Intervention de Joaquim Pueyo

Le secrétaire général de l'OTAN a déclaré que la capacité d'intervention de l'Alliance serait pleinement opérationnelle l'automne prochain. Qu'en est-il réellement ? L'Union européenne semble se doter d'une stratégie complète : quels leviers peuvent la faire avancer ? Vous y avez déjà répondu pour partie, mais le sujet peut être approfondi. Enfin, le Livre blanc souhaite confier des tâches nouvelles à la réserve citoyenne en matière de cyberdéfense : ne vaudrait-il pas mieux renforcer la formation du personnel de carrière ?

Contre-amiral Arnaud Coustillière. Le secrétaire général de l'OTAN faisait référence au centre de supervision des réseaux de l'OTAN, qui sera effectivement opérationnel cet automne au plus tôt. Ce centre supervisera quelques dizaines de milliers postes de travail, soit un dixième en gros de ce que supervise aujourd'hui le ministère de la Défense. Les annonces sont importantes mais les résultats concrets le sont moins… L'OTAN reste une bonne enceinte de discussion avec nos partenaires, mais sa capacité d'action propre demeure aujourd'hui très faible.

De quels leviers dispose aujourd'hui l'Union européenne ? Les 27 sont d'accord sur les menaces et l'importance de la cybersécurité. Mais la volonté de développer et protéger l'industrie face à l'espionnage, et en particulier les PME n'est pas unanimement partagé pour l'instant et, de ce point de vue, la présidence irlandaise de l'Union n'a pas permis de progresser. Avec le Royaume-Uni, l'Allemagne et l'Estonie, et quelques autres nations particulièrement investies, nous essayons sous l'égide du ministère des Affaires étrangères de faire avancer ce dossier et les trois réunions de l'automne prochain seront très importantes à cet égard. Il faudrait aussi que les instances de normalisation de l'OTAN et de l'Union européenne se rapprochent. Le centre de Tallin, par exemple, subit une forte influence des conceptions juridiques américaines sur la défense préemptive ; y apporter un peu de droit européen serait des plus souhaitables.

Pour ce qui concerne l'utilisation des réserves citoyennes, j'assume une grande part de la paternité de cette idée. Celle-ci est issue du retour d'expérience que nous avons fait de l'intervention de l'ANSSI à Bercy, après les cyberattaques que ce ministère avait subies. L'ANSSI y avait fait intervenir, dans un premier temps un groupe d'intervention rapide composé de quelques spécialistes et ingénieurs de très haut niveau pour l'audit et le diagnostic. Puis, dans un deuxième temps, elle a envoyé une trentaine d'ingénieurs de haut niveau pour mettre en place les plans de reprise et de reconquête du réseau. Cette dernière a mobilisé environ 300 administrateurs de réseau. Aujourd'hui au sein des armées, le vivier d'ingénieurs de très haut niveau capables d'intervenir en premier est de l'ordre de 200 personnes, sur les 6 000 personnels des SIC que comprend la DIRISI. C'est une compétence rare, que seul l'État et quelques grandes entreprises sont capables de posséder, et surtout de mobiliser rapidement en les faisant rapidement basculer de priorité d'emploi. Au deuxième niveau de l'intervention, nous avons besoin d'un personnel très nombreux pour redéployer un réseau. Le vivier est là de l'ordre de 700 à 800 personnes.

La question que l'on s'est posée à la suite de cet événement est donc : comment s'organiser pour la phase de reconquête après une éventuelle attaque d'ampleur à l'échelle d'une ville par exemple ? C'est ici que les réserves peuvent avoir un rôle intéressant. La réserve citoyenne offre un cadre juridique existant, qui garantit une sécurité de recrutement et administrativement aisé à mettre en place, mais sa mission se limite à de la réflexion et à de la promotion autour de la cyberdéfense, et son statut interdit son emploi dans des fonctions opérationnelles. Aujourd'hui, nous avons 75 réservistes citoyens, dont les trois quarts, ingénieurs, informaticiens, sont des praticiens de la cyberdéfense. Les autres sont des journalistes, des élus ou des juristes. Nous avons monté sept groupes de travail – l'un tourné vers des hautes personnalités, un autre qui travaille sur la sensibilisation des PME-PMI à ces questions, par exemple – qui nous permettent de disposer d'un véritable réseau en développement en région, chargé de la sensibilisation des acteurs.

La réserve opérationnelle est actuellement moins adaptée à un besoin en cas de crise car on n'y trouve qu'assez peu de personnes compétentes et surtout disponibles sous faible préavis dans les domaines qui nous intéressent. Pour répondre à une crise majeure où des dizaines de milliers de postes de travail doivent être revus, il faut un plan de secours en trois niveaux : le premier, qui fait appel à des experts très qualifiés, relève à mon sens des compétences de l'État ; le deuxième fait appel à du personnel des sociétés privées ou à des cadres issus de la réserve ; le troisième enfin, que nous essayons de construire et qui nécessite de gros contingents, s'adresse plus à des étudiants en formation de niveau licence-master ou à du personnel de niveau « administrateur réseau » qu'il faut encadrer. C'est précisément ce troisième niveau que le Livre blanc veut promouvoir et que nous allons développer à partir des travaux menés par la réserve citoyenne, et avec les différents partenaires interministériels et des différents ministères concernés.