Le soldat de la cyberguerre d’Arnaud Coustillère (2024) : état des lieux des capacités militaires cyber de la France
La notion de cyberespace s’est progressivement développée avec « l’interconnexion mondiale des ordinateurs », créant un véritable espace intangible de partage de données. Le développement des potentialités informatiques a décuplé les capacités d’agression, par des acteurs indépendants, à l’image des hackers, ou par des agents d’État depuis les années 2010 (affaire Snowden, virus Stuxnet contre le nucléaire iranien, logiciel israélo-américain espion Pegasus, etc.). Cependant, les attaques cyber n’avaient jusqu’alors jamais accompagné une guerre ouverte avant l’invasion de l’Ukraine en février 2022.
Le retour des guerres interétatiques interroge sur les capacités militaires cyber réelles de la France, pourtant développées depuis 17 ans. En dix-huit chapitres, sous la plume de la journaliste Aude Leroy, spécialiste des questions de défense et de sécurité, Arnaud Coustillère brosse un portrait thématique et accessible des différentes étapes qui ont menées à la création d’une cyberforce française et des défis qu’elle doit encore relever. Ce vice-amiral d’escadron a en effet contribué pendant neuf ans à la création et au renforcement du Commandement cyber français (COMCYBER), en devenant le premier officiel général à sa tête. Entre 2017 et 2021, il a dirigé la Direction générale du numérique et des systèmes d’information et de communication et est aujourd’hui président du Pôle d’excellence cyber. À l’occasion du huitième anniversaire du COMCYBER, le 4 mai 2025, il est pertinent de s’interroger sur la création et l’état actuel des capacités militaires cyber françaises.
La nécessité de la cyberforce française : une prise de conscience tardive
La France a accusé un retard notable dans l’allocation de moyens à l’obtention d’une force cyber. Dès le développement d’Internet dans les années 1990, le président américain Clinton a pris un décret pour protéger les activités vitales liées au numérique. Les attentats de 2001 ont fini par convaincre les décideurs politiques de faire des États-Unis une puissance numérique. Le Royaume-Uni a rapidement suivi ce nouvel axe stratégique. Les deux nations sont ainsi « décomplexés » dans leur numérisation (p.54), étroitement liée au renseignement au sein et au-delà de leurs frontières (principe d’extraterritorialité). De même, l’Estonie, forte de sa position centrale dans le développement numérique sous l’URSS, a été la première e-administration au monde et est l’une des pionnières du cyber parmi les membres de l’OTAN depuis 2007. Des exercices cyber y sont ainsi organisés depuis 2010, les Locked Shields. Enfin, les autocraties ont également progressivement embrassé l’idée d’une puissance numérique, avec un espace fermé et de véritables armées d’attaquants cyber (Chine, Russie et Iran). Le pillage des données Areva par la Chine, découvert en 2011, illustre l’usage précoce de ces méthodes par le géant asiatique.
En France, le développement des capacités militaires de défense s’est fait en deux temps, influencé par le contexte sécuritaire et les attaques cyber. Après des balbutiements de la cyberdéfense française en 2003 et 2006 (rapport parlementaire Labordes), c’est en 2008 que l’idée s’est concrétisée, après la propagation du ver Conficker jusqu’au ministère des Armées. Dans un contexte de restriction budgétaire, le livre blanc 2008 et la loi budgétaire 2011 ont conféré des moyens conséquents à la dimension cyber et une latitude a été donnée au vice-amiral pour qu’il fonde le COMCYBER. Pour Jean-Yves Le Drian, alors ministre des Armées, « la nécessité de disposer d’une cyberdéfense puissante [n’était] plus à démontrer ». En 2012, la nouvelle équipe a ainsi testé ses capacités sur le terrain en assurant la sécurité des convois des militaires français quittant l’Afghanistan, par perturbation des radios afghanes. En parallèle, les plans de gestion de crise cyber se sont développés, à l’instar du Piranet en 2012.
Le deuxième cycle a débuté en 2014, alors que la France est devenue une cyber-cible privilégiée, de par ses engagements internationaux, que ce soit par l’État islamique (EI), entre 2014 et 2018, ou la Russie, la Biélorussie et Chine. En effet, la cyberguerre passe également par de la désinformation en ligne, qui vise à perturber et faire peur à l’ennemi, le discréditer et recruter. Reprenant les méthodes d’al-Quaïda, l’EI a rapidement mis en place une véritable propagande numérique, avec la création de médias en ligne, et l’utilisation de robots et « 500 à 2000 utilisateurs hyperactifs » (p.186). En outre, des cyberhooliganes ont volontairement participé à des actions pro-EI de déstabilisation, sans cible précise.
Pareillement, l’invasion de la Crimée s’est accompagnée d’attaques cyber de grande envergure, à l’image de Notpetya (2017), marquant une nouvelle forme de guerre dans laquelle les attaques cyber et informationnelles accompagnent systématiquement les interventions armées. C’est ainsi qu’en France, l’on repère à partir de 2014 une prise de conscience de cette nouvelle forme de conflit, concrétisée par l’intégration d’un centre opérationnel cyber dans le Centre de planification et de conduite des opérations (CPCO), le centre de gestion de crises du ministère des Armées. En effet, le COMCYBER est rattaché à l’État-major des Armées depuis sa création en 2017. Dès lors, « la cyberdéfense [est vraiment devenue] une force numérique comme l’état-major pour les domaines maritimes ou terrestre » (p.24).
Vers une structure agile du COMCYBER : pour des capacités cyber complètes
Le ministre des Armées, Jean-Yves Le Drian, était favorable à la création d’une véritable armée cyber. Néanmoins, le vice-amiral Coustillère a toujours défendu le modèle qu’il avait créé : il a pensé la cyberdéfense non comme un « bloc monolithique » mais comme un « écosystème » dans lequel le COMCYBER a « une autorité opérationnelle et fonctionnelle [et est] au coeur des opérations, avec un budget propre, et toute une liberté pour affecter les effectifs dans différentes structures [tout en] ayant sur eux une autorité d’emploi » (p.243). Ce n’est donc pas une « armée cyber » mais de petites unités mises à disposition, pour plus d’agilité. Il s’agit également d’une « organisation sur mesure, adaptée à notre fonctionnement, à notre utilisation du renseignement, à notre culture » (p.78). Elle a donc la particularité d’avoir une compétence nationale, militaire et orientée sur la défense. La chaine de prise de décision est établie sur le même système de commandement que n’importe quelle opération militaire: le sous-chef opérationnel cyber, qui représente le chef d’état-major des armées, signe l’ordre. Les règles d’engagement sont fixées, validées par les juristes puis l’ordre est donné. L’officier général cyber prend alors le contrôle de l’opération et un compte-rendu est rédigé à l’issue.
Ainsi, le COMCYBER est une cellule interarmées et travaille avec une multitude de partenaires nationaux (DGSI, DGSE, DGA, CIC, cellules de gestion de crise, ANSSI, OIV, acteurs des différents ministères, DCI…) et internationaux (ONU, OTAN, partenaires bilatéraux). Des procédures ou un vocabulaire commun ont été établis pour assurer la coopération des services. Il s’agit également de coordonner les opérations cyber avec les opérations sur le terrain, d’autant que la préparation d’une arme cyber prend du temps. Des exercices communs (Defnet dès 2014) et des sommets internationaux permettent un réel échange avec les alliés, sur initiative française. La France s’est ainsi affirmée progressivement dans le domaine et, à travers ses exercices et sa coopération avec les autres pays, a montré qu’elle est un allié légitime et fiable. En 2015, elle est enfin reconnue et respectée, sa petite structure et la législation lui permettant plus d’agilité que le géant américain. Entre 2016 et 2017, elle travaille ainsi avec les alliés américains et britanniques dans la lutte cyber et physique contre l’EI.
Plusieurs organes se sont progressivement distingués pour répondre aux trois doctrines produites : la lutte information défense (LID) en 2017, la lutte informatique offensive (LIO) en 2019 puis la lutte informatique d’influence (L2I) en 2021, avec la création de Viginum.
Les défis à relever : vers une cyberforce accomplie et opérante
Depuis 2013, les moyens alloués au développement des forces cyber ont été substantiels. Le livre blanc de 2013 puis les Revues stratégiques de défense 2017 et 2022, complétés par les lois de programmations militaires successives, n’ont cessé d’augmenter les moyens et le nombre de postes. Entre 2014 et 2016, les effectifs ont triplé, atteignant 2 400 agents. Ils sont aujourd’hui un peu moins de 4 000. À nouveau, la prise de conscience des menaces face à l’augmentation des attaques de désinformation ou cyber et aux attentats ont représenté une opportunité malheureuse. L’ambitieux Pacte de défense cyber (2014), a visé, en cinquante mesures, à renforcer la sécurité des systèmes d’information (notamment via un chiffrement systématique des réseaux étatiques), à augmenter le recrutement, à renforcer les moyens d’intervention, à encourager la recherche industrielle, etc. Les profils sont nombreux et spécialisés, entre réservistes et civils, docteurs, mathématiciens, psychologues, architectes cyber, spécialistes IA, etc. Un véritable écosystème a pris progressivement racine en Bretagne, berceau historique de l’innovation numérique, avec la concentration de structures militaires (école militaire de transmission, la Direction générale de l’armement), universitaire (Pôle d’excellence cyber) et industrielles (Thalès, Orange Cyberdéfense, Cap Gemini, jeunes pousses). L’ancienne ministre des Armées, Florence Parly, a ainsi déclaré le 13 septembre 2019 : « Nous sommes désormais prêts à employer l’armée cyber, en opérations extérieures, à des fins offensives ». Toutefois, si la structure et les doctrines ont été établies, certaines questions restent sans réponse.
En matière de moyens, un accent particulier doit être mis sur la recherche, la coopération avec le privé et la formation des cadres et des agents. La conscience politique est en effet cruciale pour assurer une meilleure défense de l’espace numérique français. De même, la population doit être intégrée à cet effort commun. Les rapports réguliers de l’ANSSI et les Flash ingérence économique de la DGSI montrent que le vecteur humain, volontairement ou accidentellement, est la première cause des brèches de sécurité. Or, la population française est encore peu consciente des menaces sur Internet. La création d’une réserve cyber opérationnelle, projet en suspens, va dans ce sens. C’est dans cette intention qu’a été rédigée La Revue stratégique de cyberdéfense en 2018, unique document en son genre.
L’encadrement juridique du numérique est également toujours un enjeu. Les lois d’Internet développées dans les années 1990 ne sont plus adaptées au contexte actuel. En 2014, la loi de programmation militaire a ainsi donné plus de latitudes à certains services d’État identifiés pour utiliser des techniques numériques normalement interdites pour des questions de respect de la vie privée. Les opérations militaires cyber ont ainsi été pensées pour être « discrètes mais pas secrètes », c’est-à-dire légales car respectueuses du code pénal et du droit des conflits armés, à l’instar de toute autre opération militaire. De plus, il n’existe pas d’encadrement international cyber. Les États membres de l’UE ont réussi à convenir d’accords de protection des systèmes d’information et des données personnelles au sein de leurs frontières, (RGPD, DORA, NSI 2 ou European Cyber Resilience Act). L’Union se concentre néanmoins sur la défense et la sécurité numérique et non sur une dimension militaire. La France prône l’application des mécanismes de contrôle internationaux dans le cyberespace depuis plusieurs années, idée également soutenue par l’OTAN au travers de son Manuel de Tallinn. C’est ce qu’a rappelé Nicola de Rivière le 20 juin 2024 à New York, lors d’une réunion du Conseil de sécurité de l’ONUvi : « […] le cyberespace n’est pas un Far West, ni un vide normatif. Le droit international y est pleinement applicable, y compris la Charte des Nations unies, [le droit international des conflits armés], le droit international humanitaire et le droit international des droits de l’Homme. […]. ». La France travaille ainsi depuis 2013 avec le Comité international de la Croix Rouge, organisation internationale neutre, pour encourager tous les États à embrasser cette vision. De même, lors du Forum international sur la gouvernance d’Internet à l’UNESCO en 2018 le président Macron avait lancé un « Appel pour la confiance et la sécurité dans le cyberespace », document signé par quatre-vingt-un pays mais également par des acteurs privés et des acteurs de la société civile.
Les conséquences sont néanmoins réelles. Pour la France, « les cyberattaques peuvent constituer en elles-mêmes des menaces pour la paix et la sécurité internationales, par leur impact sur des infrastructures critiques et les risques d’escalade qu’elles induisent ». Une attaque cyber pourrait alors être considérée comme un acte de guerre. À nouveau se pose la question de la dénomination de « cybercombattant » qui peut être, comme nous l’avons vu, employé officiellement ou officieusement par un État ou s’être volontairement engagé dans la défense d’une cause, sans contact direct. Cette confusion permet d’éviter les affrontements directs et de rester dans une « zone grise » déjà rencontrées avec les guerres par procuration (ou proxy en anglais). « Ce n’est [alors] pas tout à fait la paix, ni encore vraiment la guerre ».
Enfin, la France doit clarifier la relation entre l’offensif et le défensif, souvent critiqué pour sa distinction assumée. En dépit des déclarations des ministres des Armées, Jean-Yves Le Drianx ou Florence Parly, la France est en effet encore peu offensive, les opérations étant des « ripostes militaires graduées […] pour répondre à des attaques informatiques » (p.155).
Conclusion
Les experts considèrent que « l’Ukraine est devenue le labo à ciel ouvert des armes numériques du Kremlin », bien que des attaques de plus grande ampleur étaient attendues. Le cyberespace est le nouveau théâtre d’affrontement des guerres hybrides mais également un « théâtre de prédilection des actions grises » (p.250). Dans ce contexte, le cyber est devenu un milieu de confrontation « incontournable » (p.15) que la France doit investir à travers toutes ses dimensions pour atteindre le statut de « puissance numérique ». C’est un enjeu souverain et d’autonomie stratégique qui concerne tous les pans de la société. Le pays est encore vulnérable aux attaques et la recherche de la résilience passera par une nécessaire prise de conscience des politiques, des acteurs privés et des citoyens, au-delà de l’effort de guerre.
L’accent est pour l’instant mis sur le défensif et non sur l’offensif, l’objectif premier étant toujours de faire cesser une attaque. Cette « force offensive […] confère [pourtant] un pouvoir égalisateur fort, c’est-à-dire un pouvoir destructeur d’un niveau équivalent à celui des grandes puissances » (p.242), que ce soit des ennemis ou des alliés. Dans le contexte actuel, avec des adversaires et concurrents, aux fins « économiques, stratégiques, culturels ou mafieuses » (p.246) toujours plus nombreux, la vision des décideurs pourrait évoluer dans les prochaines années.
Par Himitsu