Intervention de Ingénieur en chef de l'armement Guillaume Poupard

Merci de me donner l'occasion d'expliquer ce que fait la direction générale de l'armement (DGA) en matière de cyberdéfense. Ce n'est pas un sujet neuf, mais il évolue très rapidement. Nous nous efforçons d'avoir tous les moyens techniques pour suivre ces menaces et y répondre.

Je commencerai par dire quelques mots de notre organisation. L'Agence nationale de la sécurité des systèmes d'information (ANSSI), dirigée par M. Patrick Pailloux et placée sous l'autorité du Premier ministre, s'occupe de toutes les questions interministérielles, et épaule de plus en plus ceux que nous appelons des « opérateurs d'importance vitale », publics ou privés, dont la sécurité est essentielle pour la Nation. Elle se charge à la fois des aspects techniques et opérationnels.

Le ministère de la Défense est un peu à part, car le nombre de systèmes qu'il doit protéger est considérable – qu'il s'agisse de systèmes classiques comme des réseaux informatiques, installés sur notre territoire ou déployés en opérations extérieures, ou de systèmes d'armes, potentiellement vulnérables. Au sein du ministère, une mission opérationnelle est chargée de répondre aux attaques ; elle est dirigée par le contre-amiral Arnaud Coustillière et notamment armée par le CALID, centre d'analyse en lutte informatique défensive. Le pendant technique de cette mission opérationnelle est confié à la DGA, au pôle « sécurité des systèmes d'information » dont je suis le responsable et qui traite plus largement de tous les aspects de la cyberdéfense et de la cybersécurité en général. Ce pôle technique est en grande partie installé à Bruz, près de Rennes, au centre DGA Maîtrise de l'information, qui concentre de vastes capacités d'expertise dans divers domaines liés aux technologies de l'information. Cette séparation entre technique et opérationnel fonctionne très bien dans la pratique ; nous entretenons des liens forts, quotidiens, qui vont jusqu'à des échanges de personnels.

Nos liens avec l'ANSSI sont forts et anciens : il n'y a pas là de séparation entre civils et militaires. Nous travaillons ensemble pour concevoir et réaliser des produits de sécurité, notamment en réponse à des besoins de souveraineté, en matière de cryptographie par exemple. Le développement est réalisé par la DGA, avec des industriels et l'approbation, en vue de classification défense, est faite par l'ANSSI : cette organisation est bien rodée.

Nous travaillons évidemment avec d'autres ministères ainsi qu'avec des laboratoires de recherche. La coordination de tous ces acteurs nous permet, nous l'espérons, d'apporter une réponse efficace aux enjeux de cyberdéfense.

Une partie de nos activités relève de la sécurité des systèmes d'information classiques : il s'agit de spécifier des besoins en termes de protection de l'information au sein des réseaux pour les Forces, mais également pour répondre aux besoins interministériels. Nous développons ensuite les produits que l'on ne trouve pas sur étagères, en raison de leur niveau d'assurance élevé qui leur permet de protéger de l'information classifiée de défense. Pour reprendre l'exemple cité précédemment, nous concevons nos propres mécanismes de cryptographie : c'est un domaine très sensible et la France fait partie des quelques pays au monde à même de mener à bien ces tâches. Il en va de même pour les composants électroniques de sécurité, que nous savons produire nous-mêmes, ce qui est indispensable pour construire des systèmes vraiment fiables. En relation étroite avec certains industriels de confiance, nous réalisons donc ces équipements qui permettent de sécuriser les systèmes d'information comme les systèmes d'armes.

Par ailleurs, nous nous efforçons d'améliorer notre connaissance de la menace, afin de l'anticiper au mieux. En matière de cyberdéfense, il faut être extrêmement modeste : il est difficile de se protéger des menaces que l'on ne connaît pas. Nous sommes plus sûrs de nous dans certains domaines comme la cryptographie où nous sommes capables aujourd'hui de construire des algorithmes que nous savons être très robustes grâce à des systèmes de preuves mathématiques. Dans le domaine des attaques informatiques en général, il n'y a pas « d'échelle de mesure » : nous essayons de nous défendre des menaces que nous connaissons, et c'est déjà beaucoup. C'est pourquoi nous nous efforçons de bien connaître la menace potentielle et d'anticiper les attaques et restons donc plutôt optimistes.

Enfin, nous avons absolument besoin de disposer d'industriels de confiance capables de réaliser nos systèmes : c'est un aspect que l'on ne peut pas laisser au hasard. Nous finançons donc des travaux de recherche et développement (R&D). Nous travaillons avec des laboratoires académiques – la recherche est riche en France dans le domaine de la sécurité – en finançant des thèses et des travaux de recherche au moyen de conventions. Nous soutenons également des PME : les projets RAPID (régime d'appui à l'innovation duale) les aident à développer des technologies innovantes, qui deviendront des solutions intéressantes pour demain. Ces projets RAPID représentent environ trois millions d'euros par an dans le domaine de la cyberdéfense. Enfin, de longue date, la DGA finance des « études amont » : ce sont des contrats de R&D que nous passons avec des industriels et des laboratoires académiques et qui nous permettent de préparer le futur, d'identifier des risques ou de lever des verrous technologiques, afin de dégager de nouvelles voies de développement et de monter en gamme. Ils sont, en matière de cybersécurité, en croissance très forte : il y a deux ans, nous étions à 10 millions d'euros par an ; notre budget sera pour cette année d'environ 22 à 23 millions d'euros ; à court terme, nous pensons atteindre 30 millions d'euros par an. M. le ministre a confirmé l'importance de ces études lors de sa récente visite à Rennes.

Notre premier sujet d'intérêt est la sécurité des systèmes d'information et de communication. Notre niveau de maîtrise nous rend relativement confiants. Nous travaillons beaucoup, en particulier, sur l'architecture des réseaux.

Nous travaillons aussi sur la sécurité des systèmes d'armes, qui évolue très rapidement : ces systèmes sont de plus en plus complexes, de plus en plus interconnectés et intègrent de plus en plus souvent des briques technologiques acquises sur étagères car on ne peut plus tout redévelopper, et ce ne serait de toute façon pas efficace. Ces systèmes sont donc dans le principe de plus en plus vulnérables à des attaques qui viendraient de l'extérieur et qui toucheraient des composants utilisés dans le domaine civil comme dans le domaine militaire. Sur les anciens systèmes d'armes, nous sommes assez sereins, la notion de cyberattaque ne s'appliquant que difficilement, et nous travaillons donc à parer les attaques potentielles sur les nouveaux matériels, même si elles devaient venir d'adversaires de très haut niveau.

Le troisième domaine sur lequel nous travaillons est celui des systèmes industriels, parfois appelés SCADA (supervisory control and data acquisition, c'est-à-dire télésurveillance et acquisition de données). L'affaire Stuxnet, du nom de l'attaque présumée contre les centrales d'enrichissement iraniennes, a montré la réalité de ces menaces. Ces systèmes industriels sont en effet présents partout, chez les opérateurs privés, mais aussi dans tous les équipements civils ou militaires : un navire militaire compte aujourd'hui de très nombreux automates directement issus du domaine civil, qu'il faut protéger. Nous travaillons également sur les infrastructures accueillant ces plateformes militaires.

Les questions de cybercriminalité – toutes les attaques assez simples techniquement contre des systèmes relativement peu protégés, comme les escroqueries ou les attaques de systèmes sur l'Internet – ne sont en revanche pas de notre ressort. Nous nous intéressons à des systèmes durcis, relativement fermés, qu'il faut protéger d'attaquants de très haut niveau.

En termes de moyens, nous avons essentiellement besoin d'experts très pointus. Nous sommes en très forte croissance : à la fin de l'année 2010, nous disposions de 160 personnes ; nous sommes aujourd'hui 260. La limite à laquelle nous nous heurtons est notre capacité à intégrer et à former les nouvelles recrues de façon efficace. Nous avons la grande chance de disposer des moyens pour les recruter et de pouvoir trouver les bonnes personnes : on dispose en France, aujourd'hui, d'ingénieurs de très haut niveau. Nous espérons dépasser les 400 experts en 2017, ce qui est cohérent avec la montée en puissance de l'ANSSI et des effectifs opérationnels dirigés par le contre-amiral Coustillière.

L'enjeu essentiel est finalement de mener un travail d'architecture intelligent. Nous intervenons lors de la conception des programmes d'armement pour intégrer dès le départ les questions de sécurité, y compris dans les systèmes d'armes, ce qui est assez nouveau dans certains domaines. L'idée est de dessiner pour ces systèmes une architecture d'ensemble qui permettra de les protéger et de les défendre : certaines briques pourront être prises sur étagères, en France ou même à l'étranger, comme des logiciels libres que nous modifions en fonction de nos besoins ; d'autres briques devront être conçues par des industriels de confiance ; d'autres enfin, aujourd'hui assez rares, devront être réalisées en maîtrise d'oeuvre étatique, car elles forment le coeur du système. Nous réalisons ainsi nous-même les algorithmes de cryptographie, car sans eux, l'ensemble du système peut s'effondrer. Tout le travail est de concilier un niveau de confiance élevé avec des niveaux d'efficacité, de coût, de délais, compatibles avec les exigences des programmes d'armement.

Mes équipes comptent donc une cinquantaine d'architectes directement au contact des programmes et qui pensent la sécurité à toutes les étapes du développement d'un système. Cela concerne aujourd'hui tout ce qui est développé par la DGA : aucun domaine n'est épargné par les questions de cyberdéfense.

Nous nous appuyons pour cela sur des industriels. La France a aujourd'hui la chance de compter des industries de grande taille et performantes dans ce domaine – c'est rare. Nous sommes également riches en PME dynamiques. Enfin, beaucoup de personnes sont mobilisées à titre personnel dans le domaine de la cyberdéfense – je pense notamment à la réserve citoyenne, qui compte désormais un groupe de réservistes spécialisés en cyberdéfense, dont le coordinateur national est Luc-François Salvador, et dont l'engagement est remarquable.

Le Livre blanc l'a clairement dit : la cyberdéfense est un sujet de souveraineté. Cela ne signifie pas du tout un repli sur soi : cela montre au contraire que nous devons être autonomes et forts pour être crédibles vis-à-vis de nos grands partenaires – ce sont eux qui nous en ont avertis, d'ailleurs. Nous devons être capables, seuls, de protéger nos secrets - étatiques ou industriels – pour être des partenaires avec lesquels on n'aura pas peur d'échanger des informations sensibles et donc pour nouer des alliances.

L'ouverture aux autres se fait ensuite le plus souvent par le biais opérationnel, de préférence de manière bilatérale d'abord, puis avec des partenaires plus nombreux. Évidemment, c'est plus complexe : garder des secrets à vingt-huit, c'est une évidence, n'est pas facile. Mais il est important de mener des opérations multilatérales : les menaces concernent rarement un seul pays. La coopération, au niveau de l'OTAN comme de l'Union européenne, est donc tout à fait essentielle.

En matière de cyberdéfense, il n'est pas inutile d'avoir peur : les dégâts pourraient être considérables. Il faut sonner l'alarme – sans tenir un discours purement anxiogène car le but n'est pas de décourager. Mais il faut vraiment prendre ces menaces au sérieux avant d'être confronté à une catastrophe. Je ne suis pas pessimiste sur ce point : il me semble que beaucoup de gens prennent conscience de l'importance de ces enjeux, notamment en matière de souveraineté.

Je voudrais enfin dire quelques mots de la formation. La France forme aujourd'hui des ingénieurs et des docteurs de très haut niveau. En revanche, aux niveaux inférieurs, nous manquons de filières de formation. Des initiatives sont en cours, notamment dans la région Bretagne. Plus généralement, il faudrait mieux prendre en charge la formation de tous à ce que Patrick Pailloux appelle « l'hygiène informatique ». Les cyberattaques sont rarement totalement automatisées ; le facteur humain est essentiel. Il faut donc adopter des règles élémentaires de sécurité – ne pas utiliser une clé USB dans un ordinateur personnel puis professionnel, ne pas utiliser des moyens professionnels à des fins personnelles et inversement, ne pas utiliser le même mot de passe partout… Ce n'est pas si facile : nous faisons tous des erreurs de sécurité. Ce travail sur l'hygiène informatique est pourtant essentiel ; il faut le mener dans les entreprises, mais aussi dès l'école.