COMMANDO  MAGAZINE

La cybersécurité, c’est un sport collectif.
La faille peut venir de partout. Les hackers sont plein d’inventivité. Aussi puissants que peuvent être nos pare-feu, une simple inattention peut ouvrir une brèche dans laquelle bien des personnes, des groupes et des Etats voudront s’engouffrer.
Alors, oui, nous devons agir ensemble pour la cybersécurité de nos réseaux. Nous devons, ensemble, concevoir et échanger les bonnes méthodes et les bonnes pratiques. Nous devons bâtir pour chaque entreprise, chaque ministère, chaque personnel, une culture et une hygiène cyber irréprochable.
Nous parlons aujourd’hui de cybersécurité « by design », par essence presque. C’est précisément ce qu’il nous faut construire. Chaque système doit être conçu en pensant à sa cybersécurité. Chaque réseau doit être pensé dès l’origine en se demandant comment le protéger.
Le ministère des Armées le sait bien car les chiffres sont là. En 2017, les réseaux de la défense ont subi 700 événements de sécurité dont 100 cyberattaques. En 2018, les chiffres ont encore augmenté et dès septembre, nous dépassions ce chiffre de 700. Mon petit doigt me dit que cela ne va pas baisser en 2019.
Et non seulement le nombre d’attaques augmente mais les attaquants ont toujours des profils aussi variés. Un adolescent peut pirater les mails de la chancelière allemande pour s’amuser, presque par hasard. Un groupe anonyme peut s’en prendre à nos industries, nos transports, nos hôpitaux sans raison apparente. Un Etat, enfin, peut chercher à affirmer sa puissance en nous espionnant, nous manipulant ou même en sabotant nos capacités.
Et derrière chaque ordinateur, comment identifier avec certitude l’agresseur ? Tout le monde peut se cacher derrière son ordinateur et l’impunité est presque totale.
Voilà la réalité du cyberespace. Ce sont des opportunités inouïes pour nos quotidiens comme pour notre défense. Ce sont aussi des risques, des risques majeurs qui peuvent mettre en péril notre sécurité.
Mesdames et messieurs, la guerre cyber a bel et bien commencé.
Nous ne serons ni naïfs ni aveugles, et nous allons nous y préparer.
L’année dernière sur cette même estrade, je vous annonçais que la France se dotait d’une cyberdéfense renforcée avec 1000 recrutements de cybercombattants supplémentaires d’ici 2025 et 1,6 milliard d’euros pour la lutte dans le cyberespace.
Depuis ces investissements sont entrés dans le marbre de la loi puisque la loi de programmation militaire a été votée puis promulguée par le Président de la République le 13 juillet.
J’avais l’année dernière parlé d’innover, de dénicher et d’attirer tous les talents et toutes les bonnes volontés. Le premier défi cyber du ministère des Armées était lancé. Son objectif était de répondre à une urgence opérationnelle du Commandement cyber en développant rapidement un outil de confiance avec un accès distant pour rechercher les traces d’attaques cyber sur un parc informatique.
12 candidats ont relevé ce défi et j’ai le plaisir d’annoncer les deux lauréats : les PME Harfanglab et Gatewatcher d’un côté et AMOSSYS, de l’autre. Ils ont mis au point des projets novateurs, protecteurs et d’une remarquable efficacité. Nous allons poursuivre le travail avec eux pour s’assurer que leurs solutions soient très vite expérimentées, challengées et intégrées sur nos réseaux. Je veux remercier tous ceux qui ont permis ce défi et qui y ont participé.
Vous avez prouvé qu’on pouvait agir vite et bien. Prouvé qu’on pouvait acquérir des technologies utiles différemment. Je veux tous vous en remercier.
Et ce défi est une méthode nouvelle qui vient de prouver son efficacité, c’est bien qu’il faut continuer ! D’autres arrivent et je pense, en particulier au défi sur l’intelligence artificielle lancé tout récemment par l’Agence Innovation Défense et auquel je le sais, vous êtres très nombreux à avoir répondu.
Nous avons montré notre volonté. Notre capacité à nous mettre en ordre de marche, vite. Et vendredi, à Paris, avec le chef d’état-major des Armées, nous avons encore franchi une étape supplémentaire. J’ai annoncé devant le Commandement cyber, notamment, que la France revendiquait d’utiliser l’arme cyber au même titre que toutes les armes conventionnelles. J’ai pu énoncer les grands principes de notre nouvelle doctrine cyber offensive et le renforcement de notre défense cyber.
L’arme cyber n’est pas seulement pour nos ennemis ou nos fictions. Non. Nous aussi, en France, pouvons défendre, répliquer et attaquer.
Alors, vendredi nous avons révélé une partie de notre doctrine offensive. En opération, nous employons déjà l’arme cyber. Nous avons publié les grandes lignes de cette doctrine pour le faire savoir et nous donner un cadre d’emploi.
Il faut maintenant intégrer l’arme cyber à tous nos programmes, et je compte sur la DGA. Il faut aussi plus de coopérations, de partenariats, de convergences avec nos alliés européens. S’il y a bien une menace qui nous touche tous et se moque éperdument des frontières, c’est bien la menace cyber. Alors nous devons créer une culture commune, des remparts plus forts et agir ensemble, y compris avec de la lutte informatique offensive en opérations.
S’agissant de notre doctrine défensive, mon message est clair : ne pas tendre la joue.
Le ministère des Armées a entamé sa révolution numérique. Il en est même à la pointe et c’est un mouvement qui me tient à coeur. Aujourd’hui, grâce au numérique, le ministère des Armées devient plus simple, plus rapide, plus efficace.
C’est une opportunité extraordinaire. Une opportunité que tout l’Etat saisit. Mais une opportunité qui n’est pas sans dangers.
Alors, le ministère des Armées se prépare, renforce sa défense. Le Commandement cyber a été conforté, son organisation renforcée. Nous redoublons de vigilance et nous dotons des meilleurs outils. Mais une chose est sûre, plus les Armées se protègent, plus les industriels, les sous-traitants sont susceptibles d’être des proies toutes désignées pour pénétrer dans nos systèmes d’information. Alors, c’est toute une chaîne de défense qui doit être protégée de bout en bout.
J’ai donné une instruction en la matière fin décembre. Toute notre communauté de défense doit se protéger et toute notre chaîne de défense se responsabiliser. Le COMCYBER, avec la DGA, sera la tour de contrôle de cet effort et j’appelle tous nos industriels à s’engager pour consolider encore notre cybersécurité
C’est pourquoi je veux aujourd’hui faire une proposition à nos industriels de défense. Unissons nos forces pour protéger notre chaîne d’approvisionnement de la menace cyber. A l’été, je souhaite que nous puissions formaliser, en en étroite liaison avec l’ANSSI, les engagements mutuels sur la cybersécurité. Il nous faudra mieux définir les rôles et les responsabilités de chacun pour protéger nos systèmes et réagir en cas d’attaque. Cette démarche collective est une absolue nécessité. Elle seule permettra de protéger le développement, la fabrication et la maintenance de nos équipements de défense.
Elle nous permettra de répondre ensemble à plusieurs grands défis.
D’abord, la mise en place d’une coordination : c’est une évidence. Nous devons dialoguer en permanence et joindre à cet échange nos services de renseignement. Nous allons identifier un cadre et une démarche claires pour faire avancer nos travaux de concert. Nous devrons échanger nos informations sur telle ou telle menace, tel ou tel incident. Nous pourrons partager nos outils, aussi, les mutualiser.
Nous établirons une stratégie ambitieuse de sécurisation de nos systèmes. C’est la finalité même de notre démarche, alors il nous faudra cartographier, identifier les priorités.
Nous devons enfin réfléchir à comment aider et protéger efficacement notre chaîne de sous-traitance. Nous ne pouvons pas les laisser devenirs les chevaux de Troie de nos adversaires. Il faudra donc les soutenir, à la fois en méthode et en technique. Il nous faudra aussi être extrêmement exigeant et imposer dans les critères d’achat des clauses sur la cybersécurité.
Je parle de cette chaîne de confiance cyber. Elle passe également par les PME, les start-up. Par leurs idées et leur inventivité. J’ai eu le plaisir de voir quelques démonstrations à l’instant, d’échanger avec nos entrepreneurs. Alors, je veux aussi vous dire une chose : nous avons besoin de vous. Nous avons besoin de vous pour concevoir et produire des produits de sécurité utilisables en toute confiance par nos Armées. Nous avons besoin de vous pour préserver notre autonomie stratégique.
Car les outils de confiance que nos entreprises développent, tous en Europe pourront en profiter. Je veux saluer ici les responsables internationaux présents aujourd’hui. Ils sont nombreux. Et c’est bien au FIC, forum international s’il en est, que nous devons en profiter pour nous inspirer et laisser sa chance à la vitalité des PME européennes.
Et au ministère des Armées, la confiance donnée aux PME et aux entrepreneurs, ce ne sont pas que des mots, c’est du concret.
Il y a quelques mois, cinq PME issues du cluster Hexatrust ont ainsi remporté face à des grands groupes, un marché de prestations cyber pour aider nos opérationnels à sécuriser les systèmes d’information et les réseaux du ministère.
Nous protégeons les PME, nous leur donnons leur chance. Aussi, j’ai lancé cette année un Plan Action PME qui comprend 40 mesures concrètes pour mieux prendre en compte les PME dans notre stratégie d’achat, pour renforcer le soutien à l’innovation et le dispositif RAPID, en particulier. Pour établir également une relation équilibrée entre les PME et les grands groupes.
Je sais que notre souveraineté numérique passe par les PME et j’ai bien l’intention de les choyer.
Et quand je parle de confiance, cela va loin. Un partenariat a été noué entre le COMCYBER et une start-up, « YesWeHack ». Alors, oui, je l’annonce, nous allons lancer fin février le premier « bugbounty » du ministère des armées. Des hackers éthiques, recrutés au sein de la réserve opérationnelle cyber, pourront se lancer à la recherche des failles dans nos systèmes et s’ils en découvrent en être comme il se doit, récompensés.
Mesdames et messieurs,
Nous avons devant nous des défis et des opportunités.
Nous devons créer des liens entre le ministère des Armées et nos industriels de défense, entre le ministère et les PME, oeuvrer pour une Europe de la cyberdéfense. Nous devons agir de concert pour une irréprochable cybersécurité.
Et pour y parvenir, il existe un dernier défi que nous devons collectivement relever. Le défi des talents, le défi du recrutement.
Le ministère des Armées doit faire savoir, partout, qu’il cherche des personnes prêtes à coder pour la France. Les industriels mettre en avant les compétences fines qu’ils cherchent. Nous devons tendre la main aux entrepreneurs, aux innovateurs, leur dire que la défense leur ouvre ses portes et qu’elle est prête les soutenir et les pousser vers des parcours, des missions, des vies passionnantes.
L’année 2018 a été riche pour notre cybersécurité. L’année 2019 commence sur les chapeaux de roue. Alors, réfléchissons ensemble. Agissons ensemble. Assurons ensemble notre cyberdéfense. Cette 11e édition du FIC en est une nouvelle opportunité. Saisissons-la pleinement. Je vous souhaite un excellent FIC 2019.
Vive la République ! Vive la France !