CYBER. Général BONNET DE PAILLERETS : « Il faut démystifier l'arme cyber  ! »

Posté le vendredi 01 février 2019
CYBER. Général BONNET DE PAILLERETS : « Il faut démystifier l'arme cyber  ! »

Tromper un radar, couper des communications ou déstabiliser un pays : le commandant des cybersoldats français nous dévoile ses objectifs et ses cauchemars.

Le général Olivier Bonnet de Paillerets a été nommé commandant de la cyberdéfense en septembre 2017. © Ministère des Armées

Le patron de la cyberdéfense française se fait discret. Mais nous avons pu le rencontrer lors du Forum international de la cybersécurité à Lille, le 23 janvier. Nommé commandant de la cyberdéfense en septembre 2017, à la création du poste, le général Olivier Bonnet de Paillerets a grandement contribué à la nouvelle doctrine française dans le cyber, dévoilée par la ministre des Armées, Florence Parly, vendredi 18 janvier. Il ne peut évidemment pas donner de détails, mais nous fournit quelques pistes concrètes sur ce qu'est vraiment le cyber dans les armées aujourd'hui. Rencontre avec l'homme qui s'assure que la France peut utiliser ses armes informatiques à tout moment.

 

Le Point : L'arme cyber est-elle une solution miracle ?

Général Bonnet de Paillerets : Non, il faut démystifier l'arme cyber ! Elle doit être assumée. Toutefois, elle ne va pas se substituer aux autres : arrêtons les scénarios complètement fantasmagoriques. Le cyber est d'abord une arme de combinaison et de soutien des effets conventionnels. Son effet de levier est sa combinaison avec les autres.

Quel est votre cauchemar ?

La grande angoisse d'un commandant cyber, qui devrait l'empêcher de dormir tout le temps, c'est : « Est-ce que je ne suis pas en train de rater quelque chose ? Est-ce que j'ai bien tout détecté ? » La principale menace aujourd'hui vient des États qui vont placer de façon préventive des outils dans vos réseaux critiques et qui, le jour J, pourront les faire fonctionner. Il faut être modestes, je le répète tous les jours à mes équipes : questionnons-nous sur notre capacité à bien comprendre ce qui est en train de se passer.

Qu'est-ce qui a changé depuis un an ?

Je pense qu'il y a eu un vrai changement de mentalité sur l'approche de la cyberdéfense. Nous sommes passés d'une cyberdéfense où l'on détectait et réparait un réseau informatique à une cyberdéfense où on tente de mieux anticiper, détecter et caractériser l'attaque. Le cyber est une arme complexe, car il faut à la fois acculturer les officiers et les armées mais aussi la confiner, la maintenir dans un cadre d'emploi très maîtrisé.

La France vient de préciser sa doctrine de lutte informatique offensive que vous avez contribué à rédiger. Pourquoi ?

Une doctrine est nécessaire, car l'arme cyber a des caractéristiques d'emploi, une terminologie, des contraintes et des effets qui nécessitent un encadrement strict. Cette arme est conventionnelle, et assumée, car elle est aujourd'hui un élément de supériorité opérationnelle. Elle doit être mise en œuvre dans les unités combattantes, dans les unités engagées dans la manœuvre sur le terrain.

Faut-il se méfier aussi des alliés ?

Rien n'est binaire. À chaque fois que nous travaillons sur un partenariat, nous devons bien mesurer ce que nous allons faire. L'idée est de faire en sorte que le partenaire ne puisse plus se passer de nous : il prendrait alors beaucoup de risques à nous attaquer ou à nous mentir, car il perdrait comparativement trop en quittant le partenariat. C'est un travail très subtil, notamment pour les partenariats que je qualifierais de difficiles.

Mais nous créons aussi des partenariats de confiance : il y a des pays avec lesquels nous voulons aller dans une véritable intimité. Pour la sécurité collective, nous nous disons « Ne perdons pas de temps, allons-y » : il faut faire le pari de la confiance. L'Allemagne est le premier pays vers lequel je me suis tourné dans ce cadre il y a un an, lorsqu'elle a aussi décidé de monter en puissance. J'échange par ailleurs avec d'autres pays européens, car il est inimaginable que nous puissions nous défendre seuls. Cela ne se décrète pas : il faut prendre son bâton de pèlerin et aller voir de façon très personnalisée chaque partenaire.

Comment attribuer une attaque alors que tout le monde maquille ses traces ?

Il ne peut pas y avoir de réponse à une cyberattaque sans attribution, et je suis plus optimiste aujourd'hui sur le fait que nous soyons en capacité de le faire. Nous avons mis beaucoup de moyens sur la caractérisation et l'attribution, même si nous devons être encore meilleurs. Parfois, nous laissons une attaque continuer un peu pour mieux caractériser le mode d'action et voir qui se cache derrière. L'objectif est d'obtenir des faisceaux d'indices qui convergent afin de proposer au pouvoir politique plusieurs options pour entraîner une désescalade ou une escalade. L'attribution en France est une décision politique : décider que les faisceaux d'indices qui convergent sont dignes d'une confiance suffisante ou décider de rendre une attaque publique, tout cela relève du politique, tout comme l'escalade ou la désescalade avec un État.

Le domaine cyber peut-il revigorer les concepts d'opérations de déception (l'art de tromper l'ennemi) qui sont enseignés aux officiers ?

Que des États réutilisent les modes d'action d'autres États pour se cacher, tout le monde l'a bien compris. Cela rend encore plus complexe la notion d'attribution. Concernant les opérations de déception sur le terrain, oui, le cyber peut tout à fait être utilisé pour faire croire qu'une manœuvre va se passer à l'est d'une rivière alors qu'elle va se passer à l'ouest.

Par exemple, faire lire quelque chose de faux à un radar ?

Nous pouvons imaginer de nombreux scénarios, et les précisions doivent évidemment rester de nature secrète. Lorsque nous sommes sur un théâtre extérieur, nous devons gagner la bataille : ce n'est que cela, mon sujet !

En cas de coup dur cyber, faut-il imaginer des unités particulièrement spécialisées dans le combat rustique, c'est-à-dire dénumérisé ?

La numérisation combine célérité d'action et de décision et vous offre un avantage extrêmement important sur le terrain. La dénumérisation retire cet avantage, mais évite certaines vulnérabilités que la numérisation fait subir. Il faut ajuster cet équilibre en permanence. Les systèmes d'armes sont des systèmes résilients, les unités le sont aussi. Nous envisageons tous les cas de figure qui permettent de réagir, y compris si nous sommes soumis à une cyberattaque. Sur le terrain, c'est celui qui va employer le système d'armes qui va ajuster son curseur : s'il est victime d'une cyberattaque, il va décider de moins profiter de la numérisation pour retrouver des choses plus rustiques et continuer sa mission. En résumé, c'est le pilote de l'avion qui va décider, ce n'est pas moi !

La Syrie est-elle aujourd'hui une zone d'expérimentation cyber, comme le dénoncent les Américains ?

Que la Syrie soit une zone d'expérimentation opérationnelle et technique, cela n'échappe à personne. Certains plus que d'autres assument sur le terrain l'emploi de cette arme cyber, et nous pouvons donc imaginer que certains se jaugent.

Comment protéger les systèmes d'armes, qui sont de plus en plus connectés, sur le terrain ?

L'attaquant va toujours chercher le maillon le plus faible, et nos systèmes d'armes sont de plus en plus connectés. Travailler étroitement avec les industriels qui les développent s'avère donc incontournable pour mettre en place un cadre général, une convention pour nous assurer que l'industrie de défense, les sous-traitants, toutes nos PME, ait un niveau d'exigence suffisant. Nos systèmes d'armes doivent être sécurisés « by design » (lors de leur conception, NDLR), mais aussi tout au long de leur vie, y compris lors des maintenances ou lorsqu'ils sont engagés en opération, où l'industriel peut aussi avoir une action sur eux.

Avec des armes informatiques qui peuvent muter, se retourner contre nous ou toucher des cibles beaucoup plus larges que prévu, y compris à l'autre bout de la planète, est-il vraiment possible d'estimer la puissance d'une arme avant qu'elle ne soit utilisée ?

La mesure de l'effet n'est pas forcément évidente dans le cadre cyber. Néanmoins, nous nous demandons toujours : « Est-ce que cela vaut le coup, et pour quel effet ? » Puisque nous ciselons l'effet avec l'arme que nous allons employer, nous avons quand même une bonne appréhension de ce que cela va produire.

Propos du général Olivier BONNET de PAILLERETS
recueillis par Guerric PONCET  

Le Point.fr

 

Rediffusé sur le site de l'ASAF : www.asafrance.fr

Source : www.asafrance.fr