Auditionné, à huis clos le 13 avril dernier, au sujet du projet de loi de programmation militaire (LPM) pour les années 2024 à 2030, le général de division Aymeric Bonnemaison, commandant de la cyberdéfense, a décliné les grands axes de la stratégie de montée en puissance du Comcyber.
Pour sa troisième audition devant le Parlement depuis sa prise de fonction, en septembre 2022, le Comcyber constate un « développement d’attaques systémiques importantes », ayant notamment affecté l'Albanie et le Monténégro (et qui ont été « attribuées à des puissances étrangères »), ainsi que le Costa Rica, qui a dû déclarer l'état d'urgence parce que ses systèmes de santé et financier avaient été mis au tapis.
Si les acteurs sont « insaisissables et entremêlés (États, services de renseignement, criminels, activistes) », les modes d’attaque « présentent une sophistication croissante », les armes cyber prolifèrent, « non seulement sur le dark web, mais aussi par l’action de sociétés proposant le hacking comme un service, telles que NSO Group (Pegasus) », les attaques de la chaîne logistique (qui visent les sous-traitants des systèmes ciblés) « sont en forte progression », et les auteurs d’attaques « de plus en plus désinhibés ».
Le Comcyber a par ailleurs rappelé être principalement confronté à trois types d'attaques, relevant de :
- l'espionnage (« ce sont celles dont on parle le moins, car elles restent sous le radar et attaquent le plus souvent le monde économique et industriel, parfois des particuliers »),
- la déstabilisation via les réseaux sociaux (comme en Afrique francophone, ou lors des élections françaises et américaines), et
- les sabotages, fuites et reventes de données sensibles, de type rançongiciel, qui se développent « depuis 2019 » et qui « agissent sur deux plans : chiffrer les données et les rendre inaccessibles, ce qui neutralise le système ; les extraire et les revendre », double extorsion ayant elle-même tendance à se développer « dans la mesure où de plus en plus de sociétés font des sauvegardes de leurs données, elles paient moins pour les récupérer que pour en éviter la divulgation par les cybercriminels. »
Un périmètre composé de « 1 800 systèmes différents »
« La détection des menaces et des tactiques mises en œuvre est globalement placée sous la responsabilité de l’ANSSI », rappelle le Comcyber, qui peut cela dit être appelé à la rescousse « si elle est dépassée ou si elle a besoin de soutien ».
Il reconnaît à ce titre que ses adversaires « sont un peu moins menaçants pour moi que pour la société civile », qui est « un peu moins bien armée structurellement » que ne l'est le ministère des Armées :
« Je n’en ai pas moins affaire à des attaquants de très haut niveau, qui sont soit des cybercriminels, soit des services de renseignement ou encore des hacktivistes, les uns étant souvent liés aux autres. Ces attaquants prennent le temps nécessaire pour développer leurs attaques, usant de moyens potentiellement gigantesques pour investir les réseaux et trouver le maillon faible. »
Son périmètre, « propre aux armées », est composé de « 1 800 systèmes différents » (d’armes, de communication, d’information, industriels), dont la diversité « se double d’une grande variété de niveaux de classification, du niveau non protégé jusqu’au très secret-défense » :
« Il faut donc couvrir un large spectre de technicité, d’autant que le souhait des armées est d’aller vers toujours plus de numérisation et d’interopérabilité, pour échanger très rapidement et prendre l’adversaire de vitesse. Chaque interconnexion de réseaux signifie pour moi une part de fragilité supplémentaire sur laquelle veiller. »
Des crédits multipliés par trois
Évoquant la loi de programmation militaire (LPM) pour les années 2024 à 2030, le général Aymeric Bonnemaison ne cache pas sa satisfaction : « Il n’est pas désagréable de me présenter devant vous en disant que j’ai le sentiment, sur ce point, d’avoir été entendu ».
Les crédits accordés au cyber ont, de fait, été « multipliés par trois » afin, « essentiellement », d’atteindre l’objectif fixé par la Revue nationale stratégique (RNS) 2022 : « une résilience cyber de premier rang », passant par le financement des prestataires du ministère.
- Le projet de loi de programmation militaire veut étendre les pouvoirs de l'ANSSI
- Loi de programmation militaire : les demandes inabouties de surveillance algorithmique de la DGSE
Ces crédits, explique le Comcyber, seront en effet « distillés vers les entreprises du domaine Cyber françaises et européennes, notamment dans le cadre de la recherche et développement (R&D) », afin de les faire monter en gamme et d'obtenir des « améliorations technologiques qui permettront par la suite de développer des capacités utiles à nos grandes entreprises et à nos PME », en fonction des priorités définies par le ministère des Armées :
« L’effort d’investissement s’articule autour de quatre axes : le chiffre, la lutte informatique défensive (LID), la lutte informatique offensive (LIO) et la lutte informatique d’influence (L2I). »
La L2I passera de l’artisanat à l’industrialisation
Rappelant que « le chiffre [la cryptologie, NDLR] est le socle de notre protection », il précise que la précédente LPM a « amplement contribué, en y consacrant environ 60 % de l’investissement important consenti dans le cyber », à réparer une « dette technique élevée » dont pâtissait le ministère des Armées, et que l’effort sera poursuivi dans la prochaine LPM :
« Il y va de la sécurisation de nos liaisons de données et de la garantie de notre interopérabilité avec les alliés, qui suppose, pour échanger avec eux des messages importants et confidentiels, d’être crédible et de disposer d’un niveau de chiffrement de haute qualité. »
En matière de LID, qui « consiste à patrouiller sur les réseaux pour détecter les attaques au plus tôt et intervenir promptement pour les contrer », le Comcyber pourra étendre ses moyens de supervision, de détection et de caractérisation, ainsi que d'audits et d'homologations en amont, afin de « vérifier, grâce à des sondes et à des moyens positionnés sur les postes de nos militaires, que nous ne sommes pas attaqués » :
« Le jour où nous sommes attaqués, des équipes font des vérifications, remontent à la source du logiciel malveillant, font de l’investigation numérique, tentent d’identifier les attaquants et défendent le plus rapidement possible les systèmes susceptibles d’être contaminés. »
La L2I, qui « consiste à détecter et à caractériser l’adversaire », et donc à discerner les opérations d'influence coordonnées, instrumentalisées, construites et structurées par des acteurs militaires ou paraétatiques, est quant à elle qualifiée de « petit nouveau de la LPM 2024-2030 ».
Ayant émergé en 2015 dans le cadre de la lutte contre Daech, « qui recrutait nos jeunes par une propagande agressive et brutale, faite d’incitation à la violence et à la haine », elle a depuis connu une « amplification majeure dans le cadre de nos affrontements en Afrique avec des acteurs désinhibés travaillant globalement contre la présence française en Afrique et cherchant à nous décrédibiliser ».
Dans le cadre de la nouvelle LPM, la L2I devrait ainsi « passer de l’artisanat à l’industrialisation », et voir doubler ses effectifs.
Dépasser les 5 000 cybercombattants à l’horizon 2030
« Au-delà des moyens financiers, la principale richesse, le cœur même de la Cyberdéfense, ce sont ses ressources humaines », explique le général Bonnemaison. Évoquant sa stratégie de montée en puissance du Comcyber, il estime qu'elles constituent même « son principal défi » :
« Pour trouver la ressource dans un pays qui, dans le domaine de la cybersécurité, produit chaque année moins d’ingénieurs et de techniciens qu’il n’ouvre de postes, nous devons trouver les bons ressorts pour davantage recruter, former et fidéliser. Ce travail s’impose d’autant plus que nous devrons dépasser les 5 000 cybercombattants à l’horizon 2030. »
Le Comcyber souffrirait de plusieurs autres handicaps, à commencer par les stéréotypes réfrénant de nombreux jeunes à pousser la porte d’un centre d’information et de recrutement des forces armées (CIRFA) au motif que « Ce n’est pas mon truc », que le cyber serait réservé « aux meilleurs mathématiciens », ou encore au prétexte que « Je n’ai pas la condition physique pour faire cela ».
« Nous manquons de jeunes femmes, qui s’autocensurent dans le numérique », regrette par ailleurs le général Bonnemaison, qui se félicite cela dit que le projet capture the flag intitulé « Passe ton hack d’abord » a réussi à attirer plus de 200 lycéennes, soit 22 % des 900 lycéens participants.
S'il déplore des lourdeurs administratives freinant la fluidité du recrutement, « notamment dans la réserve » (dont les effectifs seront renforcés, afin de passer de 300 à 500 réservistes cyber), le général Bonnemaison explique, étonné, que « les entreprises elles-mêmes accompagnent le mouvement et me proposent des jeunes qui veulent rejoindre la cyberdéfense, ce qui a été un peu une surprise pour moi » :
« De nombreuses entreprises de services du numérique (ESN) me contactent – les aspects déontologiques de la démarche restent à explorer – non seulement pour rester connectées, mais aussi pour fidéliser leurs jeunes, dont la soif de sens peut être étanchée par une présence parmi nous de trois ou quatre semaines par an. »
Il réfléchit à ce titre à des protocoles « visant à éviter qu’elles ne débauchent chez nous plus que de raison », son prédécesseur ayant par ailleurs alerté qu'il ne serait pas admissible qu’ils s’engagent dans un but mercantile de promotion de leurs propres entreprises.
« Il y aura des unités cyber en région »
« Des travaux sont en cours pour améliorer la situation » des salaires, « qui sont parfois deux à trois fois inférieurs à ceux offerts par le privé », et constituent donc eux aussi un handicap, « ce qui n’a rien d’une surprise s’agissant de la fonction publique », relève par ailleurs le général.
Si le télétravail, qui « reste rare dans nos structures », concerne « essentiellement des travaux de développement et d’expertise », le Comcyber cherche « en revanche » à favoriser le travail en région, notamment en Bretagne, où se trouve le pôle d’excellence cyber voulu par la région et le ministère, ainsi qu'à Toulon pour la marine et à Mont-de-Marsan pour l’armée de l’air.
Le Comcyber, qui compte par ailleurs « une trentaine d’apprentis dans ses effectifs », compte aussi développer cette voie de recrutement, mais également promouvoir des « parcours variés et valorisants : « un jeune qui s’engage chez nous peut ensuite travailler à l’ANSSI ou à la DGSE, et revenir chez nous ensuite ».
Si la LPM 2024-2030 consent, pour le cyber, « un gros effort de formation, dont le budget triple », l'objectif est en effet de fidéliser les recrues : « nous avons conscience qu’offrir une formation de haut niveau à notre personnel améliore le recrutement, mais s’ils restent moins de cinq ans, nous sommes perdants ».
De la culture du need to know à celle du need to share
Si la LPM 2024-2030, forte d'un budget estimé à 413 milliards d'euros, prévoit d'en investir 4 dans le domaine Cyber afin de « poursuivre le développement d’une cyberdéfense de premier plan, robuste et crédible face à nos compétiteurs stratégiques », Jean-Michel Jacques, rapporteur du projet de loi afférent, rappelle de son côté qu' « il faut y ajouter les effets indirects des 8 milliards investis dans le numérique et des 10 milliards de crédits alloués à la recherche et à l’innovation, dans des domaines comme l’intelligence artificielle ».
À quoi le général Bonnemaison répond que l'ambition affichée de la LPM est de « rester en ligne, sous réserve de ce que feront nos compétiteurs [...] et de notre capacité à nous adapter » :
« Baisser la garde ou alléger notre effort en matière de cyber, c’est être déclassé. Nous sommes engagés dans une course sans fin. La France est partie relativement tôt, mais pas dans les toutes premières nations. Elle a acquis un niveau d’expertise reconnu grâce à un bon niveau technique et à une approche très opérationnelle du cyber. Si nous relâchons l’effort, nous ne serons plus dans la course. »
Évoquant les partenariats, aux échelles européennes et internationales, le général Bonnemaison avance que « c’est l’une des leçons de l’Ukraine : lorsque l’on est attaqué, l’échange de données techniques est essentiel » :
« De nombreux services cyber émanent de structures de renseignements, où l’échange a davantage lieu en bilatéral qu’en collectif. Ils doivent passer d’une culture du need to know à une culture du need to share. Dans la LID, le partage d’informations est une nécessité. »
- « En Ukraine, la cyberguerre a bel et bien eu lieu », explique le Comcyber
- Le COMCYBER organise la riposte européenne aux opérations de cyberdéfense états-uniennes
Pour autant, précise le général, « cela suppose de mettre au point des systèmes permettant de communiquer et d’échanger rapidement » et ce, alors que la Comcyber et ses partenaires doivent encore définir le type d’informations techniques susceptibles de pouvoir être échangées :
« L’essentiel est que, si un pays est attaqué et détecte le logiciel malveillant qui l’a attaqué, il nous le transmette rapidement pour nous permettre de l’intercepter. Plus l’échange sera rapide, plus notre défense collective sera performante. »
Si le Comcyber a d’ores et déjà noué des partenariats bilatéraux avec plusieurs pays, « le seul bémol aujourd’hui est que ma ressource pour en assurer le suivi est comptée ». Il se félicite cela dit d'avoir pu poursuivre la démarche initiée par son prédécesseur consistant à réunir les commandants cyber européens :
« La première édition a été un peu perturbée par le covid, pas la deuxième. La troisième a eu lieu il y a quinze jours à Bruxelles, dans les locaux de l’Agence européenne de défense (AED), avec un certain succès : dix-neuf pays étaient représentés. Cette démarche, initiée et portée à bout de bras par la France, se poursuit donc. Nous y développons un vrai niveau de confiance, ce qui est essentiel. »
Commentaires (2)
#1
Merci pour synthèse de l’audition !
#2
En quoi consistent ces investissements ? Les algorithmes existent déjà et des implémentations sont disponibles gratuitement et librement dans de nombreux langages et librairies, non ? Utiliser de la cryptographie de “haute qualité” est à la portée de tous les développeurs aujourd’hui. TLS, Signal…
Ou il s’agit de mettre à jour des machins tellement vieux qu’ils ne supportent pas les standards actuels ?
Cela dit, en voyant par exemple ça, en effet il y a du boulot. https://cryptcheck.fr/https/www.defense.gouv.fr