Intervention de Eduardo Rihan Cypel

Dans le prolongement du Livre blanc de 2008 qui abordait pour la première fois la notion de cyberdéfense, le nouveau Livre blanc introduit une volonté normative et régulatrice à l'endroit des quelque deux cents opérateurs d'importance vitale (OIV) publics et privés. Quel est votre avis sur la manière de procéder ?

Le discours prononcé à Rennes par le ministre de la Défense marque un tournant majeur, amorcé dans le Livre blanc, en affirmant que la France doit non seulement élaborer une doctrine défensive en matière de cyberdéfense mais bien se doter de capacités offensives. Sommes-nous prêts et existe-t-il une différence technique entre capacités défensives et offensives ?

Contre-amiral Arnaud Coustillière. Il s'agit effectivement d'un discours fondateur. La prochaine LPM offrira le support juridique permettant de doter l'ANSSI du pouvoir de donner des directives aux OIV. Aujourd'hui les OIV ne sont pas tenus de déclarer les attaques qu'ils subissent. Or les victimes ont tendance à assimiler l'attaque à une incompétence de leur part et à adopter une posture de déni, de dissimulation, voire de honte. Les entreprises déclarant ne jamais avoir été attaquées sont soit naïves, soit déjà pillées, donc moribondes. S'il est impossible d'empêcher toutes les tentatives d'attaque, on peut toutefois les détecter et les contrer. Il faut pour cela être en mesure de reconnaître l'attaque dans un cercle de confiance et chercher l'aide d'organismes compétents. La LPM devrait consacrer le rôle de l'ANSSI sur ce plan et lui donner les pouvoirs nécessaires, sous l'autorité du Premier ministre, tout en laissant la possibilité à chaque ministère de travailler à sa cybersécurité en concertation avec l'agence. Dans la LPM, un article confortant la notion de motif légitime du code pénal devrait concerner le ministère de la Défense, et peut-être certains autres ministères régaliens, les autorisant, en cas d'attaque avérée, non seulement à enquêter au sein de leur propre système, comme c'est le cas aujourd'hui, mais à interagir avec l'attaquant, ce que le code pénal ne permet actuellement pas sauf via cette clause de motif légitime soumise aux aléas jurisprudentiels.

Le Livre blanc ébauche une doctrine de dissuasion classique face aux attaques informatiques : renforcement de la posture de défense par l'action de l'ANSSI et la coopération interministérielle sous l'autorité du Premier ministre et, en cas d'attaque majeure contre les intérêts stratégiques de l'État, réponse par tous les moyens de l'État, policiers, juridiques, diplomatiques ou coercitifs relevant du ministère de la Défense. Il n'y a pas de lien entre la nature d'une attaque et la nature de la réponse, il ne sera donc pas répondu systématiquement à une attaque informatique par une attaque de même type. Le cyberespace est un espace « gris » en proie à une prolifération galopante dans lequel les attaquants ne sont pas facilement identifiables et les acteurs aussi nombreux que variés. Les principes de la dissuasion nucléaire ne peuvent de ce fait s'appliquer au cyberespace.

Les capacités offensives évoquées dans le Livre blanc existent. Le volume des forces, leur organisation et les ambitions fixées sont des informations qui relèvent du secret défense mais je suis en mesure de vous dire que nous ne sommes pas dépourvus.