La cybersécurité dans la stratégie militaire française
La cybersécurité s’ancre dans une myriade de concepts liés au cyberespace (l’espace constitué par les infrastructures interconnectées relevant des technologies de l’information, notamment l’internet, et par les données qui y sont traitées). La cybersécurité comprend les usages défensifs et offensifs des systèmes d’information. On prend en compte les moyens techniques utilisés pour l’échange de données (réseaux informatiques, téléphoniques, satellitaires…) ainsi que l’ensemble des informations stockées ou circulant sur des supports numériques (sites Internet, bases de données, messageries et communications électroniques, transaction dématérialisées, etc).
Par Paul Laurent, étudiant en droit public à l’université Paris-Panthéon-Assas
Le cybersécurité est constituée de 3 axes fondamentaux :
- La cyberdéfense
- La cyberrésilience
- La cyberprotection
1/ La cyberstratégie militaire française, perspective historique
Le livre blanc sur la Défense et la Sécurité nationale en 2008, en positionnant les attaques informatiques comme deuxième menace la plus importante pour la sécurité nationale, affirme la prise de conscience des enjeux “cyber”.
Le livre blanc de 2013 va plus loin en affirmant que la “capacité à se protéger contre les attaques informatiques, de les détecter et d’en identifier les auteurs, est devenue un des éléments de la souveraineté nationale”.
La stratégie cyber française est développée en profondeur dans la revue stratégique de cyberdéfense de 2018.
La cybersécurité française est mise à l’épreuve annuellement sur l’exercice DEFNET.
2/ Le éléments de la doctrine militaire française
Taillée pour répondre à 6 missions principales (prévenir, anticiper, protéger, détecter, réagir, attribuer), la doctrine française s’organise en 3 axes de lutte informatique :
La Lutte Informatique Défensive (LID).
C’est la composante traditionnelle de la posture stratégique française dans le domaine “cyber”. Elle met en œuvre le travail de plusieurs acteurs (principalement COMCYBER, ANSSI et services de renseignement) pour répondre principalement aux missions de prévention, de protection et d’attribution.
La LID, par la vigilance continue imposée par le cyberespace, nécessite la mise en place d’une posture permanente de cyberdéfense (PCC), qui doit permettre de répondre à quatres niveaux de menaces :
- Jaune : risques potentiels plus ou moins importants.
- Orange : risques potentiels plus ou moins importants.
- Rouge : risques hostiles jugés
- Écarlate : risques majeurs et simultanés.
La Lutte Informatique Offensive (LIO)
Le volet offensif de la lutte informatique n’apparaît publiquement qu’en janvier 2019 dans le corpus doctrinal français.
C’est dans une volonté d’affirmation face à des concurrents étatiques et infra-étatiques de plus en plus agressifs que les autorités ont décidé de rompre (légèrement) avec la posture uniquement défensive qui prévalait.
Cet aspect offensif reste très encadré par le droit national et international, et la France affirme n’y recourir que dans le cadre de la légitime défense.
La mise en place d’une action offensive peut être réalisée de manière autonome ou en combinaison avec des moyens militaires conventionnels pour “produire des effets à l’encontre d’un système adverse pour en altérer la disponibilité ou la confidentialité des données”.
La Lutte Informatique d’Influence (L2I)
Ce dernier élément est probablement le plus dense, puisqu’il nécessite une posture permanente offensive et défensive, et comprend un aspect tri temporel, avec une utilisation en amont, durant et en aval d’un conflit.
Cet aspect met potentiellement en concurrence l’Etat français et les forces armées avec n’importe quel acteur dans un conflit asymétrique déterritorialisé, en jouant sur des leviers parfois exclusivement irrationnels (la stimulation émotionnelle des utilisateurs notamment). La guerre, mais aussi les relations internationales, pouvant se définir comme une dialectique des volontés, la lutte d’influence au sein de la “couche informationnelle du cyberespace” joue un rôle éminemment stratégique.
Les missions du COMCYBER consistent “à détecter les attaques informationnelles susceptibles de nuire à la réputation des armées ou d’entraver leur action, à les caractériser, à les contrer et à promouvoir l’action de nos forces” (renseigner, défendre et agir).
3/ La structure militaire française
Le COMCYBER : Le commandement de la cyberdéfense, créé en 2017, rassemble l’ensemble des forces de cyberdéfense du ministère des armées. Il est placé sous l’autorité du chef d’état-major des armées.
Il dispose d’un état-major de la cyberdéfense (EM-CYBER) intégré dans la structure de l’état-major des armées, ainsi que d’un groupement de la cyberdéfense des armées (GCA) qui regroupe les centres spécialisés en cyberdéfense (notamment le Centre d’Analyse en Lutte Informatique Défensive – CALID).
L’ANSSI : L’Agence nationale de la sécurité des systèmes d’information, créée en 2009, est placée sous l’autorité du Premier ministre par le biais du secrétariat général de la Défense et de la Sécurité nationale (SGDSN). Entité non-militaire, elle est chargée de la mission d’autorité nationale de défense des systèmes d’information de l’Etat et du soutien à ses opérateurs. L’ANSSI travaille en étroite collaboration avec les acteurs militaires de la cybersécurité.
Le CIAE : Le Centre interarmées des actions sur l’environnement, sous la tutelle du commandement du renseignement (COM-RENS) regroupe des acteurs français de l’influence militaire dans une perspective de mise en œuvre de la L2I.
Les autres organes : Un certain nombre d’autres structures sont dotés de compétences pour répondre aux enjeux de LID, LIO et L2I. On soulignera notamment VIGINUM (sous l’autorité du SGDSN), la DGSE, la DGSI, le Conseil de défense et de sécurité nationale (CDSN, le Comité de direction cyber (CODIR), le Coordonnateur national du renseignement et de la lutte contre le terrorisme (CNRLT), etc.
Depuis 2021, la gendarmerie nationale s’est dotée d’un “commandement de la gendarmerie dans le cyberespace” (ComCyberGend) regroupant l’institut de recherche criminelle (IRCGN) et le centre de lutte contre les criminalités numériques (C3N). Il est chargé de piloter, conduire et animer le dispositif de la gendarmerie nationale dans la lutte contre les cybermenaces.
4/ Le cadre juridique internationale des actions de cyberdéfense
Les actions de lutte informatique défensive et offensive s’ancrent dans le principe de légitime défense, et dans la doctrine française du droit international sur le cyberespace.
Les actions de lutte informatique d’influence répondent à deux systèmes normatifs en fonction du contexte d’action. En temps de paix, c’est la Charte des Nations unies qui est la norme internationale de référence. En cas de conflit armé, la France s’engage à respecter les règles du Droit international humanitaire (nécessité militaire, précaution et proportionnalité dans l’attaque).
Les articles L. 2321-1 à L. 2321-4 du Code de la défense contiennent les dispositions juridiques nationales principales en ce qui concerne la mise en œuvre des actions de l’Etat sur le cyberespace.
5/ Les acteurs industriels français
On note le déploiement de certains des grands acteurs industriels de Défense et de Sécurité français sur le segment de la cybersécurité (Thalès, Aribus Defence & Space, etc) mais aussi d’acteurs civils comme Capgemini, Atos, Orange Cyberdéfense ou encore SFR Cybersécurité.
La France représente 4% d’un marché mondial de la cybersécurité écrasé par les Etats-Unis (39%).
La question d’un marché européen face aux filières nationales chinoise, états-unienne ou israélienne se pose. Le règlement EIDAS (harmonisation des normes sur l’identification électronique) ou la directive Network and Information Security de 2016 concrétisent une démarche timide en ce sens, malgré l’absence de vision commune dans le domaine.
6/ L’évolution des menaces
La particularité du risque cyber réside dans l’absence totale de barrières géographiques combinée à l’accès à une capacité de nuisance de la part d’individus isolés. Plus globalement, la menace se découpe en deux catégories : l’action militante et l’action mercantile.
Ce péril joue un rôle majeur dans le rééquilibrage du rapport de force mondial au profit des pays émergents, dans l’émergence des mouvements terroristes et dans la redistribution des sphères d’influence régionales.
A l’échelle nationale, la menace cyber est sur une courbe largement ascendante, en raison d’une part de l’augmentation des menaces mondiales, mais aussi plus simplement de l’intensification de la cybernétisation qui étend mécaniquement la surface menacée.
Quelques chiffres :
- Augmentation de 50% des cyberattaques visant les collectivités territoriales (depuis 2019).
- Plus de la moitié des entreprises françaises ont déjà subi une cyberattaque.
- 2 milliards d’euros de dégâts pour l’économie française (2023).
- Augmentation de 300% des cyberattaques russes contre les pays de l’OTAN (de 2020 à 2022).
7/ Les enjeux à venir
Outre l’augmentation des menaces et la difficulté de mise en œuvre commune à l’échelle européenne (absence de conception commune des menaces, méthodes de traitement et normes industrielles), la France est confrontée à plusieurs enjeux. Voici les principaux :
- La proposition, conformément au droit international, d’une définition exacte de l’étendue de la souveraineté des Etats sur les différentes couches du cyberespace et des actes considérés comme illicites.
- Les difficultés de recrutement (1 100 postes non pourvus au ministère des Armées) malgré l’ambition de créer 953 nouveaux postes d’ici 2030.
- L’importance de la formation continue dans ce secteur, donc la perte de temps de travail effectif.
- La complexité de la mise en place d’un cloud de confiance souverain.
- Le cas d’Atos, et du maintien de ses activités cyber dans le giron d’un groupe français.
- La “dette technique” à rattraper pour adapter les forces françaises aux enjeux technologiques (près d’un milliard d’euros).
- La sécurisation des Jeux Olympiques (3 milliards d’attaques cyber attendues, 10 fois plus qu’à Tokyo en 2020).