Le général Lecointre auditionné devant la commission d’enquête sur la souveraineté numérique

986
Audition du Général François Lecointre, Chef d'Etat-Major des armées (Sénat)
Temps de lecture estimé : 17 minutes

Le général d’armée François Lecointre, chef d’état-major des armées, est intervenu mardi 25 juin devant la commission d’enquête du Sénat sur la souveraineté numérique.

Il était accompagné du général Bonnet de Paillerets, COMCYBER et du général Pellerin, commandant de la division en charge du numérique et de la cohérence des programmes interarmées à l’état-major des armées.

Dans le domaine militaire, défendre la souveraineté numérique, c’est d’assurer la capacité de la France d’une part à agir de manière souveraine dans l’espace numérique en y conservant une capacité autonome d’appréciation, de décision et d’action. D’autre part, c’est préserver les composantes les plus traditionnelles de la souveraineté de notre pays vis-à-vis de menaces nouvelles tirant partie de la numérisation croissante de la société.

Audition du Général François Lecointre, chef d’État-Major des armées (CEMA)

M. Franck Montaugé, président. – Notre commission d’enquête poursuit ses travaux avec l’audition du Général François Lecointre, chef d’état-major des armées. Il est accompagné du général de division Olivier Bonnet de Paillerets, commandant cyber de l’état-major des armées et du général de brigade Jean-Jacques Pellerin, chef de la division de l’état-major des armées, en charge du numérique et de la cohérence des programmes interarmées.

Cette audition sera diffusée en direct sur le site Internet du Sénat. Elle fera également l’objet d’un compte rendu publié.

Une commission d’enquête fait l’objet d’un encadrement juridique strict. Je vous informe qu’un faux témoignage devant notre commission serait passible des peines prévues aux articles 434-13 à 434-15 du code pénal.

Conformément à la procédure applicable aux commissions d’enquête, MM. François Lecointre, Olivier Bonnet de Paillerets et Jean-Jacques Pellerin prêtent serment.

M. Franck Montaugé, président. – La revue stratégique de défense et de sécurité nationale de 2017 et la revue stratégique de cyberdéfense de février 2018 ont reconnu le rôle majeur de la cyberdéfense militaire. Notre pays s’est doté d’une doctrine militaire en lutte informatique offensive tout en renforçant la politique de lutte informatique défensive du ministère des Armées. La capacité à se protéger contre les attaques informatiques, à les détecter, à en identifier les auteurs mais également à riposter, est devenue l’un des éléments clefs de notre souveraineté.

Je commencerai donc, général Lecointre, par vous demander comment vous appréhendez la notion de souveraineté numérique. Distinguez-vous la souveraineté classique, de défense du territoire, de la souveraineté numérique, par nature dématérialisée ? Pouvez-vous nous présenter la doctrine prenant en compte et les modifications de la souveraineté classique par le monde numérique : quelle est la place du numérique dans ce cadre ?

Un pays ne peut être souverain s’il ne parvient pas d’une part à contrôler les activités numériques qui affectent son territoire, et s’il ne dispose pas d’autre part des technologies clés et des infrastructures critiques. Un pays ne peut être souverain sans les armes lui permettant de garantir son autonomie et sans la maîtrise des théâtres opérationnels affectés par de nouvelles menaces numériques. Avons-nous aujourd’hui les moyens de nos ambitions dans tous ces domaines ?

Général François Lecointre, chef d’état-major des armées. – Ma mission est d’assurer à la France la capacité d’une part à agir de manière souveraine dans l’espace numérique, d’autre part de conserver une capacité autonome d’appréciation, de décision et d’action, et de préserver également les composantes les plus traditionnelles de sa souveraineté vis-à-vis de menaces nouvelles, qui tirent parti de la numérisation croissante de la société. Les menaces et les risques s’accroissent, en témoignent les graves incidents tels que Wanacry ou Notpetya, ou celui observé lors des élections américaines. Les opérations de désinformation sont difficiles à contrer car nous sommes ouverts au niveau européen, l’article 10 de la convention européenne des droits de l’homme nous y oblige. Le débat, en outre, est permanent entre sécurité collective et droits individuels…

Un certain nombre de réponses ont visé à réduire les tensions et les menaces, en particulier par la régulation internationale et la création de normes, je songe au Règlement général sur la protection des données ou au Cloud act du 23 mars 2018.

Les armées sont la cible d’attaques informatiques particulièrement nombreuses. Ainsi, en 2018, 831 événements significatifs ont été recensés par le commandement de la cyberdéfense (Comcyber), soit une augmentation de l’ordre de 20% par rapport à 2017. Une centaine consiste en des attaques informatiques avérées, dont six sont caractéristiques de modes d’action de groupes structurés affiliés à des États. Toutes ces attaques ont été menées à des fins d’espionnage de hauts responsables du ministère ou de fonctions opérationnelles.

En 2018, le ministère des armées a été la cible d’attaques par un mode d’action connu de nos services, que certains attribuent à Turla, groupe affilié au service fédéral de sécurité russe. Les cibles identifiées sont des membres du ministère ayant des responsabilités dans le domaine des relations internationales, ou des fonctions opérationnelles d’intérêt, comme l’approvisionnement en carburant des bâtiments de la marine nationale, afin de suivre les escales de nos bâtiments. Aucune attaque de groupe affilié à la Chine n’a été observée ; les cybermenaces iranienne et nord-coréenne ne semblent pas non plus, à ce stade, viser les armées ou le ministère.

En tant que chef d’état-major des armées (CEMA), j’assume des responsabilités et des prérogatives – de nature défensive – définies dans la revue nationale cyber de février 2018. Cette revue organise la gouvernance cyber de l’État autour de quatre piliers aux gouvernances spécifiques : la prévention, sous la responsabilité de l’Agence nationale de la sécurité des systèmes d’information et du Premier ministre ; le renseignement, avec la DGSE, la DGSI et les ministères de tutelle ; l’action judiciaire qui relève à la chancellerie, et l’action militaire, conduite par le chef d’état-major des armées et le Président de la République.  

Chaque pilier a une gouvernance autonome et tous se coordonnent autour d’un comité de coordination des crises cyber ou « C4 », qui articule le cycle de la cyber défense – détection, attribution, réponses, car il s’agit de définir les stratégie de réponse qui sont soumises au politique.

Les orientations prises par la revue fonctionnent très bien ; le CEMA dépositaire de la conduite des opérations militaires a été renforcé dans sa responsabilité de cyber défense sur le périmètre du ministère des armées, et pour la conduite des opérations numériques.  Le commandement cyber a été créé il y a moins de deux ans, il me seconde dans cette double responsabilité. Le rôle stratégique, central, de la cyberdéfense militaire a été parfaitement reconnu.

Dans mon périmètre de responsabilités, je vise une numérisation maîtrisée, qui doit profiter des opportunités offertes par les technologies émergentes tout en maintenant les systèmes à un très haut niveau de sécurité. La souveraineté numérique est dans l’ADN du ministère et des armées ! Nous sommes parfaitement conscients des vulnérabilités de nos systèmes et nous avons le souci constant de préserver à la fois l’intégrité, la confidentialité et la disponibilité des données. Celles-ci sont la matière première de nos systèmes d’information. Elles sont maîtrisées sur toute la durée de leur utilisation, dans la collecte comme dans le stockage, en fonction de leurs niveaux de sensibilité. Les données opérationnelles sont les plus sensibles, mais les données médicales ou relatives aux ressources humaines, par exemple, sont sensibles également. Leur exploitation exige un personnel habilité et des systèmes homologués par les armées, elles transitent sur des réseaux maîtrisés et chiffrés.

La direction interarmées des réseaux d’infrastructures et des systèmes d’information de la défense (Dirisi), opérateur du ministère, assure la gestion des réseaux qui lui sont dédiés, administre plus de 1500 systèmes d’information et héberge les données du ministère au sein d’infrastructure réparties sur tout le territoire.

L’utilisation de l’internet par les armées fait l’objet d’une attention particulière : surveillance permanente des échanges de fichiers, sécurisation des sites, anonymisation des recherches sur source ouverte.

Enfin, tous, du cadre au soldat, sont sensibilisés et formés à l’hygiène numérique.

Il demeure que nous traversons une période charnière de fragilité : l’utilisation des dernières technologies disponibles doit être intégrée à nos systèmes pour garantir notre supériorité informationnelle ; mais ce, avec une grande prudence lors de l’intégration, afin de conserver un haut niveau de sécurité.

C’est pourquoi nous poursuivons nos efforts en termes de big data et d’intelligence artificielle, pour développer le traitement et l’analyse de quantités de données qui ne sont pas humainement exploitables afin de produire une information valorisée à partir de la très grande masse de données disponibles. La ministre a annoncé un investissement de 100 millions d’euros par an dans ce domaine. Le point le plus crucial est celui du recrutement de spécialistes.

Il s’agit aussi de mener une stratégie cloud robuste. Les armées vont devoir appuyer leur transformation numérique, désormais permanente, sur un opérateur de confiance en mesure de garantir la souveraineté numérique du ministère. La stratégie industrielle doit nous permettre de construire un écosystème national de confiance, s’appuyant sur des niveaux de cloud différenciés, selon le niveau de confidentialité des données. Cela exige, j’y insiste, une sensibilisation de tous, soldats et cadres, quant aux risques : il nous revient d’instruire nos soldats sur la grammaire et l’orthographe de l’espace numérique, objets connectés compris. L’ensemble du personnel du ministère de la défense doit maîtriser l’utilisation d’internet, au plan professionnel ou privé, tous étant présents sur les réseaux sociaux, en France comme sur les théâtres d’opération… Enfin, il faut adapter les organisations à la gouvernance du risque cyber.

La collecte et l’exploitation des données doivent évoluer pour que nous profitions de la pleine capacité offerte par les nouveaux capteurs spatiaux et numériques, inscrits dans la loi de programmation. La direction du renseignement militaire (DRM) s’appuiera ainsi sur le programme Demeter pour exploiter efficacement les giga-octets de données techniques issues des programmes électromagnétiques. Cela implique de recourir à l’intelligence artificielle.

Il faut également maîtriser la projection de puissance en tout point du globe – une des caractéristique de l’armée française – avec une sécurité des raccordements des systèmes d’information et de communication projetés aux réseaux d’infrastructure : le « bout en bout » numérique, depuis Balard jusqu’aux échelons tactiques de base, sur le terrain, est fondamental. Les réseaux doivent donc augmenter leurs capacités et consolider leur fiabilité, en maîtrisant la cryptologie. La Dirisi assure le chiffrement des réseaux, y compris pour le déclenchement de la dissuasion nucléaire.

Dans le cadre de ma mission cyber, je dois disposer d’une autonomie d’appréciation, pour proposer au pouvoir politique des options dans le champ de mes responsabilités, et d’une capacité automne d’opérations cyber, au profit des opérations en cours. Le cyber est en effet considérée comme une arme d’emploi, pour la défense de nos intérêts et de notre souveraineté.

Cela exige de maîtriser la détection, la caractérisation et l’attribution d’une attaque – donc de disposer d’un équipement en sondes souveraines. D’où la montée en puissance des capacités cyber du Comcyber et des services de renseignement, avec une mutualisation entre les deux.

Il est impératif de pouvoir proposer au pouvoir politique une option de réponse en cas de crise majeure, y compris dans le champ cyber, par l’engagement de moyens militaires autonomes, en particulier la capacité à produire des effets cyber à partir de moyens militaires.

Il convient aussi sur le champ de bataille de développer une capacité d’actions numérique propre, intégrée à la manoeuvre militaire. Cela est de plus en plus nécessaire sur des champs de bataille qui se numérisent de plus en plus. Notre supériorité opérationnelle passe par la capacité à protéger nos moyens et à démultiplier les effets que nous produisons : obtention de renseignement opérationnel, neutralisation d’un système de commandement adverse, désorganisation de centres de propagande adverses,…

Il nous faut aussi développer des partenariats pour consolider notre appréciation de situation et nos coalitions. Mais peu de pays disposent de la maturité conceptuelle, organisationnelle et opérationnelle suffisante pour nous permettre de nouer des échanges de confiance.

Il importe de jouer un rôle moteur dans la promotion d’une culture militaire cyber partagée entre partenaires européens, au sein de l’OTAN ou de l’Union européenne : nous y travaillons notamment à travers l’initiative européenne d’intervention (IEI). Autre exigence, promouvoir au plan international un comportement responsable, facteur de stabilité.

Enfin, il s’agit d’opérer un rapprochement avec le monde industriel numérique, pour que nos armées restent connectées au progrès et pour garantir les ressources humaines dont nous avons besoin. C’est notre premier défi, car contrairement à ce que nous avons connu au sortir de la Deuxième guerre mondiale et jusqu’à la fin de la guerre froide, aujourd’hui, c’est de moins en moins la recherche militaire qui tire la recherche civile. Les technologies civiles, duales, nous imposent de rester étroitement connectés à ce monde industriel qui innove sans cesse. En janvier dernier, le ministère a signé une convention avec les industriels de défense.

Il nous faut une famille professionnelle RH SIC armée et structurée, or nous avons enregistré à fin 2018 un déficit de 1 300 emplois militaires et civils, en retrait de 8% par rapport aux besoins, compte tenu de la menace cyber, de la transformation numérique et du plein emploi des cadres dans le secteur civil des systèmes d’information. Nous avons de plus en plus de mal à fidéliser une main d’oeuvre qui est très recherchée. Nous nous efforçons donc à favoriser les recrutements d’agents civils sous contrats (ASC), voie qui n’est pas entièrement satisfaisante.

En matière d’intelligence artificielle et de big data, des compétences spécifiques sont nécessaires également au plus près des opérationnels pour répondre au besoin des armées selon des « approches agiles ». Dans le domaine cyber, l’objectif est de disposer de 1000 cyber-combattants supplémentaires d’ici à 2025. La ressource humaine en sortie des écoles et sur le marché du travail n’est pas suffisante. Il faut donc développer une politique spécifique pour le recrutement, la fidélisation, la formation. Cela nous amène également à réfléchir sur le rôle du personnel civil dans l’action militaire cyber.

Le numérique a envahi toute les activités humaines, dans les sphères étatiques, professionnelles, privées. Il gomme toutes les frontières physiques sans pour autant les faire disparaître, autorise une circulation quasi instantanée de l’information et permet un niveau d’interaction jamais atteint. Il peut remettre en question la notion d’État, de souveraineté. Il inquiète par ses potentialités vertigineuses et ses conséquences sur nos sociétés et organisations étatiques.

Mais les armées, investies de la responsabilité de préserver la souveraineté nationale, sont plutôt en avance. La donnée occupe depuis longtemps une place centrale ; sa protection et son utilisation ont toujours été une préoccupation. Dans ce champ comme ailleurs, l’autonomie stratégique, garante de la souveraineté, est l’objectif que nous nous fixons.

Aujourd’hui, notre organisation, qui repose sur la Dirisi et le Comcyber, est mature. Nos capacités d’action et de protection sont de très bon niveau, comme le montre notre victoire récente lors de l’exercice international Locked shields.

Il nous faut rester à la pointe de l’innovation technologique ; et recruter, former et fidéliser les meilleurs cyber-combattants. Tels sont nos défis actuels.

M. Gérard Longuet, rapporteur. – Il est passionnant de vous entendre. Notre audition est captée, j’essaierai de ne pas vous mettre dans une situation difficile par mes questions.

La guerre est chose connue. Les cyberattaques le sont moins. Vous parlez des problèmes de détection, caractérisation, identification : c’est une question majeure, qui n’est pas facile à traiter, car il s’agit de manoeuvres autour du conflit, qui ne sont pas en elles-mêmes le conflit, tout en étant conflictuelles…

Vous avez parlé avec beaucoup de pudeur des pays qui ne nous ont pas attaqués. Vous n’avez pas cité, parmi eux, l’Islande, Andorre, Monaco ou Saint-Martin. Je m’interroge !

Plus sérieusement, selon vous, les outils cyber, l’espace numérique facilitent-ils les conflits dissymétriques ? Le monde numérique est à dominante civile, où les technologies civiles ont un effet d’entraînement. La taille est-elle un facteur essentiel d’autorité, ou au contraire, la modestie des moyens à mettre en oeuvre, la subtilité voire la perversité des procédures, la difficulté pour attribuer une attaque renforcent-elles le risque de conflit dissymétrique, opposant un pays à des forces non identifiées et dotées de moyens importants ? La fragilité provient non des systèmes militaires, car vous avez la culture de la sécurité, mais de la société. Vous avez parlé à bon droit d’hygiène numérique… Le plus grand pays allié, avec lequel nous entretenons des relations anciennes, a été pris la main dans le sac, si l’on peut dire, et à plusieurs reprises, notamment avec ses bons alliés de l’OTAN, pour sa capacité à s’intéresser à ce qui n’est pas sur la place publique. Les plus petits peuvent-ils tout autant déstabiliser un système de défense ?

Les champs d’opérations extérieures sont contrôlés et commandés par l’intermédiaire des réseaux, qu’il s’agisse d’apporter un appui aérien aux combattants ou de prendre une décision politique. Tout est relié, en instantané, les temps de réaction sont minimes : dans cette chaîne, où sont les maillons faibles ? Existe-t-il des risques plus importants sur tel ou tel théâtre ? Où sont les fragilités éventuelles de notre système militaire ?

La gestion des effectifs spécialisés est une affaire difficile, en raison de la concurrence du secteur civil et des carrières que l’on y peut faire. L’actualisation des compétences et des savoirs est une exigence permanente. Quels outils vous manque-t-il ? Il y a la défense du pays, la sécurité des armées, la sécurité des particuliers, des industries de défense, des administrations étatiques. Une attaque frappant le secteur privé peut affaiblir le pays, je pense à la déstabilisation de Saint-Gobain via une filiale en Ukraine.

La défense est un tout. Quels hommes et quelle coordination avec les services de l’État, afin que vous soyez correctement informés ?

Général François Lecointre. – Voilà des questions simples ! Le champ cyber facilite-t-il des agressions dissymétriques ? Oui, mais ce n’est pas le principal sujet pour moi. Un ennemi peut capter des innovations d’usage et être inventif dans le détournement de moyens, pour nous agresser, comme sur les théâtres du Sahel ou du Levant. N’importe qui, surtout dans la génération montante, peut s’emparer de ces outils, ce qui facilite des modes d’attaque dissymétriques. Ce sont des compétences répandues, duales, qui n’exigent pas d’armée structurée. Plus ennuyeux à mon sens, cette situation favorise les conflits hybrides, combinant des attaques sur plusieurs fronts, dans plusieurs champs, dont le champ cyber, et visant aussi la désinformation et la propagande. C’est une difficulté supplémentaire dans l’art de la guerre et la défense de notre souveraineté. Au-delà de quel seuil dois-je considérer qu’il faut mener des contre-attaques, des rétorsions, et dans quel champ ?

Général de division Olivier Bonnet de Paillerets, commandant cyber de l’état-major des armées. – Il y a aussi une difficulté, pour une société très numérisée, à répondre face à une société qui l’est moins.

Aujourd’hui, les menaces et le nombre des attaquants augmentent, mais la capacité d’attaques complexes appartient encore aux États. Les investissements en organisation, doctrine d’emploi, recrutement d’experts, nécessitent une cohérence qui n’existe que dans certains États. Cela nous donne tout de même un avantage comparatif dans une guerre même dissymétrique.

Général François Lecointre. – Concernant les OPEX et le danger pour nos forces, là où l’adversaire est capable d’agir dans le champ cyber, je précise que nous utilisons l’arme cyber comme une arme du champ de bataille. La ministre et moi-même l’avons dit lorsque nous avons présenté la doctrine de lutte informatique offensive : nous savons désorganiser un ennemi, le positionner, le traiter. Nous utilisons couramment cet outil ! Il y faut des moyens et des spécialistes, mais il nous donne un avantage très net au Sahel ou au Levant.

Il n’existe aujourd’hui aucun ennemi potentiel, à part l’Iran, voire la Russie (mais nous ne sommes pas confrontés à eux), qui puisse menacer nos réseaux et notre capacité à agir dans un espace numérisé. Tous nos systèmes d’armes sont de plus en plus numérisés, mais ils intègrent nativement la nécessité d’une protection – je pense à Scorpion ou au Scaff par exemple. Sur le champ de bataille, seules des puissances très élaborées pourraient nous menacer et nous prenons bien garde à préserver une supériorité opérationnelle qui dépend essentiellement de la mise en réseau et de la capacité à agir de façon partagée avec des effets sur une même cible mais à partir de lieux différents et selon des champs et dans des domaines différents. Nous sommes très attentifs à protéger cette capacité de transmission des données.

Général Olivier Bonnet de Paillerets. – Sur les OPEX, la gouvernance du risque cyber (lequel n’est pas sous-évalué) est descendue jusqu’au décideur opérationnel, elle relève de la responsabilité pleine et entière de celui qui commande sur le terrain. Nous avons organisé une cyber défense de bout en bout, avec une coordination entre les réseaux déployés et Paris, totalement interconnectés.

Autre axe sur lequel l’état-major a progressé : l’intégration du cyber dans toutes les composantes de toute opération interarmée ou de milieu. Pas de déploiement sans processus, équipements et gouvernance particulière autour de ce risque cyber.

Général de brigade Jean-Jacques Pellerin, chef de la division de l’état-major des armées, en charge du numérique et de la cohérence des programmes interarmées. – Un mot des maillons faibles. Le risque zéro n’existe pas. Il faut donc assurer la résilience de nos systèmes, grâce à des redondances. Ce n’est pas tant l’intégrité ou la confidentialité de la donnée qui pourrait être le maillon faible que leur acheminement : nos moyens de communication satellitaire sont très fragiles : d’où la nécessaire mise en place de moyens pour la transmission de l’ordre par plusieurs chemins. Si ce maillon faible est attaqué, toutes les fonctions ne sont pas conservées, certaines seront dégradées, mais nous pourrons mener à bien la mission qui nous a été confiée.

Général François Lecointre. – Cela explique aussi toute la réflexion conduite aujourd’hui sur l’action dans l’espace pour nous protéger contre des attaques visant nos moyens satellitaires.

Quant aux ressources humaines, nous sommes face à un défi, car la ressource est rare, mais elle peut être mutualisée, nous y reviendrons. Soit dit en passant, la condition militaire reste un sujet central : le décalage par rapport à la condition civile ne se réduit pas, ce qui pose le problème du recrutement et de la fidélisation dans toutes les spécialités rares, alors que nous avons besoin de compétences de plus en plus pointues, sur des équipements de plus en plus sophistiqués. Nous conduisons une réflexion : qu’est-ce qu’être militaire, que signifie mettre en oeuvre la force de façon délibérée pour préserver la souveraineté, en quoi y a-t-il une obligation de confier la défense de la nation à des gens dont le statut comporte des obligations de disponibilité et de discipline ? Selon moi, il faut limiter le nombre de civils dans la fonction de cybercombattant, pour laquelle nous avons réellement besoin de militaires.

Général Olivier Bonnet de Paillerets. – Les métiers sont en cours de redéfinition, car on passe de métiers sur les systèmes d’information et d’administration à des métiers sur la donnée et de la cyberdéfense. Le processus n’est pas terminé et l’on s’interroge sur la meilleure façon de mener la transition.

Quant à la valorisation des parcours, c’est une bonne surprise : nombre de jeunes supertechniciens nous rejoignent, parce qu’ils cherchent du sens à leur activité professionnelle. Il faudrait pouvoir leur proposer des parcours au-delà de trois ou six ans, au-delà desquels le décrochage de rémunération est trop important, il est difficile de les retenir. Avec l’Anssi et les services de renseignement, nous avons entrepris l’an dernier une gestion croisée des parcours, sur des cycles de six à dix ans, suffisants pour nous. Et pourquoi ne pas organiser des parcours croisés avec le monde de l’entreprise ? Autre bonne surprise, les groupes privés sont intéressés, car ils trouveraient là des cadres intermédiaires capables de structurer une partie de leur organisation – et nous obtiendrions de notre côté une partie de leur expertise.

Nous sommes en train de réécrire notre politique de formation. Les armées ont un rôle à jouer dans la formation préliminaire ; il ne faut pas s’acharner en revanche, selon moi, à faire de la formation continue, mieux vaut « up-skiller » des technicités venues du monde de l’entreprise. Enfin, nous ne sous-estimons pas l’importance de la réserve, composée de professionnels qui ont envie de nous apporter leur expertise – celle-ci est à portée de nos armées, reste à organiser la rencontre optimale de l’offre et de la demande.

La réforme de la réserve cyber est engagée depuis un an : elle n’est pas une réserve de non emploi, en attente du Pearl Harbour cyber, elle est sollicitée au quotidien, y compris dans les structures opérationnelles, car ces réservistes sont dépositaires d’expertises que nous n’avons pas. Cela n’est pas facile à mettre en oeuvre mais nous nous y attelons.

M. Jérôme Bascher. – Vous avez beaucoup parlé de cyber défense, le ministère ayant pris l’habitude de ce terme. Je pense quant à moi aux cyber attaques, on a vu ce qu’il en était avec les Iraniens ou les Américains… Travaillez-vous sur les cyber combattants, afin d’éviter une ligne Maginot du numérique ? Formez-vous le personnel cyber combattant, comme autrefois les conducteurs de chars : avez-vous pris le virage ? Utilisez-vous pleinement les dispositions que le législateur vous a données en termes d’achat, par rapport au code des marchés publics, non seulement pour les forces spéciales, mais aussi pour le numérique, car les appels d’offre sont si lents qu’à leur achèvement, la technologie achetée est dépassée !

Mme Viviane Artigalas. – Vous avez évoqué l’évolution technologique. Le futur déploiement de la 5G peut avoir une grande importance pour vos activités. Il s’accompagnera d’évolution dans les structures des réseaux de télécommunications. Votre stratégie de cloud robuste s’appuiera sur un opérateur de confiance. Utiliserez-vous un système complètement dédié pour transmettre les flux de données (et quel en est le coût) ou préférerez-vous les réseaux ouverts, dans le cadre d’un abonnement peut-être, avec un niveau de sécurité amélioré ?

M. Rachel Mazuir. – Aujourd’hui les écoles d’État ont un taux de remplissage de 70% seulement. C’est un problème de fond. Votre démarche me semble intéressante. Dans l’Ain, nous avons un centre de météorologie qui semble employer de nombreux civils, et ceux-ci se reclassent ensuite facilement. Que vous apporte la 5G dans vos démarches extérieures ? Un schéma vertical de chiffrement sera possible, il intéresse aussi les entreprises.

M. Franck Montaugé, président. – Les armées françaises pourraient utiliser un cloud sécurisé opéré par Thales : Microsoft en est partie prenante, de manière non négligeable. Comment avez-vous appréhendé cette situation, et le risque induit, surtout après l’adoption du Cloud act ?

Général François Lecointre. – Nous sommes susceptibles dès aujourd’hui de lancer des cyber attaques sur le champ de bataille, pour neutraliser un adversaire ; et nous nous préparons à agir dans le champ cyber – nous serons prêts lorsque le politique nous le demandera. Je vous rappelle que le ministère de la défense est devenu ministère des armées, ce qui illustre la dimension offensive.

Je n’ai guère de compétence sur le code des marchés publics…

Général Olivier Bonnet de Paillerets. – Utilisons-nous suffisamment les régimes que vous évoquez ? Sans doute pas, mais nous les utilisons. Tout l’effort fait avec la DGA consiste précisément à revoir la relation entre le besoin opérationnel et la réponse programmatique – qui n’est pas synchronisée dans le monde cyber, c’est certain. Nous mettons en place des mécanismes qui permettent à la DGA d’intervenir en maîtrise d’oeuvre et non seulement en maîtrise d’ouvrage, donc avec une ingénierie propre, capable d’innover sur les réseaux du Comcyber : cela nous donne une vraie souveraineté de développement, même en adaptation de ce qui existe dans le public, mais en en maîtrisant les codes. C’est fondamental. Nous permettrons aussi dans l’avenir à des entreprises d’accéder à une partie de nos données pour faire de l’expérimentation sur nos besoins : il s’agit là encore d’une souveraineté autour de l’innovation adaptée aux opérations militaires. Ce n’est pas tant aux règles des marchés publics qu’il faut déroger, mais aux processus actuels. La DGA lance des défis, injecte par ce biais de l’argent dans les entreprises pour la recherche-développement ou pour parvenir rapidement à la preuve de concept, en six mois, temps acceptable pour la cyber défense. Nous multiplions les process pour répondre au temps court, au temps moyen, au temps long.

Sur la 5G, j’ai réuni des réservistes spécialistes, auxquels j’ai demandé de nous dire en quoi la 5G va modifier la cyber défense. La relation entre le monde de l’expertise et le monde militaire est indispensable pour préparer une réponse aux questions stratégiques.

Général Jean-Jacques Pellerin. – La 5G va faire évoluer l’environnement. On se souvient comment la Tour Eiffel fut équipée par les premiers transmetteurs : les armées étaient en avance ! Aujourd’hui, c’est le monde civil qui tire la défense, mais les militaires sont vigilants pour préparer l’utilisation des nouvelles technologies à des fins de défense. La 5G pourra être utilisée au niveau tactique, et sur le théâtre national, pour Vigipirate par exemple. C’est un domaine maîtrisé et maîtrisable, et nous aurons le temps de nous adapter, dès lors que la technologie existante, la 4G, satisfait les besoins actuels.

Quant au cloud, nous avons entamé une réflexion sur ce qui pourrait être fait et à quel coût. Cloud n’est pas synonyme de « ouvert ». Nous avons identifié trois niveaux de cloud : privé, correspondant à des éléments actifs qui seraient maîtrisés par la Dirisi ; dédié, accessible à un opérateur de confiance ; et celui accessible à un opérateur plus public. Les données transiteraient sur l’un ou l’autre niveau selon le niveau de confidentialité et selon les besoins.

Thales s’est allié à Microsoft pour présenter une offre de cloud. C’est une proposition qu’ils nous font. Nous réfléchissons sur la pertinence de nous orienter vers cette technologie. Il faudra en tout état de cause faire une analyse de la valeur et savoir si le cloud, qui paraît effectivement une voie d’avenir, est la meilleure réponse aux besoins.

M. Jérôme Bascher. – Le numérique ne peut-il être une nouvelle composante de la dissuasion ?

Général François Lecointre. – J’ai en charge la planification des frappes et la validation des plans de frappe par le Président de la République. La destruction garantie par l’arme nucléaire en fait un outil de dissuasion extra-ordinaire. Je n’identifie pas de capacité numérique susceptible de provoquer autant de dégâts…

M. Rachel Mazuir. – Pour l’opinion publique, le numérique, c’est la guerre dans les étoiles. N’accrédite-on pas l’idée que des robots s’en chargeront, et que plus personne ne sera confronté aux dégâts ? Pourtant, une cyber attaque peut neutraliser les ambulances britanniques, on l’a vu, ou arrêter un pacemaker, Dick Cheney avait été sensibilisé à cela. La cyber guerre ne se passera ni au cinéma, ni dans les étoiles, pourtant rares sont les personnes aujourd’hui qui imaginent le danger numérique, considérable.

Général François Lecointre. – Nous intégrons dans les scénarios des attaques dans le domaine cyber ou sur des systèmes très numérisés. Un adversaire par définition peu scrupuleux agirait sur tous les champs, y compris les réseaux et les transmissions, mais aussi les hôpitaux, les aéroports, etc. Ce ne serait pas l’équivalent d’une attaque nucléaire. Mais les militaires, eux, le savent : la guerre fait mal aux hommes.

M. Franck Montaugé, président. – Nous vous remercions de cette contribution.