Depuis la publication du LBDSN 2013 faisant de la cyberdéfense une priorité nationale, une dynamique bretonne a émergé, laissant penser qu’une quatrième armée pourrait être créée. Pourtant, bien que de nombreux facteurs légitiment ce développement en Bretagne, celui-ci s’insère dans une approche plus globale visant à un déploiement transverse de capacités cyber au sein du ministère.

Début décembre 2014, la société américaine Sony Pictures Entertainment annonce s’être fait pirater l’équivalent de plus de 3.000 DVD de données numériques. Cette attaque informatique, l’une des plus importantes jamais subie par une entreprise américaine, met en exergue la fragilité du monde cyber, domaine en constante évolution.

«Imaginez simplement un calculateur de tir qui tombe en panne au moment de riposter à un raid d’avions adverses, ou bien la propulsion d’un navire qui ne répondrait plus. Nos forces armées doivent appréhender cette nouvelle donne. Elles doivent – vous devez vous approprier ce nouvel espace de conflictualité [cyberespace], à la fois pour vous défendre, mais aussi pour y opérer en soutien à nos opérations». Ces mots du ministre français de la Défense, lors de sa venue sur l’exercice DEFNET en octobre 2014, quelques semaines avant l’ «affaire Sony», montrent bien la volonté et la nécessité pour le ministère de la Défense de faire face à ces nouvelles menaces. Le LBDSN[1] de 2013 avait en effet entériné l’idée que le cyberespace était devenu, après la terre, l’air, la mer et l’espace, un cinquième champ de confrontation à part entière, et la cyberdéfense[2] une priorité nationale. Depuis, une volonté s’est affirmée: les armées seront dotées de capacités tant offensives que défensives. Plus particulièrement, a germé la volonté, médiatisée mais très controversée du fait des origines bretonnes du ministre de la Défense, de faire de la Bretagne un pôle d’excellence cyberdéfense.

Dès lors, il est intéressant d’identifier et de comprendre les raisons qui ont réellement motivé le déploiement de telles capacités dans le Grand Ouest. Comment se traduit cette volonté et quel avenir se dessine pour ce pôle d’excellence? Plus généralement, dans un contexte économique contraint, la création d’une «quatrième armée cyber» ancrée en Bretagne est-elle envisagée et/ou envisageable?

De nombreux facteurs justifient et légitiment un développement cyber en Bretagne qui s’insère dans une approche plus globale visant à un déploiement transverse de capacités cyber au sein du ministère de la Défense.

Un choix légitime …

• Un héritage du Général de Gaulle...

À la fin des années 50, Charles de Gaulle, président de la République, souhaite dynamiser économiquement la France et, par le Commissariat général du plan, oriente la Bretagne vers le domaine électronique et télécommunications. L’inauguration du CNET[3] à Lannion en 1959 marque ainsi le début de l’appropriation bretonne de savoir-faire dans ce domaine. Cette volonté politique, donnant à la région une vocation électronique, comme l’évoque Marie Carpenter dans son ouvrage «La bataille des télécoms - Vers une France numérique» (2011), initialement basée sur un aménagement du territoire, a permis un réel positionnement breton dans un secteur d’avenir. L’informatique ayant pris davantage de place dans les années 80 avec une mise en réseau toujours plus recherchée, des compétences numériques, notamment liées à la sécurité des systèmes d’information, ont ainsi émergé en Bretagne, donnant à cette région une spécificité numérique.

• … a fait de cette région un catalyseur du développement numérique …

Cet héritage a permis à la région de tisser un réseau local dynamique dans ce domaine très technique en s’appuyant sur un tissu industriel dense, une recherche active, mais aussi et surtout une offre de formation large. Une conséquence directe a été le déploiement en 2005 du pôle de compétitivité «Images et réseaux» qui offre une forte capacité de R&D à la Bretagne. Outre les grands groupes industriels tels que Orange, Capgemini ou encore Technicolor (anciennement Thomson) qui ont implanté en Bretagne leurs centres techniques, la région dispose d’une pépinière de PME aux activités tournées vers le numérique et sa sécurité. Depuis 2009, date de création du dispositif RAPID[4], 30% des fonds qui concernent le numérique et sa sécurité ont été accordés à des PME bretonnes. B-com, un des huit instituts français de recherche technologique, a choisi, au début de l’année 2012, Rennes comme terre d’accueil pour développer et vendre des compétences dans le domaine du numérique. Cette complémentarité entre recherche et monde industriel est complétée par un enseignement de qualité qui se fait à travers de nombreuses écoles telles que Supélec et Télécom Bretagne qui co-délivrent depuis 2002 une des premières formations en sécurité informatique. Les nombreux partenariats établis entre ces écoles et le monde industriel permettent de créer le liant nécessaire à ce réseau local.

• ... propice au développement d’une capacité militaire cyber en Bretagne

Au début de l’année 2012, la mise en place d’une capacité cyber militaire dans cette région tout particulièrement attractive a ainsi été étudiée par le ministère de la Défense et l’état-major des armées. Ce développement était devenu nécessaire pour faire face aux nouvelles menaces numériques évoquées dans le LBDSN de 2008, mais réellement prises en compte après les attaques cyber majeures qu’ont été Stuxnet (2010) et Flame (2012), qui ont respectivement permis de ralentir le programme d’enrichissement d’uranium en Iran et d’infecter plus de 1.000 ordinateurs à des fins de contre-espionnage. Il s’agissait alors de mettre à profit cette synergie locale tout en s’appuyant sur un vivier de capacités militaires déjà existantes afin de développer une compétence nationale, à la fois pour le fonctionnement courant mais aussi pour le déploiement lors d’opérations extérieures. DGA MI[5], présent en région rennaise depuis 1968, apporte au ministère une expertise technique de haut niveau dans la recherche, mais également dans la mise au point d’outils. Par ailleurs, les nombreux organismes de formations de la défense (ESCC, EN et ETRS[6]) pouvaient assurer en local le volet formation, nécessaire au déploiement de toute nouvelle capacité. Enfin, le camp de Coëtquidan disposait de toutes les installations pour devenir l’espace d’entraînement idéal pour la préparation opérationnelle de nouvelles unités.

Cet environnement favorable, qu’il soit militaire ou civil, a ainsi permis au ministère d’être réactif pour initier une dynamique locale à vocation nationale dans le domaine cyber.

… pour développer un cercle vertueux cyber …

• Un pôle d’excellence cyber en Bretagne …

Cette volonté s’est rapidement traduite par la mise en place d’un pôle d’excellence cyber en Bretagne, dont la création a été annoncée par le ministre de la Défense à Rennes le 3 juin 2013 lors d’un colloque organisé par l’ETRS[7] sur le thème «Cybersécurité: un enjeu mondial, une priorité nationale, des réponses régionales». Ce pôle, bien qu’initié par le ministère de la Défense, dépasse le seul cadre militaire. Il est piloté par la région et vise à «fédérer les énergies, à mutualiser les capacités et permettre une fertilisation croisée entre experts, enseignants et opérationnels, militaires et civils, du public comme du privé». Cet extrait du Pacte Défense Cyber 2014-2016, dont un des six axes majeurs est de développer ce pôle d’excellence au profit du ministère et, plus largement, de la communauté nationale de cyberdéfense, met en exergue la nécessaire approche «gagnant-gagnant» inhérente à l’obtention de nouvelles compétences très spécifiques. La volonté de ne pas centraliser tous les moyens cyber sur la région parisienne, associée au tissu industriel et académique dense, a ainsi rendu légitime et cohérent le choix breton.

• … qui vise trois objectifs …

Aussi, le pôle d’excellence cyber doit permettre de créer une synergie cyber dynamique dans l’Ouest, non seulement en apportant de nouvelles capacités, mais surtout en valorisant l’existant. Dans un souci de cohérence, elle ne peut être atteinte qu’en développant trois domaines qui sont la formation, la recherche et la filière industrielle. Actuellement, 2.000 étudiants sont déjà formés chaque année en Bretagne. Ce chiffre devrait augmenter de 40% en 2015. L’objectif est de répondre à un besoin en formation à travers des partenariats défense/région. La recherche sera complétée par la création de laboratoires bretons, que ce soit en secteur civil, à l’INRIA[8] notamment, ou dans les écoles de la défense avec des chaires cyber aux ESCC et à l’EN[9]. Le budget investi dans la recherche devrait être doublé d’ici à 2019. Enfin, le développement de la filière industrielle sera accentué grâce à la densification de la pépinière cyber, conséquence directe des efforts évoqués et des financements proposés par la région et l’État dans ce domaine.

• … par des projets, civils et militaires, concrets et ambitieux

Ces objectifs se traduisent d’ores et déjà concrètement dans le Grand Ouest. La réserve citoyenne cyber initiée en région parisienne, suite au rapport du sénateur Jean-Marie Bockel[10], a trouvé un écho favorable en Bretagne sous la direction du Général de division Boissan, commandant l’ETRS. Elle travaille de concert avec le pôle d’excellence cyber au profit des PME et à travers la formation pour sensibiliser et réfléchir sur ce domaine. La R&D sera complétée par la création d’un nouveau centre à DGA MI, opérationnel en mars 2016, qui se chargera d’accroître l’expertise technique du ministère avec de nouvelles plates-formes simulant un environnement complet pour la détection et l’éradication de virus. Le domaine opérationnel va également être renforcé avec la création, à l’été 2015, de deux nouvelles unités localisées en région rennaise. Le CALID[11], qui travaille déjà étroitement avec DGA MI, aura une antenne régionale complétant ainsi les capacités d’investigation déjà existantes. Une compagnie de combat cyber-électronique devrait permettre de projeter des modules opérationnels cyber sur les théâtres d’opération. Ces entités pourront s’appuyer sur l’ETRS, qui se positionne comme un acteur majeur de la formation technique des opérateurs cyber en proposant une offre de formation élargie. Les ESCC auront un rôle décisif avec le soutien de ces unités dans leur préparation avec un cyber range[12], mais aussi en formant des experts de haut niveau avec le mastère spécialisé «gestion de crises cyber» qui sera créé à la rentrée 2015 et ouverts aux étudiants civils. À cette synergie s’ajoute un dynamisme de la région. Il est marqué par de nouveaux partenariats avec des agences nationales comme l’ANSSI[13] pour de la sensibilisation (CyberEdu[14]), par la mise en place à l’ENSIBS[15] d’une formation d’ingénieurs en alternance unique en France, mais aussi par un rapprochement avec la défense à travers l’«accord général de partenariat» signé le 12 décembre 2014 avec le ministère de la Défense, le CNRS[16] et onze écoles et universités bretonnes.

Au delà de cette singularité cyber dans un contexte difficile pour la défense, ce déploiement de capacités est surtout la conséquence d’une manœuvre globale.

… fruit d’une approche globale

• La Bretagne comme point de départ …

La manœuvre envisagée vise tout d’abord à concentrer sur Rennes de nouvelles compétences (investigation, expertise technique et unités projetables) et à conserver sur Paris des capacités opérationnelles (pilotage, planification et surveillance). Ce regroupement de compétences rares, déjà partiellement existantes dans l’Ouest, permet une plus grande réactivité face à des menaces de plus en plus prégnantes. L’objectif n’est pas «Paris ou la Bretagne» mais bien «Paris et la Bretagne». Cette concentration des efforts permettra de créer une masse qui sera profitable à l’ensemble de la nation voire au-delà, à l’instar de ce que le pôle aéronautique de la région toulousaine a apporté à la France et à l’Union européenne. Ce pôle a donc bien une portée nationale avec un objectif de rayonnement international, ce qui justifie l’effort d’un milliard d’euros du Pacte Défense Cyber pour mener à bien les cinquante mesures concrètes constitutives de ce plan d’action. Un effort de cohérence est recherché pour exploiter à la fois les compétences développées en interne tout en s’appuyant sur d’importantes capacités de R&D en région bretonne.

• … d’une approche duale …

De plus en plus d’entreprises sont sensibilisées au danger et préoccupées par leur propre sécurité. Cela se traduit par des travaux communs. L’exercice DEFNET, premier du genre, qui s’est tenu en octobre 2014 aux ESCC le montre bien. L’objectif était d’entraîner le ministère, une cellule de crise spécialisée et trois GIR[17], tout en travaillant de concert avec le groupe DCI[18] et deux PME[19] lors de cet exercice. Une attaque visant le système d’information d’une base aérienne, un vol de données classifiées chez un fabricant de radars et une tentative de pénétration dans les réseaux militaires étaient ainsi simulés. Il s’agit donc pour les forces armées, dont l’action a été légitimée par le LBDSN 2013, de répondre aux besoins en interne mais aussi de concourir à la défense de la nation tout entière en contribuant à l’amélioration de la protection des administrations et des entreprises. Plus encore, le ministère de la Défense, qui dans le passé a été à l’origine de ruptures technologiques (utilisation de la troisième dimension, usage du numérique, développement du nucléaire), pourrait être, dans une certaine mesure et en étroite coordination et complémentarité avec l’ANSSI, le moteur pour de nouvelles compétences nationales dans cet écosystème dual.

• … qui ne peut se faire qu’en transverse au sein du ministère de la Défense

La cohérence recherchée, contrairement à ce qui a pu être évoqué dans les médias en octobre 2014, ne peut en aucun cas se faire par la création d’une quatrième armée cyber. Tout d’abord parce que le but initial est d’être le plus intégré possible aux opérations. Cet objectif se traduit depuis 2011 par une chaîne opérationnelle de cyberdéfense intégrée au sein du CPCO[20] et sous la direction du Vice-amiral Arnaud Coustillière, officier général à la cyberdéfense de l’EMA[21]. Cette centralisation irait, de plus, à l’encontre d’une volonté de sensibiliser massivement le personnel militaire. Sur les 800 attaques subies par le ministère en 2013, une partie importante est due à un manque d’«hygiène informatique». La cyberdéfense ne deviendrait alors qu’un problème de spécialistes l’éloignant de l’objectif initial. Enfin, le modèle d’armée et les difficultés actuelles traversées ne permettent absolument pas d’envisager une telle organisation. Le développement de ces nouvelles capacités doit donc se faire de manière transverse au sein des forces armées afin de répondre totalement aux besoins pressants et différenciés par milieu opérationnel.

En définitive, la Bretagne, comme réponse régionale à une priorité nationale, apparaît être un choix cohérent et légitime. Il marque la réelle prise de conscience de l’État d’adapter, de manière réactive, sa politique de défense pour faire face à de nouveaux enjeux et de nouvelles menaces exacerbées par l’«affaire Snowden», qui a provoqué une véritable crise de confiance internationale dans l’usage du numérique.

Cependant, face à une menace en constante évolution, cet effort s’inscrit d’emblée dans la durée afin d’atteindre l’objectif international identifié par le ministère. Ainsi, le maintien de l’investissement, tant humain, technique que financier, devient inéluctable pour davantage maîtriser ce domaine qui représente un challenge opérationnel et technologique permanent.

[1] Livre blanc sur la défense et la sécurité nationale

[2] Ensemble des mesures techniques et non techniques permettant à un État de défendre dans le cyberespace les systèmes d’information jugés essentiels

[3] Centre national d’étude des télécommunications qui deviendra en 2007 une entité d’Orange Labs

[4] Régime d’appui PME pour l’innovation duale

[5] Direction générale de l’armement – maîtrise de l’information

[6] École de Saint-Cyr Coëtquidan, École navale et École des transmissions

[7] École des transmissions

[8] Institut national de recherche en informatique et en automatique

[9] École navale

[10] Rapport d'information de M. Jean-Marie Bockel, fait au nom de la commission des Affaires étrangères, de la Défense et des forces armées - N° 681 (2011-2012) - 18 juillet 2012

[11] Centre d’analyse de lutte informatique défensive

[12] Espace d’entraînement adapté à ce nouveau champ de confrontation

[13] Agence nationale de la sécurité des systèmes d’information, agence rattachée au Secrétariat général de la défense et de la sécurité nationale

[14] Démarche pilotée par l’ANSSI, visant à sensibiliser à la sécurité informatique la communauté des informaticiens qui ne sont pas spécialistes de ce domaine

[15] École nationale supérieure d’ingénieurs de Bretagne-sud

[16] Centre national de la recherche scientifique

[17] Groupe d’intervention rapide

[18] Défense conseil international

[19] Intrinsec et Acyan

[20] Centre de planification et de conduite des opérations

[21] État-major des armées

Saint-cyrien de la promotion «Général Béthouart» (2000-2003), le Chef de bataillon Arnaud BALLER est transmetteur. Il a servi au 18^ème régiment de transmissions de Caen et au 41^ème régiment de transmissions de Douai avant d’être affecté à l’École des transmissions. Il effectue actuellement un mastère spécialisé en cybersécurité à Supélec/Télécom Bretagne.