Pacte Défense Cyber : les axes majeurs et les actions concrètes

Comme prévu, Jean-Yves Le Drian, ministre de la Défense, a présenté vendredi les grandes lignes du « Pacte Défense Cyber », un grand plan de cyberdéfense venant se greffer à la loi de programmation militaire. Évalué à un coût d’un milliard d’euros, il sera développé sur six axes majeurs.

Cinquante actions réparties en six axes majeurs

C’est donc fait : Jean-Yves Le Drian a finalement présenté le fonctionnement et les objectifs du « Pacte Défense Cyber ». Le grand but de cette extension de la très critiquée loi de programmation militaire est de renforcer les défenses de la France face au monde mouvant des attaques en ligne. Des attaques qui peuvent viser aussi bien les particuliers que les entreprises, en passant par des réseaux cruciaux comme les banques, les services publics, les transports en commun et ainsi de suite.

Le Pacte comprend une cinquantaine d’actions réparties au sein de six axes majeurs. Le premier d’entre eux est le développement et l’usage de moyens techniques pour assurer l’autonomie de « certains produits clés ». De fait, l’action prioritaire ne sera pas étonnante puisqu’elle consiste à renforcer les défenses du ministère lui-même. Cela passera notamment par « l’acquisition et l’utilisation de produits développés ou bien maîtrisés nationalement ». L’action associée sera la mise en place d’outils présentant un niveau de sécurité élevé. Le ministère donne à titre d’exemple une tablette hautement sécurisée devant être prête d’ici à 2017. Un travail qui sera réalisé en « étroite collaboration » avec l’ANSSI (Agence nationale de la sécurité des systèmes d'information). Notez ici que jamais le texte ne mentionne les logiciels libres, et ce alors que le ministère de la Défense s'est attiré les critiques dans le cadre du contrat dit Open Bar avec Microsoft.

Une autonomie souveraine, mais sans logiciels libres

Parmi les autres mesures prévues, on notera également un travail particulier sur les outils de détection et d’intervention, un point sur lequel Jean-Yves Le Drian avait insisté il y a plusieurs semaines. Parallèlement, le chiffrement des données devient l’un des piliers du nouveau plan de cyberdéfense, et on peut noter ici une grande proximité avec les annonces récentes de grandes sociétés américaines face aux scandales révélés par Edward Snowden. La formation interne et la sensibilisation à la cybersécurité feront en outre partie intégrante du Pacte, et les agents concernés seront munis d’une identité numérique pour assurer une traçabilité continue ainsi qu’un contrôle accru des accès. Cette Carte d’Identité Professionnelle Multi-services Sécurisée (CIMS) sera mise en place d’ici l’année prochaine.

L’une des grandes modifications de ce premier axe touche l’ensemble des armées. En effet, elles devront inclure systématiquement un volet cyberdéfense de leurs exercices. Dans la pratique, cela signifie que la défense contre les cybermenaces bénéficiera toujours d’une préparation liée à chaque action, qu’il s’agisse des entrainements ou des opérations concrètes sur le terrain. Le Pacte précise d’ailleurs que la collaboration avec les alliés internationaux dans ce domaine sera encouragée.

La recherche, un enjeu désormais capital

Le deuxième axe majeur est nettement moins « basique » que le premier puisqu’il concerne la recherche. Jean-Yves Le Drian indique clairement qu’il « veut » que le ministère de la Défense « participe significativement » aux efforts dans tout ce qui touche au cyberespace. Concrètement, cela passera par une augmentation du nombre de thèses de doctorat portant sur ce domaine, notamment par un financement et un encadrement à travers des « conventions de recherche avec les laboratoires académiques ». Les écoles d’officiers disposeront d’ailleurs de chaires réservées à la cyberdéfense. Tout ce volet théorique sera d’autant plus important qu’il servira aussi de base à un renforcement des échanges avec les alliés internationaux. La France souhaite avoir sur ce point une monnaie d’échange pour profiter d’autres expertises.

Jean-Yves le Drian, ministre de la Défense

Une attention particulière sera en outre portée aux PME/PMI. Par exemple, la structuration de la filière cybersécurité continuera : recensement des entreprises de ce secteur, politique de soutien pour les stratégies de recherche et développement ou encore valorisation des produits à l’export. Il s’agira d’un échange « donnant/donnant », en fait une extension du programme RAPID (régime d’appui à l’innovation duale) qui permet d’accorder un appui à tout projet pouvant avoir des retombées aussi bien civiles que militaires, via un « fort potentiel technologique ». Enfin, l’État recrutera un nombre important d’ingénieurs de haut niveau pour renforcer les effets du centre DGA Maîtrise de l’Information, qui passera ainsi à 400 personnes d’ici 2017.

Une filière spécifique à la cybersécurité

Le troisième axe majeur est directement lié au précédent car il concerne le renforcement des « ressources humaines dédiées à la cyberdéfense » tout en mettant en place les « parcours professionnels associés ». L’axe est plus généraliste et décrit essentiellement un plan global de surveillance des besoins de chaque armée pour que les spécificités soient prises en compte. Il s’agit également de mettre en place une filière cohérente de formation à la cyberdéfense pour bâtir un véritable tronc commun capable de répondre aux exigences de tout ce qui est lié à la Défense.

La Bretagne va devenir un nouveau bassin d'emplois

L’axe suivant aura des répercussions beaucoup plus concrètes puisqu’il va consacrer la Bretagne comme terre d’accueil de tout ce qui touchera à la cyberdéfense. Le Pôle d’excellence de Rennes sera ainsi davantage développé pour répondre aux besoins d’unification et de concentration des compétences et moyens. Le Pacte indique d’ailleurs que ces mesures doivent « permettre la constitution d’un véritable bassin d’emplois « défense » en matière de cybersécurité ». Ce qui aura évidemment un impact conséquent pour l’économie de la région. Cette concentration entrainera de nouvelles synergies entre les écoles militaires et les centres d’expertise, mais également avec les écoles civiles, telles que Supelec et l’université Rennes I, et les entreprises privées quand cela est pertinent.

Tout aussi intéressant, le Pacte prévoit la mise en place d’un cursus très particulier pour former des officiers à « la conduite des opérations et à la gestion des crises cyber ». Les personnes inscrites seront formées à la « compréhension des phénomènes techniques » impliqués dans les crises. Des modules de droit, d’éthique et de relations internationales seront prévus. Le cursus sera ouvert aux officiers de toutes les armées, aux agents d’autres ministères, voire à des partenaires étrangers.

Une « vision commune des menaces » avec les alliés

Les partenaires étrangers sont justement le sujet principal du cinquième axe majeur. L'objectif ? Développer un réseau européen, dans l’Alliance Atlantique ainsi qu’au sein des zones d’intérêt stratégiques. Cela passera par une définition plus stricte de la position française pour tout ce qui touche à la cyberdéfense. Mais la France souhaite surtout mettre en place des « coopérations bilatérales » dans les domaines « opérationnels, techniques et industriels ».

Ce volet du Pacte impliquera notamment de lister les opérations militaires réalisées en commun avec les alliés afin de développer l’interopérabilité entre les mesures de cyberdéfense. Les échanges devront également contribuer à établir une « vision commune des menaces » avec pour objectif d’anticiper les attaques et d’y apporter des réponses cohérentes. Plus globalement encore, toute relation de défense établie avec un pays sera accompagnée d’un chapitre cyberdéfense, dont l’épaisseur dépendra du niveau de relation avec l’allié.

Le cinquième axe dispose en outre de tout un chapitre consacré à l’Europe. L’action 39 indique par exemple que la Défense soutiendra « la prise en compte de la cybersécurité comme priorité européennes », aussi bien pour les institutions que pour les États eux-mêmes. Le ministère appuiera en fait de son poids sur la question en profitant de ses relations. La Défense souhaite également que les solutions européennes soient préconisées quand aucune solution nationale n’est « accessible ou nécessaire ». Le Pacte indique enfin que la voix européenne devra mieux se faire entendre vis-à-vis de l’OTAN pour « une coopération accrue ». Cette dernière passera d’ailleurs par le partage avec les alliés des informations pointant vers des menaces « qui pourraient leur nuire ».

Une meilleure communication entre les acteurs publics et privés

Enfin, le sixième et dernier axe est concentré sur les relations entre le vaste plan du ministère et l’ensemble des acteurs impliqués dans la cyberdéfense, en particulier avec les services de l’État et les sociétés privées. Un programme de récompense spécifique sera ainsi mis en place pour valoriser les efforts accomplis dans ce domaine, probablement sous la forme de médailles ou d’insignes. Le Pacte prévoit également une infrastructure de communication pour lier l’ensemble des acteurs, en particulier autour du Pôle de Bretagne. Ce volet communication touche l’ensemble des réservistes citoyens de toutes les armées : entrepreneurs, communicants, juristes, parlementaires, etc.

Le Pacte Défense Cyber souhaite donc mettre en place une grande coopération nationale autour du thème de la sécurité. Une communication structurée, des cursus de formation, des outils pratiques tels que des indicateurs de surveillance, un suivi des menaces et surtout la manière la plus efficace d’y répondre. La France compte ainsi se doter d’une politique renforcée de cyberdéfense qui lui permettra de « compter » sur la scène internationale, notamment à travers les coopérations avec des alliés puissants, tels que les États-Unis et le Royaume-Uni, deux pays partageant de très nombreuses informations dans le domaine de la sécurité.

La mise en place d’une telle communauté devrait évidemment avoir un impact positif sur le niveau global de sécurité informatique dans le pays, notamment pour les échanges cruciaux entre les services, mais on peut remarquer plusieurs zones d’ombre. C’est particulièrement le cas de l’utilisation des fameux « moyens nationaux » pour sécuriser les communications et données critiques. Ici, le gouvernement aurait une occasion importante de promouvoir l’utilisation de solutions libres, dont le code peut être justement maîtrisé. Or, il n’en est rien : aucune mention n’est faite du monde de l’open source. Un choix pour le moins singulier à l’heure où le contrat « open bar » avec Microsoft est la cible des critiques.

Le ministère veut « des résultats rapides »

Mais la vraie question sera de savoir si la France mettra aussi rapidement sur pied un programme d’une telle envergure. La recrudescence des attaques est réelle et Jean-Yves Le Drian a précisé que le ministère de la Défense en avait essuyé 780 durant l’année 2013, contre 420 l’année précédente. Le ministre a répété qu’il voulait « des résultats rapides » mais le Pacte met en mouvement un très grand nombre d’acteurs. Or, l’essentiel de sa mise en œuvre doit être réalisé dès 2016 où un point aura lieu, presque à mi-chemin de la loi de programmation militaire 2014-2019. Un effort global qui engagera un milliard d’euros d’argent public sur les deux prochaines années.

À travers ce programme, c’est l’image même de l’État qui est engagée car le pays ne peut pas se permettre de laisser entrer des pirates dans ses infrastructures. Les dégâts occasionnés par le piratage de la chaine américaine Target donnent une petite idée du préjudice potentiel, sans parler de la sensibilité extrême des données qui seraient alors volées. Sur ce point, les conséquences pourraient être comparables aux câbles diplomatiques de WikiLeaks ou aux documents dérobés à la NSA par le lanceur d’alertes Edward Snowden. Notez d’ailleurs que le Pacte en lui-même a très probablement été influencé par la situation américaine et la révélation du puissant monde du renseignement outre-Atlantique.