Lutte contre les influences étrangères malveillantes. Pour une mobilisation de toute la Nation face à la néo-guerre froide - Rapport

B. UN TRAVAIL DE DÉTECTION ET DE RIPOSTE DES OPÉRATIONS REPOSANT SUR LA MOBILISATION DE PLUSIEURS ACTEURS

1. Viginum, protecteur du débat public numérique national

Pour mémoire, le service de vigilance et de protection contre les ingérences numériques étrangères (Viginum), institué par un décret du 13 juillet 2021^174(*), est un service à compétence nationale rattaché au secrétariat général de la défense et de la sécurité nationale (SGDSN) (voir Première partie, IV)

Ce décret confie spécifiquement à Viginum la mission de détecter et caractériser « en source ouverte », c'est-à-dire en analysant les contenus accessibles publiquement sur les plateformes en ligne, les ingérences numériques étrangères, notamment lorsque celles-ci sont de nature à altérer l'information des citoyens pendant les périodes électorales.

Pour mener à bien cette mission, le pouvoir réglementaire a autorisé Viginum à mettre en oeuvre un traitement informatisé et automatisé de données à caractère personnel, selon des modalités encadrées^175(*). Celui-ci est cependant encadré, et ne peut être effectué qu'aux seules fins de détecter et de caractériser des ingérences numériques étrangères, notamment lorsque ces opérations sont de nature à altérer l'information des citoyens pendant les périodes électorales. Ce traitement repose sur la collecte et l'exploitation des contenus publiquement accessibles aux utilisateurs des plateformes en ligne dont l'activité sur le territoire français dépasse un seuil de cinq millions de visiteurs uniques par mois.

Il est par ailleurs à noter que l'activité de Viginum, en particulier au titre de ses prérogatives de traitement automatisé de données, est suivie par un comité éthique et scientifique, qui peut adresser au chef du service toute recommandation sur les conditions d'exercice des missions du service.

Viginum constitue ainsi le seul service de l'État qui dispose à la fois d'une mission explicite en matière de veille/détection/caractérisation, en sources ouvertes, des ingérences numériques étrangères et d'une autorisation de collecte et d'analyse des données à caractère personnel.

À cet égard, il convient de relever que Viginum n'est pas un service de renseignement, de telle sorte qu'il ne saurait « attribuer » une opération d'ingérence à un État déterminé - tout au plus, le service peut caractériser une ingérence émanant d'acteurs « prorusses », « prochinois », pro-Azerbaïdjan » etc.

Viginum n'est pas non plus un « ministère de la vérité » - pour reprendre le célèbre concept de George Orwell - en ce qu'il n'entend ni démystifier (debunking), ni vérifier les faits (fact-checking) relayés par les contenus diffusés dans le cadre de l'opération d'INE, et encore moins produire un contre-narratif : de telles missions, en effet, relèvent soit des médias, soit de l'autorité politique dans le cadre d'une dénonciation publique, mais en aucun cas d'un service administratif. Sa mission se limite à la caractérisation de l'INE, qui procède de la détection de comportements inauthentiques sur les plateformes (utilisation de bots, de faux comptes etc.) visant à diffuser de façon massive et artificielle des contenus participant d'une volonté d'influence malveillante des citoyens français menée par un acteur étranger.

Il peut échanger des informations, à cette fin, avec les autres acteurs susceptibles de détecter des comportements sur les réseaux sociaux représentant une menace potentielle, en particulier la direction générale de la sécurité intérieure (DGSI) ou encore le Comcyber.

Ces caractéristiques particulières permettent de positionner Viginum comme un interlocuteur crédible des médias, qui relaient largement ses analyses techniques publiées sous forme de rapports publics. Ont notamment récemment donnée lieu à une publication les rapports techniques relatifs aux opérations prorusses RRN/Döppleganger^176(*), Portal Kombat^177(*), et Matriochka^178(*), ainsi qu'une fiche technique sur manoeuvres informationnelles d'origine azerbaïdjanaise ciblent la France dans le contexte des émeutes en Nouvelle-Calédonie^179(*).

Pour mener ce travail de détection, l'activité de Viginum est structurée autour d'« opérations », conduite par un groupe d'agents travaillant sur un même plateau technique. Ces opérations sont de trois types :

- les opérations permanentes de veille sur un secteur déterminés, soit géographique (acteurs prorusses, acteurs asiatiques...), soit thématique (intérêts économiques, industriels et scientifiques français) ;

- les opérations liées aux élections ;

- les opérations liées à des crises ou à des évènements particuliers^180(*).

Les opérations de Viginum en cours (juin 2024)

Source : Viginum, d'après les réponses au questionnaire du rapporteur

Pour conduire ces actions, le service devrait être doté de 58 équivalents temps plein (ETP) d'ici à la fin de l'année 2024, dont une quarantaine affectée aux opérations. Les effectifs ont ainsi connu une hausse marquée depuis 2021, année de création du service, où ils s'élevaient à 40 ETP.

Le budget du service, hors dépenses de personnel (dépenses de titre 2) est de 3,1 millions d'euros en 2024. La masse salariale (dépenses de titre  2) liée au service, qui ne fait pas l'objet d'une ligne budgétaire spécifique dans la mesure où celle-ci est incluse dans l'enveloppe du SGDSN, peut être estimée à environ 4,2 millions d'euros en 2024. Ainsi, le budget global de Viginum est d'environ 7,3 millions d'euros.

À la demande du rapporteur, Viginum a été en mesure de fournir une estimation des moyens nécessaires à la caractérisation d'une opération sophistiquée, de type RRN ou Portal Kombat. D'après les réponses de ce service :

- la mobilisation minimale durant 30 jours de six agents (deux analystes, un data scientist, un chargé de mission coordination, une conseillère juridique et un cadre) à raison d'une journée à 2 000 euros, soit 60 000 euros pour les moyens humains ;

- l'utilisation de moyens techniques spécifiques (infrastructure, logiciels et applicatifs) sur la même durée de temps, soit 60 000 à 80 000 euros.

Ainsi, hors moyens généraux (alimentation, électricité, coûts de fonctionnement de la structure), la détection et la caractérisation d'une seule INE sophistiquée pourrait représenter un coût approximatif entre 120 000 et 140 000 euros.

Ce coût doit néanmoins être rapporté au fait que, comme cela sera rappelé infra (voir II), la détection d'une opération d'ingérence impose mécaniquement des coûts en retour à l'adversaire, qui est ainsi contraint de changer son mode opératoire s'il entend mener de nouvelles opérations.

2. La direction de la communication et de la presse : bras armé du Quai d'Orsay pour la veille stratégique

Tandis que l'activité de détection et de caractérisation de Viginum s'attache à protéger le débat public numérique national, il appartient au ministère de l'Europe et des affaires étrangères d'assurer la fonction de veille quant aux opérations qui viseraient à porter atteinte à l'image de la France à l'étranger.

En son sein, cette mission relève de la direction de la communication et de la presse (DCP). Par un arrêté du 9 août 2022^181(*) entré en vigueur le 1^er septembre 2022, celle-ci s'est en effet dotée, d'une sous-direction « veille et stratégie », qui est active depuis novembre 2022.

Dans le détail, celle-ci est chargée :

- de l'analyse du champ médiatique français et du champ informationnel international ;

- des stratégies de riposte aux attaques informationnelles et de la coordination des actions de communication stratégique.

Par ailleurs, elle accompagne les directions internes et le réseau diplomatique aux enjeux de lutte contre la désinformation et participe au travail interministériel en matière de lutte contre les manipulations de l'information.

Pour mener ces missions, la DCP sur 22 ETP, total appelé à être portée prochainement à 27 ETP selon les éléments transmis à la commission d'enquête par le ministère (sur les 128 ETP que compte la direction), et sur un budget de 2,6 millions d'euros, (sur 7,5 millions d'euros pour l'ensemble de la DCP).

La DCP s'efforce de développer une culture de la veille en sources ouvertes proche de celle de Viginum. Comme l'a indiqué son directeur Christophe Lemoine lors de son audition devant la commission d'enquête : « la veille traditionnelle du quai d'Orsay s'est transformée, passant des revues de presse à un processus plus dynamique et attentif aux réseaux sociaux. Les équipes disposent à présent d'outils pour cerner les tendances en termes de narratifs en circulation. (...) Il importe de disposer d'une vision globale des réseaux sociaux, où chacun, du fait des algorithmes en place, est incité à consulter tel contenu plutôt que tel autre, en fonction de ce à quoi il s'intéresse déjà »^182(*).

Il convient cependant de noter que, contrairement à Viginum, aucun cadre juridique ne permet à la DCP de procéder à un traitement automatisé de données à caractère personnel.

3. Les armées : une veille constante des menaces informationnelles par le Comcyber et la Dicod

Dans le champ des armées, deux acteurs se sont dotés de capacités de veille et d'alerte.

Le travail de détection d'une opération de lutte informationnelle visant l'action des forces françaises sur un théâtre extérieur relève du commandement de la cyberdéfense de l'état-major des armées (Comcyber).

Le Comcyber connaît une hausse importante de ses moyens. Aussi, le nombre de cybercombattants est passé de 3 000 personnels en 2019 à 4 600 en 2024 et a atteindrait 5 600 en 2030 selon la trajectoire prévue par la loi de programmation militaire 2024-2030^183(*). Son budget est d'environ 40 millions d'euros en 2024, et doit être porté à 80 millions d'euros d'ici à 2028.

La capacité de veille/alerte du Comcyber est constituée de plateaux chargés de la veille d'infosphères d'intérêt opérationnel sur leur zone géographique d'intérêt. D'après les informations communiquées à la commission d'enquête par l'état-major des armées, ces plateaux émettent une à deux alertes quotidiennes.

Cette mission a été décrite devant la commission d'enquête par le général de division Aymeric Bonnemaison, commandant de la cyberdéfense : « Concrètement, nous faisons de la veille-alerte pour détecter les attaques informationnelles contre nos armées et les opérations qu'elles mènent. Cela peut sembler simple, mais c'est comme surveiller un océan : nous devons détecter toute opération et déterminer par sa caractérisation si elle est inauthentique et coordonnée par un État, et pas seulement l'expression d'un particulier. »^184(*).

Sur le champ du travail de veille effectué par le Comcyber, le général Bonnemaison précise que « la première mission, ce sont les théâtres d'opération, mais nous sommes obligés d'élargir le cercle et cela concerne aussi les pays voisins et les grandes thématiques. En d'autres termes, nous sommes présents sur les zones de crise où l'on pourrait être déployé ou sur des zones d'intérêt en matière de renseignements, c'est-à-dire celles qui peuvent avoir une incidence sur les opérations menées ou qui méritent une veille particulière ».

Le travail de détection relève en revanche de de la Délégation à l'information et à la communication de la Défense (Dicod) si l'offensive informationnelle vise à porter atteinte à la politique de communication des armées. Celle-ci est dotée d'un budget de 11,9 millions d'euros en loi de de finances initiale pour 2024.

La Dicod s'est récemment dotée d'une capacité propre de veille sur les réseaux sociaux de campagnes de désinformation visant les armées, constituée de 6 à 7 personnes. Lors de son audition par le rapporteur, sa directrice a également indiqué s'appuyer sur des prestataires extérieurs pour cette activité de veille, par exemple pour faire remonter les contenus à partir de mots clés^185(*).

4. Les autres « capteurs » : services de renseignement, CIPDR...

Par nature, l'ensemble des services de renseignement concourent, chacun dans leur domaine d'expertise, à la détection d'opérations d'influence malveillantes ciblant la France :

- la DGSI s'agissant des ingérences étrangères de toutes natures sur le territoire français ;

- la DGSE, en particulier pour détecter des opérations qui viseraient des ressortissants français et les entreprises françaises qui sont exposés du fait qu'ils résident à l'étranger ;

- Tracfin, au titre du renseignement financier, qui est susceptible de détecter des canaux de financement d'opérations d'ingérences étrangères, voire des opérations de corruption ;

- la direction du renseignement et de la sécurité de la défense (DRSD) dans le domaine militaire.

Peut également être signalée la capacité de veille déployée par le secrétariat général du comité interministériel de prévention de la délinquance et de la radicalisation (CIPDR). Cette veille est réalisée par une équipe de huit agents (quatre veilleurs et quatre analystes), qui observent quotidiennement les réseaux sociaux en source ouverte, pour identifier les principaux « influenceurs » de la radicalisation islamiste en France, et peuvent donc potentiellement détecter des opérations émanant d'acteurs étrangers. Ces veilles donnent lieu à des rapports transmis aux administrations concernées et aux services de renseignement, complétant ainsi leur action.

Il convient cependant de relever que le secrétariat général du CIPDR a fait l'objet de multiples critiques, suite à des dysfonctionnements mis en lumière par les travaux récents de la commission des finances du Sénat^186(*) et de la Cour des comptes^187(*). Les décisions qui s'imposeront quant à l'avenir de cette instance devront donc également déterminer ce qu'il advient de sa capacité de veille des réseaux sociaux, en particulier au titre des influences étrangères d'inspiration islamiste.

* ¹⁷⁴ Décret n° 2021-922 du 13 juillet 2021 portant création, auprès du secrétaire général de la défense et de la sécurité nationale, d'un service à compétence nationale dénommé « service de vigilance et de protection contre les ingérences numériques étrangères ».

* ¹⁷⁵ Décret n° 2021-1587 du 7 décembre 2021 portant autorisation d'un traitement automatisé de données à caractère personnel dans le but d'identifier les ingérences numériques étrangères.

* ¹⁷⁶ Viginum, RRN, une campagne numérique de manipulation de l'information complexe et persistante, Rapport technique, juin 2023.

* ¹⁷⁷ Viginum, Portal Kombat, un réseau structuré et coordonné de propagande prorusse, rapport technique, février 2024.

* ¹⁷⁸ Viginum, Matriochka, une campagne prorusse ciblant les médias et la communauté des fact-checkers, rapport technique, juin 2024.

* ¹⁷⁹ Viginum, « Sur X et Facebook, plusieurs manoeuvres informationnelles d'origine

azerbaïdjanaise ciblent la France dans le contexte des émeutes en Nouvelle-Calédonie », Fiche technique, 17 mai 2024.

* ¹⁸⁰ Cf. en annexes l'activité de Viginum en quelques chiffres

* ¹⁸¹ Arrêté du 9 août 2022 modifiant l'arrêté du 28 décembre 2012 relatif à l'organisation de l'administration centrale du ministère des affaires étrangères.

* ¹⁸² Audition du 12 mars 2024.

* ¹⁸³ Loi n° 2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense.

* ¹⁸⁴ Audition du 4 avril 2024.

* ¹⁸⁵ Audition du rapporteur, 25 juin 2024.

* ¹⁸⁶ Rapport d'information n° 829 (2022-2023) fait par Jean-François Husson au nom de la mission d'information sur la création du fonds Marianne, la sélection des projets et l'attribution des subventions, le contrôle de leur exécution et les résultats obtenus au regard des objectifs du fonds, déposé le 4 juillet 2023.

* ¹⁸⁷ Cour des comptes, Observations définitives sur le secrétariat général du comité interministériel de la prévention de la délinquance et de la radicalisation - Exercices 2018-2022, 27 novembre 2023.