Audition au Sénat du Général Olivier Bonnet de Paillerets, commandant de la cyberdéfense.
M. Cédric Perrin, président. – Nous poursuivons nos travaux par une audition au coeur de l’actualité, celle du Général Olivier Bonnet de Paillerets, Commandant de la cyberdéfense.
Le 18 janvier dernier, la ministre des armées, Mme Florence Parly, a présenté la stratégie de cyberdéfense des armées. Cette stratégie explicite le positionnement de nos Armées dans ce nouvel espace de conflictualité, le cyberespace, où les menaces contre nos intérêts fondamentaux se développent. Cette stratégie expose aussi plusieurs évolutions majeures. D’abord, la redéfinition de la lutte informatique défensive pour protéger « de bout en bout » non seulement le ministère, les armées et services mais aussi une chaîne englobant les industries de défense et leurs sous-traitants, afin de prendre en compte la cybersécurité dès la conception des outils de défense, ensuite la mise en place d’une posture permanente de cyberdéfense, enfin la publication d’une doctrine d’emploi des capacités de lutte informatique offensive.
M. Pascal Allizard. – Dans le cadre de mes fonctions à l’OSCE, j’ai récemment participé à des réunions consacrées à la cyberdéfense, dont il en ressort qu’Israël> est l’un des pays en pointe dans ce domaine ; qu’en pensez-vous ? La France a-t-elle noué une coopération avec les Israéliens en la matière?
M. Pierre Laurent. – N’y a-t-il pas un risque de banalisation des doctrines offensives dans le domaine de la cyberdéfense ? Parallèlement à l’augmentation des moyens alloués aux armées à cette fin, faudrait-il envisager la signature d’instruments politiques visant à réguler les doctrines offensives ?
N’y a-t-il pas, en outre, un risque de privatisation de la défense plus important dans ce secteur ? L’emploi de la force est une mission régalienne, et c’est heureux. Mais qu’en est-il dans le domaine cyber .
Général Olivier Bonnet de Paillerets. – La question de la privatisation tourne autour du concept de hack back : doit-on permettre aux entreprises de se doter de capacités offensives ? Considérant qu’il s’agit en l’espèce d’une mission régalienne, la position française, rappelée dans la revue stratégique de cyberdéfense, est restrictive en la matière contrairement aux positions anglo-saxonnes. Il existe toutefois une « zone grise » ; mais où faut-il positionner le curseur ? Doit-on autoriser les entreprises à scanner leurs réseaux en cas d’attaque ou à riposter ? Sur ce point, je pense que notre pays restera ferme sur sa doctrine.
S’agissant de la compatibilité entre la doctrine française et la pacification du cyberespace, des initiatives ont été prises par le président de la République au travers de l’Appel de Paris qui vise à responsabiliser les acteurs privés et à relancer des négociations multilatérales pour modifier le droit international dans ce domaine. Notre doctrine encadre la conception, la mise en oeuvre et l’utilisation des outils, réservés aux théâtres d’opérations extérieures pour conserver la supériorité technique et opérationnelle de nos forces armées. Le chef d’état-major des armées a donc décidé d’encadrer cette arme, nécessaire à l’engagement de nos armées. La revue stratégique de cyberdéfense rappelle sa vocation défensive : notre pays n’investit pas ce domaine pour déstabiliser des États, mais pour bien riposter suivant la sévérité de la crise. À cet égard, l’instruction du ministère des armées énumère douze niveaux de crise et des réponses adaptée
La cyberdéfense est un cycle : il faut savoir anticiper ou détecter les attaques, les caractériser, puis les attribuer pour finalement réagir. La revue stratégique de cyberdéfense a organisé les responsabilités de chaque acteur : les services de renseignement, le ComCyber et l’ANSSI sont chargés d’anticiper les attaques ; la détection et la caractérisation sont de la responsabilité de chaque entité – le ComCyber s’agissant du ministère des armées, aux côtés de la DGSE et la DRSD qui ont leur propre système de détection ; l’attribution nécessite quant à elle une bonne connaissance de l’attaquant, ce qui relève de la compétence des services de renseignement, en particulier la DGSE et la DGSI. La cyberdéfense exige, par principe, une séparation des capacités offensives et défensives, ainsi que des interactions continues entre ses différents intervenant
La ministre des armées et le chef d’état-major des armées ont communiqué sur les capacités coercitives de la France dans le cyberespace car la France assume sa doctrine – dont peu d’États sont dotés – et souhaite montrer qu’elle est vertueuse en la matière.
Le pôle de Rennes vise à déconcentrer le ComCyber au sein d’un écosystème universitaire et industriel, à proximité de la Direction générale de l’armement (DGA), pour entreprendre des innovations. Nous réfléchissons par exemple à la mise en place d’une zone de stockage des données du ministère des armées, qui serait accessible aux industriels pour leur permettre de développer leurs équipements. Par ailleurs, il me semble indispensable de repenser les formations continues ; l’écosystème rennais devrait permettre à mes cybercombattants de maintenir leurs connaissances à jour. Nous collaborons actuellement avec des universités, y compris dans le domaine de la recherche (datasphère, etc.), pour avoir une vision de la cyberdéfense plus large que sa seule dimension techniqu
S’agissant des problématiques RH, nous avons aujourd’hui une population qui vient du secteur des systèmes d’information et non pas des secteurs de la sécurité des réseaux et de la cyberdéfense. Or la cyberdéfense, c’est un nouveau métier. L’enjeu est de faire passer les personnels d’un environnement à l’autre, et cela ne pourra se faire qu’avec l’extérieur, en renforçant notamment les parcours de formation continue.
Sur la question relative au partenariat avec Israël>. <Israël, nous le savons, a un système complétement mobilisé sur les enjeux cyber, défensifs et offensifs, avec des technologies de pointe et un emploi décomplexé. Toute la question, dans le cadre de ce partenariat, est de ne pas le subir, et d’en garder le contrôl
Enfin sur nos capacités de défense globales, je suis optimiste. La Revue stratégique de cyberdéfense a créé des structures et des principes qui permettent de réunir les différents acteurs autour d’une vision globale. La C4, au sein du SGDSN, fonctionne très bien et permet une réponse opérationnelle de l’État ainsi qu’une bonne connaissance des efforts à fournir. Nous avons aujourd’hui des mécanismes permettant une vraie réponse.
M. Cédric Perrin, président. – Sur le recrutement, il est vrai qu’il y a un réel manque de connaissances de ces nouveaux métiers, surtout chez les lycéens en cette période de réforme du bac. Pour les armées, le cyber peut-être un vrai biais d’attraction et une intéressante passerelle avec le civil.