La Tribune : Extraterritorialité, RSE, ONG... Les agressions contre la BITD française sont de plus en plus nombreuses ces dernières années. La DRSD est un service de renseignement au centre de toutes ces problématiques. Sur l'extraterritorialité, quelle réponse peut-on imaginer face à ces lois, qui sont véritablement des ingérences dans la souveraineté de la France et de l'Europe ?
Général Eric Bucquet : Concernant les problématiques que vous évoquez, nous ne pouvons que constater qu'il n'existe pas encore de véritable réponse globale et univoque à l'échelle de l'Union européenne, même si certaines avancées ont été récemment réalisées. Or, c'est bien à cette échelle qu'une réponse est nécessaire pour faire face efficacement à des lois extraterritoriales, c'est-à-dire à l'imposition, par un État, de son droit national au-delà de ses frontières. Ces lois sont souvent utilisées comme de véritables armes de guerre économique. La BITD française en a déjà fait les frais à plusieurs reprises. En outre, ces arsenaux normatifs sont en évolution permanente, dans un nombre sans cesse croissant de pays, bien au-delà des Etats-Unis. Il devient difficile d'évaluer, dans leur globalité, les impacts réels de tous les nouveaux textes. De manière générale, il faut bien admettre que, trop souvent encore, nous agissons en réaction dans ce domaine.

Y a-t-il eu à votre connaissance des fuites de documents non souhaitées dans l'affaire Airbus ?
A notre connaissance, il n'y a pas eu de fuite de document.

Comment contrôlez-vous les possibles ingérences du moniteur anglo-saxon, qui sera présent pendant trois ans au sein d'Airbus ?
Nous veillons, avec nos partenaires, à ce que ce processus ne donne pas lieu à des fuites d'informations sensibles qui pourraient procurer des avantages commerciaux indus à des concurrents d'Airbus, par exemple.

Mais demain, êtes-vous sûr de pouvoir encore contrôler les informations données ?
Sûr, non. Nous vivons tous, et sans doute même plus qu'avant, dans l'incertitude. Notre mission, c'est de veiller à la réduire et d'anticiper les risques.

Les entreprises françaises pourront-elles se protéger ?
L'idée-maîtresse est que tout audit, fût-il conduit par un cabinet anglo-saxon, doit reposer sur un cadre précis et que ce dernier doit être respecté par tous les acteurs qui y participent.

Mais les Européens ne semblent pas avoir vraiment pas la volonté de riposter. Pourquoi les Etats-Unis se priveraient-ils d'une telle arme ?
Comme je l'ai déjà affirmé précédemment, il me semble, en effet, indispensable d'obtenir un consensus européen concernant les réponses à apporter aux risques induits par les dispositions à caractère extraterritorial, sans cesse plus nombreuses, qu'elles soient américaines ou autres. A ce titre, il est intéressant de rappeler que la Chine a récemment mis en place, en décembre 2020, une réglementation en matière de contrôle des exportations comparable aux normes ITAR américaines et que celle-ci s'accompagne elle-même d'un dispositif de blocage des mécanismes extraterritoriaux étrangers.

Ce qui n'est pas le cas de la France et de l'Europe...
... C'était sans doute le cas dans un passé encore récent. Mais certains dossiers emblématiques, comme Alstom/General Electric ou, plus récemment, Airbus ont, à mon sens, favorisé une réelle prise de conscience. Toutefois, il est vrai que les entreprises européennes, et notamment françaises, lorsqu'elles font l'objet de poursuites extraterritoriales, demeurent confrontées à un dilemme entre pleine coopération avec des juridictions étrangères et protection de leur patrimoine informationnel. En outre, la crainte de telles poursuites pouvant les priver de certains débouchés à l'international incite souvent bon nombre de ces entreprises à mettre en place des dispositifs de conformité, voire de sur-conformité, qui peuvent être préjudiciables à leurs propres activités à l'export, face à des concurrents qui peuvent se révéler nettement moins scrupuleux.

Quelles solutions ?
Avec les lois extraterritoriales, on recrée des barrières là où on avait ouvert toutes les frontières. Dans un monde devenu hyper concurrentiel, l'Europe doit pouvoir parler d'égale à égale avec des puissances extra-européennes offensives, surtout si elle finit par leur servir de champ de bataille.

Pourtant, en France, il existe déjà des outils pour riposter. Pourquoi hésite-t-on encore ?
Il est vrai que la France s'est dotée de plusieurs outils pour faire face aux problématiques liées à l'extraterritorialité du droit. On peut penser, par exemple, à la loi dite « de blocage » au sujet de laquelle des réflexions ont été lancées afin d'en rendre les dispositions plus dissuasives pour les contrevenants. En outre, en 2016, la France s'est dotée de sa propre loi anti-corruption dite « Sapin 2 », ce qui lui a permis de renforcer sa crédibilité en la matière dans ses relations avec des juridictions étrangères.

Les Etats-Unis travaillent-ils sur d'autres outils légaux d'ingérence ?
La multiplication de dispositions légales à portée extraterritoriale, américaines ou autres, se traduit effectivement par un accroissement et une diversification des risques d'ingérences.

Comment prenez-vous en compte les problèmes posés par le CMMC ?
Le Cybersecurity Model Maturity Certification est une nouvelle norme mise en place par le Department of Defense américain pour protéger les informations sensibles détenues par les entreprises de défense, y compris européennes. Il est présenté comme un outil défensif. Nous travaillons pour voir dans quels cas celui-ci pourrait se révéler offensif.

Comment aidez-vous les entreprises françaises ?
Dans le cadre de la mission qui nous est confiée, nous avons également un rôle de conseil auprès nos partenaires industriels. Le maillage territorial dont nous disposons nous permet d'être à leur contact permanent. Nous les accompagnons dans leurs actions de remédiation lorsqu'elles doivent faire face à un incident cybernétique. Nous réalisons très régulièrement des actions de sensibilisation à leur profit, avec une attention particulière pour les ETI/PME. Dans le cadre de nos activités de renseignement, nous nous efforçons de déceler les tentatives de prédation ou de déstabilisation dont elles peuvent faire l'objet afin d'en alerter nos autorités et l'ensemble de nos partenaires institutionnels, comme le SISSE par exemple.

La ministre des Armées a entrepris une action en profondeur pour désitariser certains équipements, dont des missiles. Quel retour d'expérience avez-vous fait ?
La norme ITAR (International Traffic in Arms Regulations) est évolutive et peut gêner nos industriels dans le cadre d'exportation. Avec d'autres nous sensibilisons nos partenaires industriels aux risques potentiellement liés aux effets de cette norme. Le message semble bien passer.

Autre menace sur la BITD, les politiques RSE des banques sous la pression des ONG et des écologistes, pourraient exclure certaines filières, dont la défense, de financements. Est-ce une menace qui vous inquiète ?
Nous constatons effectivement que l'industrie de défense, plus que d'autres, est exposée à des pressions de la part de multiple acteurs et qu'elles peinent parfois à trouver les financements leur permettant de maintenir et de développer leurs activités, y compris en matière d'innovation. En outre, à l'aune de plusieurs exemples récents, on est en droit de s'interroger sur les desseins véritables de certaines entités se présentant comme des ONG, notamment lorsqu'elles concentrent leurs actions sur certaines entreprises de manière ciblée. A qui cela profite-t-il réellement ? Est-ce que tout cela est vraiment spontané ?

Avez-vous le sentiment d'avoir lutté efficacement contre la menace de prédation vis-à-vis de la BITD ? Êtes-vous en mesure de poursuivre ce travail de longue haleine ?
Nous nous y efforçons. Depuis le début de la crise pandémique, nous avons veillé à maintenir, voire à renforcer significativement, notre suivi de la BITD, en lien avec la DGA. L'une de nos craintes, par exemple, était de voir certains de nos fleurons fragilisés disparaître ou être repris par certains investisseurs étrangers. Pour l'heure, même si certaines entreprises demeurent en situation précaire, la situation apparaît comme globalement maîtrisée. Une catastrophe a été évitée, avant tout grâce au dispositif de soutien et de relance mis en place par l'État. Il nous faut rester vigilant.

L'équipe France (DGA, DRSD, DGSI, SISSE...) est-elle solide et encore perfectible ?
Le dispositif est solide, peut-être même plus qu'auparavant. Dès le début de la crise, le président de la République a manifesté, très clairement et à maintes reprises, son ambition de « rebâtir notre souveraineté nationale et européenne ». Il en a fait l'un des piliers du plan de relance gouvernemental. En janvier 2021, dans le même esprit, la ministre des Armées rappelait, dans l'un de ses discours que « (...) Les mots de « souveraineté économique » ont retrouvé tout leur sens. Des mots qui prennent corps dans notre industrie de défense, résiliente, douée de cette capacité d'adaptation constitutive de l'ADN du ministère (...) ». Comme cela a été le cas en matière de lutte contre le terrorisme à la suite des attentats de 2015, force est de constater que toute crise favorise une prise de conscience et incite les différents acteurs à resserrer les rangs, tant au niveau national que régional, pour agir collectivement de manière pragmatique, cohérente et efficace.

Les ONG sont de plus en plus présentes sur les dossiers des exportations d'armes, sur les banques qui financent l'industrie de l'armement... Quel est le rôle de la DRSD par rapport à l'agressivité des ONG sur la BITD ?
Il nous revient de déceler et d'anticiper les actions de certaines entités qui, sous couvert de principes éthiques, servent, sciemment ou non, des intérêts manifestement malveillants, et d'en alerter nos autorités.

Avez-vous des preuves qu'elles peuvent être manipulées par des puissances étrangères ou par des groupes d'intérêts étrangers ?
Je vais prendre un cas concret simple et difficilement contestable. En Afrique, certaines entités s'affichant comme des ONG panafricanistes sont manifestement financées par des puissances qui cherchent à nuire directement aux intérêts de la France, alors que celle-ci est pleinement engagée dans la sécurité du continent et de ses populations. Nous sommes encore dans la guerre économique.

Les histoires d'espionnage resurgissent du passé comme on l'a vu récemment. Quelle est votre analyse ?
Nous constatons effectivement de plus en plus d'ingérences émanant de certains pays. Dans le domaine économique, celles-ci peuvent s'inscrire, par exemple, dans le cadre d'une stratégie de rattrapage technologique dans certains domaines de pointe. Pour y parvenir, tous les moyens sont bons, y compris les plus classiques : vols de documents ou de supports informatiques, notamment lors de déplacements, intrusions consenties, approches humaines de personnes ciblées, cyber-espionnage. Certains services de renseignement étrangers demeurent très offensifs et capables de recourir à tous les moyens dont ils disposent pour parvenir à leurs desseins, qu'ils soient d'ordre économique ou politique.

Cette menace avait-elle disparu et revient-elle ces derniers mois au goût du jour des services de renseignement ?
Cette menace n'a jamais réellement disparu. Néanmoins, avec l'accent tout particulièrement mis sur la lutte anti-terroriste, elle était peut-être moins sous le feu des projecteurs qu'auparavant. Depuis 2018, notamment grâce aux nouvelles ressources octroyées par la loi de programmation militaire (LPM), nous avons pu obtenir les moyens nous permettant de mieux couvrir simultanément les différentes menaces auxquelles nous devons faire face en permanence, dont l'espionnage.

En France, quelle est en moyenne par an le nombre d'affaires d'espionnage hors attaques cyber que vous traitez ? Qu'est-ce qui vous alerte ?
On peut estimer que, chaque année nous instruisons quelques dizaines de cas nécessitant des levées de doute. Dans certains cas, les suspicions se révèlent non fondées. Dans d'autres, concernant par exemple des personnes exposées à des vulnérabilités particulières, les affaires sont prises assez en amont pour en permettre un traitement simple et souple, notamment au travers d'une mise en éveil de la personne sur ses vulnérabilités et de la mise en œuvre de solutions permettant réduire les risques.

D'où viennent les principales menaces ?
Bien évidemment, on pense d'emblée à des pays comme la Chine ou la Russie. Cela ne veut pas dire qu'il faille négliger les activités de services de renseignement d'autres pays tout aussi offensifs.

Avez-vous un chiffre sur les vols d'ordinateur dans les aéroports et dans les trains ?
Je ne peux vous donner de nombre précis, mais je peux néanmoins vous confirmer qu'il s'agit d'un phénomène qui demeurent très prégnant, notamment en raison de négligences humaines.

La France est-elle naïve quand elle accueille de nombreux étudiants chinois ?
De plus en plus d'étrangers viennent en France dans le cadre de partenariats ou d'échanges avec des grandes écoles, des établissements de recherche, des laboratoires. Ainsi, on estime qu'actuellement près 40.000 Chinois seraient présents dans nos écoles d'ingénieurs. Certains de ces étudiants peuvent être utilisés par les services de renseignement de leur pays d'origine pour des actions d'influence, de captations d'information ou de ciblage. Face à cette réalité, le monde de la recherche demeure encore trop peu réceptif. Ainsi, malgré les sensibilisations et les conseils que nous donnons aux membres des établissements qui sont de notre ressort, nous continuons parfois de constater, non sans surprise, que des accès à des zones ou des laboratoires sensibles ont été accordés à des étudiants ou des chercheurs venant de pays réputés comme étant particulièrement ingérents.

Cyber et espionnage classique semblent complémentaires. Quel mode opératoire ?
L'hybridation des menaces existe également en termes de modes opératoires. Elle constitue, du reste, l'un des principes de la stratégie chinoise de « guerre hors limites ». Qu'il s'agisse d'espionnage classique ou cybernétique, le maillon faible reste le même : l'humain.

La coopération entre services de renseignement est-elle aujourd'hui meilleure qu'il y a quelques années ?
Au sein de la communauté du renseignement, nous entretenons de très bonnes, voire d'excellentes, relations avec l'ensemble de nos partenaires. Face à des menaces sans cesse croissantes et diversifiées, nous ne pouvons pas nous permettre d'agir en ordre dispersé. Outre les coopérations opérationnelles sur des thématiques ou des dossiers particuliers, je considère que cette coopération passe également par l'essor des possibilités de mobilité interservices des agents.

Le directeur général de l'ANSSI Guillaume Poupard craint un « Pearl Harbor cyber ». Comment se protège-t-on d'une telle attaque ?
Chez nous, nous parlons plutôt de « tsunami » cybernétique. Un tel phénomène apparaît tout à fait possible, y compris à l'échelle mondiale. Partant de cette hypothèse, il s'agit donc d'anticiper et de se donner les moyens de faire face pour se relever le plus vite possible. Un des enjeux cruciaux, comme dans toute gestion de crise, c'est la coordination de l'ensemble des acteurs - services de l'État, opérateurs et partenaires privés - afin d'assurer la continuité des activités vitales et essentielles en attendant de retrouver une situation quasiment normale.

La France est-elle armée pour affronter un tel phénomène ?
La France est plutôt en avance par rapport à d'autres pays de l'Union européenne. A ce niveau également, l'enjeu de coordination s'affirme comme indispensable.

Quelles sont les relations entre les services français et les « Five eyes » (Etats-Unis, Canada, Grande-Bretagne, Australie et Nouvelle-Zélande) ?
Nous avons un statut à part, selon certains de nos interlocuteurs issus de ces « Five eyes ». Nous n'en faisons pas partie, mais nous pouvons y être associés. Du reste, nous avons récemment développé nos relations avec nos partenaires australiens, notamment dans le cadre du suivi sécuritaire de l'Australian Future Submarine Program (AFSP).

A la fois en dehors et dedans ?
En quelque sorte, oui. Quand nos partenaires ont besoin de nous, ils nous sollicitent. Avec ce pragmatisme qui caractérise si bien les anglo-saxons : dans certains domaines, à certains moments, au gré des intérêts identifiés, nous pouvons être les meilleurs alliés du monde, dans d'autres cas, nous sommes des concurrents, voire des adversaires. C'est le jeu, il faut savoir simplement en être conscient et l'accepter.

Nouveau scandale provoqué par la NSA, qui a espionné via des câbles sous-marins des hauts dirigeants européens, selon la presse danoise. Comment se protéger contre cet espionnage à grande échelle ?
Il faut d'abord être prudent. Nous savons bien que toutes les données, qui s'échangent par les câbles sous-marins, peuvent être espionnées. Pour se protéger, la meilleure parade consiste à chiffrer fortement les flux.