L’extension du cyberespace est un phénomène global qui impose de répondre à la dépendance et à la vulnérabilité numérique des outils militaires français. Dans ce contexte, le développement de capacités de cyberdéfense efficientes s’avère incontournable. La Loi de Programmation Militaire (LPM) 2019-2025 contribue à réunir les conditions pour répondre à cet enjeu.
La prise en compte du domaine cyber et des problématiques qui lui sont liées est récente. Le livre blanc sur la défense et la sécurité nationale l’a même retenu et conceptualisé en 2008. Cette première prise de conscience a permis la création, en 2009, de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI). En 2013, le cyber a été érigé en priorité nationale à l’occasion de la publication d’un nouveau Livre Blanc. Aujourd’hui, en qualité de « méta-espace » englobant tous les autres, il fait l’objet d’une attention prioritaire et permanente. La revue stratégique de cyberdéfense, publiée par le Secrétariat Général de la Défense et de la sécurité Nationale (SGDSN) début 2018, ainsi que l’actualité internationale rappellent le niveau élevé et la complexité de la menace cybernétique.
Aujourd’hui, nul ne conteste l’extension du cyberespace à l’échelle planétaire et, de fait, la mise en place simultanée d’une dépendance et d’une vulnérabilité numérique de nos outils militaires. Ce constat impose des potentiels risques d’attaque sur les systèmes électroniques équipant nos systèmes d’arme et en conséquence le développement de capacités de cyberdéfense adaptées. Véritable « bouclier » des fonctions stratégiques, la cyberdéfense françaises représente donc un enjeu majeur de souveraineté nationale. Adoptée au mois de juillet 2018 la Loi de Programmation Militaire (LPM) 2019-2025 permet de réunir les conditions nécessaires à la progression des capacités cyber de notre pays. Un effort financier de 1,6 milliards d’euros sera consacré par la nation pour atteindre les objectifs fixés.
De manière concrète, la LPM 2019-25 adapte d’une part la posture française en matière de détection des cyber-attaques, et d’autre part, permet, sur le plan opérationnel, l’extension aux cyber-combattant de l’« excuse pénale » dont bénéficient tous les militaires français dans le cadre de l’accomplissement de leur mission. En complément, elle n’omet pas d’acter la prise en compte permanente de la menace par la mise en œuvre d’une « posture permanente cyber » (PPC), et par l’intégration native de sa réalité lors des différents cycles de vie des systèmes d’armes.
La mise en place de moyens efficaces de détection d’une cyber-attaque marque la volonté française de renforcer la résilience de ses réseaux et systèmes d’information et de communication vis-à-vis d’une offensive numérique menée à partir du territoire national ou depuis l’étranger. Ces moyens de détection doivent permettre aux autorités publiques et aux opérateurs d’importance vitale (OIV) d’alerter au plus tôt sur une offensive informatique et mettre ainsi en œuvre les mesures de protection adaptées à la situation. Cette logique protectrice est identique pour les systèmes utilisés par les particuliers et les entreprises en raison du degré élevé de numérisation et donc de dépendance globale de notre société vis-à-vis des systèmes informatisés. Cette mise à niveau des capacités nationales de détection d’attaques informatiques permettra aux opérateurs de communications de mettre en œuvre des dispositifs de surveillance et de détection d’une cyber-attaque au sein des réseaux dont ils ont la responsabilité, et dans un cadre légal adapté. L’ANSSI mettra en œuvre ces outils à des fins de protection des systèmes d’information des autorités publiques ou des OIV. Le dispositif s’inscrit donc dans une « logique globale ».
Par ailleurs, la nouvelle LPM permet une intégration pleine et entière de l’action cyber et des cyber-combattants dans le champ de la confrontation militaire, notamment dans le cadre des opérations extérieures. En effet, grâce à l’extension de l’« excuse pénale » aux cyber-combattants, il est désormais acté qu’en matière de lutte informatique offensive, de nouvelles capacités d’action, intégrées à la chaine de planification et de conduite des opérations, seront systématiquement déployées en appui de la manœuvre des armées.
Les capacités des armées en matière de prévention, de détection et d’attribution des cyberattaques se verront donc renforcées par la création de 1500 postes sur la période 2019-2025. Ces effectifs seront répartis dans le domaine de la cyberdéfense et de l’action dans l’espace numérique et alimenteront les rangs des cyber-combattants à hauteur de 1000 personnes. Cet effort permettra à terme de disposer de 4000 personnes pour armer la force cyber de l’état français. Sur le périmètre « cyberdéfense », environ 500 postes relèveront du chef d’état-major des armées (CEMA) et seront donc placés sous l’autorité du commandement de la cyberdéfense (COMCYBER).
La permanence et l’accroissement probable des menaces cyber, ont entrainé la décision d’adopter une « posture permanente cyber » (PPC). Cette posture de protection vient compléter les traditionnelles postures de sécurité maritime et aérienne. Placée sous le contrôle opérationnel du COMCYBER, la PPC regroupe l’ensemble des mesures prises pour assurer la défense des forces armées dans le cyberespace, en temps de paix, de crise, ou de guerre (détecter les menaces, sécuriser les déploiements des forces, contrer et faire cesser les agressions informatiques ou informationnelles). Les effectifs dédiés à cette PPC renforceront le COMCYBER, le centre d’analyse et de lutte informatique défensive (CALID) et le centre interarmées des actions sur l’environnement (CIAE). D’autres spécialistes auront pour vocation de renforcer dans le même but les centres opérationnels de sécurité des armées (SOC : Security operation center).
Sur le plan des équipements militaires, la nouvelle LPM impose, à juste titre, la nécessité d’intégrer la question de la cybersécurité lors des phases de conception, de production et de maintenance des armes et systèmes associés qui seront mis en œuvre par les forces armées. Désormais, l’aspect cyber sera pris en compte de manière native dans les programmes d’armement afin de les protéger au mieux contre l’évolution de cette menace. Cette mesure s’impose dans un environnement de combat toujours plus numérisés et interconnecté. Leur seuil de vulnérabilité se doit donc d’être maintenu au plus bas.
En somme, cette nouvelle LPM permet d’attribuer à la « force cyber » nationale des moyens financiers et juridiques ainsi que des dispositifs opérationnels mieux adaptés au niveau de menace auquel la France doit faire face. Néanmoins, il apparaît que la stratégie française pourrait encore être optimisée par l’adoption d’une « loi cyber » permettant à terme de combler ses imperfections.
Club Cyber de l’AEGE