Avant le FIC, la France dévoile sa doctrine cyber offensive

À quelques heures de l’ouverture du Forum international de la cybersécurité, Florence Parly a dévoilé le volet offensif de sa doctrine cybermilitaire. La ministre des Armées sera d'ailleurs présente à Lille dès demain, où elle devrait revenir sur cette nouvelle politique. 

« Oui, la France emploie et emploiera l'arme cyber dans ses opérations militaires. » À Balard, la ministre a confirmé que les armées françaises sont désormais dotées d'une doctrine de lutte informatique offensive (LIO), en plus de leur politique de lutte informatique défensive (LID).

Quelque 4 000 cybercombattants seront en charge de ces deux fronts internationaux d’ici 2025. La loi de programmation militaire a prévu à cette fin le recrutement de 1 000 cybercombattants en plus d’un investissement de 1,6 milliard d’euros pour la lutte dans le cyberespace.

Pour le ministère, ces enjeux répondent à une problématique de souveraineté nationale. La LIO, en particulier, « recouvre l’ensemble des actions entreprises dans le cyberespace, conduites de façon autonome ou en combinaison des moyens militaires conventionnels ».

Ce secteur est défini par trois couches : physique (les équipements et les réseaux), logique (les données numériques) et la couche sémantique et sociale (« les informations qui circulent dans le cyberespace et par les personnes qui peuvent disposer de multiples identités numériques »).

Comment se concrétise cette action offensive ? Outre l’inévitable analyse des informations des capacités militaires adverses, les services entendent pouvoir réduire si ce n’est neutraliser leurs infrastructures, que cela soit par des « perturbations temporaires » ou la « création de dommages majeurs » dans leur camp.

Quel encadrement pour ces actions offensives ? 

Ces annonces sont une fausse vraie nouvelle, pourrait-on dire. Comme expliqué en février 2018, la loi de programmation militaire pour les années 2019 à 2025 a déjà introduit en une excuse pénale au profit des cybercombattants en charge des « actions numériques ».

Selon l’étude d’impact adossée à ce projet de loi, l’officier général « commandant de la cyberdéfense » (Comcyber) et son état-major veulent pouvoir mener sans risques juridiques des opérations « telles que l’infiltration dans l’espace numérique, le recueil d’informations ou de contre-propagande dans le cadre de la lutte antiterroriste ». 

Les objectifs dépassent le seul cadre terroriste, puisque sont envisagées des « manoeuvres d’influence », voire « des actes de coercition sur les adversaires afin de les persuader ou de les contraindre à stopper leurs activités ou à agir conformément à leurs attentes ». Avec cette excuse pénale, aucun risque d’être condamné pour atteinte à la vie privée, au secret des correspondances, piratage informatique voire « provocation à la commission d’infractions ».

Dans tous les cas, ces actions sont et seront menées par le Commandement de la cyberdéfense, sous l’autorité du président de la République et aux ordres du chef d’état-major des armées.

Elles doivent au surplus respecter les principes et règles du droit international, notamment humanitaires. « Les opérations de LIO sont conduites par des unités spécialisées, dont l’expertise garantit l’analyse des risques et la maîtrise des effets, collatéraux voire fratricides, induits par la complexité du domaine », détaille ce document du ministère. Des actions qui peuvent se mener aussi bien sur le terrain qu’à distance.

La réponse à une attaque informatique

En 2014, lors de la précédente loi de programmation militaire, d’autres pouvoirs ont été reconnus aux agents de l'ANSSI, au service du commandement opérationnel de cyberdéfense de l'état-major des armées, à la direction technique de la Direction générale de l'armement (DGA) et à la direction technique de la Direction générale de la sécurité extérieure (DGSE), au service du haut fonctionnaire de défense et la direction technique de la Direction générale de la sécurité intérieure (DGSI).

Tous se sont vus reconnaitre la possibilité de répondre à une attaque informatique. Il « suffit » que l’attaque affecte « le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ». Dans un tel cas, les services de l'État peuvent « procéder aux opérations techniques nécessaires à la caractérisation de l'attaque et à la neutralisation de ses effets en accédant aux systèmes d'information qui sont à l'origine de l'attaque ».

La ministre des armées a d’ailleurs présenté la nouvelle doctrine française de lutte informatique défensive (LID). Reposant sur une instruction ministérielle, du 1er décembre 2018, cette politique, explique l’exécutif, « fixe des principes de réponses pour mieux anticiper les menaces, en précisant l’organisation et les missions qui s’appliquent à tous les organismes placés sous l’autorité de la ministre des Armées, ainsi que les attentes et contraintes de ceux qui contribuent à notre cyberdéfense ». 

Ses opérations sont planifiées là aussi par le COMCYBER en coordination principalement avec l’ANSSI et les services de renseignement. Pour aiguiser ses moyens d’action, une convention a été proposée aux industriels de Défense afin de définir « les rôles et responsabilités des différents acteurs, en matière de prévention et de gestion d’attaque cyber touchant directement ou indirectement les systèmes et équipements qu’ils développent ».

Les opérations menées à titre défensif peuvent conduire là aussi à dégrader ou interrompre un service. Pour y répondre, la « posture permanente de cyberdéfense (PPC) » est un ensemble de dispositions mobilisables 24 heures eu 24 et 7 jours sur 7.

Classement des attaques

Conformément à la revue de cyberdéfense publiée en février 2018, un classement des attaques informatiques a été établi afin de définir pour chacune, une doctrine d’actions. Elle dépend de plusieurs critères : l’intentionnalité, la dangerosité selon l’atteinte, l’attribution, la massivité et la récurrence, et peut, selon les hypothèses les plus graves, caractériser une attaque comme une agression armée, au sens de l’article 51 de la Charte des Nations-Unies. 

Soulignons enfin que la loi sur le renseignement a elle aussi prévu dès 2015 que tout le droit pénal de l’informatique est désormais inapplicable « aux mesures mises en oeuvre pour assurer hors du territoire national la protection des intérêts publics (…) par les agents habilités des services de l’État désignés par arrêté du Premier ministre parmi les services spécialisés de renseignement ».

Ces actions peuvent répondre à la défense ou la promotion (et donc une attitude proactive) des « intérêts essentiels de la politique étrangère et l’exécution des engagements européens et internationaux de la France », des « intérêts économiques et scientifiques essentiels » de notre pays, ou encore « la prévention des violences collectives de nature à porter gravement atteinte à la paix publique », outre évidemment la lutte contre le terrorisme.