« Cyberdéfense française : quelles perspectives après le livre blanc et la LPM ? » Questions / réponses.

Titre : « Cyberdéfense française : quelles perspectives après le livre blanc et la LPM ? » atelier du Forum International de la Cybersécurité
Intervenants :

  • COUSTILLIERE Arnaud, Contre-amiral, Etat-Major des Armées
  • HETZEL Patrick, Député, Assemblée Nationale
  • ARPAGIAN Nicolas, Directeur Scientifique du cycle , INHESJ
  • BOCKEL Jean-Marie, Sénateur du Haut-Rhin, Membre de la Commission des affaires étrangères, de la Défense et des forces armées
  • BERTHOU Jacques, Sénateur de l'Ain, Membre de la Commission des Affaires étrangères, de la Défense et des Forces armées, Sénat
  • RIHAN CYPEL Eduardo, Député de la Seine-et-Marne, Membre de la commission de la défense nationale et des forces armées
  • DAVIOT Christian, Chargé de la stratégie, ANSSI

Lieu : Lille, FIC2014
Date : 1 janvier 2014, 11h45-13h
Durée : 10 min (durée totale de l'atelier environ 2h15)
Média : Lien vers l'enregistrement - Lien vers l'atelier

Transcription

Public : Bonjour, prénom et nom, étudiant en sécurité juridique et informatique à Paris II. Je me suis renseigné un peu sur la loi de programmation militaire et je suis tombé, par hasard, sur une conférence de Régis Chamagne, ancien colonel de l'armée de l'air et auteur d'un ouvrage sur la stratégie aérienne, une conférence qui avait lieu à la défense française. Ça m'a un petit peu intrigué et je me pose deux questions. Vous avez beaucoup parlé de souveraineté nationale, donc je me demande comment on peut concilier cette souveraineté avec un alignement sur l'OTAN et le fait que les USA, les États-Unis soient une des principales menaces en matière de cyberdéfense et est-ce que dans le contexte Prism, donc l'affaire Snowden, n'est-il pas temps de remettre en cause les contrats signés entre l'armée et Microsoft ?

Meneur : Alors, peut-être Patrick Hetzel ?

Patrick Hetzel : C'est clair qu'on est là sur un sujet de nature politique. Vous mettez le doigt sur un point clef. Il est certain que si on veut s'assurer de la souveraineté nationale, il faut le faire sous tous les aspects. Tout à l'heure, j'évoquais à la fois le problème du hard et le problème du soft. Il faut, là-aussi, faire évoluer un certain nombre de nos pratiques. Je pense qu'un certain nombre de bons réflexes ont commencé à être pris, comme ça a pu être indiqué. Maintenant il faut que ça diffuse dans l'ensemble, je dirais, de nos organisations publiques et privées, d'ailleurs. Je pense qu'il y a encore un peu de travail dans ce sens. Je crois que Jean-Marie Bockel a aussi un éclairage à apporter suite à son rapport.

Jean-Marie Bockel : Merci. Sur l'OTAN, je vais parler clair. L'OTAN, c'est une alliance. On peut être pour, on peut être contre. Moi, je suis pour. Mais, sur le plan cyber, je l'avais d'ailleurs développé dans le rapport en effet, c'est aujourd'hui une alliance, c'est un morceau de gruyère. Ils font des efforts, ils font des progrès. Je ne me situe même pas sur un plan politique, mais sur un plan, j'allais dire, technologique. Ce n'est pas le problème des américains déjà, c'est: est-ce que, entre alliés de l'OTAN, on peut avoir une stratégie commune en matière cyber ? À certains égards, il le faut parce que quand on est ensemble dans un conflit, de plus en plus cette dimension cyber, je le dis sous le contrôle de l’amiral, va apparaître de manière importante. À partir du moment où on est ensemble, alliés, sur un conflit ou sur une menace, il faut effectivement qu'on ait un partenariat, une stratégie commune. Mais par moment, elle peut mettre en jeu des enjeux de souveraineté, qu'on évoquait tout à l'heure, en simples termes de sécurité.

Je pense que, pour autant l'enjeu ce n'est pas Snowden, ce n'est pas la NSA, ça ça fait partie, je dirais, des constances qu'on connaît, sur lesquelles on s'est déjà dit beaucoup de choses. L'enjeu, c'est la cybersécurité à l'OTAN

Meneur : Amiral

Amiral Coustillière : La question est difficile, surtout qu'il y a un amalgame, mais je vais essayer d’être très clair. Bien sûr, quand vous êtes responsable d'un grand organisme comme le Ministère de la Défense, qui doit comporter au bas mot plus de 250 000 postes de travail, que vous avez un certain nombre, du volume, du personnel dans votre DSI, vous êtes appelé à faire des choix. Des choix, c'est un rapport coût, efficacité et risque. Dans ces choix-là, vous avez le choix entre des grands éditeurs de logiciels qui vous garantissent une certaine pérennité sur les logiciels, et qui vous garantissent un certain entretien de vos logiciels et qui vous garantissent, surtout, une certaine interopérabilité avec un ensemble de partenaires avec qui vous travaillez. C'est sûr que ça, ça demande une politique équilibrée et dans d'autres parties où vous avez moins de partenaires, vous êtes prêt à mettre davantage de ressources humaines pour faire évoluer les logiciels, vous faites des choix de logiciels différents.

En terme de sécurité, vous avez le choix aussi entre un grand éditeur qui est obligé de faire évoluer ses logiciels parce que dès que quelqu'un a trouvé une faille, il est obligé de les faire évoluer, face à des communautés de développeurs libres, où, quand vous avez affaire à des services de renseignements, pénétrer une communauté d'éditeurs libres et aller se planquer à l'intérieur du code, ce n'est pas très compliqué, non plus. Je veux simplement dire par là, que la réflexion sur Microsoft, me paraît moi un peu élémentaire et quand vous êtes responsable d'un grand réseau d’informations, il y a des tas de façons d'attaquer votre réseau avant d'aller s'en prendre à la couche logicielle du haut et vous pouvez rentrer dans le hard. Je regardais les affaires Snowden aujourd'hui ou Prism, vous n'avez pas besoin d’exploiter les failles Microsoft pour pêcher tous les mails qui s'y promènent. Vous n'avez pas besoin de ça pour rentrer dans les sites web. Vous faites du SHA1, vous faites n'importe quoi, vous rentrez comme dans du beurre. Donc, cette réflexion sur Microsoft doit être quand même un petit peu plus réfléchie et ne pas être que sur Microsoft, mais bien sûr sur l'ensemble des éditeurs de logiciels qui disposent de sociétés juridiques. Vous avez un des gros éditeurs qui s'appelle SAP aussi, qui est européen, qui pose un certain nombre de difficultés aussi.

Ensuite, en terme de souveraineté. Je crois qu'il faut dépasser le terme souveraineté, il faut remettre un certain nombre de réflexions sur la table. Quand aujourd'hui, on regarde les opérations militaires depuis les 20 ou les 30 dernières années, elles se font principalement d'une façon quasi rituelle sous mandat de l'ONU. Elles se font dans des cercles de partenaires issus d'une alliance historique avec l'OTAN. Aujourd'hui, vous avez des nombres de partenaires extrêmement importants. Donc, c'est pas dans ces opérations militaires, dans le cœur de l’opération militaire, que vous remettez en cause la souveraineté de la nation. C'est bien dans la phase d'appréciation de situations, qui va amener le pouvoir politique à décider « je vais intervenir ». Donc le cœur de souveraineté militaire aujourd'hui, elle réside bien sûr dans l'informatique nucléaire. On est dans une société très compliquée, très bien commandée, très bien maîtrisée. Mais, elle est dans la capacité de l'appréciation de situation ou de renseignement, c'est-à-dire par le satellitaire d'un certain nombre de domaines. Après, quand vous êtes sur un théâtre d'opérations où, je n'en sais rien, au Mali, comment voulez-vous que je travaille aujourd'hui au Mali avec des Tchadiens si je n'utilise pas Internet et des produits Microsoft ? Vous croyez que les Tchadiens ont des développeurs de logiciels ? Qu'est-ce que vous pensez de la Centrafrique ? Qu'est-ce que vous pensez quand on fait des missions de contrôle de piraterie avec aujourd’hui un bâtiment chinois et un bâtiment ukrainien, pour chasser les pirates de la Somalie ? Quel est le meilleur logiciel pour être capables de se parler ensemble, de conduire ces opérations ? Donc, la souveraineté a quand même beaucoup bougé. Je voudrais revenir sur ce qu'a dit monsieur le député RIHAN CYPEL: les souverainetés aujourd'hui, il faut bien réfléchir à ça, on a une propre souveraineté qui est la nôtre, celle de chacun individuellement dans ce cyberespace. Qu'est-ce que l'on fait de nos propres données ? Pourquoi on les donne à Google ? Pourquoi on les donne à je ne sais pas trop quel site ? J'ai des enfants et ils visitent des tas de sites. On perd aujourd'hui des tas de souverainetés.

Ensuite, on a la souveraineté de nos industriels français, de nos emplois en France. Quand une PME ne se protège pas et se fait vider et perd des contrats. Quand, moi au Ministère de la Défense, dans le cadre de la DGA, je vous donne tous les ans 700 millions d'euros de recherche et développement à notre industrie préférée et que notre industrie préférée est complètement pénétrée et que tout cela ça part dans des pays étrangers, là on peut se poser des questions sur la vraie, la réalité de notre souveraineté. Mais, je trouve que les questions qui se limitent uniquement à des problématiques comme Microsoft - où Bon vous vous voulez prendre tous les autres logiciels, je n'en sais rien, il n'y en a pas d'autres qui me viennent - sont un petit peu limitées. Il faudrait élever un petit peu le débat et bien repasser sur un débat de la souveraineté des données dans les différents cercles. On a parlé de l’Europe tout à l'heure. Oui, il y a des souverainetés à géométrie variable au sein de l'Europe. On n'a pas la souveraineté en matière d'échange de données entre nous et l'Italie, entre nous et les allemands, entre nous et l’Estonie parce que c'est un pays avec qui on a des relations particulières. Ce ne sera pas la même chose dans le domaine militaire que dans le domaine industriel, dans le domaine des énergies nucléaires. On regarde aujourd'hui Thalès, on a des tas de succursales, on regarde EADS, c'est une entreprise européenne. Donc, ces notions de souveraineté dans le cyberespace aujourd'hui où les frontières se gomment, méritent une réflexion extrêmement importante, extrêmement approfondie.

Meneur : Merci

Patrick Hetzel : Très rapidement pour réagir à ce que dit l'amiral Coustillière, il a utilisé un terme que nous connaissons tous, celui de l'interopérabilité. On voit bien que la règle même pour pouvoir fonctionner d'un point de vue cette fois-ci opérationnel à l'intérieur de l'OTAN, c'est l'existence d'une certaine interopérabilité. Il y a un vrai paradoxe. C'est-à-dire que l'interopérabilité est absolument nécessaire pour être efficace, mais en même temps, plus vous allez pousser cette interopérabilité, plus potentiellement, vous augmentez l’exposition et donc la possibilité à un moment ou à un autre de développer des vulnérabilités. Donc, il y a un équilibre à trouver. Je crois que le mot clef, c'est une fois qu'on a conscience de l'existence d'un tel paradoxe, quel équilibre va t-on pouvoir établir ? Et là, il ne faut pas être naïf, il ne faut pas être un enfant de cœur comme le disait Jean-Marie Bockel, il faut avoir conscience du fait qu'il y a des maillons d'un côté qui sont des maillons forts et par ailleurs peut-être des maillons faibles. Il faut surtout s'appuyer sur les maillons forts et essayer d’être plus prudent à l'égard de certains maillons faibles.