Direction générale des relations internationales et de la stratégie (DGRIS) Directorate General for International Relations and Strategy
Le Livre blanc sur la défense et la sécurité nationale de 2013, reprenant les éléments de celui de 2008, a intégré de manière plus approfondie la menace cybernétique dans la stratégie nationale. Soulignant qu’une attaque contre les systèmes d’information d’importance vitale pouvait relever de la sécurité nationale, ce document fondateur a fait de la cyberdéfense une priorité.
La dernière décennie a été le témoin de la numérisation rapide d’une grande partie des activités humaines (savoir, savoir-faire, pensée, recherche et innovation). L’informatique est maintenant omniprésente dans nos activités. La multiplication des échanges dématérialisés, la généralisation de l’usage des réseaux sociaux, la diversification rapide des supports, des applications, des objets connectés, et le développement progressif de la convergence numérique génèrent une empreinte numérique de plus en plus importante.
L’ensemble des objets connectés et la masse des informations circulant sur les réseaux offrent en conséquence une surface d’attaque de plus en plus importante. Ces évolutions facilitent d’autant la compréhension du fonctionnement des entités et le profilage des individus par un adversaire potentiel, qui pourra ainsi mieux cibler ses attaques, qu’elles soient physiques ou numériques. Ainsi de nouvelles menaces sont apparues : cyberespionnage, cybercriminalité, destruction ou prise de contrôle à distance de systèmes informatisés, actions à distance sur des systèmes physiques.
Les systèmes d’information et les applications présentent en effet des vulnérabilités (souvent dues à l’obsolescence des systèmes ou à une mise en production trop rapide ne permettant pas de les sécuriser efficacement), qui sont autant de failles, exploitables par des individus, des groupes d’individus ou des États mal intentionnés, permettant de perturber un système, voler des données stratégiques, ou induire des dysfonctionnements sérieux voire engendrer des destructions physiques par une action sur des systèmes de commande.
Face à cette menace nouvelle, protéiforme, issue d’acteurs divers (États, hackers, hacktivistes, groupes organisés), il convient de sécuriser l’action de l’État et de protéger avec le niveau adéquat les opérateurs d’importance vitale, c’est-à-dire « les opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation », ou de mettre gravement en cause la santé ou la vie de la population (art. 1332-1 et suivants du code de la Défense).
Le rôle de l’État est fondamental dans la prise en compte des menaces cybernétiques. La Stratégie nationale pour la sécurité du numérique, présentée le 16 octobre 2015 par le Premier ministre, témoigne de ces préoccupations. Rédigée sous la direction du Secrétariat général de la défense et de la sécurité nationale (SGDSN) par les acteurs des différents ministères concernés, cette stratégie se veut plus globale que la précédente, publiée en 2011, et s’inscrit dans la continuité du Livre blanc de 2013.
Par cet effort interministériel mis en œuvre pour parer la menace cybernétique, il s’agit de préserver la souveraineté nationale à travers la protection de notre potentiel économique, industriel et militaire, ainsi que de notre administration, en mettant en place une organisation robuste, résiliente et cohérente de cyberdéfense.
La loi de programmation militaire 2014-2019, actualisée en juillet 2015 suite aux attentats qui ont frappé notre pays, a été le vecteur d’avancées substantielles. Elle a tout d’abord permis aux Armées de renforcer considérablement ses capacités en matière de cyberdéfense afin d’être en mesure de garantir le fonctionnement de ses systèmes, puis de mener le combat dans l’espace numérique, désormais un nouveau domaine de confrontation au même titre que la terre, la mer, l’air ou l’espace. Elle oblige par ailleurs les opérateurs d’importance vitale à se protéger selon des normes fixées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et à rendre compte de toute attaque subie.
Lancé en février 2014 par Jean-Yves Le Drian, ministre de la défense, le Pacte Défense Cyber affichait cinquante mesures concrètes, toutes réalisées dès la fin 2016. Représentant un effort budgétaire de plus d'1 milliard d’euros, ce plan d’action stratégique a permis de développer les capacités cyber du ministère, tant sur le plan matériel qu’humain, avec la mise en place notamment de cursus professionnels adaptés et spécialisés.
Bras armé de ce Pacte, le Pôle d’excellence Cyber regroupe les écoles militaires, universités, centres de recherche et entreprises de Bretagne dont l’activité est liée au domaine des nouvelles technologies de l’information. Cette association loi 1901 vise à faire converger les compétences et à dynamiser la filière cyberdéfense. Les différentes chaires "cyber" mises en place ces dernières années, certaines au sein des grandes écoles militaires, ont vocation à stimuler la réflexion et la recherche stratégique sur ces sujets.
Enfin, le discours de Jean-Yves Le Drian, prononcé le 12 décembre 2016 à Bruz, à l’occasion de l’inauguration de nouvelles installations dédiées à la cyberdéfense, a donné une nouvelle impulsion. Faisant le constat que "l’émergence d’un nouveau milieu, d’un champ de bataille cyber, [devait] nous amener à repenser profondément notre manière d’aborder l’art de la guerre", le ministre a présenté la nouvelle doctrine du ministère des Armées et annoncé la création d’un commandement de cyberdéfense (CYBERCOM).
Le Livre Blanc de 2013 et la loi de programmation militaire 2014-2019 ont donc donné une place importante à la cyberdéfense, en la positionnant au cœur des enjeux stratégiques et en la dotant de moyens significatifs, faisant de la France l’une des nations européennes les plus avancées dans ce domaine.
Conscient des impacts de la révolution numérique sur la sécurité des informations et des systèmes d’information, et dépendant lui-même fortement des réseaux pour la conduite de ses opérations militaires comme de ses activités quotidiennes, le ministère des Armées est en pointe dans le domaine de la cyberdéfense.
