L’ancien pacha de la cyberdéfense française, le vice-amiral d’escadre Arnaud Coustillière, a laissé la barre à d’autres mais garde le cap. Désormais à la tête du Pôle d’excellence cyber, cette structure chargée de stimuler l’écosystème a été créée en 2014 par le ministère des Armées et la région Bretagne, l’officier général suit toujours de près les questions de cyberdéfense et de cybersécurité. Quelques jours avant l’ouverture de l’European Cyber Week, ce marin passé du commandement d’une frégate de défense aérienne à la conduite des opérations cyber des armées fait le bilan de son action et nous confie son analyse du paysage cyber français.
L’Usine Digitale : Après 18 mois à la tête du Pôle d’excellence cyber, quel bilan tirez-vous des actions entreprises ?
Arnaud Coustillière : Nous avons lancé des initiatives autour des enjeux sociétaux, que ce soit pour une meilleure intégration des femmes dans la cyber, avec notre programme des “Cadettes de la cyber”, ou encore en faveur de l’accueil des personnes autistes Asperger. Nous en parlerons lors de l’European Cyber Week, que nous organisons à la mi-novembre à Rennes, avec une journée dédiée. C’est une façon de rappeler que la cybersécurité n’est pas réservée aux jeunes hommes en sweat à capuche de 25-30 ans.
Nous allons ainsi lancer un manifeste pour davantage d’inclusion. Si des acteurs comme Capgemini ou Airbus s’en apparente, cela implique des périmètres de recrutements conséquents. Cet appel est à l’image du Pôle, qui se focalise sur des actions très concrètes. En 18 mois, nous avons enfin doublé notre nombre de membres, désormais de 96 structures, soit beaucoup de start-up ou de PME. C’est un cercle de structures pointues qui font de la cyber régalienne au service des États européens. Le Pôle rayonne à partir de Rennes et de la Bretagne, un terreau travaillé depuis 2014, qui à terme sera le lieu de la concentration de la cyberdéfense française.
Deux ans après avoir quitté le service actif en septembre 2020, quel regard portez-vous justement sur la cyberdéfense française ?
Avec un très grand satisfecit, j’observe que ce qui a été lancé depuis le livre blanc sur la défense et la sécurité nationale de 2008 s’est poursuivi. J’ai participé à cette phase de création, j’ai été le premier officier général de la cyberdéfense. Nous avons construit le ComCyber en élargissant progressivement son périmètre. Aujourd’hui, les armées ont des doctrines de lutte informatique offensive, défensive et informationnelle. Cela a été maturé, intégré et engagé dans des opérations au Proche-Orient ou en Afrique. Par exemple, on ne pouvait pas ne rien faire face à la propagande de Daech.
Ce mouvement s’est depuis amplifié. En 2011, sur quelques centaines de spécialistes. Quand je suis parti, nous étions à 2500 cybercombattants. Et désormais, la programmation militaire table sur 4000. Vous voyez donc l’effort qui a été fait. Mais le plus important, c’est l’intégration de ce nouveau milieu dans les opérations, comme insérer l’arme informatique à la planification militaire.
Neuf mois après l’invasion de l’Ukraine par la Russie, quelle est votre analyse des aspects cyber de ce conflit ?
Je n’ai plus accès aux informations qui permettent de faire vraiment cette analyse. Mais on peut d’abord rappeler que cette guerre est plus ancienne, avec des événements cyber de grande envergure, comme les malwares d’origine russe WannaCry et NotPetya, qui ciblaient au départ des structures ukrainiennes. Après, de nombreux observateurs s’attendaient à voir une campagne cyber orchestrée en même temps que la campagne militaire. Pourquoi cela n’a-t-il pas été le cas ? On prend conscience que les capacités globales de l’armée russe sont moins performantes qu’attendues, avec notamment une grande à se déployer entre différents fronts et armées. Lancer des attaques cyber en même temps qu’une avancée au sol, c’est un art difficile. L’attaque informatique perd également de son intérêt quand vous en êtes au stade du tapis de bombes.
Pour autant, et cela me paraît plus important, les groupuscules connectés à la Russie n’ont pas disparu. Or nous rentrons dans une guerre longue qui se soldera sans doute par des tentatives de déstabilisation des nations européennes, sous la forme de harcèlement numérique ou d’attaques cybercriminelles. A ce titre, les secteurs des transports, de l’énergie ou de la santé peuvent être particulièrement ciblés.
Comment fournirez-vous justement le degré de maturité de la cybersécurité des entreprises françaises ?
Bien sûr, il y a des changements sur ce plan. Mais la prise de conscience va-t-elle assez vite par rapport aux attaques en cours de déploiement ? La réponse est plutôt non, avec toujours un avantage à l’attaquant. Certes, les organisations d’importance vitale et les grandes entreprises ont développé des compétences. Mais les PME et les TPE sont plutôt désarmées. Elles n’ont pas la maturité nécessaire, elles n’incluent pas cette cybersécurité dans leur transformation numérique : c’est savoir par exemple où sont localisées ses données ou intégrer la sécurité dans son développement.
Ce qu’on oublie souvent, c’est qu’une attaque informatique, ce n’est pas un incendie. Ce n’est pas une panne. C’est quelqu’un qui vous veut du mal, avec un côté psychologique extrêmement déstabilisant pour les victimes, comme par exemple un responsable informatique qui tente de mettre en route ses sauvegardes et de réaliser que cela ne marche pas.
Quels sont les atouts des entreprises françaises de la cybersécurité ?
Les grandes qualités des PME françaises, ce sont leur créativité et leur technicité. Mais si nous avons plusieurs centaines de start-up qui se créent avec des idées particulièrement intéressantes, la dimension commerciale n’est souvent pas première. On fait de très nombreux produits mais nous n’avons pas cette hargne commerciale que l’on retrouve chez les anglo-saxons. Ou si on veut avoir des champions viables, il doit au minimum viser une taille européenne, avec donc des levées de fonds rapides pour atteindre cette taille critique.
C’est un challenge important mais ce n’est pas perdu. Au vu de l’ampleur des attaques informatiques, il y a de la place pour tout le monde. Il est d’ailleurs de bon ton dans les sociétés qui en ont les moyens de miser sur l’hétérogénéité. Si un attaquant trouve une faille 0-day sur un gros logiciel, c’est le jackpot. Cela ouvre des parts de marché à d’autres entreprises ayant des approches différentes.
En réponse à nouveau du cloud souverain, sur ce sujet, là aussi vous estimez que ce n’est pas perdu ?
Je n’aime pas le terme de souveraineté que je trouve trop galvaudé, je lui préfère le terme d’autonomie stratégique. Mais surtout, je crois plus au développement économique et aux parts de marché qu’aux seules déclarations politiques. Ainsi, OVH est pour moi le seul acteur français à avoir à la fois la maîtrise de la technologie et une taille critique. Leur cheminement est bien différent de projets de nuages souverains des années 2014 qui étaient plutôt des chasseurs de subventions sans viabilité économique.
Mais quelque soit les projets, la question du cloud reste centrale. Les données, c’est le bien le plus précieux d’une entreprise dans le numérique. Ou quand vous choisissez un cloudeur, vous êtes lié à cette organisation pour plusieurs années. Certes, les dirigeants américains fournissent des produits remarquables, sauf que cela peut être au prix d’une perte du pilotage. Les grands groupes en ont pris conscience. Il faut bien définir sa politique numérique, identifier les données peu sensibles et celles qui parviennent des partenaires de confiance. Mais cette stratégie qui mixe plusieurs clouds coûte cher.
Sélectionné pour vous
