Entretien exclusif : vice amiral Arnaud Coustillière, officier général « cyberdéfense » à l’état-major des armées
Aujourd’hui, en 2015, quelles types de cybermenaces vous inquiètent le plus pour la sécurité des intérêts français ? Le cyberterrorisme d’un groupe comme Daesh est-il plus inquiétant que le cyberespionnage par des puissances étrangères de certains sites stratégiques par exemple ?
Le groupe que vous évoquez ne dispose pas de techniques et de moyens suffisamment évolués pour nous inquiéter. Ils font de la propagande. Ils doivent garantir leur survie en priorité. En outre le cyberterrorisme n’est pas semble t‑il leur mode de fonctionnement. Un Cyber-11septembre ne viendra pas d’eux s’il doit arriver un jour. Le plus dangereux à mes yeux, ce sont les ambitions des nations ou de groupes comme l’Armée Syrienne électronique voire d’associations de type verts radicaux libertaires. Ce qui pourrait nous inquiéter ce sont d’éventuels rapprochements entre groupes. Pour ce qui est du vol d’informations par des moyens cyber, c’est une des missions de l’ANSSI avec le DPSD du Ministère de la Défense de protéger les entreprises et leur patrimoine « sensible ».
Quels chiffres clés pouvez-vous confirmer concernant la cyberdéfense française ?
Le ministère compte actuellement une population de 22 000 personnes pour traiter des problèmes de cyber défense, dont 1200 relèvent directement d’opérations liées à la cyber-défense. A l’horizon 2018, via le plan de renforcement actuel, ces effectifs passeront à 1600 personnes. Sur ces 1600, 1200 seront concernées par des missions de cyber-protection, homologation, prévention… Pour les 400 restants, ce seront davantage des postes d’experts et d’analystes de la chaîne de cyberdéfense. Mais attention la cybersécurité et l’informatique couvrent tous les services du Ministère de la Défense, ces chiffres sont donc compliqués a expliquer dans leur ventilation.
Arnaud Coustillière, officier général « cyberdéfense » à l’état-major des armées
Au plan organisationnel, comment va évoluer l’organigramme de la cyberdéfense en France ?
J’ai à mon état-major une dizaine de personnes. Notre bras armé spécialisé, c’est le CALID (Centre d’analyse et de lutte informatique défensive) qui emploie aujourd’hui une soixantaine de personnes. Il évoluera et sera supérieur à 130 d’ici 2019. Le CALID a des correspondants, les SOC-DIRISI qui passeront de 17 hommes à 30 à l’horizon 2016. Ces SOC-DIRISI constituent des relais auprès de toutes les armées sur l’ensemble du pays. Les centre de cyberprotection des armées (CCPA) homologuent, pilotent, appuient et contrôlent les SI des armées. De plus, chaque armée dispose d’un SOC plus vertical propre à ses problématiques pour nous rapporter leurs informations. En outre, l’Armée de terre a la charge d’une compagnie Cybernétique (120 cyber-fantassins dont 80 % appartiennent à l’Armée de Terre) qui doit ramener au CALID les informations directement issues d’un théâtre d’opérations notamment à l’étranger (exposition à Internet face aux attaquants par exemple). Précisons que dans la Marine, pour un sous-marin les opérations sont traitées par des bases à terre également surveillées par le CALID.
Où situez-vous le niveau de notre cyber-défense face aux autres forces militaires cyber dans le monde ?
Il ne faut pas avoir une vision trop conventionnelle de la cyberdéfense. La question c’est dans quel état de préparation serons-nous au moment d’une cyber-attaque ? Nous devançons les pays d’Europe du sud et restons supérieurs à beaucoup de pays européens. Peut-être que les Anglais et quelques pays du nord — je pense à la Hollande au Danemark marquent quelques avantages – mais la France occupe une place de choix. Notre supériorité tient autant aux hommes et moyens qu’aux évolutions réglementaires : le Livre blanc de la défense nationale en 2008, un ensemble de décisions prises au bon moment après Stuxnet en 2010 et 2011 après les problèmes rencontrés suite aux cybermenaces sur Bercy et Areva. Enfin, en 2013, le Livre Blanc deuxième édition est publié suite notamment aux rapports de parlementaires.
Il y a eu la création de l’ANSSI en 2009 aussi…
Oui cette agence est dotée d’un budget de 90 millions d’euros. A sa création en 2009, elle disposait de 120 personnes. 550 collaborateurs l’ont rejoint depuis. Elle joue un rôle stratégique notamment en cybersécurité auprès des OIV (Opérateurs d’importance vitale). J’ajoute que le budget du Ministère de la Défense propre à la Cyberdéfense vient de recevoir un milliard d’euros supplémentaire. Au total, ce budget au plan prévisionnel aura été multiplié par trois entre 2014 et 2019 pour la LPM. Au Ministère de l’Intérieur, récemment un « cyber-préfet » a été nommé pour mettre en place les mesures liées au plan d’investissement d’avenir ainsi que les obligations légales liées à la LPM (Loi de programmation militaire). Un autre plan, le plan d’investissement d’avenir contribue aussi au renforcement des lignes cyber-défense. Bref nous sommes équipés.
La LPM contraint les OIV à une mise à niveau en matière de cybersécurité mais « oublie » les autres acteurs : partenaires, sous traitants, fournisseurs… qui constituent en matière de cybersécurité souvent un maillon faible …
Vous avez raison mais c’est un début dans la mise à niveau des entreprises en cybersécurité. Les notions de qualification et de labellisation mises en place par l’ANSSI participent également à cette prise de conscience générale. Que de grands OIV comme La Poste, EDF… achètent des solutions de sécurité, cela a un effet d’entraînement non négligeable pour un éco système. Il faut que nos entreprises et industriels en profitent.
Pourquoi faut-il publier des lois pour contraindre à davantage de cyber-sécurité des organisations sensibles telles que des OIV ?
Le monde évolue il faut se sécuriser davantage. L’État est obligé de réguler si les prises de conscience ne sont pas prêtes dans les faits. L’autre mission de l’État c’est aussi via l’ANSSI de publier des guides destinés aux PME /PMI par exemple. La labellisation des produits est aussi un gage de confiance. Cela dit, les mentalités évoluent. Des associations professionnelles telles que le MEDEF, les maires de France, les Régions se mobilisent de plus en plus. C’est important. Je suis convaincu qu’il ne peut exister de prise de conscience sans messages martelés. Certaines régions sont naturellement placées au cœur de la doctrine cyber comme en Bretagne et dans le Var avec Toulon et la flotte française. Les députés « locaux » sont extrêmement sensibilisés. Avec la région Bretagne un pacte d’avenir de la Région a été signé ainsi qu’un pacte cyber. Ces engagements ont été signés à partir de la Bretagne mais pas uniquement pour cette région, d’autres suivront.
Qu’est ce que le pacte cyber-défense ?
Le Pacte Cyber Défense recense 50 mesures pour changer les mentalités vis à vis de la cyberdéfense. L’un des outils de ce pacte c’est la mise en place d’un Pôle de compétence Cyber. En Bretagne quatre pôles existent : R&D DGA_MI (ancien CELAR) 400 ingénieurs de haut niveau dés 2017 et des renforcements à venir, Quartier de la Maletière (deux compagnies guerre électronique et cyberdéfense et l’antenne du CALID en Bretagne avec 50 personnes). Sur Cesson-Sévigné, formation et instruction sont à l’honneur avec l’école de transmission de l’armée de Terre inter-armées en lien avec les autres écoles Télécoms Bretagne, universités… Dernier Pôle, Saint-Cyr Coëtquidan, un centre de formation avec une chaire Master également dédié aux exercices avec la collaboration de la société DCI. Toujours en Bretagne, un club a été créé avec des entreprises partenaires à Brest, Laval… notamment pour participer à la formation. Un catalogue important existe pour le Pole Excellence Formation en Bretagne. A Toulon des initiatives existent aussi. A Toulouse un colloque récent « cybersécurité et territoire » a réunit beaucoup d’associations et entreprises.
Vous évoquez la Marine nationale. Un colloque récent s’est tenu à Paris sur Cybersécurité en environnement maritime. La plupart des bâtiments sont des systèmes embarqués au plan informatique avec des systèmes d’automatismes industriels de type SCADA encore peu sécurisés mais stratégiques pour le fonctionnement et la sécurité des bateaux. Doit-on redouter des cyber-menaces précises pour les bâtiments de la Marine, leurs systèmes de communication et navigation comme AIS ?
S’il est vrai que les architectures SCADA offrent de trop nombreuses vulnérabilités, ce n’ est pas le cas sur nos bateaux. Les automatismes ont été les parents pauvres de la sécurité. Les automaticiens vont évoluer. Nous finançons beaucoup de travaux à hauteur de 9 millions d’euros pour sécuriser des SCADAS avec des investissements auprès d’acteurs français.Des sondes dédiées aux architectures SCADA vont apparaître. Cela dit pour faire une attaque sur des SCADA il faut une certaine culture technique.Quant à AIS, c’est un système public et nous disposons d’autres solutions plus sécurisées. Les militaires ne sont pas obligés d’utiliser l’AIS. Nous avons notre propre réseau bien évidemment avec des systèmes chiffrés compatibles avec les paramètres de l’OTAN.
(lire aussi au sujet de SCADA )
On sait aujourd’hui qu’il n’existe pas de conflit sans cyber-conflit en parallèle. En matière de Cyberdéfense, existent comme dans toutes les doctrines militaires des volets défensifs et des volets offensifs. Vous n’évoquez pas les cyber-armes dont disposent vos cyber-troupes. Au delà de la discrétion normale pour ce type de sujet, pouvez-vous préciser sur quelle cyber-force de dissuasion avec quels moyens la cyberdéfense française repose ?
Il y a un effort de formation et de sémantique à faire. Le mot attaque par exemple ou le mot guerre sont souvent mal employés tout comme les degrés d’attaques. Nous proposons des schémas d’attaques en pénétration du vert au rouge du défacement aux cyber-attaques étatiques très ciblées avec des impacts plus ou moins importants sur l’opinion publique ou des OIV. Il faut distinguer la cyberguerre de communication de la cyberguerre étatique. Il faut expliquer en fonction du niveau de gravité les nuances. Vu de l’extérieur ça peut sembler complexe d’autant que la Cyberdéfense touche aux intérêts de la Nation. C’est aussi ce qui nous distingue de l’ANSSI plus en charge des attaques sur les entreprises.
Parfois les missions de l’ANSSI peuvent concernées des acteurs qui relèvent aussi de votre compétence, notamment lorsqu’il s’agit d’OIV stratégiques pour la nation…
Oui bien sur. Dans ce cas, nous savons établir une coordination efficace. Mais la tête de chaîne c’est l’ANSSI. En revanche l’aide a un industriel attaqué çà peut être le DPSD, l’ANSSI et Nous. Ça dépend où se place la cyber-menace dans de l’échelle géographique entre autres.
En 2007, des stations radars ont été neutralisées par Israël pour mener à bien une mission avec ses avions de chasse en territoires ennemis. Les forces de cyberdéfense françaises peuvent elles aussi mener de telles missions. Est-ce déja arrivé ?
Le Livre Blanc annonce une capacité offensive possible. Le cybersespace est un espace comme un autre entre attaquants et défenseurs. L’effet final d’une mission « radar » existe toujours. Le ciblage intègre des opérations de ce genre. Toutefois, en 2015, il faut tenir compte des durcissements des systèmes radar. Première mission pour moi : les capacités offensives servent en cas d’attaques majeures sur l’État Français. Elles peuvent servir a caractériser et identifier l’attaquant. Deuxième mission : elles accompagnent les opérations militaires.
Ce qui signifie…
La doctrine Française est connue. Les capacités offensives relèvent du Ministère de la Défense : « face aux agressions informatiques pouvant menacer les intérêts stratégiques de la France la doctrine préconise de renforcer sa posture défensive sous l’autorité du Premier ministre et avec le soutien de l’ensemble des ministères et en particulier en donnant un rôle central à l’ANSSI. Si l’attaque est considérée comme menaçant les intérêts stratégiques du pays, la France peut répondre par tous moyens a sa disposition » Il n y a pas que la réponse informatique.
C’est un peu en opposition avec la mission confiée à la Cyber-armée que vous dirigez ?
Non la future guerre est globale. Regardez l’affaire Sony. Obama est intervenu. Des choses cachées sont peut être a l’origine d’une « affaire publique ». J’ai une campagne avec des attaques informatique il ne faut pas forcément répondre par une riposte informatique. Un réseau électrique interrompu est-ce une attaque informatique ? Il faut donc enquêter et éventuellement donner un avertissement mais ce n’est pas une riposte. Et si la riposte doit se faire ce n’est pas forcément via des cyber-armes. Le volet non cynétique est important. L’arme informatique est une options complémentaire sur la palette traditionnelle. Le ministre dit qu’une 4eme armée cyber est un nouvel espace de combat au coeur des armées dans une logique de « forces spéciales ».
Celà dit STUXNET et d’autres sont des cyber missile militaires, vous ne pouvez le nier. Combien de Stuxnet Français existent en 2015 ?
Pour Nous çà relève du Ministère de la Défense et c’est une arme. La cyber-arme a une particularité c’est que le jour ou elle est utilisée elle appartient à la communauté. Car elle devient connue. Comme pour les vulnérabilité on en a besoin. Une arme informatique c’est un vecteur et c’est une charge. Pour concevoir un cyber-missile il faut savoir par ou il doit passer. Des entreprises se spécialisent sur ce type de commerce. Certaines sont parfois « border line » à mes yeux et l’État peut afficher sa méfiance vis à vis de certaines pratiques privées dans le commerce des vulnérabilités.
Quelles leçons tirez-vous des exercices DEFNET ?
Nos objectifs sont dépassés, je suis donc très satisfait. Nous capitalisons sur les infrastructures mises en place par cet événement. A chaque fois nous franchissions une marche c’est le début d’un chemin. DEFNET 2015 a la différence de DEFNET 2014 c’est une cellule de crise avec moins de simulation d’environnement extérieurs mais davantage de cellules de crise. Les forces terrestres ont joué un rôle important tout comme la réserve opérationnelle. Trois gros TP a des endroits différents et des écoles différentes ont participé à des cyber-scénarios. Trois types de formation différentes pour trois exercices différents. Les différences de culture entre école est un élément intéressant. Pour DEFNET 2016, un cycle d’exercice plus orientés OTAN se fera notamment avec des centres d’excellence en Estonie. Différentes équipes françaises participeront dont le CALID et DIRISI. Une autre exercice Cybercoalition va se tenir aussi ainsi que le PIRANET de l’ANSSI.
Dernière question : quelle est celle que vous auriez aimé que je vous pose ?
Mes projets prioritaires pour 2016 peut être. Ma réponse c’est de faire avancer le chantier de la politique RH globale en matière de cyberdéfense. Comment opérer dans le cyberespace par exemple ? Se protéger, se défendre, agir, se renseigner. Des métiers classiques a définir dans la cyber-armée a partir des autres armées.