Soldat de la cyberguerre
Dans une interview exclusive, Arnaud Coustillière, vice-amiral d’escadre et ancien commandant de la cyberdéfense française, nous dévoile les dessous de la lutte contre les menaces numériques et nous conseille dans la gestion d’une crise cyber.
Son dernier ouvrage, Soldat de la cyberguerre*, co-écrit avec Aude Leroy, offre un regard sans précédent sur les enjeux de la cyberguerre et l’évolution de la stratégie militaire face aux défis du numérique.
Aujourd’hui, membre de l’Agora RSSI, il est Président du Pôle Excellence Cyber, Conseiller Cyber du DG de Defense Conseil International et exerce comme « Cyber & Digital senior advisor » au profit d’acteurs économiques français, de PME et d’ETI avec Str@t Algo Conseil.
Outre sa carrière consacrée aux opérations maritimes marquée par quatre commandements de navires de combat, il a consacré près de vingt années à moderniser les écosystèmes numériques et cyber du ministère des armées. DSI de la marine nationale (2006/2008), il a été chargé en 2008 du projet Cyberdéfense du ministère des Armées, puis a créé et commandé la cyberdéfense des armées de 2011 à 2017. Arnaud Coustillière a ensuite créé et mis en place la Direction générale du numérique du ministère des Armées (DGNUM) de 2017 à 2020.
Julien Merali : Quel lien peut-on faire dans votre carrière entre les opérations navales et le numérique ?
Arnaud Coustillière : Je suis un marin, j’ai toujours voulu être marin et j’ai réussi à l’être. Et effectivement, en première partie de carrière, j’ai beaucoup navigué et j’avais une dominante IT. Donc, au fur et à mesure de ma carrière, j’ai basculé avec davantage de postes IT et moins de postes à la mer.
Le cyber ou l’espace cyber est quelque chose de difficilement appréhendable et j’aime bien faire une comparaison avec le milieu maritime parce qu’il y a des choses en commun. Le milieu maritime a posé entre le XVIIᵉ siècle et le XXᵉ siècle, le même genre de problématique.
C’est un milieu qui est toujours en mouvement, fluide, qui a des tempêtes extraordinaires avec lesquelles on ne s’amuse pas, on compose. Et aujourd’hui, dans l’espace numérique, il y a quand même des gens qui ont une puissance tellement supérieure à la notre que ce n’est pas la peine de vouloir aller en frontal, mais il faut quand même qu’on retrouve son chemin.
Donc on retrouve ça dans le numérique : on retrouve la piraterie, les corsaires, on retrouve des compagnies qui ont voulu être plus puissants que les rois et on retrouve des zones à géométrie variable. Plus on s’éloigne de la terre d’un pays, moins la souveraineté de ce pays s’exerce. Et il y a des zones de bien commun.
Enfin, il y a des zones qui sont encore aujourd’hui très mal cartographiées comme les grands fonds marins ou le milieu du Pacifique.
Donc, on a de mêmes attributs. Par contre, il y a une grande différence, c’est que l’on n’a pas 300 ans pour structurer le droit et que pour l’instant, il y a un côté Far-West qui est quand même, comme dit mon ami Guillaume Poupard (ex-dg de l’ANSSI), un peu inquiétant dans ces domaines et dans l’actualité des jours récents.
Ceux qui n’ont pas compris cette menace et ceux qui n’ont pas écouté leur RSSI, vont avoir des réveils difficiles.
Je suis très très très choqué par l’affaire des mutuelles (violation de données ayant affecté les opérateurs Viamedis et Almerys, deux opérateurs assurant la gestion du tiers payant pour des nombreuses complémentaires santé et mutuelles. Plus de 33 millions de personnes et leurs données seraient concernées).
Et surtout, ce qui me choque, c’est qu’il n’y ait pas de transparence derrière. Ces deux patrons d’entreprises n’ont pas dit pourquoi c’était sorti. Bien sûr que l’on soit pénétré aujourd’hui, c’est le lot commun. Quand on veut rentrer dans un système, on rentre. Par contre après, s’y déployer et piquer l’information, ce n’est pas aussi simple que ça, si on a le bon système,
Mais quand on ne veut rien entendre, on arrive à des résultats comme ça.
Concernant la cyberattaque de France Travail (ex Pôle emploi), ça me paraît d’une autre nature. Dans mes souvenirs de Directeur général du numérique et des systèmes d’information et de communication du ministère des Armées, il y avait quand même une très bonne maîtrise d’ouvrage à la tête de Pôle emploi en matière d’IT.
À partir de quel moment le ministère des Armées a pris ce sujet cybersécurité à bras le corps ?
Arnaud Coustillière : La SSI est consubstantielle avec le développement informatique. La grande bascule, c’est le moment où on a vu arriver l’Internet très peu sécurisé renverser les normes des opérateurs de télécoms, donc en Europe, vers les années 90-95.
Et pour les militaires, à partir des années 2000, on a commencé à avoir beaucoup d’écrits autour de l’engagement offensif et défensif.
Et j’ai eu la chance de participer pour y représenter la Marine dans les années 2000 à l’état major des armées, puis avec tous les services du ministère qui était de regarder ce que l’on pouvait faire. Donc on a créé la chaîne défensive, le CALID (Centre de surveillance, de détection et d’alerte du ministère des Armées en cyberdéfense).
Et après, sur le côté offensif, on a commencé à faire des expérimentations. Je pense que le militaire en uniforme n’était pas assez mûr parce qu’il ne suffit pas de faire des expérimentations techniques avec quelques bricoleurs de génie, comme « comment on met un malware informatique à l’intérieur d’un processus opérationnel qui permet d’avoir un effet sur le terrain au moment opportun ». Et ça, c’est quand même beaucoup plus compliqué.
Donc en 2003, les militaires en uniforme comme la DGA n’ont plus droit de s’intéresser à l’offensive jusqu’à l’arrivée en 2008 du Livre blanc préparé par le rapport député Pierre Lasbordes 2006 (qui estimait ainsi que « la France accusait un retard préoccupant face aux impératifs de sécurité des systèmes d’information, tant au niveau de l’Etat qu’au niveau des entreprises, quelques grands groupes mis à part »).
À ce moment-là, une phrase dans le Livre blanc établit l’ADN de notre cyberdéfense, que le Chef d’état major des armées développera une capacité d’action informatique offensive. Donc technique de pénétration en appui des opérations militaires en respectant le droit international.
D’où le titre de mon livre « Soldat la cyberguerre », donc soldat, militaire en uniforme. D’un côté, on fait de la cyber à l’ANSSI et dans les services de renseignement et de l’autre côté, la guerre avec un cadre juridique. C’est cette histoire que je raconte ; l’offensif, le défensif, la contre-propagande jusqu’à intégrer l’ensemble de la chaîne SSI pour avoir une capacité cohérente d’ensemble, globale dans l’espace numérique jusqu’à la création du Comcyber engagé par Jean-Yves Le Drian.
Au démarrage, nous étions 3 et quand j’ai quitté en 2007, j’avais un état major de 70 personnes avec près de 2500 personnes sous ma responsabilité.
Il ne s’agit pas de pointer du doigt la guerre des armées, mais comment a été perçu l’arrivée de votre section cyber ?
Arnaud Coustillière : Il faut quand même comprendre aussi qu’on était à un moment où, sous le présidence de Nicolas Sarkozy, on cassait les armées, une grande partie de notre outil militaire et où l’on fermait des bases.
Donc les armées perdaient 20 % d’effectifs en gros par an. Et moi, j’arrivais au milieu de ça avec une espèce de cyber bling bling, où je demandais de gros moyens. Parce que le mandat du chef d’état major me demandait des choses qui devaient servir immédiatement aux opérations. Il fallait aller vite et montrer que l’on avait une plus value, aussi bien en offensif qu’en défensif, montrer que l’on renforçait les équipes de l’IT, que l’on était proche des métiers. Et ça a été vraiment pour moi une préoccupation.
Et on a montré notre plus value et on l’a confirmé en 2015.
Quels sont les domaines d’intervention dont vous pouvez parler, et quel a été votre rôle dans ces interventions-là ?
Arnaud Coustillière : Très tôt dans le ministère, on a considéré que le numérique était un théâtre d’opérations. Donc j’ai été responsable du commandement de l’espace numérique, patron des opérations avec le cadre pénal, sous les ordres du chef des opérations, intégré au centre de planification et cellule de crise qui permettait de coordonner tous les moyens du ministère.
Avec, à côté, une capacité d’action offensive et de contre-propagande, appui aux opérations, avec une grosse préoccupation, le défensif. Pour moi, c’était 85 % de nos efforts. Et les problématiques de la défensive, que l’on soit militaire, en uniforme au sein du ministère des Armées ou dans une grande entreprise, ce sont exactement les mêmes problématiques et les mêmes outils d’investigation. Sauf que l’on a davantage de renseignements et qu’on est connectés à davantage d’expertises techniques parce qu’on a une obligation de résultats et pas forcément des comptes à rendre à une direction financière.
Il y a un point aussi important que vous vous soulignez dans votre livre, c’est le fait que vous ne pouviez mener que des actions justifiables par le gouvernement français. Est-ce que l’on est à armes égales face aux pirates du cyberespace ?
Arnaud Coustillière : On a des lois. La première chose, c’est qu’on est une démocratie. Et une démocratie ne se comporte pas comme une autocratie. Donc, même si on est techniquement capable de faire un certain nombre de choses, on ne le fait pas.
Je pense que l’on ne doit pas perdre notre âme. C’est un peu pareil que sur la torture et la fin ne justifie pas tous les moyens. Toutes les actions d’un soldat ou que j’ai ordonnées doivent être conformes au code pénal. Je n’ai pas le droit de faire de l’appel à la haine ou de la délation, etc. En revanche, j’ai droit à la ruse. Donc, c’est un peu cette subtilité qui fait que j’avais en permanence des conseillers juridiques.
Et après, on est soumis au droit des conflits armées et du droit international humanitaire. Typiquement, je n’attaque pas un hôpital, je n’attaque pas la distribution d’eau dans des zones habitées. Je ne saborde pas un barrage alors qu’il y a des habitations. Par contre, un radar d’approche, oui ! Il doit y avoir un discernement.
Alors dans l’espace de la désinformation, c’est plus compliqué. Mais quand on regarde un peu la désinformation, comme par exemple la propagande de Daesh qui est faite par des combattants, là, il n’y a pas d’états d’âme pour faire un certain nombre d’actes. Quand on fait de la contre-propagande, il y a beaucoup d’actes qui sont des actes techniques relativement simples. On peut neutraliser un serveur relais ou faire des choses qui sont assez conformes à ce que l’on peut faire et endossables par le gouvernement. Et pour les choses, non endossables, il y a d’autres services.
Vous citiez tout à l’heure les attaques qui marquent l’actualité du moment. Est-ce qu’il y a assez de collaboration entre le secteur privé et le secteur public et est-ce que l’on est allé assez loin dans cette collaboration ?
Arnaud Coustillière : Non, je pense qu’on n’est pas allé assez loin mais quand un certain nombre d’entreprises font des choix de partenaires totalement étrangers, cela ne simplifie pas les relations de confiance avec l’Etat.
Je vais répondre sur le côté militaire des armées que je connais. Dès le début, on avait pris conscience qu’on avait besoin de cette respiration entre l’extérieur et l’intérieur.
Donc c’est pour ça que l’on a créé dès 2012, le Pôle d’excellence Cyber, avec un certain nombre d’entreprises qui ont plutôt une approche un peu régalienne et avec qui on peut partager par endroits un certain nombre de choses.
Ensuite, il existe quand même le réseau InterCERT France – CERT-FR sous l’animation de l’ANSSI qui alimente quand même de pas mal de renseignement.
Est-ce qu’on met aujourd’hui les moyens sur la table pour lutter contre la cyberguerre d’autres Etats ?
Arnaud Coustillière : Depuis 2010, c’est un sujet qui est porté très fortement par le gouvernement avec 4 000 combattants au ministère des Armées. On voit que la gendarmerie et le ministère de l’Intérieur se mobilisent depuis quelques années aussi.
Par contre, cela ne descend pas assez bas notamment à travers des relais des Régions et des Départements. Ce sont quand même eux qui portent la numérisation avec tous les grands plans de développement des fibres optiques dans les régions. Ça coûte des centaines de millions d’euros. Je pense que l’on pourrait compter 5 % de cet investissement pour faire en sorte que cela soit sécurisé.
Je pense que quand on parle des ETI, des Comités territoriales, ils ont besoin d’une cyber de proximité. Donc ils ont besoin d’ETI et de PME cyber qui permettent de les aider ou de les assister à proximité et surtout de leur vendre des abonnements accessibles et dans lesquels ils ne sont pas obligés de faire comme dans un grand groupe de choisir plusieurs prestataires. D’où la tentation de prendre une boîte noire étrangère avec le fait de mettre sous cadre juridique étranger, une partie des données de sécurité des acteurs.
Donc c’est compliqué. On est dans une période pour moi de fin des naïvetés. On voit que les enjeux de guerre économique, d’un côté, prennent un poids plus important sous le combat USA-Chine. On voit que sur les côtés stratégiques, c’est devenu de plus en plus dangereux avec une Russie qui est partie à l’aventure.
Le monde est très dangereux et les entreprises se rappellent malheureusement qu’elles ont un drapeau et que selon les endroits où elles vont, la couleur de leur drapeau est important.
Sur dix années passées de 2008 à 2017 au sein du ministère des Armées, est-ce que vous pouvez nous donner quelques cas concrets sur lesquels vous avez eu l’occasion d’opérer ?
Arnaud Coustillière : Typiquement, à la fin 2012 en Afghanistan, on a protégé le retrait des convois du Groupement tactique interarmes de Kapisa sur une bande de route d’une vingtaine de kilomètres particulièrement dangereuse, en piratant les systèmes tactiques radio des talibans pour que deux minutes avant que le convoi rentre et trois minutes après qu’ils sortent, on neutralise leur réseau pour les désorganiser et bloquer leurs IED (engin explosif).
Un autre exemple, face à Daech notamment où tout est affaire de contre-propagande, le fait d’avoir des équipes qui animent des avatars, pour leur faire faire des erreurs ou les désorganiser.
Un grand thème d’actualité aussi, l’IA générative qui est un progrès exponentiel. Est-ce qu’il y risque qui peut être lui aussi exponentiel ?
Arnaud Coustillière : L’IA générative va permettre à un certain nombre de hackers plus ou moins innovants mais n’ayant pas les compétences techniques, d’industrialiser leurs attaques. Donc ça va être un outil de plus qui va d’abord servir beaucoup les attaquants, et les défenseurs vont aussi répondre de plus en plus.
Il y a de l’IA partout, dans l’automatisation, dans tous les outils, donc, à chaque fois, c’est une réponse du berger à la bergère, l’épée contre la cuirasse. Mais les attaquants ont toujours pour moi l’innovation parce qu’un attaquant va aller chercher l’endroit où il va innover, où il sait qu’il va essayer de passer.
Nous, ce que qu’on faisait, c’était innovation tactique ou innovation d’usage et innovation technologique. Regardez Daesh, ils ont super bien utilisé toutes les failles juridiques. Leur sanctuaire était sur la côte Ouest des États-Unis.
Aux derniers RiskSummit, on a une très bonne hauteur de vue de la DGSI sur l’industrialisation absolument galopante de tous les attaquants, qu’il y avait des infrastructures d’attaques dormantes qui montaient, et que ça se voyait d’ailleurs de plus en plus dans des VPN bas de gamme et que tout ça, c’était quand même assez inquiétant.
On a vu également des attaques par déni de service revenir (bloquer un serveur de fichiers, rendre impossible l’accès à un serveur web ou empêcher la distribution de courriel dans une entreprise…). Je me souviens qu’en 2015, aux services des Armées, on était très ennuyé car elles revenaient systématiquement sur le plus gros site de communication. Et le sécuriser correctement, ça nous a coûté très cher.
Les attaques par déni de service sont vicieuses et n’ont toujours pas disparu.
Un chef d’entreprise, dites-vous, qui ne comprend pas l’investissement sur le long terme sur la cybersécurité est incompétent. Quels conseils pouvez-vous lui donner.
Arnaud Coustillière : Non pas incompétent, mais ça s’appelle de la négligence. D’autant que lorsque vous utilisez un logiciel Microsoft ou Thalès ou autres, personne n’a certifié que ceux-ci respectaient un certain nombre de normes. C’est d’ailleurs un thème très cher à mon ami Henri d’AGRAIN (Délégué général du Cigref) sur la responsabilité des grands éditeurs que nous essayons de stigmatiser un peu.
Ce qui est important, c’est que, un, se faire attaquer et pénétrer, ça arrivera à tout le monde. Donc le patron doit se préoccuper de ça. Il doit écouter son RSSI et son RSSI doit faire un effort pour adopter le langage du patron et ne pas expliquer par des trucs techniques…
Alors, comment on évolue ? Pour moi, ce sont les exercices. Ils nous ont fait énormément progresser. Un, ça rode les équipes. Ça vous confronte à un flux d’informations que vous recevez quand vous êtes en cellule de crise cyber. Et ça permet de sensibiliser le patron et de lui dire : si je n’ai pas jugulé ma crise, comment tu vas gérer ça dans l’espace réel ? Puis, comment on communique ?
Ce n’est pas forcément au patron de communiquer tout de suite, peut-être au RSSI pour que le patron se réserve. Mais en tout cas, on ne peut pas ne pas communiquer. À un moment donné. Il y a un besoin de transparence. Dans l’affaire des mutuelles, je suis profondément choqué que ces deux patrons d’entités ne viennent pas dire ce qui s’est passé devant 36 millions de personnes qui se sont fait piquer leurs données. On ne va cacher ça sous le tapis !
Donc transparence et pédagogie et écouter son RSSI ou son responsable sûreté qui pour moi doit être de plus en plus côté sûreté et gestion des risques et pas complètement dans l’IT.
J’ai une double culture. J’étais DSI dans la Marine, j’ai été DG Num au ministère, j’ai été Comcyber.
Et en tant que DG Num, j’avais des moments où j’avais envie de dire au ComCyber : « fais pas chier ». Et c’est normal. Après, c’est à lui de dire ou de faire. Par contre, il ne faut pas que ça devienne un ayatollah du non.
Mes meilleurs ennemis dans le bouquin, ce sont les ayatollahs experts de la SSI qui répondent non à tout le monde. Voilà, donc il faut que chacun fasse un peu un parcours. Que les experts de la SSI fassent de la vrai pesée de risque même si cela a beaucoup évolué. Et que la RSSI et la DSI comprennent que nous sommes dans un enjeu géopolitique aujourd’hui, que les données ont un cadre juridique. Il faut que l’on sorte les gens de l’IT et de la cyber d’une approche trop technique pour qu’ils deviennent des vrais managers.
C’est ce que dit le Cigref, et je pense que 98 % des membres de l’Agora sont complètement en phase avec ce que je dis.
Mais aussi, il faut que les gens de la cyber ne parlent pas qu’aux gens de la cyber. Il faut faire un effort pour aller s’adresser aux autres.
Propos recueillis par Julien Merali, General Manager du pôle IT d’Agora Managers Groupe.
Dans ce précieux témoignage, « Soldat de la cyberguerre : Un pionnier raconte la cyberdéfense française » (Editions TALLANDIER), Arnaud Coustillière raconte la construction à marche forcée de la cyberdéfense française. On découvre de l’intérieur la « cellule » créée en 2009 en toute discrétion, les échanges avec les partenaires américains et estoniens, le recrutement des talents, les premières opérations en Afghanistan, la coopération avec les Forces spéciales, la confrontation avec Daech et l’émergence des ingérences russes. Ce livre nous aide à mieux comprendre les défis d’ampleur que vit notre pays à l’heure où la guerre de haute intensité est de retour, amplifiée par le caractère toujours plus hybride des conflits. Les chocs sont devant nous, il est urgent d’en prendre conscience.