels. Elle relève donc du domaine régalien. Il n'existe pas de « chiffre OTAN » pour nos réseaux nationaux.

On m'a par ailleurs demandé de citer un exemple d'incident. Typiquement, à partir de marqueurs d'attaques, nous recherchons sur toutes les traces de navigation du ministère de la Défense si, par hasard, certaines ne ressortent pas. Nous avons des marqueurs provenant du monde du renseignement. Un marqueur peut être un petit bout de bit – 3, 4, 0 et 1 dans un ordre qui peut être un peu différent – qui est la marque d'un certain type d'attaque tel qu'il a déjà été repéré à différents endroits. On récupère dès lors les logs – la somme du trafic réalisé par un ordinateur ou un serveur, à savoir des tétra-données –, le travail des acteurs de la cyberdéfense étant de rassembler les signaux faibles ainsi repérés et d'analyser un phénomène paraissant ainsi bizarre. Les recherches peuvent mener, par exemple, sur une campagne de mails ciblant 1 % des adresses du réseau internet de l'armée de l'air. Nous nous sommes alors rendu compte que 350 de ces courriels avaient corrompu quatre machines sans toutefois que le logiciel n'aille plus loin. C'est un groupe mafieux qui a mené cette opération.

Autre exemple : des patrouilles de cyberdéfense se « promènent » sur nos réseaux avec des outils d'opérateur pour déceler des dysfonctionnements, de mauvaises configurations que nous analysons à distance en prenant des empreintes afin, toujours, de repérer des signaux faibles. Nous comparons ainsi toutes les configurations de 5 000, 10 000 voire 20 000 postes de travail pour tâcher de repérer des anomalies. Généralement, un véritable attaquant va entrer en se faisant le plus discret possible et il nous revient d'aller le chercher par le biais de ces patrouilles – les Américains parlent de hunting. Il peut s'agir du hacker du coin qui pénètre notre réseau, nos sites ouverts sur internet, d'où nous devons le faire sortir. Si les membres de votre commission souhaitent effectuer une visite du centre d'analyse de lutte informatique défensive (CALID) pour connaître plus de détails, je l'organiserai avec grand plaisir.

En ce qui concerne les programmes d'armements, je ne participe pas à leur conception en amont. Il existe cependant, en amont, une fiche d'expression des besoins en matière de sécurité, sous la responsabilité des officiers de cohérence opérationnelle. En revanche, la DGA-MI désigne un architecte qui va suivre le processus. Je fais pour ma part partie de la commission d'homologation de sécurité et je dois signer le document attestant que je prends en charge le système dans mon dispositif de défense – en connaissant ses failles de sécurité. Je suis donc acteur et non concepteur.

Le centre d'excellence de Tallinn fonctionne remarquablement bien. Il a commencé par mener de nombreuses études juridiques pour aujourd'hui concentrer ses activités sur l'entraînement. Il devient donc le bras armé de l'OTAN en la matière, étant entendu que l'Alliance, censée développer des capacités défensives de cyberdéfense, n'a pas de capacités offensives, les nations membres refusant de lui en donner. La mission de l'OTAN consiste par conséquent à donner un espace d'interopérabilité pour que les nations puissent augmenter leurs capacités et à défendre les systèmes propres de l'OTAN, qui correspondent à ceux d'une grosse PME. L'avantage de ce système est que les nations peuvent se retrouver, discuter et se mettre d'accord sur des processus. Le centre d'entraînement de Tallinn est de ce point de vue excellent, j'y insiste, puisqu'il nous offre une plateforme de processus agréés par l'OTAN et sur lesquels chaque nation vient se « plugger ». L'Alliance nous donne des scénarios de très bon niveau, ce qui est très valorisant pour nos équipes ; ainsi l'exercice Locked Shields auquel nous nous sommes livrés pour la troisième année consécutive était de très haut niveau. Nous pouvons à cette occasion nous mesurer aux autres nations. Reste que nous n'en sommes pas encore au stade de l'interopérabilité : nous n'irons pas révéler à une autre nation quelles sont nos pratiques, quels sont nos outils spécifiques ; aussi nous tenons-nous côte à côte mais pas ensemble. L'intégration, en matière numérique, n'est pas la même que celle concernant les autres espaces. On peut l'illustrer en évoquant deux bateaux qui avancent de conserve mais dont les équipages ne sont pas interchangeables. Et encore faudrait-il que nous ayons quelque chose de commun à défendre ; or chaque nation défend ses propres réseaux et n'admettrait pas qu'une autre y installe des capteurs.

J'en viens à DEFNET, exercice annuel d'entraînement de la chaîne de cyberdéfense : le commandement opérationnel s'emploie à coordonner différents incidents à divers endroits ; c'est pourquoi sont impliquées la marine, l'armée de l'air et l'armée de terre avec des scénarios qui leur appartient de définir. Depuis trois ans, nous testons les dispositifs de la réserve cyberdéfense avec les étudiants d'un certain nombre d'écoles partenaires et nous définissons avec eux ce que l'État peut leur apporter. Nous nous sommes ainsi rendu compte que les scénarios intéressaient beaucoup leurs professeurs. Nous avons commencé par les écoles de la région parisienne et celles de la région Bretagne parce que c'était plus simple pour nous, mais dès le DEFNET 2017 nous travaillerons avec des écoles toulousaines et bordelaises et, en 2018, nous remonterons vers Lyon et vers l'est – le tout étant corrélé avec le plan de déploiement de la réserve de cyberdéfense. Nous organiserons par ailleurs une semaine de la cybersécurité à la mi-octobre, un « hackathon » auquel participeront plusieurs écoles.