Matinée passionnante pour l’AORCA, ce 16 mars 2019, à l’Ecole Militaire. Sous la houlette du délégué aux réserves, c’est la problématique DGA du monde Cyber qui nous a été exposée par quatre intervenants, chacun dans son domaine de compétence.
S’est exprimé, tout d’abord, un haut responsable du segment management cyber de la DGA et du programme à effet majeur (PEM) Cyber. Le discours du ministre de la défense, en date du 18 janvier de cette année, a en effet affecté à la DGA aussi bien un rôle dans la lutte informatique de défense (LID) que dans la lutte informatique offensive (LIO). Ce PEM donne une lisibilité à l’action de la DGA dans le domaine. En termes de fonctionnement, la DGA voit, en amont de son action, l’EMA et le SGDSN qui expriment leurs besoins. Au cours du programme, elle est en interaction avec les industriels auxquels elle passe les marchés et en aval les forces et le SGDSN pour le retour d’expérience. Ce programme ne s’intéresse pas aux matériels spécifiques (par exemple montés sur le Rafale) qui sont alors pris en charge par les programmes correspondants. Par souci d’obtenir au plus tôt une efficacité, fut-elle partielle, le programme fonctionne de façon incrémentale au sein d’une feuille de route LIO/LID.
Le second intervenant représentait Thalès. Cette entreprise, on s’en doute n’a pas attendu le discours du ministre pour s’investir dans ce domaine qui la touche par plusieurs côtés (connectivité, big data, intelligence artificielle, cyber-sécurité. Sa croissance dans ce domaine s’est faite en particulier grâce à des acquisitions telles Vormetric, IVADO ou GEMALTO. L’évolution actuelle est marquée en termes de contexte par deux facteurs importants : d’une part, la montée en puissance de la possession des données de base par les fournisseurs de services et , d’autre part , la limitation du droit de propriété du client à un droit d’usage. Par ailleurs, la lutte pour la cyber-sécurité conduit maintenant à une opposition franche donc à la recherche d’un équilibre entre cyber-sécurité et sûreté de fonctionnement. Il est ainsi tentant de laisser sur un matériel qualifié des éléments qui présentent des faiblesses face à une attaque cyber. Enfin, l’explosion du besoin est telle qu’on estime le déficit en personnel compétent à un million de personnes. Mais spécifiquement Thalès, acteur national et international, est soumis à une contrainte de protection de la souveraineté nationale qui le pousse à ne pas exporter et de crédibilité à l’international qui le pousse à exporter « à tout va ». Problème bien connu de la commission interministérielle pour l’exportation des matériels de guerre (CIEMG).
Après une carrière au sein du ministère de l’Intérieur, le troisième intervenant œuvre maintenant chez Price-Waterhouse-Cooper France. Il porte un regard extérieur sur le tissu des entreprises face à ces problèmes. Pour une entreprise, la question n’est pas de savoir si elle sera attaquée mais si, le jour venu, elle s’en débrouillera bien ou mal. Sa valorisation boursière peut, suivant les cas, monter ou descendre durablement avec un écart qui avoisine les 20 %. Se défendre efficacement passe par quatre actions qui ne sont effectives que dans 17 % des entreprises : faire sponsoriser cette action par le sommet de la hiérarchie, établir une stratégie cyber ; mettre en place les mécanismes de détection des attaques, évaluer régulièrement la cyber sécurité. Et les sommes consacrées restent aujourd’hui faibles.
Le dernier intervenant, créateur de plusieurs PME du secteur, présente le tissu industriel cyber : la France ne figure pas parmi les10 plus grands acteurs du domaine. Ce tissu est dangereusement morcelé et n’arrive pas à lever des fonds au niveau de la concurrence. Il faut donc craindre que cet écosystème ne tombe sous la coupe des USA. Il complète son propos par un constat et une conviction. Un constat – en matière de sensibilité aux attaques : c’est toujours le facteur humain qu’il faut mettre en cause. Une conviction – la lutte informatique offensive ne doit pas être limitée à la défense de l’État.