M. Le Drian veut préparer la France à la « guerre cybernétique »
Le Livre blanc sur la défense et la sécurité nationale (LBDSN) de 2008 avait évoqué les menaces d’attaques informatiques de grande ampleur contre les infrastructures critiques et ainsi fait quelques recommandations, comme doter la France de « moyens offensifs » afin de pouvoir disposer de capacités de « riposte graduée » contre les assaillants, ou encore de créer l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Celui publié en 2013 est allé encore plus loin en la matière en allant jusqu’à qualifier le cyberespace de « champ de confrontation à part entière », au même titre que les milieux terrestres, maritimes et aériens. Et de recommander d’adopter une « posture stratégique visant à déterminer l’origine des attaque, à organiser la résilience de la Nation et à répondre par la lutte informatique offensive ».
« L’interconnexion des systèmes d’information qui marque notre société, a généré des vulnérabilités nouvelles, qui n’ont pas été suffisamment accompagnées d’un effort simultané de protection. Les atteintes aux systèmes d’informations résultant d’actes hostiles intentionnels ou de ruptures accidentelles pourraient dès lors engendrer des dysfonctionnements, voire une paralysie de l’Etat ou de secteurs d’importance vitale pour la Nation », a expliqué, en juin 2013, Jean-Yves Le Drian, le ministre de la Défense, lors d’un colloque dédié à la cybersécurité, organisé à l’Ecole des Transmissions, à Rennes.
Dans un entretien accordé au quotidien Les Echos (édition du 21/01), le locataire de l’Hôtel de Brienne a évoqué les grandes lignes du Plan Défense Cyber, qui, présenté ce jour à l’occasion du sixième forum international de la cybersécurité, vise à permettre à la France non pas de combler un retard mais a, comme il l’a fait valoir, à « garantir » son « excellence ». Mais pas seulement.
« Ce plan, qui s’inscrit dans la continuité du Livre blanc et de la loi de programmation militaire, doit permettre à la France de se préparer à la guerre cybernétique », a aussi affirmé Jean-Yves Le Drian. Selon lui, « ces menaces émergents » sont « une question de sécurité nationale ». D’où la nécessité que « notre organisation et les moyens consacrés changent d’échelle », a-t-il expliqué.
« C’est une de mes priorités », a encore souligné le ministre, avant d’expliquer que « nous faisons face à un accroissement des risques, qu’il s’agisse de paralysie des systèmes étatiques ou d’attaques visant à détruire nos moyens d’informations et de commandement ».
Avec 250.000 postes de travail, 15.000 serveurs et des systèmes d’armes en réseaux, les vulnérabilités potentielles pour les forces armées sont nombreuses. Pour le moment, il n’y a pas eu d’attaque de grande ampleur. Toutefois, M. Le Drian a indiqué qu’il y avait eu 780 incidents ciblés en 2013 contre 195 en 2011 (et 420 en 2012 selon le Centre d’analyse de lutte informatique défensive, CALID). Très probablement que l’intervention contre les groupes jihadistes au Mali explique une partie de cette hausse importante.
« Ce sont généralement des attaques de faible ampleur, provenant d’une puissance étrangère ou d’un groupe d’activistes, mais qui montrent clairement une tentative d’intrusion des réseaux susceptibles de toucher nos forces en opération extérieure ou même nos partenaires », a commenté M. Le Drian. Mais rien ne dit que ce sera toujours le cas à l’avenir.
D’après Les Echos, le plan Défense Cyber prévoit la création, d’ici 2018, d’une unité projetable forte d’une centaine de spécialistes dont la mission sera d’accompagner les forces sur les théâtres d’opérations extérieurs. « Pour cela, le retour d’expérience de Serval au Mali va être particulièrement décortiqué », écrit le quotidien. Il est aussi question de recruter 200 experts de plus, ce qui portera leur nombre à 450 d’ici 2019.
Quant à la chaîne de commandement opérationnel de la cyberdéfense, effective depuis 2011 et dépendante du Centre de planification et de conduite des opérations (CPCO) à l’Etat-major des armées (EMA), elle verra ses effectifs passer de 20 à 100 personnels.
Par ailleurs, la volonté est de constituer une filière « d’excellence » en matière de cyberdéfense reposant sur le site de la Direction générale de l’armement (DGA) de Bruz et l’Ecole des transmissions, tous deux situés en Bretagne. « Nous voulons en faire un pilier de formation et de recherche en relation avec les entreprises », a assuré M. Le Drian.
« La cyberdéfense est un champ stratégique nouveau où l’ont doit investir de manière significative », a insisté M. Le Drian. La Loi de programmation militaire 2014-2019, adoptée le mois dernier par le Parlement, prévoit près d’un milliard d’euros de crédits en la matière sur les 5 prochains années, avec un « budget d’études » doté d’une enveloppe annuelle de 30 millions.
Quant aux éventuelles coopérations européennes, M. Le Drian n’a pas évoqué l’idée d’une cyberdéfense commune aux Etats membres de l’UE… Mais des coopérations et « l’établissement d’un code de bonne conduite ».