Cinquante mesures pour renforcer la cyberdéfense française

C’était en juin dernier, deux mois après la remise d’un livre blanc sur la Défense et la Sécurité Nationale au Président de la République qui consacrait Internet - ou plutôt « le cyber », comme il semble qu’il convienne désormais de l’appeler - comme cinquième domaine de confrontation militaire. En visite à Rennes, Jean-Yves Le Drian, ministre de la Défense, expliquait une ambition consistant à être « en mesure d’identifier l’origine des attaques, d’évaluer les capacités offensives des adversaires potentiels et l’architecture de leurs systèmes, et de pouvoir ainsi les contrer ». Il évoquait plus loin « une organisation opérationnelle de défense visant à protéger les systèmes d’information de l’Etat, des opérateurs d’importance vitale et des industries stratégiques », tout en annonçant « la mise en place d’une chaîne de commandement interarmées des opérations » et le renforcement des « capacités et des moyens humaines consacré à la cyberdéfense ».

De retour en Bretagne, à Cesson-Sévigné, le 7 février dernier, Jean-Yves Le Drian a dévoilé un plan d’action se voulant plus concret et comportant cinquante mesures articulées autour de six axes. Ces derniers reprennent globalement les grandes lignes de la volonté affichée précédemment par l’exécutif.

L’une des mesures phares de ce « pacte » est d’avancer sur « l’utilisation d’équipements et de logiciels souverains partout où cela est nécessaire ». Comprendre, des produits « développés ou bien maîtrisés nationalement ». Le smartphone sécurisé de Thales, Theorem, est évoqué plus loin. Sans surprise, le ministre compte aussi sur le développement et le déploiement « des capacités avancées de détection et d’intervention », évoquant le « développement de moyens spécifiques et souverains » sur lesquels l’Anssi travaille déjà. Après les révélations d’Edward Snowden, la volonté affichée d’un recours accru « à la cryptographie pour la sécurité des échanges » n’est pas une surprise. Plus intéressant, car intégrant la notion de chaîne dans la sécurité, l’action 9 de l’axe premier du plan prévoit de « suivre l’évolution de la posture de cybersécurité des fournisseurs du ministère ». Plus généralement, cyberdéfense et cybersécurité se retrouvent intégrés dans toutes les dimensions opérationnelles des armées. La question des règles d’engagement dans l’espace « cyber » est également évoquée, quoique rapidement, sous l’angle juridique.

Formation et RH

La question de la formation et de la recherche n’est pas négligée, le second axe du pacte lui donne la part belle, évoquant notamment la « consolidation » de la « filière cybersécurité » et la question des moyens des PME. Le troisième axe renvoie également à la question des ressources humaines. Les esprits chagrins regretteront que la question de la sensibilisation des individus, des citoyens, soit encore une fois oubliée. La table ronde d’ouverture de la dernière édition du Forum International de la Cybersécurité (FIC) n’aura manifestement pas suffi à éveiller les esprits.

Bonne nouvelle pour la Bretagne, elle profitera d’un pôle d’excellence en cyberdéfense, « au profit du ministère de la Défense et de la communauté nationale de cyberdéfense ». Lille, qui n’a pas eu un pôle d’excellence dans la lutte contre la cybercriminalité, maintes fois réclamé, et qui a annoncé la création d’un cluster cybersécurité en 2013, pourrait presque sembler encore une fois puni de l’organisation du FIC.  

Dernier bémol, ce « pacte » n’a finalement qu’une portée chronologique limitée. Dans son préambule, le ministre précise en effet que la récente loi de programmation militaire (LPM) devra être révisée en 2016, induisant mécaniquement la révision du pacte tout juste présenté. Qu’à cela ne tienne, Jean-Yves Le Drian rassure : l’exécution de son pacte sera suivie « au travers d’indicateurs précis » non détaillés. Et si les résultats concrets peinaient à se montrer, il restera toujours quelque chose à afficher, puisque « ce plan est également destiné à mobiliser les énergies de toute la communauté de la défense ». Et ça, un ministre peut toujours affirmer y être parvenu tant la chose est peu quantifiable.