Entretien d’un officier général « cyberdéfense » à l’état-major des armées en France

Une arme informatique c'est un vecteur et c'est une charge. Pour concevoir un cyber-missile il faut savoir par ou il doit passer. Des entreprises se spécialisent sur ce type de commerce...

Entre­tien exclu­sif : vice ami­ral Arnaud Cous­tillière, offi­cier géné­ral « cyber­dé­fense » à l’état-major des armées

-606.jpg

Aujourd’­hui, en 2015, quelles types de cyber­me­naces vous inquiètent le plus pour la sécu­ri­té des inté­rêts fran­çais ? Le cyber­ter­ro­risme d’un groupe comme Daesh est-il plus inquié­tant que le cybe­res­pion­nage par des puis­sances étran­gères de cer­tains sites stra­té­giques par exemple ?

Le groupe que vous évo­quez ne dis­pose pas de tech­niques et de moyens suf­fi­sam­ment évo­lués pour nous inquié­ter. Ils font de la pro­pa­gande. Ils doivent garan­tir leur sur­vie en prio­ri­té. En outre le cyber­ter­ro­risme n’est pas semble t‑il leur mode de fonc­tion­ne­ment. Un Cyber-11sep­tembre ne vien­dra pas d’eux s’il doit arri­ver un jour. Le plus dan­ge­reux à mes yeux, ce sont les ambi­tions des nations ou de groupes comme l’Ar­mée Syrienne élec­tro­nique voire d’as­so­cia­tions de type verts radi­caux liber­taires. Ce qui pour­rait nous inquié­ter ce sont d’é­ven­tuels rap­pro­che­ments entre groupes. Pour ce qui est du vol d’in­for­ma­tions par des moyens cyber, c’est une des mis­sions de l’ANSSI avec le DPSD du Minis­tère de la Défense de pro­té­ger les entre­prises et leur patri­moine « sen­sible ».

Quels chiffres clés pou­vez-vous confir­mer concer­nant la cyber­dé­fense fran­çaise ?

Le minis­tère compte actuel­le­ment une popu­la­tion de 22 000 per­sonnes pour trai­ter des pro­blèmes de cyber défense, dont 1200 relèvent direc­te­ment d’o­pé­ra­tions liées à la cyber-défense. A l’ho­ri­zon 2018, via le plan de ren­for­ce­ment actuel, ces effec­tifs pas­se­ront à 1600 per­sonnes. Sur ces 1600, 1200 seront concer­nées par des mis­sions de cyber-pro­tec­tion, homo­lo­ga­tion, pré­ven­tion… Pour les 400 res­tants, ce seront davan­tage des postes d’ex­perts et d’a­na­lystes de la chaîne de cyber­dé­fense. Mais atten­tion la cyber­sé­cu­ri­té et l’in­for­ma­tique couvrent tous les ser­vices du Minis­tère de la Défense, ces chiffres sont donc com­pli­qués a expli­quer dans leur ven­ti­la­tion.

Au plan orga­ni­sa­tion­nel, com­ment va évo­luer l’organigramme de la cyber­dé­fense en France ?

J’ai à mon état-major une dizaine de per­sonnes. Notre bras armé spé­cia­li­sé, c’est le CALID (Centre d’a­na­lyse et de lutte infor­ma­tique défen­sive) qui emploie aujourd’­hui une soixan­taine de per­sonnes. Il évo­lue­ra et sera supé­rieur à 130 d’i­ci 2019. Le CALID a des cor­res­pon­dants, les SOC-DIRISI qui pas­se­ront de 17 hommes à 30 à l’ho­ri­zon 2016. Ces SOC-DIRISI consti­tuent des relais auprès de toutes les armées sur l’en­semble du pays. Les centre de cyber­pro­tec­tion des armées (CCPA) homo­loguent, pilotent, appuient et contrôlent les SI des armées. De plus, chaque armée dis­pose d’un SOC plus ver­ti­cal propre à ses pro­blé­ma­tiques pour nous rap­por­ter leurs infor­ma­tions. En outre, l’Ar­mée de terre a la charge d’une com­pa­gnie Cyber­né­tique (120 cyber-fan­tas­sins dont 80 % appar­tiennent à l’Ar­mée de Terre) qui doit rame­ner au CALID les infor­ma­tions direc­te­ment issues d’un théâtre d’o­pé­ra­tions notam­ment à l’é­tran­ger (expo­si­tion à Inter­net face aux atta­quants par exemple). Pré­ci­sons que dans la Marine, pour un sous-marin les opé­ra­tions sont trai­tées par des bases à terre éga­le­ment sur­veillées par le CALID.

Où situez-vous le niveau de notre cyber-défense face aux autres forces mili­taires cyber dans le monde ?

Il ne faut pas avoir une vision trop conven­tion­nelle de la cyber­dé­fense. La ques­tion c’est dans quel état de pré­pa­ra­tion serons-nous au moment d’une cyber-attaque ? Nous devan­çons les pays d’Eu­rope du sud et res­tons supé­rieurs à beau­coup de pays euro­péens. Peut-être que les Anglais et quelques pays du nord — je pense à la Hol­lande au Dane­mark marquent quelques avan­tages – mais la France occupe une place de choix. Notre supé­rio­ri­té tient autant aux hommes et moyens qu’aux évo­lu­tions régle­men­taires : le Livre blanc de la défense natio­nale en 2008, un ensemble de déci­sions prises au bon moment après Stux­net en 2010 et 2011 après les pro­blèmes ren­con­trés suite aux cyber­me­naces sur Ber­cy et Are­va. Enfin, en 2013, le Livre Blanc deuxième édi­tion est publié suite notam­ment aux rap­ports de par­le­men­taires.

-607.jpg

Il y a eu la créa­tion de l’ANS­SI en 2009 aus­si…

Oui cette agence est dotée d’un bud­get de 90 mil­lions d’eu­ros. A sa créa­tion en 2009, elle dis­po­sait de 120 per­sonnes. 550 col­la­bo­ra­teurs l’ont rejoint depuis. Elle joue un rôle stra­té­gique notam­ment en cyber­sé­cu­ri­té auprès des OIV (Opé­ra­teurs d’im­por­tance vitale). J’a­joute que le bud­get du Minis­tère de la Défense propre à la Cyber­dé­fense vient de rece­voir un mil­liard d’eu­ros sup­plé­men­taire. Au total, ce bud­get au plan pré­vi­sion­nel aura été mul­ti­plié par trois entre 2014 et 2019 pour la LPM. Au Minis­tère de l’In­té­rieur, récem­ment un « cyber-pré­fet » a été nom­mé pour mettre en place les mesures liées au plan d’in­ves­tis­se­ment d’a­ve­nir ain­si que les obli­ga­tions légales liées à la LPM (Loi de pro­gram­ma­tion mili­taire). Un autre plan, le plan d’in­ves­tis­se­ment d’a­ve­nir contri­bue aus­si au ren­for­ce­ment des lignes cyber-défense. Bref nous sommes équi­pés.

La LPM contraint les OIV à une mise à niveau en matière de cyber­sé­cu­ri­té mais « oublie » les autres acteurs : par­te­naires, sous trai­tants, four­nis­seurs… qui consti­tuent en matière de cyber­sé­cu­ri­té sou­vent un maillon faible …

Vous avez rai­son mais c’est un début dans la mise à niveau des entre­prises en cyber­sé­cu­ri­té. Les notions de qua­li­fi­ca­tion et de label­li­sa­tion mises en place par l’ANS­SI par­ti­cipent éga­le­ment à cette prise de conscience géné­rale. Que de grands OIV comme La Poste, EDF… achètent des solu­tions de sécu­ri­té, cela a un effet d’entraînement non négli­geable pour un éco sys­tème. Il faut que nos entre­prises et indus­triels en pro­fitent.

Pour­quoi faut-il publier des lois pour contraindre à davan­tage de cyber-sécu­ri­té des orga­ni­sa­tions sen­sibles telles que des OIV ?

Le monde évo­lue il faut se sécu­ri­ser davan­tage. L’État est obli­gé de régu­ler si les prises de conscience ne sont pas prêtes dans les faits. L’autre mis­sion de l’État c’est aus­si via l’ANS­SI de publier des guides des­ti­nés aux PME /PMI par exemple. La label­li­sa­tion des pro­duits est aus­si un gage de confiance. Cela dit, les men­ta­li­tés évo­luent. Des asso­cia­tions pro­fes­sion­nelles telles que le MEDEF, les maires de France, les Régions se mobi­lisent de plus en plus. C’est impor­tant. Je suis convain­cu qu’il ne peut exis­ter de prise de conscience sans mes­sages mar­te­lés. Cer­taines régions sont natu­rel­le­ment pla­cées au cœur de la doc­trine cyber comme en Bre­tagne et dans le Var avec Tou­lon et la flotte fran­çaise. Les dépu­tés « locaux » sont extrê­me­ment sen­si­bi­li­sés. Avec la région Bre­tagne un pacte d’a­ve­nir de la Région a été signé ain­si qu’un pacte cyber. Ces enga­ge­ments ont été signés à par­tir de la Bre­tagne mais pas uni­que­ment pour cette région, d’autres sui­vront.

Qu’est ce que le pacte cyber-défense ?

Le Pacte Cyber Défense recense 50 mesures pour chan­ger les men­ta­li­tés vis à vis de la cyber­dé­fense. L’un des outils de ce pacte c’est la mise en place d’un Pôle de com­pé­tence Cyber. En Bre­tagne quatre pôles existent : R&D DGA_MI (ancien CELAR) 400 ingé­nieurs de haut niveau dés 2017 et des ren­for­ce­ments à venir, Quar­tier de la Male­tière (deux com­pa­gnies guerre élec­tro­nique et cyber­dé­fense et l’an­tenne du CALID en Bre­tagne avec 50 per­sonnes). Sur Ces­son-Sévi­gné, for­ma­tion et ins­truc­tion sont à l’hon­neur avec l’é­cole de trans­mis­sion de l’ar­mée de Terre inter-armées en lien avec les autres écoles Télé­coms Bre­tagne, uni­ver­si­tés… Der­nier Pôle, Saint-Cyr Coët­qui­dan, un centre de for­ma­tion avec une chaire Mas­ter éga­le­ment dédié aux exer­cices avec la col­la­bo­ra­tion de la socié­té DCI. Tou­jours en Bre­tagne, un club a été créé avec des entre­prises par­te­naires à Brest, Laval… notam­ment pour par­ti­ci­per à la for­ma­tion. Un cata­logue impor­tant existe pour le Pole Excel­lence For­ma­tion en Bre­tagne. A Tou­lon des ini­tia­tives existent aus­si. A Tou­louse un col­loque récent « cyber­sé­cu­ri­té et ter­ri­toire » a réunit beau­coup d’as­so­cia­tions et entre­prises.

Vous évo­quez la Marine natio­nale. Un col­loque récent s’est tenu à Paris sur Cyber­sé­cu­ri­té en envi­ron­ne­ment mari­time. La plu­part des bâti­ments sont des sys­tèmes embar­qués au plan infor­ma­tique avec des sys­tèmes d’au­to­ma­tismes indus­triels de type SCADA encore peu sécu­ri­sés mais stra­té­giques pour le fonc­tion­ne­ment et la sécu­ri­té des bateaux. Doit-on redou­ter des cyber-menaces pré­cises pour les bâti­ments de la Marine, leurs sys­tèmes de com­mu­ni­ca­tion et navi­ga­tion comme AIS ?

S’il est vrai que les archi­tec­tures SCADA offrent de trop nom­breuses vul­né­ra­bi­li­tés, ce n’ est pas le cas sur nos bateaux. Les auto­ma­tismes ont été les parents pauvres de la sécu­ri­té. Les auto­ma­ti­ciens vont évo­luer. Nous finan­çons beau­coup de tra­vaux à hau­teur de 9 mil­lions d’eu­ros pour sécu­ri­ser des SCADAS avec des inves­tis­se­ments auprès d’ac­teurs français.Des sondes dédiées aux archi­tec­tures SCADA vont appa­raître. Cela dit pour faire une attaque sur des SCADA il faut une cer­taine culture technique.Quant à AIS, c’est un sys­tème public et nous dis­po­sons d’autres solu­tions plus sécu­ri­sées. Les mili­taires ne sont pas obli­gés d’u­ti­li­ser l’AIS. Nous avons notre propre réseau bien évi­dem­ment avec des sys­tèmes chif­frés com­pa­tibles avec les para­mètres de l’O­TAN.

-608.jpg
(lire aus­si au sujet de SCADA )

On sait aujourd’­hui qu’il n’existe pas de conflit sans cyber-conflit en paral­lèle. En matière de Cyber­dé­fense, existent comme dans toutes les doc­trines mili­taires des volets défen­sifs et des volets offen­sifs. Vous n’é­vo­quez pas les cyber-armes dont dis­posent vos cyber-troupes. Au delà de la dis­cré­tion nor­male pour ce type de sujet, pou­vez-vous pré­ci­ser sur quelle cyber-force de dis­sua­sion avec quels moyens la cyber­dé­fense fran­çaise repose ?

Il y a un effort de for­ma­tion et de séman­tique à faire. Le mot attaque par exemple ou le mot guerre sont sou­vent mal employés tout comme les degrés d’at­taques. Nous pro­po­sons des sché­mas d’at­taques en péné­tra­tion du vert au rouge du défa­ce­ment aux cyber-attaques éta­tiques très ciblées avec des impacts plus ou moins impor­tants sur l’o­pi­nion publique ou des OIV. Il faut dis­tin­guer la cyber­guerre de com­mu­ni­ca­tion de la cyber­guerre éta­tique. Il faut expli­quer en fonc­tion du niveau de gra­vi­té les nuances. Vu de l’ex­té­rieur ça peut sem­bler com­plexe d’au­tant que la Cyber­dé­fense touche aux inté­rêts de la Nation. C’est aus­si ce qui nous dis­tingue de l’ANS­SI plus en charge des attaques sur les entre­prises.

Par­fois les mis­sions de l’ANS­SI peuvent concer­nées des acteurs qui relèvent aus­si de votre com­pé­tence, notam­ment lors­qu’il s’a­git d’OIV stra­té­giques pour la nation…

Oui bien sur. Dans ce cas, nous savons éta­blir une coor­di­na­tion effi­cace. Mais la tête de chaîne c’est l’ANS­SI. En revanche l’aide a un indus­triel atta­qué çà peut être le DPSD, l’ANS­SI et Nous. Ça dépend où se place la cyber-menace dans de l’é­chelle géo­gra­phique entre autres.

En 2007, des sta­tions radars ont été neu­tra­li­sées par Israël pour mener à bien une mis­sion avec ses avions de chasse en ter­ri­toires enne­mis. Les forces de cyber­dé­fense fran­çaises peuvent elles aus­si mener de telles mis­sions. Est-ce déja arri­vé ?

Le Livre Blanc annonce une capa­ci­té offen­sive pos­sible. Le cyber­ses­pace est un espace comme un autre entre atta­quants et défen­seurs. L’ef­fet final d’une mis­sion « radar » existe tou­jours. Le ciblage intègre des opé­ra­tions de ce genre. Tou­te­fois, en 2015, il faut tenir compte des dur­cis­se­ments des sys­tèmes radar. Pre­mière mis­sion pour moi : les capa­ci­tés offen­sives servent en cas d’at­taques majeures sur l’État Fran­çais. Elles peuvent ser­vir a carac­té­ri­ser et iden­ti­fier l’at­ta­quant. Deuxième mis­sion : elles accom­pagnent les opé­ra­tions mili­taires.

Ce qui signi­fie…

La doc­trine Fran­çaise est connue. Les capa­ci­tés offen­sives relèvent du Minis­tère de la Défense : « face aux agres­sions infor­ma­tiques pou­vant mena­cer les inté­rêts stra­té­giques de la France la doc­trine pré­co­nise de ren­for­cer sa pos­ture défen­sive sous l’au­to­ri­té du Pre­mier ministre et avec le sou­tien de l’en­semble des minis­tères et en par­ti­cu­lier en don­nant un rôle cen­tral à l’ANS­SI. Si l’at­taque est consi­dé­rée comme mena­çant les inté­rêts stra­té­giques du pays, la France peut répondre par tous moyens a sa dis­po­si­tion » Il n y a pas que la réponse infor­ma­tique.

C’est un peu en oppo­si­tion avec la mis­sion confiée à la Cyber-armée que vous diri­gez ?

Non la future guerre est glo­bale. Regar­dez l’af­faire Sony. Oba­ma est inter­ve­nu. Des choses cachées sont peut être a l’o­ri­gine d’une « affaire publique ». J’ai une cam­pagne avec des attaques infor­ma­tique il ne faut pas for­cé­ment répondre par une riposte infor­ma­tique. Un réseau élec­trique inter­rom­pu est-ce une attaque infor­ma­tique ? Il faut donc enquê­ter et éven­tuel­le­ment don­ner un aver­tis­se­ment mais ce n’est pas une riposte. Et si la riposte doit se faire ce n’est pas for­cé­ment via des cyber-armes. Le volet non cyné­tique est impor­tant. L’arme infor­ma­tique est une options com­plé­men­taire sur la palette tra­di­tion­nelle. Le ministre dit qu’une 4eme armée cyber est un nou­vel espace de com­bat au coeur des armées dans une logique de « forces spé­ciales ».

-609.jpg

Celà dit STUXNET et d’autres sont des cyber mis­sile mili­taires, vous ne pou­vez le nier. Com­bien de Stux­net Fran­çais existent en 2015 ?

Pour Nous çà relève du Minis­tère de la Défense et c’est une arme. La cyber-arme a une par­ti­cu­la­ri­té c’est que le jour ou elle est uti­li­sée elle appar­tient à la com­mu­nau­té. Car elle devient connue. Comme pour les vul­né­ra­bi­li­té on en a besoin. Une arme infor­ma­tique c’est un vec­teur et c’est une charge. Pour conce­voir un cyber-mis­sile il faut savoir par ou il doit pas­ser. Des entre­prises se spé­cia­lisent sur ce type de com­merce. Cer­taines sont par­fois « bor­der line » à mes yeux et l’État peut affi­cher sa méfiance vis à vis de cer­taines pra­tiques pri­vées dans le com­merce des vul­né­ra­bi­li­tés.

Quelles leçons tirez-vous des exer­cices DEFNET ?

Nos objec­tifs sont dépas­sés, je suis donc très satis­fait. Nous capi­ta­li­sons sur les infra­struc­tures mises en place par cet évé­ne­ment. A chaque fois nous fran­chis­sions une marche c’est le début d’un che­min. DEFNET 2015 a la dif­fé­rence de DEFNET 2014 c’est une cel­lule de crise avec moins de simu­la­tion d’en­vi­ron­ne­ment exté­rieurs mais davan­tage de cel­lules de crise. Les forces ter­restres ont joué un rôle impor­tant tout comme la réserve opé­ra­tion­nelle. Trois gros TP a des endroits dif­fé­rents et des écoles dif­fé­rentes ont par­ti­ci­pé à des cyber-scé­na­rios. Trois types de for­ma­tion dif­fé­rentes pour trois exer­cices dif­fé­rents. Les dif­fé­rences de culture entre école est un élé­ment inté­res­sant. Pour DEFNET 2016, un cycle d’exer­cice plus orien­tés OTAN se fera notam­ment avec des centres d’ex­cel­lence en Esto­nie. Dif­fé­rentes équipes fran­çaises par­ti­ci­pe­ront dont le CALID et DIRISI. Une autre exer­cice Cyber­coa­li­tion va se tenir aus­si ain­si que le PIRANET de l’ANS­SI.

Der­nière ques­tion : quelle est celle que vous auriez aimé que je vous pose ?

Mes pro­jets prio­ri­taires pour 2016 peut être. Ma réponse c’est de faire avan­cer le chan­tier de la poli­tique RH glo­bale en matière de cyber­dé­fense. Com­ment opé­rer dans le cybe­res­pace par exemple ? Se pro­té­ger, se défendre, agir, se ren­sei­gner. Des métiers clas­siques a défi­nir dans la cyber-armée a par­tir des autres armées.

Pro­pos recueillis par Jean Phi­lippe Bichard

Source de l’ar­ticle : cybe­risques NEWS