France : une cyberdéfense en construction

La prise de conscience de l’importance d’une véritable politique de cyberdéfense en France apparaît relativement récente, à écouter le Contre-Amiral Arnaud Coustillière qui s’exprimait à l’occasion d’un débat organisé la semaine dernière par le Cercle Européen de la Sécurité. De fait, pour lui, le point de départ de la réflexion est l’incident Conficker, en 2009, qui a montré une « incapacité » à gérer une crise informatique de manière « efficace. » L’incident a ainsi généré des sur-réactions, avec des « avions cloués au sol » inutilement. De quoi motiver une « refondation de l’organisation de la sécurité des systèmes d’informations du ministère de la Défense. » Et donc provoquer une brutale prise de conscience au sommet de l’Etat. Après le livre blanc sur la défense présenté en 2013, et qui consacrait le domaine « cyber » comme nouveau terrain d’engagement, et la loi de programmation militaire (LPM) 2014-2019, le pacte présenté tout récemment par Jean-Yves Le Drian, ministre de la Défense, marque, pour le Contre-Amiral, « un engagement fort du ministère », avec à la clé « une forte accélération et une forte pression ».

Diffuser la culture de la sécurité

Pour autant, il serait erroné de penser que le ministère de la Défense a découvert la sécurité des systèmes d’information (SSI) avec Conficker. Mais comme le relève Arnaud Coustillière, avant cet incident, la SSI était abordée essentiellement sous l’angle de « la protection du secret. » Depuis lors, elle est abordée sous un angle supplémentaire, celui de « la fiabilité du fonctionnement. » Et cela n’a rien d’anodin. Cela traduit une profonde évolution de la démarche, passant d’une simple « gestion du risque » à quelque chose de « plus proche du combat » face à des attaquants. Et cela induit une évolution des métiers.

Déjà, fin mai dernier, le Contre-Amiral avait évoqué concrètement « un millier de personnes au ministère sur la fonction protection et sécurité cyber », un chiffre devant progresser à 1400 « d’ici quelques années » et s’accompagner d’une « professionnalisation » des effectifs. Pour cela, la Défense mise notamment sur les évolutions de carrière en interne, mais également sur un master dédié qui doit ouvrir en 2015 à Rennes, dans le cadre du pôle d’excellence récemment annoncé.
Mais cela va plus loin. Arnaud Coustillière mentionne désormais la diffusion d’une « capacité de sécurité dans nos unités », intégrée au processus de qualification opérationnelle, pour apporter « les bons comportements et une capacité de réaction face à une attaque », une nouveauté. Parce qu’il y a « un énorme travail d’éducation des utilisateurs. C’est très important. »

… jusque dans la chaîne logistique

Les corps d’armée dépendant de fournisseurs, la culture de la sécurité doit s’y étendre, à charge pour le ministère de la Défense d’évaluer et de renforcer la posture de sécurité de ceux-ci, un point « particulièrement délicat, sensible et compliqué » relève le Contre-Amiral, expliquant ainsi pourquoi le sujet est réduit à une phrase dans le récent pacte présenté par Jean-Yves Le Drian. Pour autant, le ministère applique déjà cela à ses grandes industriels prestataires et « cela doit arriver ailleurs », reconnaît Arnaud Coustillière, soulignant sa préoccupation pour les logiciels embarqués des systèmes d’armes.

Quant à utiliser des ressources informatiques souveraine, en chiffrement, en sécurité réseau, pas question de chercher à le faire partout mais seulement « là où c’est essentiel. » Et d’évoquer l’initiative Davfi, dont « je ne sais pas si elle aura une réalité industrielle, mais c’est le genre de choses qu’il faut soutenir. »

Plus généralement, le Contre-Amiral insiste sur le « besoin d’une politique industrielle de la SSI en France et en Europe. » Une démarche déjà engagée et qui s’illustre par les ambitions affichées de grands industriels comme Thales ou EADS, avec Cassidian, mais aussi au travers de l’initiative Hexatrust. Mais pour Arnaud Coustillière, la filière a besoin de plus, « d’intégrateurs, car il y a un tout un patchwork d’architectures à maîtriser. » Et de souligner un important effort « d’aide à la recherche et développement, notamment vers les PME/PMI. »