A la tête du Commandement de la cyberdéfense (Comcyber) depuis le 1er septembre 2019, le général de division aérienne Didier Tisseyre dirige les quelques 3.000 cyber-combattants de l’armée française. Cyberattaque du groupe russe Turla, nouveau bâtiment du ComCyber à Rennes, recrutements de spécialistes, menace des « agents dormants cyber », futur campus cyber parisien… Dans une interview à Challenges, il fait le point sur les dossier chauds de la cyberdéfense.
Challenges – Un peu plus de deux ans après sa création, où en est la montée en puissance du ComCyber ?
Général Didier Tisseyre – Le ComCyber, c’est aujourd’hui plus de 3.000 cyber-combattants, et 4.000 à l’horizon 2025. Une première partie de notre travail est la défense des réseaux du ministère des Armées, notamment contre les tentatives d’intrusions. Une autre partie relève de la cyberdéfense offensive, sur laquelle la ministre des Armées et le chef d’Etat-major des armées ont donné des éléments en début d’année. Elle nous permet d’avoir une supériorité opérationnelle sur nos théâtres d’opérations extérieures, au Levant ou au Sahel. Enfin, nous sommes en charge de la protection des systèmes (firewall, antivirus) ainsi que de l’entraînement et la formation dans le domaine cyber.
Le ministère des Armées a recensé 821 incidents cyber en 2018. En quoi consistent-ils?
Environ 10% des incidents constatés en 2018 visaient directement le ministère des Armées. Et sur ces 10%, à peu près 10% consistaient en des attaques sophistiquées caractéristiques de groupes que certains associent à des États, ce qu’on appelle APT (Advanced Persistent Threat). Le reste, c’est de la cybercriminalité par rebond, qui nous touche du fait de notre forte surface numérique, mais ne nous vise pas directement.
L’exercice de cyberdéfense DEFNET 2019 du ministère des Armées (crédit photo:Stéphane Barrat / Armée de l’air).
Les attaques sont-elles toujours plus sophistiquées?
Oui, à la fois plus nombreuses et plus sophistiquées. Mais il faut que nous sachions aussi répondre à des attaques plus bas de gamme, comme des rançongiciels de base. Il y a une prolifération d’outils d’attaques, notamment sur le « dark web », que certaines personnes veulent tester.
Une attaque comme celle contre les boîtes mails de 19 cadres du ministère, attribuée au groupe russe Turla, est-elle difficile à détecter?
Reconnaître les modes opératoires requiert effectivement des compétences techniques assez pointues. Il y a souvent plusieurs masques, plusieurs niveaux, certains attaquants se font passer pour d’autres.
« On repasse sans cesse nos systèmes en revue pour détecter les agents dormants«
Le patron de l’ANSSI Guillaume Poupard alerte régulièrement sur la présence d’ »agents dormants cyber » sur les serveurs français, activables à tout moment par un Etat, un peu comme les agents infiltrés à l’époque de la guerre froide. Cette menace concerne-t-elle aussi les armées?
On regarde évidemment toutes ces choses-là. Il n’y a jamais un état de cybersécurité définitif: on repasse sans cesse nos systèmes en revue, pour s’assurer qu’on ne découvre pas de nouvelles intrusions, avec une dose croissante d’intelligence artificielle pour détecter ces agents dormants. On est passés d’une défense périmétrique, avec de hautes murailles, mais qui permettaient aux attaquants de faire ce qu’ils voulaient une fois dans les réseaux, à une défense en profondeur, avec plusieurs niveaux de défense, des sondes de détection.
La France n’a pas la culture de l’attribution des attaques. Faudrait-il désigner plus souvent les groupes et Etats qui lancent des attaques cyber?
Le ComCyber donne des éléments techniques au pouvoir politique sur l’origine des attaques, mais à la fin, l’attribution publique d’une attaque à un groupe ou un Etat est une décision politique. Pourquoi? Parce que la caractérisation d’une attaque fait appel à des savoir-faire très pointus. Si on dit « Je sais que c’est tel groupe« , on dévoile une partie de ses capacités. L’autre question, c’est si on décide de pointer un groupe ou un Etat du doigt, qu’est-ce qu’on fait derrière? En fonction de l’impact de l’attaque, les réponses peuvent aller de la saisine de l’ONU à des mesures de légitime défense.
Quand vous comparez l’effort de cyberdéfense français à celui de pays comparables, comme le Royaume-Uni, la France-est-elle au niveau?
L’effort est comparable, il y a la même volonté d’investir sur ce segment. Peut-être le Royaume-Uni a-t-il commencé un peu avant nous, ils sont donc probablement un peu plus nombreux que nous dans le domaine. Mais nous sommes dans la même catégorie: celle des toutes meilleures nations en termes de cyberdéfense.
Vous devez recruter 1.000 personnes d’ici à 2025, sur un vivier d’experts cyber très disputé par les géants de la défense ou de la tech. Avez-vous des difficultés à recruter?
C’est effectivement compliqué, mais nous avons des atouts forts. D’abord, des missions qu’on ne fait nulle part ailleurs. J’évoquais à l’instant la cyberdéfense offensive, c’est quelque chose que l’ont fait au ministère des Armées et pas ailleurs. Nous apportons aussi du sens: protéger le territoire, assurer la supériorité de nos forces, lutter contre la propagande terroriste… Nous proposons aussi des parcours intéressants: quelqu’un qui rentre chez nous ne va pas rester vingt ans dans le même bureau. Il va pouvoir progresser, changer d’unité, bénéficier de formations régulières.
Et la question financière? Les sociétés privées peuvent proposer des salaires bien plus élevés…
La question financière peut être un point d’achoppement, mais on a augmenté les grilles salariales pour recruter les civils à un niveau de rémunération supérieur. Pour les militaires, nous proposons une « prime de lien au service », attribuée à certaines spécialités tendues, et notamment à la cyber.
« Nous avons gagné deux années de suite l’exercice international de cyberdéfense Locked Shields »
Quel niveau ont les experts cyber français?
Nous faisons partie des premières nations du monde. Nous avons gagné deux années de suite l’exercice international de cyberdéfense Locked Shields [l’édition 2019 a opposé 1.200 experts en cyberdéfense de 23 nations de l’OTAN, qui ont dû faire face à plus de 2.500 cyberattaques, NDLR]. Une des originalités de cet exercice est qu’il implique des équipes mixtes entre le ComCyber côté militaire, et l’ANSSI côté civil. Il intègre aussi des scénarios très proches des menaces avérées, comme des attaques visant des centrales nucléaires ou des hôpitaux par exemple.
Le nouveau bâtiment du ComCyber a été inauguré par Florence Parly à Rennes le 3 octobre. Quels effectifs allez-vous installer sur place?
Nous sommes aujourd’hui 250 sur le site, l’objectif est d’être 800 à la fin de la loi de programmation militaire, soit en 2025. La Direction générale de l’armement monte aussi en puissance dans la cyber, sur son site de Bruz, près de Rennes. Cela va créer encore plus de synergie entre le ComCyber, la DGA-MI (maîtrise de l’information), les industriels présents sur place et le monde académique.
A quoi va servir la Cyberdéfense Factory, également installée à Rennes?
C’est un projet porté par la DGA, pour les besoins du ComCyber. L’idée est de proposer un espace de rencontre entre le ministère des Armées et l’écosystème civil. Nous rendrons notamment accessibles aux start-up et PME des données de cyberdéfense du ministère des Armées pour qu’ils puissent travailler dessus. L’idée est de permettre aux chercheurs et start-up ou PME de travailler sur ces données, pour développer rapidement des logiciels et algorithmes utiles aux forces. Toujours dans le cadre de la Cyberdéfense Factory, nous passons des contrats avec des grands industriels comme Thales, Airbus, Atos et Sopra Steria pour développer, à notre profit, des logiciels en boucle courte, en quelques semaines ou en quelques mois au lieu de plusieurs années.
« Cette Cyberdéfense Factory permet au ministère des Armées et à l’écosystème civil de travailler sur des problématiques communes »
Le Cyberspark, pôle cyber de Beer-Sheva, qui rassemble Tsahal, des industriels privés et des start-up dans le désert du Néguev au sud d’Israël, a-t-il été un modèle pour ce pôle rennais?
Oui, on a voulu faire un peu la même chose avec cette Cyberdéfense Factory, qui permet au ministère des Armées et à l’écosystème civil (industriels, start-up, monde académique) de travailler ensemble sur des problématiques communes. L’ANSSI va aussi implanter une équipe de 200 personnes à Rennes, ce qui va encore renforcer ce pôle d’excellence cyber. Nous travaillons très bien avec l’ANSSI: nous allons d’ailleurs développer une plateforme d’entraînement cyber commune, un « Cyber Range », qui sera utilisé par le ComCyber et l’ANSSI.
Le Premier ministre Edouard Philippe a confié au patron d’Orange Cyberdéfense Michel Van Den Berghe une mission de préfiguration d’un futur campus cyber à Paris. Y-a-t-il un risque de concurrence avec le pôle rennais?
Pour moi, il n’y a pas de risque particulier. Il y a de la place pour tout le monde, et nous serons très probablement amenés à échanger régulièrement avec ce pôle parisien.
Dans le cyberespace, la notion d’alliés et d’ennemis est souvent assez floue. La France est-elle parfois attaquée par ses alliés?
Je le dis souvent en riant, je suis payé pour être paranoïaque. Pour moi, il n’y a ni ami, ni ennemi, ni partenaire. Il y a des potentialités d’attaques dans nos systèmes pour y voler de l’information, bloquer des systèmes, modifier insidieusement des données. Je dois penser à toutes ces possibilités, j’essaie de comprendre ce qui se passe, et si possible d’anticiper et de répondre au plus vite aux problèmes.
