Environ 40% des effectifs du Commandement de la cyberdéfense sont tournés vers les actions offensives
En septembre 2015, Jean-Yves Le Drian, alors ministre de la Défense, avait admis que les armées françaises disposaient de « capacités offensives encore limitées » dans le cyberespace, qui venait d’être considéré comme un domaine militaire à part entière. Cependant, avait-il ajouté, la « voie est tracé pour leur développement ».
Un an plus tard, M. Le Drian dévoilé les grandes lignes de la stratégie militaire française dans le cyberespace et précisa trois types de missions auxquelles les forces françaises devaient se préparer, à savoir le renseignement, la protection/défense et la « riposte/neutralisation », encore appelée « Lutte informatique offensive » [LIO].
Un nouveau palier fut franchi en janvier 2019, quand la ministre des Armées, Florence Parly, dévoila la doctrine des armées en matière de cyberdéfense. « La guerre cyber a commencé et la France doit être prête à y combattre », avait-elle justifié. Et d’ajouter : » Aujourd’hui, la France choisit de se doter pleinement de l’arme cyber pour ses opérations militaires. Nous considérons l’arme cyber comme une arme opérationnelle à part entière. C’est un choix nécessaire, en responsabilité. Nous en ferons un usage proportionné, mais que ceux qui sont tentés de s’attaquer à nos forces armées le sachent : nous n’aurons pas peur de l’utiliser. »
À la tête du Commandement de la cyberdéfense [COMCYBER] depuis 2019, le général [air] Didier Tisseyre n’a pas dit autre chose lors d’une audition à l’Assemblée nationale [et dont le compte-rendu vient d’être publié].
« On distingue parfois les temps de paix, de crise et de guerre. Je vous assure que, dans le cyberespace, […] nous ne sommes pas dans un temps de paix : il y a de nombreuses crises, et, d’une certaine manière, la guerre cyber a déjà commencé. Certains déploient leurs outils et se prépositionnent pour pouvoir le jour J, au moment où ils appuieront sur la touche ‘Enter’, déclencher immédiatement les éléments. Or une fois qu’on est paralysé, il est trop tard pour réagir », a souligné le général Tisseyre.
Or, « celui qui maîtrisera le cyberespace aura un avantage, non seulement pour se protéger, mais aussi pour assurer sa supériorité opérationnelle », a-t-il fait observer.
Parmi les acteurs très actifs dans ce domaine, le général Tisseyre a cité, sans surprise, la Russie et la Chine.
Les Russes « sont présents dans toute la palette de ce que l’on peut faire dans le cyber, des cyberattaques très ciblées jusqu’à l’influence au travers des réseaux sociaux : ils sont très forts » tandis que les Chinois « sont plutôt actifs dans l’espionnage économique », a relevé le chef du COMCYBER. « Mais dès lors qu’on entre dans un système pour voler de l’information économique ou industrielle, on peut faire autre chose, en entrant dans d’autres systèmes plus essentiels et mener d’autres actions. Nous y sommes très attentifs, comme nous sommes très attentifs à l’égard de pays comme l’Iran », a-t-il poursuivi.
« Nous nous intéressons aux capacités américaines qui sont vraiment très développées, dans tous les domaines. Le Royaume-Uni et Israël sont aussi très pointus. En ce qui nous concerne, j’aurais tendance à dire, en particulier depuis le Brexit, que la France est la nation la plus forte dans l’Union Européenne en matière de cyberdéfense », a encore affirmé le général Tisseyre.
En matière de Lutte informatique défensive [LID], le COMCYBER a visiblement des résultats. « En 2017, le ministère des armées a subi environ 700 tentatives d’attaque. Il s’agissait de cybercriminalité dans 90 % des cas et nous n’étions donc pas ciblés. Dans les 10 % restants, nous étions ciblés par un groupe élaboré, évolué. En 2018, on a compté environ 830 événements, avec ces mêmes pourcentages. En 2019, le total est monté à 850 mais on ne voit pratiquement plus d’attaques de groupes très élaborés, avec des signatures caractéristiques », a indiqué le général Tisseyre.
Cependant, il ne faut sans doute pas se réjouir trop vite. On « peut penser que nos attaquants sont en train d’utiliser des outils beaucoup plus discrets, ou qu’ils utilisent des outils de cybercriminalité pour nous induire en erreur alors qu’ils ont une stratégie d’action cachée. […] Peut-être parce que certains ont été pointés du doigt ou parce qu’on a publié beaucoup sur la connaissance des modes opératoires de tel et tel groupe rattaché potentiellement à des acteurs étatiques, les attaquants sont aujourd’hui de plus en plus discrets : les attaques sont de plus en plus sophistiquées et on les voit moins. Il faut donc être encore plus vigilant », a averti le chef du COMCYBER.
Justement, s’agissant des auteurs d’attaques informatiques, les spécialistes de la cyberdéfense analysent les modes opératoires suivis et les signatures des logiciels malveillants utilisés, ce qui permet d’identifier les groupes APT [Advanced Persistent Threat, menace persistante avancée] dont ils font partie.
« Les programmeurs ont des habitudes, certains passent par la fenêtre, d’autres par la porte, et cela oriente leur identification. Des adresses IP spécifiques à certains modes d’action, avec leurs rebonds au plan international, nous permettent de caractériser l’attaquant et, forts de ces éléments et avec l’action complémentaire des services de renseignement, de proposer une attribution. Nous prévenons que c’est tel pays ou tel groupe qui nous attaque, avec un certain degré de certitude ; ensuite, le politique décide ou non de le révéler publiquement », a expliqué le général Tisseyre.
Au sein du COMCYBER, la Lutte informatique défensive est assurée par les 3/5 de son effectif. Ce qui veut dire que les 40% restants se consacrent aux opérations offensives. Et cette proportion est appelée à augmenter dans les prochaines années.
« Peut-être que dans quelques années, avec la maturité de nos capacités offensives et les mises à disposition par chaque armée, pour soutenir leurs manœuvres, de capacités offensives, le rapport s’inversera », a en effet estimé le général Tisseyre.
La possibilité de mener des opérations offensives dans le cyberespace, comme cela a pu être fait dans le cadre de la lutte contre Daesh, est un levier pour recruter et fidéliser les spécialistes du COMCYBER, ce dernier ne pouvant évidemment pas s’aligner sur les salaires proposés par le secteur privé.
« Nous donnons du sens à l’action de ces spécialistes de la cyberdéfense : tout d’abord par la protection du ministère, de la nation, mais aussi par la possibilité de mener des actions fortes sur les théâtres d’opérations pour aller au cœur de la menace terroriste. Les sociétés privées ne mènent pas ces opérations offensives. Dans un cadre légal strict, nous offrons la possibilité de faire des choses qui ne sont possibles nulle part ailleurs, sauf de manière illégale et répréhensible », a fait valoir le général Tisseyre.
Cependant, a-t-il poursuivi, si « l’offensif attire le plus », le « défensif est plus fort et réunit les vrais experts dans un périmètre plus large. » Et d’insister : « Bien sûr, ils doivent connaître l’offensif pour faire du défensif mais il ne faut surtout pas lever le pied sur la défense : si une attaque systémique ennemie passe, tous nos systèmes seront bloqués. On ne doit jamais négliger le défensif, la protection, qui est une sorte d’hygiène de base. »