Il y aura eu un avant et un après Conficker pour le Ministère de la Défense français. « Conficker a montré notre incapacité à gérer la crise de manière efficace. Nous avons sur-réagi, des avions ont été cloués au sol pour rien et en définitive ce n’est pas tant le ver informatique lui-même qui nous a causé des problèmes que notre réaction » , explique le contre-amiral Arnaud Coustillière, patron de la cyber-défense française. Il était l’invité jeudi dernier du Cercle Européen de la Sécurité, aux côtés du sénateur Jean-Marie Bockel.

L’amiral Coustillière n’hésite pas à citer Conficker comme étant le moment pivot qui a amorcé une évolution à marche forcée de la cyber-défense française. Evolution concrétisée l’an dernier par le vote de la Loi de Programmation Militaire 2014-2019, un texte venu formaliser la volonté de l’Etat en la matière. Depuis, les annonces du Ministre de la Défense se succèdent : moyens, recrutements, création d’un pôle de compétences cyber, volonté de créer une filière industrielle nationale en matière de cyber-défense…

Bien entendu les militaires n’ont pas attendu 2009 pour faire de la sécurité de l’information. Mais la nouveauté est la place centrale qu’occupe désormais la cyber-défense dans les forces. Il s’agit maintenant d’un composant vital des opérations militaires traditionnelles. « Si nous n’avons pas une capacité de cyber-défense qui tient la route nous n’avons pas de défense tout court » , assène le contre-amiral.

Dont acte : la cyber-défense sera désormais considérée au même titre que la protection contre les intrusions physiques, qui est de la responsabilité des officiers sur le terrain. Ainsi dans la marine nationale, par exemple, le pacha est garant de l’intégrité physique de son navire. Il dispose de procédures spécifiques et entraîne ses hommes afin qu’ils puissent en assurer la sécurité à quai comme en mer. Il devra désormais en être de même pour la cyber-sécurité. « Nous allons qualifier les hommes sur leur capacité à faire de la cyber-défense sur un navire, un avion, etc… » , confirme le contre-amiral. C’est un véritable changement de paradigme qui est entrain de s’opérer.

Souveraineté nationale

Ce changement s’illustre également dans l’orientation des actions SSI militaires. Là où la SSI militaire faisait avant tout de la protection du secret, elle doit désormais faire aussi de la protection des systèmes. Ainsi partie d’une approche plutôt statique (la crypto) c’est désormais un champs de bataille qui s’ouvre à elle : « Nous sommes passés d’une approche de maîtrise des risques SSI à une approche de combat : on a des adversaires réels, ils sont manoeuvrants, ils s’adaptent et l’on doit combattre« , résume à merveille le contre-amiral.
C’est une situation que les entreprises, elles, ne connaissent déjà que trop bien…

Evidemment le rôle de la SSI dans la protection du secret ne disparaîtra pas pour autant. En dehors des capacités cyber offensives la France à d’ailleurs défini deux axes de souveraineté en matière de cyber-défense : la cryptographie souveraine (disposer de moyens de chiffrement nationaux maîtrisés) et les sondes souveraines (des signatures / capteurs IDS spécifiques placés sur les grands réseaux et capables de voir ce que les sondes commerciales ne voient pas, et qui s’apparentent à du renseignement).

Cependant au delà des techniques la mutation vers une cyber-défense transverse se fera avant tout par les hommes. Selon l’amiral Coustillière il y avait en 2009 environ 1300 personnels au sein des forces françaises qui faisaient, à un titre ou un autre, de la SSI. « Mais c’était souvent à temps partiel et ils étaient mal formés« , reconnaît-il volontiers. Depuis 2009 l’Armée s’est donc engagée dans un programme de « recyclage » et de formation de ses personnels, en plus des recrutements annoncés (450 postes opérationnels pour le Ministère de la Défense).

Autre changement de taille : l’on parle désormais plus volontiers de volet offensif, alors que ce dernier était jusqu’à présent particulièrement tabou. La France, comme beaucoup d’autres nations de premier plan, entretien évidemment la capacité de mener des frappes cyber si elle l’estime nécessaire. « Mais le but est très différent de celui d’un pirate. L’on cherche à faire tomber exactement ce que l’on a ciblé, au moment voulu et avec les effets souhaités. Et tout cela dans le cadre strict de la loi » , précise le contre-amiral Coustillière. Et d’ajouter que l’arme cyber est désormais entrée de plain-pied dans l’arsenal français : « Lorsque l’on prépare une opération l’on effectue un ciblage. Et désormais l’on peut se poser la question d’utiliser une arme soft » .

Et l’Europe ?

Mais au delà de la France il y a l’Europe. Et au milieu de cette mutation (le cynique pourrait parler d’agitation), la place européenne se fait discrète. Cela paraît normal car l’heure est à la construction nationale. Mais après ? Quel modèle adopter ? Deux exemples s’opposent déjà : celui de l’Europe de la Défense et celui de l’industrie aéronautique.

De l’avis général l’Europe de la Défense n’est pas franchement un succès. En outre le modèle ne vise pas à défendre collectivement les pays européens (c’est le rôle de l’OTAN, qui réfléchit lui aussi à la cyber-défense des pays membres) mais plutôt à gérer ensemble les crises extérieures à l’Europe. Or une crise cyber européenne surviendrait nécessairement au coeur des territoires. Et enfin, sur le plan économique et industriel le marché de la Défense n’est que peu soluble dans celui des entreprises privées.

Le modèle aéronautique semble plus proche. On y trouve un marché fortement concurrentiel, notamment vis-à-vis des Etats-Unis, un besoin d’indépendance technologique et la nécessité de se regrouper pour être plus forts. Dans les années 90 les fusions de grands avionneurs américains ont ainsi donné le signal à la création de champions français puis européens (relire à ce sujet la saga Matra / Thomson / Aérospatiale…)

Et comme pour la cyber-défense aujourd’hui, l’impulsion de l’Etat a été décisive au décollage de cette industrie. Enfin, à l’image des technologies aéronautiques certes très utiles à la Défense mais également capables d’être vendues à l’aviation civile, une éventuelle filière industrielle européenne de cyber-défense ne sera pas limitée au seul marché de la Défense mais pourra toucher également les entreprises privées.

Toutefois, et bien que les parallèles historiques soient aisés, la situation n’est pas tout à fait la même : l’on pourrait argumenter par exemple qu’industriellement la France Gaulliste était largement plus structurée en matière d’aéronautique qu’elle ne l’est aujourd’hui en matière de cyber-défense. Pour l’heure tout reste à faire en France avant tout, même si les travaux de l’Union Européenne sur la protection des données à caractère personnel et la protection des entreprises montrent que les choses pourront (devront ?) évoluer à l’échelle européenne.

« L’Europe de la cyber-défense est juridique, peut-être technologique, mais pas encore industrielle pour l’instant » , reconnaît volontiers le sénateur Jean-Marie Bockel. Mais les volontés, elles, semblent bien là.