Intervention de Jean-Claude Mallet

Je vous remercie de votre invitation. Cette réunion illustre le rôle d'éclaireur vigilant qui est celui du Parlement sur des questions touchant à la défense, à l'économie et aux capacités de nos sociétés à résister à de nouvelles menaces, questions qui étaient déjà au coeur de la préparation du Livre blanc de 2008. Je m'efforcerai de vous exposer le point de vue du ministère de la défense sur ces nouveaux enjeux pour la sécurité nationale.

Les cyberattaques augmentent de façon exponentielle, qu'il s'agisse de bénins dénis de service, d'intrusions ayant pour but de piller des informations détenues par des acteurs privés de nos programmes d'armement, de paralysies d'infrastructures critiques ou de destructions de réseaux informatiques vitaux. Cette menace progresse à un rythme beaucoup plus rapide que celui des réponses qui lui sont apportées par nos entreprises et par les grands acteurs de la défense. Elle n'en est, soyons-en conscients, qu'à ses débuts, et nous commençons seulement à définir des stratégies de défense et d'attaque – puisque le Livre blanc de 2008 mentionne la lutte informatique offensive comme un nouvel instrument de défense, notamment dans le cadre d'une réplique. L'échelle de la menace, sorte d'archétype du conflit sans frontières, dépasse les normes habituelles de la guerre : il ne s'agit plus d'une confrontation directe entre États, y compris au regard de la dissuasion. Entre la destruction d'installations vitales, la prise de contrôle d'infrastructures critiques, à un niveau partiel ou global, la destruction du fonctionnement d'entreprises – illustrée par l'affaire Saudi Aramco –, le pillage d'informations ou la paralysie d'infrastructures et le soutien à des actions militaires – lequel figure désormais dans la doctrine militaire de certains pays –, les capacités sont insoupçonnées, et elles seront bientôt développées par des États.

Nous savons aussi qu'elles le seront, compte tenu de leur nature, par des groupes non étatiques – le cas échéant avec l'appui de certains États –, dans le but de mener des guerres asymétriques contre des États ou des gouvernements. Le développement du numérique démultiplie les capacités en matière de croissance économique, de connaissance et même de capacité de défense ou de lutte contre la criminalité ; aussi la numérisation fera-t-elle l'objet d'investissements massifs, comme l'ont confirmé le Président de la République et le Gouvernement. Nous devons aussi nous préparer à utiliser ces moyens de façon offensive, ce qui, au demeurant, est déjà le cas. Si les grands acteurs économiques et les partenaires du ministère de la défense ne s'organisent pas, nous en paierons le prix fort. Leon Panetta a évoqué un possible Pearl Harbor pour les États-Unis, événement synonyme, pour la mémoire collective américaine, d'attaque brutale et imprévisible ayant détruit une partie importante des moyens de défense. Cette vision me semble rigoureusement exacte. Soit dit en passant, je pressens le moment où le ministère de la défense devra imposer à ses partenaires privés des normes de sécurité, dont le non-respect leur interdira tout simplement de lui fournir des moyens. Le sujet dont nous parlons est donc au coeur, non seulement de l'élaboration de doctrines futures, mais aussi d'un effort majeur du ministère de la défense et, au-delà, de l'ensemble de l'appareil d'État. Les moyens de l'ANSSI doivent impérativement être renforcés afin de compléter le spectre de nos capacités de défense en ces domaines.

Depuis plusieurs années, le ministère de la défense a créé une chaîne de commandement opérationnel relative à la cyberdéfense offensive et défensive ; il a commencé à investir, tant en moyens humains que techniques, pour répondre aux besoins des pôles du ministère et des armées, et développer une base industrielle et technologique. Plus généralement, l'État définit des doctrines qui seront débattues dans les mois et les années à venir, qu'il s'agisse de la protection des systèmes d'informations de l'État et des opérateurs d'importance vitale – l'organisation opérationnelle étant assurée par le ministère de la défense et coordonnée, au niveau gouvernemental, par le Premier ministre –, ou de la réponse à des attaques globales via les moyens juridiques, policiers et diplomatiques requis, ou des moyens plus spécifiques au ministère de la défense, en particulier en cas de menace pour les intérêts nationaux. Dans ce cadre, le ministère de la défense réfléchit à des capacités informatiques offensives, dont les autorités publiques, au plus haut niveau de l'État, pourraient décider de l'emploi – en l'occurrence, un emploi proportionné, discret et le plus efficace possible, en appui des actions militaires. Il est donc essentiel, je le répète, que les fournisseurs d'équipements et les prestataires de services du ministère de la défense adoptent des normes de sécurité, sous le contrôle vigilant des autorités en charge de la cyberdéfense.

J'évoquerai pour finir la dimension sociale et citoyenne. Une réserve citoyenne a été créée pour sensibiliser l'opinion et faire la promotion d'un esprit de cyberdéfense. Nous réfléchissons aussi à la mise en place d'une réserve opérationnelle qui permettrait à la société française de résister à un incident ou une agression de grande ampleur, au-delà des moyens que j'évoquais précédemment.

J'espère ne pas avoir dressé un tableau trop sombre. Le développement des capacités de cyberdéfense comme de capacités offensives est une ambition qui ouvre un champ formidable pour nos jeunes ingénieurs et nos militaires : c'est le meilleur des technologies et des intelligences, dont notre pays ne manque pas – les acteurs de la défense le montrent tous les jours –, qu'il faudra mobiliser. Aussi les questions que vous avez abordées représentent-elles des enjeux essentiels pour le Président de la République et le ministre de la défense.