Intervention de Patricia Adam

Je suis heureuse d'accueillir le contre-amiral Arnaud Coustillière, officier général en charge de la cyberdéfense à l'état-major des armées.

Nous débutons ainsi le cycle de nos travaux dans le cadre de la loi de programmation militaire. En effet, dans l'attente du texte de ce projet, annoncé pour la fin du mois de juillet, il est possible de commencer à travailler sur certains sujets qui feront à l'évidence partie des débats de cet automne, et la cyberdéfense est assurément l'un d'entre eux. Aussi, sans plus attendre, je vous laisse la parole, amiral.

Contre-Amiral Arnaud Coustillière. Le phénomène le plus frappant est la grande rapidité d'évolution de la menace. L'actualité est marquée par les accusations mutuelles entre les États-Unis et la Chine. Ces deux États dialoguent, sans d'ailleurs laisser d'espace aux autres puissances, fût-ce la Russie. Cela donne le sentiment d'un monde à nouveau bipolaire.

On peut s'interroger sur la rapidité avec laquelle cet enjeu de la cyberdéfense est venu sur le devant de la scène, ainsi que sur les raisons motivant les crispations actuelles. Il faut noter qu'au-delà des divergences culturelles, les enjeux sont surtout économiques. De ce point de vue, l'Europe pourrait se trouver laminée, et avec elle sa puissance industrielle dans ce domaine ainsi que les données personnelles de ses citoyens.

Je travaille sur ces questions depuis 2008. J'ai vu depuis cette époque combien, à chaque étape, les rapports parlementaires ont contribué à la prise de conscience du besoin : le rapport de Pierre Lasbordes en 2006, qui a débouché sur la création de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), le rapport de Roger Romani en octobre 2008, préfigurant le Livre blanc de 2008 et la loi de programmation militaire (LPM) qui a suivi, qui ont vu l'émergence d'une communauté française du cyber. Celle-ci réunit toutes sortes d'acteurs au sein du ministère de la Défense ainsi que le secrétariat général de la défense et de la sécurité nationale (SGDSN) et l'ANSSI. Leurs travaux en commun ont permis de construire un modèle correspondant à notre culture. Nous pouvons aborder aujourd'hui une nouvelle étape. Si le Livre blanc de 2008 était un initiateur, celui de cette année pose les pierres fondatrices pour la mise en place de nouvelles capacités et l'adoption d'une nouvelle approche de cet espace. Si nous avons aujourd'hui un dispositif équilibré, il reste un certain nombre de sujets encore trop peu abordés : la politique industrielle de la France et de l'Europe, la politique d'éducation et de formation au cyber, ainsi que les enjeux juridiques et législatifs.

Le cyber espace est désormais reconnu comme un milieu à part entière. Il peut donc être comparé aux autres dans leur complexité ; par exemple le milieu maritime qui connaît un droit spécifique, un droit du commerce maritime, le phénomène de la piraterie, des problématiques de circulation des flux, etc.

Nous ne pouvons nous satisfaire de la façon dont le problème a été abordé dans sa dimension verticale : développement de la société numérique, des problématiques de cybercriminalité, tandis que le dispositif juridique de protection des données personnelles s'améliore. En revanche, notre pays manque toujours d'un étage global à son dispositif, assurant sa cohérence. Le traitement de cette question devrait conférer un rôle central aux parlementaires.

Depuis ma prise de fonctions en 2011, j'occupe une double fonction : officier général en charge de la montée en puissance des capacités de cyberdéfense des armées françaises, d'une part, et chef cyber du centre de planification et de conduite des opérations (CPCO), d'autre part. À ce titre, je suis en charge d'assurer la défense de l'ensemble des systèmes d'information du ministère de la Défense et la synchronisation des actions informatiques d'accompagnement des actions militaires. Bien les coordonner et garantir un résultat précis aux autorités est particulièrement difficile, d'une complexité sans commune mesure avec l'action ponctuelle des hackers.

Au sein du ministère, je travaille en étroite collaboration avec l'ingénieur en chef Guillaume Poupard, responsable du pôle de sécurité des systèmes d'information à la DGA, qui assure, à ce titre, l'interface avec les équipes techniques de Bruz.

Nous entretenons également une relation particulièrement étroite avec l'ANSSI, dans le cadre d'un protocole qui nous lie à l'agence. Elle nous alimente en renseignement d'alerte et nous l'appuyons notamment dans son travail de sensibilisation.

Au-delà, à l'échelle du ministère, nous avions constaté au cours d'incidents en 2009 que nous ne disposions pas d'une structure capable de gérer la défense réactive face à des « infections informatiques » de grande ampleur, chaque grande direction agissant de façon pas assez coordonnée. Cela explique l'attribution au CEMA de cette responsabilité de défense réactive, qui la délègue ensuite à l'officier général en charge du cyberespace. De son côté, l'ANSSI a connu une véritable montée en puissance dans les domaines de l'intervention et de la protection des réseaux, notamment depuis les attaques contre l'entreprise Areva et contre le ministère des finances. Le CPCO a vu quant à lui croître la part de son activité consacrée à la cyberdéfense et son rôle de tête de chaine opérationnelle.

Le plan de montée en puissance des capacités cyber se poursuit. Le ministère compte actuellement 1 600 personnels investis dans cette question, dont 1 200 relevant de l'EMA, avec 300 personnels en charge des équipements de chiffrement et 900 du seul périmètre cyber, pour la chaine de protectionprévention et à présent celle plus récente de défense des systèmes. Sur ces 900 personnels, environ 60 s'occupent des métiers très pointus de l'expertise et de l'audit, 70 de la lutte informatique défensive et tous les autres s'occupent de prévention, de l'exploitation, ou de l'architecture des systèmes.

La LPM à venir devrait confirmer le plan d'augmentation des effectifs à hauteur de 350 personnels, notamment pour assurer des missions de prévention et de défense. Actuellement, les exigences de la protection des réseaux sont bien perçues et l'on sait comment renforcer très rapidement leur sécurité. Ce que l'on connaît moins bien réside davantage dans les systèmes d'armes et les automatismes embarqués dans les systèmes automatisés. Une FREMM par exemple rassemble 2 400 systèmes d'information ! Comment « encapsuler » ces systèmes ? Tel est bien l'objet des renforcements prévus pour les années 2014-2015.