En matière de cyberdéfense, la France affiche ses certitudes même si tout peut basculer très rapidement. "J'aurais tendance à dire, en particulier depuis le Brexit, que la France est la nation la plus forte dans l'Union européenne en matière de cyberdéfense". La personne, qui l'affirme, n'est pas n'importe qui : c'est le général de division aérienne Didier Tisseyre, commandant de la cyberdéfense (ComCyber), à la tête de plus de 3.400 cybercombattants, qui doivent faire face à un ennemi souvent invisible. Car, a rappelé le commandant ComCyber lors de cette audition passionnante, "dans le cyberespace, nous ne sommes pas dans un temps de paix : il y a de nombreuses crises, et, d'une certaine manière, la guerre cyber a déjà commencé". Sur le plan mondial, la France a de très sérieux compétiteurs, qui peuvent se muer en ennemi, comme la Russie, la Chine, voire l'Iran.

"Aujourd'hui, parmi les grands acteurs en matière de cyber, notamment ceux qui ont prouvé qu'ils pouvaient faire beaucoup de choses - directement parce que leur État l'a commandité ou indirectement par des groupes plus ou moins rattachés - il y a évidemment les Russes, a souligné le général Didier Tisseyre. Ils sont présents dans toute la palette de ce que l'on peut faire dans le cyber, des cyberattaques très ciblées jusqu'à l'influence au travers des réseaux sociaux : ils sont très forts. Les Chinois aussi. Ils sont plutôt actifs dans l'espionnage économique. Mais dès lors qu'on entre dans un système pour voler de l'information économique ou industrielle, on peut faire autre chose, en entrant dans d'autres systèmes plus essentiels et mener d'autres actions. Nous y sommes très attentifs, comme nous sommes très attentifs à l'égard de pays comme l'Iran".

Pour autant, a-t-il expliqué, "des canaux de dialogue et de désescalade potentielle ont été établis avec les Russes et sont testés. Il faut créer ce dialogue mais aussi aborder ensemble les volets de la cybercriminalité". Chez les alliés de la France, qui est "dans le peloton de tête", on retrouve sans surprise parmi les nations à la pointe dans cet espace de conflictualités, les États-Unis et le Royaume-Uni. "Nous nous intéressons aux capacités américaines qui sont vraiment très développées, dans tous les domaines. Le Royaume-Uni et Israël sont aussi très pointus", a précisé le patron du ComCyber.

Des ennemis plus subtils ?

En 2017, le ministère des Armées a subi environ 700 tentatives d'attaque. Il s'agissait de cybercriminalité dans 90 % des cas, le ministère n'était pas ciblé. Dans les 10% restants, il l'était par un groupe élaboré. En 2018, il y a eu environ 830 événements, avec ces mêmes pourcentages. En 2019, le total est monté à 850 mais "on ne voit pratiquement plus d'attaques de groupes très élaborés, avec des signatures caractéristiques", a constaté le général Tisseyre. "La première réaction est de se réjouir qu'on ne nous attaque plus parce qu'on sait que nous sommes bien protégés. La deuxième peut être de penser que nos attaquants sont en train d'utiliser des outils beaucoup plus discrets, ou qu'ils utilisent des outils de cybercriminalité pour nous induire en erreur alors qu'ils ont une stratégie d'action cachée", a-t-il expliqué. Ces constatations sont alignées avec celles de l'ANSSI ou d'autres services de renseignements.

"Peut-être parce que certains ont été pointés du doigt ou parce qu'on a publié beaucoup sur la connaissance des modes opératoires de tel et tel groupe rattaché potentiellement à des acteurs étatiques, les attaquants sont aujourd'hui de plus en plus discrets ; les attaques sont de plus en plus sophistiquées et on les voit moins. Il faut donc être encore plus vigilant", a fait observer le patron du ComCyber.

Tout le travail d'enquête de la caractérisation technique de l'attaquant est effectué par le commandement de la cyberdéfense et les services de renseignement. À partir de la connaissance des modes d'action, des signatures des malwares, ils arrivent à identifier l'assaillant à l'origine de l'attaque. "Les programmeurs ont des habitudes, certains passent par la fenêtre, d'autres par la porte, et cela oriente leur identification, a souligné le général. Des adresses IP spécifiques à certains modes d'action, avec leurs rebonds au plan international, nous permettent de caractériser l'attaquant et, forts de ces éléments et avec l'action complémentaire des services de renseignement, de proposer une attribution".

"Faisons une comparaison avec des cambrioleurs : ils ont leurs astuces, leur stratégie. Certains vont passer par les toits, certains par la fenêtre, d'autres par la porte. Les cyberattaquants appliquent aussi leurs propres stratégies. Ces stratégies sont caractéristiques d'un certain nombre de groupes, et il est important de bien les connaître pour savoir comment réagir, s'il faut protéger les toits, les sous-sols ou les fenêtres. Dans le cyberespace, on doit tout protéger, être capable de tout défendre, parce qu'il suffit que l'attaquant trouve une entrée pour pénétrer dans votre système".

Attribuer ou pas ? Récemment, la ministre des Armées Florence Parly a évoqué une attaque du groupe Turla, un groupe de cyber espionnage russophone, contre les services du ministère. Ainsi, la France a pu patiemment et, en étroite collaboration avec des partenaires, remonter la chaîne des serveurs et des adresses IP. Derrière se cachait un mode d'attaque bien connu des services, le fameux Turla. Mais, selon le général Tisseyre, l'attribution publique "n'est pas une fin en soi. Une fois qu'on a dit « c'est lui qui nous a attaqués », que fait-on ? Riposte-t-on ? De quelle manière ? Il faut définir ce que l'on veut faire après". Et surtout à quoi cela peut servir. Car apporter les preuves d'une attaque contraint "à dévoiler nos propres capacités de caractérisation et nos partenariats qui nous ont permis de mener à l'identification, donc à se fragiliser".

"Nous prévenons que c'est tel pays ou tel groupe qui nous attaque, avec un certain degré de certitude ; ensuite, le politique décide ou non de le révéler publiquement", a-t-il précisé.

Les compétences de la France

Dans le domaine de la cyberdéfense, la France a su rester souveraine sur le plan du chiffrement, par exemple. "Ce sont des chiffreurs français, avec des composants français, toute une procédure française, et cela a un coût", a averti le patron du ComCyber. C'est le cas pour la dissuasion nucléaire pour le chiffrement des données où la France assure le plus haut niveau de souveraineté et de robustesse. Cette autonomie représente la moitié des investissements budgétaires en matière de cyber "au sens large". Pour le reste, "on n'aura jamais une sécurité à 100 %, a-t-il affirmé. Se pose la question de l'équilibre entre le risque d'utiliser des technologies développées par d'autres pays et le niveau de sécurité que l'on souhaite avoir".

La France s'est dotée d'une doctrine de lutte informatique offensive à des fins militaires. Et elle s'en sert. Les capacités dont disposent les armées en matière de cyberdéfense préservent les systèmes d'armes de plus en plus numérisés et permettent un combat collaboratif entre les différentes armées et/ou alliés. Elle peuvent également bloquer les capacités de l'adversaire, notamment au Levant avec Daech. La France est parvenue à bloquer sa propagande et la préparation de ses opérations contre les forces armées déployées en opérations. Ce qui fait dire au général que "celui qui maîtrisera le cyberespace aura un avantage, non seulement pour se protéger, mais aussi pour assurer sa supériorité opérationnelle".

Une supériorité opérationnelle qui peut être remise en question avec les nouvelles technologies comme l'intelligence artificielle. "Nous avons bien conscience des enjeux et travaillons énormément dans le domaine des IA", a-t-il assuré. En effet, le combat entre les intelligences artificielles, qui peuvent être utilisées à la fois pour attaquer et pour défendre, est essentiel. La Direction générale de l'armement (DGA) travaille sur les algorithmes d'IA afin qu'ils puissent être utilisés au mieux à la fois pour l'offensif et le défensif. Elle n'est pas la seule à aider le ComCyber. Dans le cadre de la Cyberdéfense Factory, des start-up et des PME viennent développer et tester leurs algorithmes d'IA. "Cela leur permet d'y travailler et de développer, dans un cadre régalien, des logiciels et des mécanismes d'IA", a-t-il insisté.

Michel Cabirol

11 Mai 2020, 6:00

Partager :