E. LE CYBERESPACE A ÉMERGÉ COMME UN NOUVEAU TERRAIN DE CONFLICTUALITÉ
Le cyberespace est devenu un espace dans lequel se développent de nouveaux modes de confrontation. Il se caractérise par :
- une forme d'asymétrie au profit des attaquants ;
- une plus grande hétérogénéité des acteurs (États, entreprises, organisations, parfois criminelles ou terroristes) car l'acquisition des technologies est moins onéreuse et plus accessible que celle mise en oeuvre par les grands programmes d'armement ;
- et une grande vulnérabilité des sociétés développées, notamment celles dont le modèle est le plus libéral et ouvert.
Ce nouvel équilibre exige des efforts d'organisation pour gérer les crises et répondre à un incident . Il faut pour cela maitriser l'ensemble du cycle (de l'anticipation à la réponse) en terme de protection et de prévention et de capacités de détection, d'attribution et d'entrave voire des capacités plus offensives pour assurer une meilleur sécurité et ne pas affaiblir notre posture stratégique.
La stratégie de réponse repose sur un panel d'outils : diplomatie, sanctions, actions militaires dont l'action dans le cyberespace est une composante parmi d'autres.
Par l'impact que le cyberespace peut avoir sur nos intérêts nationaux, la cyberdéfense dans toutes ses composantes est devenue un élément de notre autonomie stratégique.
Le cyberespace est aussi devenu le lieu de la confrontation informationnelle où certaines puissances, comme la Russie, mènent des actions massives et répétées de désinformation et de propagande 12 ( * ) , avec pour objet la manipulation de l'opinion publique et l'affaiblissement des systèmes démocratiques qui sont actuellement contraints par leurs propres règles de protection des libertés publiques pour s'en protéger. Cette menace, qui participe des « capacités d'agression nouvelles », est à peine esquissée dans la LPM et les réponses bien absentes si ce ne sont les missions très spécifiques confiées au Commandement cyber (ComCyber) en accompagnement des OPEX. Ce champ de réflexion est à ouvrir sans attendre car notre résilience est régulièrement éprouvée, notre vulnérabilité potentiellement élevée et notre arsenal de protection très faible. Si les réponses ne sont probablement pas militaires, il s'agit d'un véritable enjeu de sécurité nationale.
1. Un volet militaire renforcé
Au moins deux axes prioritaires de l'« Ambition 2030 », le rééquilibrage des fonctions stratégiques et l'innovation renvoient aux défis de la cyberdéfense, qui est elle-même présente dans tous les contrats opérationnels 13 ( * ) :
• le contrat de protection par lequel le ministère des armées érige en axe d'effort prioritaire la réponse qui y sera apportée afin de garantir son propre fonctionnement et sa résilience 14 ( * ) , tout en contribuant à la continuité des grandes fonctions vitales de la Nation, inclut la création d'une posture permanente cyber (PPC) , qui garantira la surveillance des réseaux ainsi que le caractère opérationnel des capacités actives ou passives de lutte informatique défensive qui seront renforcées ;
La posture permanente cyber (PPC) 15 ( * ) Placée sous le contrôle opérationnel du ComCyber, la PPC regroupe l'ensemble des mesures prises pour assurer la défense des forces armées dans le cyberespace, en temps de paix comme de crise, ou de guerre. Il s'agit d'une posture comparable, dans l'espace numérique, aux traditionnelles postures permanentes de sécurité maritime et aérienne. Elle vise à préserver la liberté d'action des forces armées et du ministère des Armées et recouvre trois missions principales : - la surveillance de l'espace numérique et la détection des atteintes affectant le ministère des Armées ; - la capacité des forces à se déployer en sécurité au regard des menaces provenant du cyberespace, et à accomplir leur mission ; - la réaction aux agressions informatiques ou informationnelles, y compris en prenant des mesures pour en faire cesser les effets. |
• e n matière de lutte informatique offensive 16 ( * ) , de nouvelles capacités d'action, intégrées à la chaîne de planification et de conduite des opérations, seront systématiquement déployées en appui de la manoeuvre des armées.
La LPM 2019-2025 permettra de multiplier par deux en moyenne annuelle le montant des crédits affectés à la cyberdéfense par rapport à la précédente LPM. L'enveloppe de crédits engagée sur la durée de la LPM passera de 573 millions à 1,57 milliards d'euros.
2. Une augmentation des effectifs
La cyberdéfense et l'action dans l'espace numérique font partie des domaines prioritaires pour l'affectation d'effectifs supplémentaires : 1123 emplois sont créés, soit près de 20% de l'enveloppe totale des créations de postes prévues par la LPM d'ici 2025. Ils s'ajouteront aux 2 900 existants dans les armées.
CADENCEMENT DES CRÉATIONS DE POSTES PRÉVUES DANS LES DOMAINES CYBER ET ACTION NUMÉRIQUE
Domaine |
2019 |
2020 |
2021 |
2022 |
2023 |
2024 |
2025 |
Total LPM |
Cyberdéfense |
107 |
94 |
96 |
135 |
151 |
270 |
270 |
1 123 |
Digitalisation/Intelligence artificielle |
22 |
6 |
6 |
18 |
145 |
90 |
90 |
377 |
Total |
129 |
100 |
102 |
153 |
296 |
360 |
360 |
1 500 |
Source : ministère des Armées - réponses au questionnaire et calculs du rapporteur.
Le cadencement de ces créations fait néanmoins apparaitre que moins de 40% seront créés avant 2022 , 151 en 2023, 270 en 2024 et en 2025. Cette progressivité qui contraste avec la priorité affichée est probablement réaliste compte tenu de la capacité de recrutement, de formation et d'intégration de structures récentes et du besoin de conforter le commandement cyber qui doit préalablement mener un travail de rationalisation, de révision des politiques de ressources humaines et d'organisation afin de sécuriser sa montée en puissance ; une phase dans laquelle il faudra assurer un niveau important de recrutements 17 ( * ) lié aux créations de postes et au turn over important dans ces métiers. Cette montée en puissance requiert pareillement un effort de formation et de transformation des emplois traditionnels au sein des directions des systèmes d'information qui doivent se doter de spécialistes de l'analyse des réseaux.
LE RENFORCEMENT DES EFFECTIFS CYBER Pour la mise en place de la PPC, 139 effectifs sont prévus au cours de la prochaine LPM, qui renforceront le ComCyber (27 postes), le centre d'analyse et de lutte informatique défensive (CALID, 59 postes) et le centre interarmées des actions sur l'environnement 18 ( * ) (CIAE, 53 postes). Les capacités des centres opérationnels de sécurité (SOC) des armées et de la 807 e compagnie de transmissions seront également renforcées. |
La cyberdéfense peut également s'appuyer utilement sur les réserves citoyennes et opérationnelles. Les objectifs cibles 19 ( * ) sont encore loin d'être atteints. Cela suppose un pilotage plus efficace pour élever le niveau de responsabilité des missions confiées à ces personnels afin de les recruter et de les fidéliser et sans doute, une mutualisation de cette ressource entre les différents organismes employeurs (ANSSI, gendarmerie et ComCyber).
Les processus et assouplissements annoncés dans le volet ressources humaines de la LPM en matière de recrutements de personnels contractuels, de rémunérations pour assurer leur fidélisation et de carrière doivent concourir à la réalisation de cet objectif.
3. Une construction capacitaire en essor
Avec un volume global d'investissement de l'ordre de 1,6 milliard d'euros, dont la plus grande partie est regroupée au sein d'un programme à effet majeur de la DGA (PEM Cyber) , la LPM 2019-2025 renforcera les capacités des armées en matière de prévention, de protection (avec notamment le développement de produits de chiffrement), de détection, de caractérisation et d'attribution des cyberattaques. Elle dote nos armées de moyens de réaction rapides et coordonnés à l'horizon 2025 afin de garantir une protection et une défense des systèmes et réseaux, cohérente dans tous les secteurs. Un système d'hypervision par le ComCyber de l'ensemble des incidents sur tout le périmètre des armées sera mis en place par le CALID.
Ce changement de dimension suppose la mise en place de modes de développement capacitaire plus souples et plus rapides que ceux généralement utilisés en matière de programmes d'armement, compte tenu du renouvellement rapide des technologies et plus ancrés sur une relation permanente avec les utilisateurs. Il suppose également un investissement croissant dans les domaines de l'intelligence artificielle et des technologies des données massives afin d'industrialiser les processus. Il suppose enfin la mise en place d'une chaine opérationnelle sous la direction du ComCyber pour fédérer et articuler l'ensemble des intervenants et centraliser les décisions dans un but d'efficacité et de rationalisation des dépenses.
Une partie des investissements (de l'ordre de 200 millions) ira à l'infrastructure, avec un effort de mutualisation autour de deux grands sites à Balard et à Rennes-La Maltière mais aussi au maintien de la localisation du CALID au sein des locaux de l'ANSSI .
L'effort au profit de la cyberdéfense concernera également la protection des systèmes d'armes et des systèmes d'information , dès leur phase de conception et pendant leur utilisation. La dimension cyber devra être prise en compte dans tous les programmes de renouvellement des capacités opérationnelles 20 ( * ) .
Se doter de capacités souveraines repose sur la maîtrise de cinq technologies qui a minima devraient pouvoir l'être au niveau européen : chiffrement, détection, radio-mobile, cloud et intelligence artificielle. Cet effort est complémentaire du soutien à l'innovation affirmé par la LPM .
4. Une dimension partenariale à initier
Le cyberespace est physiquement plus ouvert et moins contraint que les espaces traditionnels de manoeuvre. La sécurité ne peut se concevoir de façon efficace par les seuls moyens nationaux . Le partage en temps réel des incidents avec nos alliés et la constitution d'un cercle européen de partenaires de confiance qui pourraient mettre en réseau leurs centres opérationnels devront être recherchés, comme les partenariats européens dans le domaine capacitaire.
Il serait prétentieux de croire que dans un environnement nouveau et extrêmement sensible aux évolutions technologiques, le volet militaire de la cyberdéfense dans son organisation comme dans ses moyens, soit stabilisé et en ordre de bataille. Il est en construction. Cette construction demandera du temps, des efforts budgétaires et des évolutions profondes des métiers et de la culture militaire. La LPM engage de façon claire ce processus structurant qui est loin d'être achevé.
* 12 Actions dont l'efficacité peut être encore plus redoutable par la diffusion de messages ciblés par l'utilisation des données personnelles acquises auprès des grands opérateurs de l'Internet.
* 13 Avec une composante cyber spécifiquement identifiée pour les opérations majeures de coercition
* 14 En 2017, sur le périmètre des Armées, plus de 700 « évènement de cyberdéfense » ont nécessité une intervention des équipes du commandement Cyber.
* 15 Rapport de M. Jean-Jacques Bridey au nom de la commission de la défense et des forces armées de l'Assemblée nationale n° 765 tome 1 p.45
* 16 Assurée depuis 2008 et dont les grandes lignes ont été exposées dans un discours du ministre de la défense le 12 décembre 2016.
* 17 Une politique proactive d'information et de sensibilisation auprès des établissements d'enseignement supérieurs du niveau BTS pour le recrutement des opérateurs jusqu'au niveau grandes écoles d'ingénieurs est en cours avec l'objectif de créer des capacités de formation qui ne peuvent résulter que d'un partenariat de confiance au sein d'un écosystème regroupant les établissements de formation, les entreprises, les administrations publiques et les armées afin de créer un vivier et d'en réguler les carrières.
* 18 En charge de l'influence numérique.
* 19 4000 réservistes citoyens et 400 réservistes opérationnels.
* 20 Cet effort a été progressivement engagé notamment dans le programme de frégate de taille intermédiaire (FTI), dans les évolutions du TIGRE et dans le programme SCORPION.