Les menaces dans le cyberespace évoluent, deviennent plus diverses, plus fréquentes, plus dangereuses et plus disruptives. En parallèle, l’approche doctrinale du ministère des Armées évolue pour garantir la souveraineté nationale. Dans un discours du 18 janvier 2019, sur la stratégie cyber des armées, la ministre des Armées Florence Parly a présenté les éléments publics de doctrine militaire de lutte informatique défensive (LID) et de lutte informatique offensive (LIO).
La ministre des Armées expliquait que si, en 2017, 700 évènements de sécurité dont 100 attaques avaient ciblé les réseaux du ministère, ce nombre avait été atteint dès septembre 2018. Aussi, le spectre des événements de sécurité touchait tout autant le ministère, les opérations, les expertises techniques, un hôpital d’instruction des armées, mais aussi les industriels et partenaires du ministère.
Cependant, l’exercice de la ministre n’était pas destiné à la présentation de nouveaux dispositifs ; il s’agissait d’assumer publiquement la pratique de riposte aux attaques cyber et d’exposer une partie de la doctrine offensive. Si le tabou de l’utilisation de l’arme cyber lors d’opérations avait été levé par son prédécesseur Jean-Yves Le Drian en septembre 2015, la pratique n’était connue que des cercles initiés. L’affirmation et l’exposition du cadre d’emploi de la LIO tend à intégrer l’arme cyber à tous les programmes confiés à la direction générale de l’armement (DGA). Détaillée dans les éléments publics de doctrine du ministère, « cette posture est affaire de décision politique. La décision de rendre publique une action de LIO doit, in fine, être mise en balance avec le risque que représente la vulnérabilité inhérente à la forte numérisation de nos intérêts nationaux ».
Précédemment, le Secrétariat général de la Défense nationale (SGDSN) publiait en février 2018 la revue stratégique de cyberdéfense, première synthèse stratégique dans le domaine. Ce document exposait le panorama des menaces et formulait des jalons de recommandations pour l’ensemble des acteurs parties prenantes de la protection des systèmes informatiques de l’État et des organismes d’importance vitale (OIV). Aussi, elle soulignait la division de la cyberdéfense française, principalement articulée entre l’Agence nationale de la sécurité des systèmes d’information (ANSSI), rattachée au SGDSN, et les services du ministère des Armées. Au sein de celui-ci, les actions de cyberdéfense sont coordonnées par le Commandement de cyberdéfense (COMCYBER), créé en 2017, sous autorité du chef d’état-major des armées (CEMA). La politique en matière de lutte informatique défensive s’appuie notamment sur le Centre d’analyse en lutte informatique défensive (CALID), ce dernier assurant une vision technique de l’ensemble des moyens de LID mis en place par chaque état-major dans leur périmètre de responsabilité, à partir de structures opérationnelles de type security operating centre (SOC).
Aujourd’hui, la lutte informatique offensive (LIO) est considérée comme une arme de supériorité opérationnelle, au même titre que toutes les armes conventionnelles. Les opérations de LIO interarmées sont planifiées et coordonnées par le COMCYBER, qui assure la cohérence des actions avec les états-majors et les services de renseignement. Selon les éléments publics de doctrine du ministère, la lutte informatique offensive est employée en substitution ou en combinaison des autres capacités de l’engagement militaire : renseigner, défendre et agir. L’emploi de la LIO se conçoit à deux niveaux, stratégique et tactique, pour l’évaluation des capacités adverses, la réduction voire la neutralisation des capacités adverses, et l’action sur les perceptions ou la capacité d’analyse adverse. Le niveau stratégique, dans la manœuvre opérationnelle interarmées globale, se caractérise par l’emploi de renseignement en amont d’opérations, à fins de ciblage ou de développement capacitaire, de neutralisation d’une capacité opérationnelle adverse ou d’un système de commandement de niveau stratégique jusqu’à la désorganisation des centres de propagandes adverses. Le niveau tactique, dans la manœuvre des composantes d’armées sur les théâtres d’opération, se distingue par l’emploi de renseignements d’intérêt immédiat lié à l’action des forces, la neutralisation d’un système d’arme ou d’un poste de commandement, ou encore l’altération d’un système de commandement.
La coopération dans le cyberespace s’inscrivant dans une logique complexe, la publication de la doctrine de la LIO vise également à développer une culture partagée de l’arme cyber, notamment au sein de l’OTAN. Les éléments publics de doctrine du ministère précisent que « la France s’est engagée, comme ses principaux partenaires, à partager les effets produits par ses moyens propres de LIO à des fins de défense ou d’opérations militaires collectives, mais en gardant toujours la maîtrise et le contrôle national car ils relèvent de notre stricte souveraineté ».
Cependant, si la LIO constitue un des attributs d’une défense souveraine elle repose sur des savoir-faire sensibles qui imposent un contrôle stratégique des opérations, une maitrise des risques politiques, juridiques et militaires, qui découlent des caractéristiques du cyberespace : immédiateté de l’action, dualité des cibles et hyperconnectivité. Concrètement, les risques de l’emploi de la LIO sont le vol, l’imitation ou la copie des outils par des adversaires. Aussi, elle pourrait permettre à des forces antagonistes disposant de capacités offensives, mais moins vulnérables, de s’engager dans une escalade conflictuelle à moindre risque.
Concluant son discours, la ministre des Armées déclarait « Aujourd’hui, nous envoyons un message ferme à nos adversaires et nous tendons la main à nos alliés. Aujourd’hui, nous nous dotons d’un cadre clair et nous l’assumons : oui, la France emploie et emploiera l’arme cyber dans ses opérations militaires. »
Club Cyber de l’AEGE