Dans un document passionnant, l’ancien responsable de la cyberdéfense en France, le vice-Amiral d’escadre Arnaud Coustillière nous propose une plongée vertigineuse au coeur de l’élaboration de la lutte numérique française, face à ces cyberattaques. Prix Transfuge du meilleur doc. Rencontre.
Quel a été votre parcours de militaire, pour devenir « l’architecte en chef » de la cyberdéfense en France ?
J’ai été formé pendant quinze ans à des opérations maritimes, passant plusieurs années de ma vie sur toutes les mers du globe. Il y a une proximité d’approche avec le déploiement opérationnel dans le cyberespace, et une asymétrie similaire. Les opérations maritimes sont souvent loin du théâtre des opérations, invisibles ou « dématérialisées » vu de l’océan. Tout comme sur l’eau, et malgré une bonne préparation, la vision d’ensemble et la stabilité de l’environnement du militaire sont toute relatives dans le cyberespace.
Quels événements ont mené à la création d’un service de cyberguerre en France ?
A la fin des années 1990, le développement d’Internet a permis des connexions nouvelles et un décloisonnement des systèmes d’information et de communication. On sort de l’ère des Télécom pour entrer dans le cyberespace, nouveau « champ de confrontation immatérielle », au moment où on veut davantage stocker, traiter et partager l’information entre grandes puissances technologiques. La prise de conscience se fait surtout après le 11 septembre 2001. Il a fallu attendre 2006 pour qu’un rapport parlementaire du député Pierre Lasbordes pointe le retard français dans le domaine de la sécurité informatique.
La cyberguerre est défensive et offensive. Quelles sont vos actions ?
L’action défensive vise à sécuriser le partage des données, à anticiper, surveiller et réagir face à un risque, une menace ou une attaque cyber. Ce volet défensif demande une cohérence opérationnelle qui est proche de ce que savent alors faire les militaires.
La lutte informatique offensive consiste à pénétrer un site internet, un système d’information, pour le déstabiliser, le saboter ou consulter des données protégées. En 2003, cette lutte s’inscrit dans les missions du Renseignement et de la DGSE. Cela va demander un changement de paradigme avec une préparation intellectuelle et un travail conceptuel pour lesquels l’armée n’est pas encore mûre techniquement au début des années 2000.
Les actions défensives, réactives, de « la forteresse qui regarde l’ennemi arriver », complètent et nourrissent celles de la lutte offensive, proactives, renforcées aujourd’hui par la guerre de l’information, d’influence, de contre-propagande.
La cyberdéfense ne s’inscrivait pas dans les organigrammes classiques ni dans les schémas de pensée « capacitaires militaires ». Comment prouvez-vous votre plus-value au sein de l’armée ?
Autour des années 2010, les gouvernements français tirent les conséquences des « dividendes de la paix » en réduisant le budget de la Défense, en fermant de nombreux régiments. Je mets en place le matin ce qu’on appellerait ailleurs des plans sociaux. Et l’après-midi, je fais grossir un tout nouveau service de cyberguerre. Dans pareil contexte, j’ai bien conscience que nous sommes comptables des moyens engagés.
Après des exercices « Hacker-Vaillant » concluants, nous obtenons des résultats tangibles dans l’aide apportée aux forces de terrain pour prouver notre plus-value opérationnelle. C’est, en 2012, la protection de convois français en Afghanistan, en brouillant les liaisons radio des talibans. Plus tôt, c’était le basculement de la liaison entre des drones tactiques et Paris, vers le satellite militaire Syracuse, car ils opéraient sur un réseau peu protégé et partagé avec des applications extérieures au ministère.
Nous avons ainsi démontré notre maturité opérationnelle et technique par notre intégration dans le tempo des forces spéciales de terrain, dans ces interventions duales.
Comment êtes-vous passé « d’actes techniques isolés » à l’élaboration d’une « stratégie globale de pratiques réalistes », que le Livre Blanc de la Défense consacre en 2013 ?
C’est typiquement le rôle d’un service comme le CPCO, le Centre de planification et de conduite des opérations, de prévoir l’intégration des processus opérationnels des armées, à différentes échéances. On envisage par exemple à court terme (2 ans) les menaces, les opérations prévisibles, l’alimentation en carburant d’une région, etc., pour orienter nos unités en fonction d’hypothèses d’emplois. Pour nous aussi, l’idée était d’éclairer le Conseil de Défense sur l’intégration de notre apport technique et opérationnel non isolé.
Lutte-t-on de la même manière face au harcèlement et à la propagande numérique « artisanale » des milices terroristes, et face aux attaques sournoises d’Etats souverains contre nos ministères, nos hôpitaux… ?
L’approche est multiple et la réponse, toujours globale. Dans le cas de Daech, par exemple, la condamnation est internationale et leur mouvement, territorialisé, ce qui facilite nos actions opérationnelles hybrides. Mais dans tous les cas, et même quand l’ennemi est invisible, il faut montrer que nous ne sommes pas dupes.
La riposte peut être pénale, militaire, juridique et partout où l’ennemi se cache dans l’espace numérique. Il faut instaurer un rapport de force de déstabilisation.
Face au complotisme et aux radicalisations, l’éducation de la population est un impératif national. Dans le cyberespace, à une attaque contre nos valeurs, doit répondre l’exemplarité d’une défense ferme de ces mêmes valeurs. Nous sommes bien placés pour savoir la chance et la fierté que nous avons de vivre dans un pays libre et démocratique, contrairement à la majorité du reste de la planète.
Vos missions et vos personnels d’informaticiens et de stratèges sont atypiques. Comment recrutez-vous au début des années 2000, et plus tard ?
Le recrutement a été essentiellement interne au début : des jeunes intéressés par ce monde virtuel nouveau, qui ont écrit ou poursuivi des recherches dans ce domaine, des personnels qui « pensent différemment », qui ont une approche originale du renseignement, de l’opérationnel. J’étais à la recherche de ces « moutons à 5 pattes ».
Comment expliquez-vous qu’une proportion importante des cybersoldats et de leurs encadrants soient des femmes ?
Les hommes sont très majoritaires dans l’ensemble des activités numériques. Mais le taux de féminisation atteint près de 50% dans les activités de « lutte d’influence », car nous cherchons des individualités très variées, avec des « backgrounds » culturels, des personnalités, des façons de penser différents. Ils et elles doivent avoir des centres d’intérêts multiples, pour la politique, la sociologie, l’informatique, les réseaux sociaux…
Leur point commun est une grande agilité intellectuelle.
Vous évoquez le suivi psychologique des cybersoldats, qui mènent des « opérations psychologiques » (psy-ops) traumatisantes ? En quoi consiste-t-il ?
Dans notre riposte à Daech, j’étais exposé, en tant que chef de mission, à des images insupportables, des messages haineux visionnés à longueur de journées, qui suscitaient des haut-le-cœur. Je savais que mes équipes ne pouvaient pas en sortir indemnes psychologiquement. Tant les opérateurs que les chefs d’équipes, tous ont été suivis et accompagnés individuellement et dans la durée par le SSA (Service de santé des armées) et je n’ai pas constaté d’atteinte particulière ou de stress post-traumatique.
Légalement, la France se refuse à user des armes de ses adversaires. Comment vaincre un ennemi qui peut tout se permettre ?
Notre mission prend toute sa légitimité : nous devons agir contre la propagande du monde virtuel aux effets dévastateurs. Il est urgent de déstabiliser numériquement l’ennemi. Il faut le contester sur le terrain, pied à pied.
Mais la fin ne justifie pas les moyens. Le code pénal français interdit tout ce qui appelle ou provoque à la haine. Le droit des conflits armés nous autorise la ruse – se faire passer pour un ennemi – mais pas la perfidie – prétendre être la Croix-Rouge, par exemple.
J’encadre mes équipes dans le respect de ces règles. Dans le monde réel, nous sommes témoins d’actions clandestines : pas vu, pas pris. Mais l’Internet n’oublie rien : vous ne savez jamais si l’une de vos actions refera surface.
Comment percevez-vous l’impact des technologies les plus récentes sur le combat dans le cyberespace ?
L’Intelligence artificielle générative va modifier profondément notre approche de la cyberguerre.
Cette IA va développer un dynamisme numérique inédit, qui sera porté par des acteurs renouvelés. Ce ne seront plus seulement des Etats qui seront à la manœuvre pour des campagnes massives d’infiltration ou de déstabilisation. Cette IA va « démocratiser » l’attaque informatique en abaissant le niveau de compétences requis des hackers pour effectuer des raids sophistiqués. Nous allons assister à une rupture dans l’emploi qu’on fait du cyberespace et dans la façon dont on élabore des actions offensives et d’influence. C’est un réel challenge pour les Etats démocratiques.
Par ailleurs, nous risquons de ne plus savoir assez rapidement si une information est vraie ou non, avant d’avoir à gérer la prochaine attaque.
Si nous ne savons pas nous adapter à temps, la possibilité d’une fragmentation de nos sociétés est réelle.
Soldat de la cyberguerre, Arnaud Coustillière (avec Aude Leroy), Préface de Jean-Yves Le Drian, Tallandier, 288 p., 20,90€