- Mercredi 20 février 2013
- Audition de M. Thomas Enders, président exécutif d'EADS
- Forum transatlantique organisé par l'Assemblée parlementaire de l'OTAN - Communication
- Déplacement de la commission de la défense et de la sécurité de l'Assemblée parlementaire de l'OTAN, à Bahreïn et au Qatar - Communication
- Article 88-4 de la Constitution - Saisine de la commission et nomination de deux rapporteurs
- Jeudi 21 février 2013
Mercredi 20 février 2013
- Présidence de M. Jean-Louis Carrère, président -Audition de M. Thomas Enders, président exécutif d'EADS
La commission auditionne M. Thomas Enders, président exécutif d'EADS.
M. Jean-Louis Carrère, président. - Nous sommes très heureux de vous recevoir ici devant la commission des affaires étrangères, de la défense et des forces armées du Sénat. Vous êtes aujourd'hui à la tête de la plus grande entreprise aéronautique européenne qui a été forgée par la volonté des Etats français, allemand et espagnol au tournant de ce siècle afin, notamment, de promouvoir « l'Europe de la défense », terme polysémique non dépourvu d'ambiguïtés. Si nous vous avons demandé de venir aujourd'hui parmi nous c'est précisément pour que vous nous parliez d'Europe et de défense, l'activité civile d'EADS ne nous intéressant, dans cette commission, qu'à titre subsidiaire.
Nous sommes nombreux au Sénat, à droite comme à gauche, à porter le deuil du projet de fusion EADS-BAE. L'Europe de la défense en parler c'est bien, mais la faire c'est mieux ! Nous l'avons écrit, avec mes collègues Daniel Reiner pour le parti socialiste et Jacques Gautier pour l'UMP, dans une tribune bipartisane, et sommes les seuls hommes politiques européens à s'être exprimés en faveur de cette fusion... avant qu'elle n'échoue. Nous sommes donc très intéressés de connaître votre version de l'histoire. Cela est d'autant plus important que nous avons mandaté un groupe de travail sur l'Europe de la défense, dont les co-présidents ne sont autres que Daniel Reiner, Jacques Gautier, Xavier Pintat et André Vallini. Ils vont aller à Berlin et poseront cette même question aux responsables allemands.
Deuxième question : la fusion avec BAE avait pour objectif de permettre à EADS d'équilibrer les cycles de l'industrie aéronautique civile par une activité dans le domaine de la défense. Vous avez dit que dit que l'histoire ne repasse pas les plats. Est-ce que cela veut dire que cette stratégie d'équilibre entre les activités civiles et de défense est définitivement abandonnée et que la feuille de route tracée par Louis Gallois dans le plan « vision 2020 » doit être reconsidérée ?
Troisième question : si vous ne rééquilibrez pas les cycles civils avec la défense, comptez-vous les rééquilibrer avec une autre activité ? Ou bien comptez-vous sortir des activités militaires ? En d'autres termes, quelle nouvelle stratégie comptez-vous mettre en oeuvre ?
Quatrième question : y a-t-il un réel intérêt pour les Etats, pour l'Etat français en particulier, d'être au capital d'EADS ? S'il y a une leçon pour nous Français à retenir de l'échec du projet de fusion EADS-BAE, c'est bien que l'Etat allemand a eu plus d'influence en ne détenant aucune action, que l'Etat français qui détenait 15 % du capital. Par les temps qui courent, laisser autant de capitaux improductifs dans les entreprises de défense soulève des questions. L'Etat britannique ne détient aucune action dans BAE, ce qui ne l'empêche pas d'avoir mis en place les procédures juridiques lui permettant de faire prévaloir ses intérêts chaque fois qu'il estime devoir le faire. Qu'en pensez-vous ?
Cinquième et dernière question : nous avons en France, comme dans le reste des pays européens, beaucoup de mal à rassembler les moyens budgétaires nécessaires pour maintenir nos ambitions de défense au niveau adéquat, quoique déjà « juste insuffisant ». De ce fait, nous explorons toutes les pistes. On sait que la voie de la construction européenne est passablement obstruée, ou, pour dire les choses de façon diplomatique, que la relation franco-allemande a connu et connaîtra je l'espère des jours meilleurs. A tel point qu'aujourd'hui, nous serions assurément incapables de construire un nouvel EADS, de projeter un nouvel A400M ni, du reste, simplement d'imaginer quelque projet industriel que ce soit. Quant à la voie britannique, on se demande encore quelles sont les motivations profondes qui ont poussé le Premier ministre à annoncer l'éventualité d'un referendum sur la sortie du Royaume-Uni de l'Europe. Alors que faire ? Quelle voie nous suggéreriez-vous d'explorer ?
M. Thomas Enders, président exécutif d'EADS.- Je vous remercie de votre invitation et du temps que vous consacrez au groupe EADS. J'en suis très honoré. EADS est un acteur industriel majeur en France et en Europe et, à ce titre, il me paraît important de vous présenter notre groupe aujourd'hui.
Avant toute chose, je souhaiterais dire mon respect et mon admiration pour les forces françaises, ce qu'elles font au Mali en ce moment même et surtout pour les soldats français qui sont tombés au combat. Permettez-moi de saluer la mémoire de mon camarade du deuxième Régiment étranger de parachutistes de la légion étrangère. J'ai sauté avec le 2ème REP à Calvi.
Je suis également d'accord avec ce que vous avez dit,
avec peut être une légère réserve concernant le
Premier ministre britannique, David Cameron. Je fais partie
d'un groupe de conseillers autour du Premier ministre britannique, que je
trouve à titre personnel beaucoup plus pro-européen qu'on ne le
dit.
L'année dernière a été marquante pour EADS. La nouvelle gouvernance a été élaborée. Je ne parle pas de la succession des personnes qui s'est passée comme prévue, sans psychodrame, avec l'arrivée d'hommes issus de l'entreprise comme cela devrait toujours se passer.
S'agissant du projet de fusion avec BAE Systems, même s'il ne s'est finalement pas réalisé, je vous suis très reconnaissant du soutien que vous lui avez apporté. Vous êtes les seuls hommes politiques en Europe à avoir pris position publiquement en faveur de ce projet. Je vous en remercie.
Je souhaiterais maintenant vous présenter l'entreprise en soulignant trois caractéristiques clés. Premièrement, c'est une entreprise multinationale aux racines européennes, qui est une force dans les exportations de la France. Deuxièmement, c'est un maître d'oeuvre industriel qui, par ses grands programmes civils et militaires, entraîne le tissu industriel français. Troisièmement, c'est une entreprise duale capable de tirer parti de la « fertilisation croisée » des technologies et des activités civiles et militaires. Plus qu'aucune autre société, EADS est particulièrement concerné par l'Europe de la défense à laquelle votre commission consacre ses réflexions.
Les résultats de 2012 sont remarquables. Le chiffre d'affaires a augmenté de 10 % alors même que la croissance stagne et qu'il n'est pas certain qu'il y ait encore une reprise. EADS a été une des plus belles réussites industrielles en Europe dans la dernière décennie. La profitabilité de notre Groupe s'est améliorée, même si elle reste trop faible et insuffisante au regard de celle de nos concurrents américains. Nous devons encore améliorer notre résultat net afin de renforcer notre robustesse.
Grâce à sa croissance, EADS a été capable de créer de nombreux emplois dans les pays de sa base nationale. Cela est particulièrement vrai en France où EADS emploie aujourd'hui plus de cinquante-deux mille employés, ce qui représente 20 % de plus que lors de sa création en 2000.
Le projet de fusion entre EADS et BAE était une étape majeure dans notre stratégie, plus particulièrement pour nos activités de défense. Comme vous le savez, je me suis personnellement engagé dans ce projet. J'avais conscience, dès le départ, que nous prenions un risque important, mais que le jeu en valait la chandelle. C'était un moyen de réaliser en une seule fois le plan stratégique « Vision 2020 », lancé en 2008 par Louis Gallois afin d'équilibrer les activités d'Airbus et les autres activités et d'élargir notre empreinte géographique.
Mais les choses ne se sont pas déroulées comme nous l'espérions. L'opération aurait sans aucun doute renforcé EADS et à travers elle toute l'industrie aéronautique et la défense européennes. Quoi qu'il en soit, après quelques mois de négociations, il est apparu que les conditions requises n'étaient pas remplies et j'ai préféré, avec mon ami Ian King, président exécutif de BAE Systems, arrêter ce projet malgré son grand intérêt pour nos deux entreprises.
Le projet a échoué parce que l'environnement politique était trop complexe. Nous n'avons pas pu bénéficier d'une conjonction de paramètres qui aurait permis l'alignement de trois gouvernements européens. Sur les trois, l'un était opposé. Les deux autres ont été positifs, mais leur soutien n'a pas été suffisamment décisif pour infléchir la position du premier. Nous étions convaincus qu'à un moment où l'Europe est en difficulté, ce projet serait accueilli plus favorablement. Quoi qu'il en soit, cet événement est derrière nous.
L'échec du projet de fusion nous conduit à réexaminer la vision stratégique d'EADS et proposer de nouvelles directions ainsi qu'une nouvelle gouvernance pour y conduire. Ce réexamen progresse et devrait aboutir d'ici quelques mois. Les paramètres financiers sont déterminants : aucune entreprise ne peut avoir une stratégie de long terme soutenable sans faire de profits. C'est un prérequis pour être capable de faire de la recherche et du développement et renforcer notre compétitivité.
Sur la question de savoir si nous aurons une autre occasion, c'est difficile à dire. Un tel alignement de planètes ne se produit pas tous les jours. Néanmoins nous avons pu bénéficier d'éléments de gouvernance que nous avions élaborés pour ce projet de fusion. Daimler et Lagardère voulaient sortir depuis longtemps du capital d'EADS. Je rappellerai que leur soutien a été déterminant lors de la création d'EADS et que cette entreprise n'aurait pas existé aujourd'hui sans leur concours.
En décembre, nous sommes parvenus à un accord que nous n'aurions jamais estimé possible l'été dernier. En ce sens, au moins, le projet de fusion BAE System/EADS a porté des fruits. L'accord multilatéral signé entre les gouvernements français, allemand et espagnol ainsi que Lagardère et Daimler marque le coup d'envoi d'une nouvelle gouvernance et d'une nouvelle structure actionnariale pour l'entreprise, une sorte de « reset » qui est sans aucun doute le changement le plus important depuis la création de l'entreprise il y a douze ans.
Bien que le gouvernement allemand achète 12 % d'EADS, l'influence des gouvernements sur la gouvernance de l'entreprise sera moindre qu'avant. Le pacte d'actionnaires actuel sera dissous et l'entreprise disposera d'un conseil d'administration normal. Cette amélioration nous permet de clarifier les droits des Etats et nos obligations.
EADS va devenir une entreprise « normale ». Les membres du conseil d'administration seront proposés par le comité des nominations, formé au sein du conseil lui-même. Ce comité des nominations garantira que chaque personne nommée est celle qui correspond le mieux au profil du poste. Aucun actionnaire ne pourra nommer un membre du conseil d'administration directement ou indirectement. Au lieu d'avoir un pacte d'actionnaires compliqué, notre nouvelle structure de gouvernance rendra l'intervention des trois gouvernements similaire à celle qu'ils auraient avec une action de contrôle, une golden share par exemple, pour prévenir toute opération de prise de contrôle hostile.
Les intérêts légitimes de sécurité des gouvernements seront sauvegardés à travers des accords particuliers de sécurité et des mécanismes prévenant les OPA hostiles. C'est une amélioration, puisque de telles transformations clarifient les droits des Etats et les obligations d'EADS, plus particulièrement en matière de défense, sans placer en conflit d'intérêt les actionnaires et les parties prenantes (stakeholders).
Le mois dernier, j'ai proposé aux autorités françaises que le Général Bernard Thorette, Anne Lauvergeon et Jean-Claude Trichet soient nommés au conseil d'administration de la filiale qui détiendra les actifs de sécurité français. Je suis convaincu que ces nominations sont les bienvenues. Sur le long terme je ne vois pas la nécessité pour la France de rester actionnaire. S'il s'agit de préserver ses intérêts stratégiques, elle peut y parvenir d'une autre manière.
Le changement de gouvernance va nous permettre aussi d'accéder plus facilement à certains marchés. Aux Etats-Unis en particulier, nous étions jusqu'ici suspectés d'être une société sous contrôle étatique. Les réactions ont donc été positives à l'annonce de la nouvelle gouvernance.
C'est un changement pour notre société qui doit modifier sa gouvernance afin de devenir plus forte, plus rapide dans ses décisions tout en restant un leader toujours plus compétitif sur des marchés aéronautique et de défense. L'accord sera soumis à l'assemblée générale extraordinaire des actionnaires le 27 mars.
Pour ce qui est de la stratégie, soyons lucides : les dépenses de défense vont au mieux ralentir en France, en Europe et même aux Etats-Unis dans les prochaines années. On pourrait être surpris par une telle tendance quand on sait que d'autres pays, en dehors de l'OTAN, augmentent de façon considérable leurs dépenses, en créant de nouvelles menaces et que des moyens militaires nous serons de plus en plus nécessaires à des fins de stabilisation, comme le montre le Mali.
Personne ne peut échapper à la nécessité de s'adapter. Cela soulève la question de savoir si nous ne devrions pas nous concentrer dans le long terme sur nos activités commerciales et en particulier les avions et les hélicoptères.
Les exportations en matière de défense peuvent aider, c'est certain ; mais aucune industrie de défense ne peut prospérer à l'export si elle ne s'appuie pas sur une solide base domestique. C'est le coeur du problème : si nous voulons garder des capacités industrielles clefs en Europe, nous n'éviterons pas une restructuration des industries de défense. C'est ce à quoi nous devons nous préparer et c'est la raison pour laquelle nous entrons dès maintenant dans ce que j'ai appelé « EADS 2.0 ».
Je voudrais remercier les gouvernements français, allemand et espagnols pour avoir eu la volonté et la sagesse de trouver un accord sur la gouvernance qui donne un nouveau départ et apporte à EADS les outils pour être plus fort et plus compétitif dans le futur.
Pour ce qui est de la relation entre la France et EADS, je voudrais préciser le lien futur entre l'Etat français et l'entreprise. Je voudrais souligner combien notre partenariat est crucial l'un pour l'autre : la France est un pays clé pour les activités de défense d'EADS et EADS est un des acteurs essentiels pour la défense de la France. En effet, EADS contribue à la force de dissuasion nucléaire française, puisqu'elle fournit notamment les missiles M51 et ASMPA développés, produits et soutenus respectivement par ASTRIUM et MBDA.
Nous sommes fiers de livrer le premier A400M avant le Bourget à l'armée de l'air française avec un premier contrat de soutien qui vient d'être signé il y a à peine quelques jours. Nous avons proposé l'Airbus A330-200 MRTT pour le ravitaillement en vol à l'armée de l'air française. Nous avons également commencé les livraisons d'hélicoptères NH-90 à la fois à la marine et à l'armée de terre. Depuis trois ans, nous sommes le premier fournisseur industriel du ministère de la défense français, ce que M. Laurent Collet-Billon a confirmé à l'occasion de sa conférence de presse mercredi dernier, lorsqu'il a présenté les résultats de la DGA.
Les opérations au Mali démontrent l'importance de nos systèmes d'armes pour conduire les missions d'aujourd'hui. Les hélicoptères Tigre font la preuve de leur efficacité, comme ils l'ont déjà fait en Libye et en Afghanistan. Les drones Harfang et les satellites d'observation de la terre, tels qu'Hélios 2 B et Pléiades sont également des capacités critiques dans l'opération Serval au Mali.
Les leçons apprises en opérations extérieures renforcent notre détermination à livrer l'A400M avant l'été. La production est en plein essor. Je tiens à remercier la DGA pour son soutien et son leadership vis-à-vis des autres Etats tout au long de ce programme et de sa renégociation. Notre volonté de rester un partenaire du ministère français de la défense est égale dans le domaine des drones afin d'éviter des lacunes capacitaires et des dépendances pour des capacités aussi critiques.
La croissance des activités d'EADS en France a été spectaculaire, grâce à un dialogue constructif entre tous les acteurs de l'industrie aéronautique et de l'espace et, en particulier, l'Etat. Grâce à une politique industrielle de long terme, l'industrie aéronautique et spatiale française est compétitive sur le marché mondial. Elle le restera tant que ce modèle sera préservé.
Une remarque de principe : une industrie ne peut réussir qu'avec une véritable politique industrielle ambitieuse. C'est le rôle de l'Etat. Le succès de notre industrie en France est le résultat d'un partenariat piloté par des institutions publiques telles que la DGA, DGAC ou le CNES qui ont su mettre en place des programmes de long terme, couvrant toutes les étapes de la R&D, depuis la R&T jusqu'aux avances remboursables. Une telle dynamique profite grandement de forums publics privés tels que CORAC dans le domaine de l'aéronautique civile. A tel point que, et c'est une bonne nouvelle, des forums similaires vont être mis en place pour les priorités de demain que sont la Sécurité et l'Espace.
Je voudrais insister sur l'importance stratégique d'avoir à la fois des activités de défense et des activités civiles, ce qui nous permet de tirer le maximum de synergies de notre politique d'investissement en R&T.
La défense a besoin des systèmes les plus en pointe et de technologies qui n'existent pas encore. C'est pour cela que la recherche en matière de défense progresse par ruptures technologiques. Ce sont ces ruptures qui bénéficient ensuite aux activités civiles à moyen et long terme à travers des retombées issues de ces recherches.
C'est pourquoi il est essentiel que le prochain Livre Blanc préserve cette approche et, quelles que soient les décisions budgétaires, sanctuarise à tout prix le budget de la Recherche amont, aussi bien militaire que civile. A travers ces études, la DGA a réussi à construire une base industrielle compétitive et technologiquement avancée. C'est du reste exactement ce que font nos concurrents. Les mesures adoptées devront cibler les technologies clefs pour l'avenir : ces choix n'auront pas simplement d'impact sur la défense mais aussi sur notre compétitivité face aux Etats-Unis et aux grands émergents. Notre projet avec BAE Systems s'inscrivait dans cette perspective industrielle de long terme face à une concurrence bientôt mondiale.
Le deuxième enseignement que je retiendrai est que l'industrie aéronautique ne peut être pas viable sans une approche duale.
La politique industrielle doit porter sur un périmètre industriel et technologique adéquat. Notre industrie est, par nature, duale. On ne peut pas considérer les enjeux de défense, d'un côté, et ceux des activités commerciales, de l'autre. Il y a une fertilisation croisée entre les activités civiles et militaires pour les lanceurs, les satellites, les hélicoptères... Ici aussi une approche globale est nécessaire afin de préserver une base industrielle dans la durée en France.
Prenons en compte un exemple critique : les lanceurs spatiaux et les missiles balistiques. Le développement complet d'Ariane 5ME et les études sur la nouvelle génération de lanceurs Ariane 6 sont absolument indispensables afin de préserver les compétences en matière de missiles balistiques.
Cela n'est pourtant pas suffisant pour préserver les compétences des bureaux d'études des Mureaux et de nos sous-traitants et la capacité à contribuer à la dissuasion nucléaire. Le programme M51 doit pouvoir être poursuivi dans ses versions ultérieures comme prévu dans la programmation, sauf à devoir faire face à des conséquences majeures en matière d'ingénierie pour ASTRIUM et, plus particulièrement, pour son bureau d'études des Mureaux.
Il est également important de garder à l'esprit qu'il n'y a pas de politique industrielle viable si les demandes en matière civile et militaire ne sont pas coordonnées. C'est de cette façon que la compétitivité peut être renforcée dans le long terme et que les politiques peuvent produire ce que l'on appelle « the best value for money ».
En troisième lieu, je souhaiterais vous parler des exportations. Une de nos principales priorités est de développer notre capacité d'exportation en dehors de nos marchés nationaux. Nous bénéficions d'un fort soutien des pouvoirs publics en ce domaine. Les exportations sont cruciales pour préserver la base industrielle de défense européenne, tout particulièrement dans le contexte actuel de réduction des budgets de défense et de compétition mondiale accrue. Mais comme toujours, les exportations reposent sur la maîtrise des marchés nationaux, ce en quoi la France joue un rôle de leader. J'espère que les résultats du Livre blanc prendront cet aspect des choses en considération.
Je tiens à rappeler qu'EADS s'appuie sur ses partenaires industriels pour être et rester compétitif. Notre groupe sous traite plus de 70 % de son chiffre d'affaires à des milliers d'entreprises françaises, essentiellement des PME-PMI. C'est pour cela que nous avons besoin de réseaux industriels innovants et résilients et c'est la raison pour laquelle Marwan Lahoud a récemment signé le pacte PME avec le ministère de la défense française. Nous avons besoin de partenaires industriels forts, à la fois petits et grands, pour livrer les meilleurs produits aux forces armées françaises et gagner ensemble des contrats à l'export.
Dans le domaine des hélicoptères, Eurocopter s'attaque à l'ensemble des marchés civils et militaires. Nous avons remporté des succès importants avec l'EC-725 Cougar, le NH-90 et le Tigre. Notre préoccupation principale concerne la commande de trente-quatre NH-90 TTH qui doit encore être confirmée par la France. L'export et la coopération sont ici encore, des éléments clés du succès, au même titre que les synergies entre le civil et le militaire, surtout quand Eurocopter doit renouveler son offre de produits.
Accroître notre capacité d'accéder au marché américain sera déterminant pour les années à venir. Ce marché restera le premier marché au monde pour l'aéronautique, l'espace et la défense encore pendant des décennies. EADS a fait des efforts importants pour pénétrer ce marché américain des équipements de défense, et d'aéronautique civile. Le projet de fusionner avec BAE Systems était tout en fait en ligne avec cet objectif, notamment de faire d'EADS un acteur américain sur le marché américain.
Enfin, concernant les enjeux européens, j'ai compris que vous attendiez de moi que je vous donne des avis sur la façon dont on pouvait s'y prendre pour avoir une meilleure coopération en matière de grands programmes d'armement. La période de réductions budgétaires dans laquelle les Etats européens inscrivent leurs politiques appelle un premier commentaire de ma part. C'est le bon moment pour établir des coopérations. Il s'agit de faire « plus », et non pas de faire « moins ». Le second est que le meilleur multilatéral, c'est le bilatéral ou, tout du moins, la coopération entre un nombre limité de partenaires. Les différentes revues internes consacrées à l'A400M ont montré que le manque de coopération structurée et des justes retours ingérables ont généré des problèmes en nombre. Je dois vous dire que je ne détiens pas la formule magique pour réussir une coopération. Néanmoins, EADS a accumulé suffisamment d'expériences, dans ce domaine, qui n'ont pas toutes été des succès, je dois l'admettre. J'en retire quelques enseignements :
Premièrement : pas de juste retour, ni de duplications. Seulement la sélection des meilleurs fournisseurs.
Deuxièmement, les Etats qui s'engagent dans une coopération doivent accepter d'emblée et une fois pour toutes qu'ils créent ainsi des dépendances mutuelles.
Troisièmement, il devrait y avoir un seul maître d'oeuvre industriel, clairement identifié.
Quatrièmement, il doit y avoir, en face de ce maître d'oeuvre un expert étatique fort. Les industriels ne peuvent être efficaces sur un programme en coopération s'ils doivent faire face à plusieurs clients non coordonnés. L'OCCAR est un progrès dans cette direction, mais c'est largement insuffisant. En outre cet opérateur étatique doit inclure l'industrie dès le début du programme. C'est absolument indispensable pour avoir une évaluation réaliste de ce qu'il est possible de faire et à quel coût, à travers un dialogue compétitif. J'en prendrai pour exemple le programme METEOR réalisé par MBDA : le gouvernement britannique a été chef de file du programme pendant que MBDA en était le chef de file industriel.
Les défis face à nous sont importants. Mais nous pouvons les relever dans l'esprit qui a présidé à la signature du Traité de l'Elysée entre la France et l'Allemagne. Depuis cinquante ans, de multiples programmes en coopération ont été réalisés avec succès. Ils ont d'ailleurs favorisé la création d'EADS.
Pour préserver notre industrie, je voudrais encore insister sur deux conditions :
- consolider nos capacités industrielles au niveau européen : ce qui a été réussi avec Airbus et MBDA doit s'appliquer à l'ensemble de l'industrie de défense.
- maintenir des financements publics de R&D à un niveau suffisant pour garder notre avance technologique.
Ces deux conditions sont nécessaires pour préserver les compétences de notre industrie en restant à la pointe de l'innovation et pour nous permettre d'être compétitifs sur les marchés internationaux.
C'est l'enjeu majeur pour l'industrie de défense en France et en Europe, en particulier dans le cadre du Livre Blanc et de la future loi de programmation militaire. Je sais, Monsieur le président et Messieurs les sénateurs, pouvoir compter sur vous.
M. Jean-Louis Carrère, président. - Nous avons été rassurés par ce que vous avez dit sur le Premier ministre britannique, néanmoins c'est quand même un pari risqué. A un moment où l'inquiétude nourrit l'inquiétude, ce n'était peut-être pas la meilleure chose à faire que d'annoncer un referendum sur la sortie du Royaume-Uni de l'Europe. Il faut que le partenariat franco-britannique perdure et prospère. Mais il faut aussi qu'il s'ouvre. Or les Britanniques ne le veulent pas et les Allemands nous reprochent nos liens avec les Britanniques. Les liens sont en train de se tisser, mais cela prend du temps, d'autant que nous avons tous des élections et que, dans le long terme, nous serons tous morts, comme disait Keynes.
M. Daniel Reiner. - Monsieur le président, si nous avons une affection particulière pour EADS, ce n'est pas une question de sentiments ou d'affection, c'est parce que nous pensons de façon raisonnée qu'EADS est un instrument pour la construction de l'Europe de la défense. Vous avez évoqué la nouvelle gouvernance et vous avez également évoqué les effets néfastes du juste retour, ce en quoi nous partageons tout à fait votre appréciation puisque nous avons fait le rapport A400M et avons pu mesurer les dégâts occasionnés par l'application de ce principe. Ma question est simple : est-ce que la nouvelle gouvernance va permettre à la direction d'EADS de s'affranchir de ces pesanteurs nationales lors de programmes en coopération, exercices extrêmement difficiles ? Quand on dit que le juste retour a des inconvénients, nous avons pu en mesurer l'étendue aussi bien en termes calendaires qu'en termes financiers. Deuxième question : l'aviation de combat. Il y a aura un après Rafale et un après Eurofighter. Les Américains ont déjà engagé cet après avec le JSF. Ce JSF va équiper un certain nombre de forces armées européennes et va du reste introduire un biais calendaire important dans le renouvellement des flottes européennes. Comment dans ces conditions envisager le futur de l'aviation de combat européenne ? Était-ce à la base du projet de fusion EADS-BAE ? Je n'imagine pas qu'il y aura plusieurs avions de combat européens. Enfin, les drones. Le Sénat travaille depuis longtemps sur ce sujet. Plusieurs pistes ont été évoquées, notamment celle d'un accord BAE-Dassault sur l'UCAV du futur. Est-ce que le projet de Talarion est définitivement abandonné ? Y aura-t-il une solution alternative ? Peut-on envisager un regroupement des forces ? Alors même qu'on souffre horriblement de ce manque de drones.
M. Jacques Gautier. - Je vous remercie de ne pas avoir utilisé la langue de bois. Comme vous, je me réjouis de voir que la succession à la tête d'EADS s'est faite sans drame et de voir à travers vous un président issu du groupe, contrairement à ce que fait généralement la France lorsqu'elle est actionnaire. Pour être à parité avec l'Allemagne, la France acceptera de limiter sa participation à 12 %. Elle en a 15 % actuellement. Que va-t-il advenir des 3 % restants ? Vont-ils être vendus sur le marché ? Allez-vous les racheter ? Dans ce domaine j'ai bien compris que vous n'étiez pas favorable à l'actionnariat d'Etat et, au moment même où nous recherchons des recettes nouvelles et des économies, il faut peut-être que l'Etat français réfléchisse aux douze milliards d'euros de participations qu'il a dans le capital des entreprises de défense publiques ou privées. Enfin, sur l'A400M, le premier exemplaire devrait être livré fin mai début juin et présenté au Bourget, mais mon inquiétude va au-delà. Nous sommes en train de rédiger le Livre blanc et nous savons déjà que le modèle d'armées qui sera retenu obligera de diminuer de 15 à 25 % l'équipement des forces. Ce qui veut dire qu'on va demander - ce qui est toujours une mauvaise chose - un étalement des livraisons et une réduction des cibles. Est-ce que la DGA a commencé des négociations avec vous ? D'autant que le ministre de la défense a déjà annoncé la commande des MRTT, alors que nous n'avons pas le moindre crédit.
M. Xavier Pintat. - Vous nous avez expliqué que votre entreprise s'apprête à signer pour la première fois avec les Etats un SSA (special security agreement). C'est la façon qu'aura l'Etat de protéger ses intérêts. Dans ces conditions, quel est l'intérêt pour l'Etat de rester au capital ? Pourriez-vous nous détailler le contenu de cet agrément et en particulier quels sont les types de décisions sur lesquelles les Etats auront un veto ? Est-ce que, par exemple, les Etats pourraient s'opposer à un nouveau projet de fusion BAE-EADS, si par extraordinaire cela revenait à l'ordre du jour ? Est-ce que vous pourriez décider de vous désengager unilatéralement de votre participation dans Dassault si vous estimiez que cela ne correspond plus aux intérêts de l'entreprise ? Comment s'effectuent les nominations au Conseil d'administration ? Sur les douze administrateurs du futur conseil d'administration, quatre devront recevoir l'agrément des Etats français et allemand. Ceux-là sont bien connus et leurs noms sont dans la presse. Mais les autres, comment sont-ils choisis ? Pourriez-vous expliciter la stratégie d'EADS en matière spatiale ? Êtes-vous satisfait de l'accord qui est intervenu sur Ariane 6 et Ariane 5 ME. L'année 2013 s'annonce comme une année charnière en matière spatiale, comment voyez-vous les choses ? Quelles seront les conséquences des choix effectués dans le domaine civil pour le militaire spatial français, tant en termes de missiles balistiques que de satellites ?
M. André Vallini. - Une observation tout d'abord. Vous avez fait valoir tout à l'heure le fait que les Américains étaient toujours méfiants à l'égard d'EADS qu'ils soupçonnent d'être une entreprise contrôlée par les Etats. Depuis ce qui s'est passé avec l'échec du projet de fusion, cette suspicion doit valoir au moins autant pour les Allemands que pour les Français. Ma question concerne la part prise par la Chine dans la production d'aéronefs. On connaît leur détermination et nous avons eu leur première réalisation en matière civile au travers des avions Comac. Il semblerait qu'ils s'essayent également en matière de transport militaire, puisque le prototype du Y-20 « Kupeng » avion à mi-chemin entre le C17 américain et l'A400M a volé le 26 janvier 2013. Qu'en pensez-vous ? Comment voyez-vous arriver ce concurrent, avec sérénité ou inquiétude ?
M. Tom Enders.- Je souhaiterais commencer par la question sur le futur de l'aviation de combat en Europe. C'est une des questions les plus importantes pour nous. Pour l'instant, les armées de l'air sont bien équipées, avec les Eurofighter et les Rafale et cela sera encore le cas pendant de longues années. Les Américains ont eu beaucoup de difficultés dans la mise au point du JSF, ce qui montre bien qu'en matière d'aéronautique militaire, nous sommes sur des technologies de pointe et que les difficultés font partie du métier. Quoi qu'il en soit les Américains arriveront à surmonter ces difficultés. Or nous n'avons aucun projet d'avion de combat pour les forces européennes dans les vingt prochaines années. Dans ces conditions, la question qui se pose à moi est de savoir comment je maintiens les compétences de mes bureaux d'études. Ce n'est pas une simple question de salaires. Même si je payais mes ingénieurs à ne rien faire, en l'absence de défis, en l'absence de projets, ils iraient voir ailleurs. On ne peut pas les ligoter à leur bureau. D'où l'importance des drones. Le Harfang a été un projet très difficile à mener et très coûteux. Il été difficile en particulier de travailler avec les industriels israéliens. Mais nous en avons néanmoins retiré beaucoup d'expérience. Nous avons fait de même avec le système Global Hawk américains. Votre gouvernement va peut-être se décider pour la solution du Reaper. Nous avons fait savoir au gouvernement français que nous étions intéressés par la francisation de ce drone. Et bien sûr nous sommes toujours intéressés par un éventuel projet de drone MALE européen. Mais nous avons bien compris que c'est très compliqué. Quand les Allemands ont l'argent pour le faire, les Français ne veulent pas et quand les Français veulent, les Allemands reculent. L'avenir de l'aviation de combat passe probablement par des avions sans pilote. Nous devons absolument nous mobiliser sur des projets car sinon l'avenir de l'Europe dans l'aviation de combat sera nul. Nous perdrons les compétences. Il y a un besoin criant d'ingénieurs dans l'aéronautique civile, nous n'allons pas garder les ingénieurs à travailler sur des projets de défense qui ne verront jamais le jour.
Est-ce que la nouvelle gouvernance permettra d'éviter des situations où le respect du principe du juste retour entrave la bonne réalisation d'un programme tel que l'A400M ? J'ai bien peur que non. Les gouvernements continueront à faire pression sur les entreprises pour avoir du retour industriel dans leur pays, dans leur région, et c'est à nous industriels de voir si on peut accepter ça ou si on doit négocier. Avec le recul je vois que cela nous fait courir des risques et nous faire perdre de l'argent. Au moment de la signature du contrat, nous savions que nous aurions des difficultés à respecter les coûts et le calendrier, mais ce programme représentait une opportunité extraordinaire pour que l'Europe reste dans l'aviation de transport militaire aéronautique. Sinon il n'y aurait pas eu de successeur au Transall. Mais on ne peut pas empêcher l'intervention des Etats par une nouvelle gouvernance. Du reste cela existe aussi aux Etats-Unis. Il faut que ce jeu reste équilibré. Ce n'est pas à la DGA, ce n'est pas aux Etats de mettre la pression maximale pour imposer des conditions irréalistes aux industriels et nous ne nous rendons pas service à nous-mêmes en acceptant de tels contrats.
Je n'ai pas de commentaire à faire sur ce que décidera le gouvernement français des 3 % de participation restants. Sur les douze milliards d'euros immobilisés dans le capital des entreprises de défense, je suis d'accord avec vous. Si vous sortez cet argent du capital des entreprises et que vous l'investissez dans la recherche et le développement alors vous aurez fait énormément pour la compétitivité des entreprises françaises. Mais je ne sous-estime pas les difficultés politiques et ne souhaite pas faire davantage de commentaires.
Pour ce qui est de l'A400M, ce programme est déjà déficitaire pour nous. Nous avons perdu beaucoup d'argent. Vous vous souvenez de la crise de 2009. Pour le futur on peut nous demander la flexibilité et nous ferons ce que nous pouvons. Mais il nous faut aussi de la stabilité. On ne peut pas modifier le calendrier de cette année et de l'année prochaine et remettre en cause la livraison d'appareils qui sont en passe de sortir des chaînes de production. Un tel étalement serait générateur de pertes supplémentaires : si chaque nation demande à nouveau à négocier, vous mettrez EADS et ses sous-traitants en grande difficulté
M. Marwan Lahoud, directeur général délégué d'EADS.- Nous n'avons pas été approchés pour l'instant car l'exercice de révision stratégique est très confiné au sein de l'Etat. Mais quoi qu'il en soit, la visibilité est essentielle pour nous : on ne peut pas avoir des stop and go en permanence. Le ministre a indiqué clairement que les livraisons de 2013 et 2014 seraient préservées. J'ai tendance à le croire. Sur le MRTT, tous les jours en opération, le besoin d'avion ravitailleur se fait sentir. La question n'est du reste pas celle du nombre : quatorze, neuf, dix, il y a beaucoup de discussions autour de ce chiffre, mais c'est avant tout une question de capacité pour les forces. Sur les 3 % de la participation, techniquement, le gouvernement français a plusieurs options. Il peut les « loger » dans une fondation, et ne pas exercer les droits de vote. Il peut les vendre, soit sur les marchés, soit dans le cadre du rachat d'actions que nous allons lancer après accord de notre Assemblée générale. Ce qui est sûr, parce qu'il s'y est engagé, c'est qu'à l'issue du processus l'Etat français n'aura plus que 12 % des droits de vote.
M. Tom Enders, président exécutif d'EADS.- Sur la question de savoir si, compte tenu du SSA, l'Etat a intérêt à rester au capital de l'entreprise, c'est une bonne question. Les Britanniques n'ont jamais déclaré qu'il était important pour eux de détenir autant d'actions que les Français ; ils n'en détiennent pas d'ailleurs ! J'ai essayé, sans succès, de convaincre le gouvernement allemand que le SSA était une excellente chose pour eux car, pour la première fois, il aura des droits sur la société, sans avoir à payer des milliards d'euros pour acquérir 12 % du capital. Pour les pays continentaux, les perceptions sont différentes. L'Etat a semble-t-il besoin de posséder ces actions. Il n'y a pas si longtemps, l'Etat français détenait 100 % du capital de Thales, d'Aérospatiale et de Thomson. C'est un long chemin avec sa part d'émotionnel et nous le comprenons tout à fait.
Est-ce que les Etats seraient encore en mesure d'émettre un veto au projet EADS-BAE ? La réponse est théoriquement oui. Mais il ne faut pas envisager cette question de façon dogmatique. Supposons que Lockheed-Martin veuille fusionner avec Boeing, croyez-vous que son président ne demanderait pas l'avis du Pentagone ? Bien sûr que oui. Le contraire serait inimaginable. Et si le Pentagone manifestait son désaccord, croyez-vous que le président de Lockheed-Martin irait à l'encontre ? J'en doute fort, compte tenu de l'importance du gouvernement américain en tant que client. Donc, sur le fond, cela ne change rien pour EADS : cette influence subsistera. Si nous avons à l'avenir un projet de la même importance que la fusion avec BAE, nous prendrons l'avis des gouvernements. Et cela donne la garantie aux gouvernements que l'entreprise ne fera pas cavalier seul, sans considération des intérêts des Etats dont nous mesurons bien l'importance pour EADS. S'agissant du comité des nominations, un nouveau conseil d'administration sera élu à la fin mars. Ce nouveau conseil élira en son sein un comité d'audit et un comité des rémunérations et des nominations. Ce sont les membres du conseil d'administration qui décident. La composante allemande et française n'est pas pertinente. Nous avons proposé au gouvernement français les noms des deux administrateurs du groupe EADS, qui ont été acceptés. Nous avons fait de même vis-à-vis du gouvernement allemand. Nous avons donc deux membres du conseil d'administration approuvés par le gouvernement français et deux membres d'administration approuvés par le gouvernement allemand.
La concurrence des Chinois : leur avion est très similaire à l'A400M, mais cela ne veut pas dire qu'ils se sont inspirés de nos technologies. Ils ne disposent pas de turbopropulseurs, mais de moteurs à réaction de conception dépassée. Le développement des moteurs en Chine est très en retard par rapport à ce qui est à la pointe du progrès en Europe. Mais nous ne devons pas nous reposer sur nos lauriers. Les Chinois apprennent très vite. Du reste, ce qui est inquiétant ce sont les conditions financières très intéressantes qu'ils proposeront pour leurs avions, pas la qualité. Nous devons donc prendre les Chinois au sérieux. La seule chose qui puisse nous sauver c'est l'innovation. C'est pour cela qu'il ne faut pas supprimer les études amont et le capital d'amorçage. Nous n'attendons pas tout de la manne de l'Etat. Nous consacrons trois milliards d'euros chaque année à la recherche et développement. Mais nous ne pouvons pas tout faire tout seuls. Les entreprises américaines bénéficient d'une manne étatique en matière de défense.
M. Joël Guerriau. - Il semblerait qu'il y ait un rapprochement dans le domaine des hélicoptères entre l'italien Agusta et le brésilien Embraer, est-ce que cela vous inquiète ?
M. Jean-Marie Bockel. - Votre groupe est très engagé dans le cyber. Il y a dans les années à venir des perspectives formidables. Est-ce que vous avez une politique d'alliance, à deux, à trois ou à plusieurs, face à ces Chinois qu'il faut prendre au sérieux ?
M. Robert del Picchia. - Il y a un an, les ministres de la défense de la France et de l'Allemagne signaient un document par lequel ils s'engageaient à coopérer davantage, à étendre les capacités, etc.... Très bien. Et puis quelques mois après, il y avait un accord d'exportation français bloqué par les Allemands. Est-ce que dans l'attente d'un nouvel accord franco-allemand, on ne peut pas continuer la coopération avec les Britanniques ?
Mme Kalliopi Ango Ela. - Merci de nous avoir présenté la nouvelle gouvernance de l'entreprise. Je vous en remercie. Vous nous avez également dit qu'il fallait que les entreprises s'adaptent en permanence. Ma question est simple, où en êtes-vous de la représentativité des femmes, car quand je regarde votre structure managériale je suis surpris par la masculinité des cadres.
Mme Nathalie Goulet. - Quel est le nombre d'emplois en France d'EADS et comment, à part soutenir le budget de la défense, pouvons-nous en tant que législateurs soutenir l'effort de votre entreprise en matière de recherche et développement ?
M. Tom Enders, président exécutif d'EADS.- Pour ce qui concerne l'emploi en France, il y a aujourd'hui 54 000 employés d'EADS en France. Soit une progression de 20 % depuis 10 ans. Nous sommes le troisième employeur, avec EDF, et Mac Donald's. Cela est dû à la croissance de nos résultats commerciaux et de notre rentabilité. Pour ce qui est du coût du travail -je ne parle pas des salaires directs- mais des charges sociales, si celles-ci continuent à augmenter cela va nous poser un problème dans nos embauches en France. Le coût du travail en Europe conjugué au coût de l'énergie, comparé aux Etats-Unis, sont des données importantes. Nous sommes une grande entreprise parce que nous sommes sur le marché mondial et pour être sur ce marché, nous devons être compétitifs.
Pour ce qui est du cyber, nous avons une petite activité basée en France et en Angleterre pour l'essentiel et des personnes très compétentes. Ce qui m'inquiète est que notre groupe est constamment attaqué par des cybers pirates. C'est pour cela que nous coopérons avec les gouvernements, les agences et les services européens. Nous mettons pour l'instant l'accent sur la protection de notre entreprise, tout en commercialisant ces compétences. C'est une guerre de tous les jours, menée par des personnes que nous commençons à identifier. Nous devons absolument gagner cette guerre, car si nous la perdons nous perdrons notre compétitivité.
Les relations franco-germaniques sont difficiles, j'en suis conscient. EADS, troisième entreprise de défense britannique, est très ouverte à la coopération franco-britannique. Dites à vos collègues allemands mais aussi britanniques que nous sommes ouverts à toute initiative
Sur la parité, il y a quelques années nous avons commencé à cibler un quota de femmes dans l'entreprise : 20 à 25 %. C'est difficile Le problème est de maintenir nos collègues féminines après un certain nombre d'années. En général, elles quittent l'entreprise en cours de carrière, en fonction des projets personnels. Ce sera un processus qui demandera du temps : je ne pense pas que ce serait rendre un service aux femmes que de les placer à des postes où elles ne seraient pas prêtes. Anne Lauvergeon sera au conseil. J'aurais aimé qu'il y ait deux femmes au conseil d'administration, ce qui ne sera malheureusement pas le cas. Du reste, ma réaction n'est pas émotive mais économique : on ne peut tout simplement pas se priver d'un réservoir de talents aussi importants. Je suis très encouragé par ce que j'ai vu en Espagne. Il y a dix ans nous n'avions que très peu de femmes qui travaillaient pour nous dans ce pays. Aujourd'hui elles sont très nombreuses et très performantes.
M. Jean-Louis Carrère, président.- Y-a-t-il un risque pour EADS du réexamen des règles d'exportation ITAR ?
M. Marwan Lahoud.- Nous avons fait le choix de ne pas être, notamment dans le domaine de l'espace, « ITAR-free », c'est-à-dire que nous avons fait le choix de respecter les règles d'exportation américaines, comme tout bon citoyen américain. Ce choix nous a forcés à renoncer à certains marchés, comme le marché chinois. Mais en contrepartie cela nous donne accès au marché américain. C'est un choix.
Forum transatlantique organisé par l'Assemblée parlementaire de l'OTAN - Communication
La commission entend le compte rendu de M. Daniel Reiner, Mme Nathalie Goulet et M. Xavier Pintat sur le Forum transatlantique organisé par l'Assemblée parlementaire de l'OTAN, les 10 et 11 décembre 2012 à Washington.
M. Daniel Reiner. - Les 10 et 11 décembre derniers, nous nous sommes rendus, avec nos collègues Mme Nathalie Goulet et M. Xavier Pintat, à Washington, pour participer au Forum transatlantique.
Institué en 2001, afin de rapprocher les points de vue et éviter l'apparition de divergences ou d'incompréhensions dans les relations transatlantiques, le Forum transatlantique se tient chaque année, généralement en décembre, à Washington.
Organisé par l'Assemblée parlementaire de l'OTAN, en coopération avec le Conseil de l'Atlantique des Etats-Unis et la National Defense University, il permet aux parlementaires des pays membres de l'OTAN de débattre avec les parlementaires du Congrès et des représentants de l'administration des Etats-Unis, mais aussi avec des experts de think tanks américains, de toutes les questions concernant l'Alliance atlantique. Ces rencontres constituent donc un moment privilégié pour confronter et rapprocher les points de vue des deux côtés de l'Atlantique. Elles représentent aussi une importante source d'information sur la perception américaine, les débats au sein de la classe politique et parmi les experts, ainsi que sur les priorités de la politique étrangère des Etats-Unis à l'égard de l'OTAN et, plus généralement, sur les grands dossiers internationaux.
Lors du dernier Forum, près d'une centaine de parlementaires originaires de 22 pays de l'OTAN étaient présents. Outre la délégation du Sénat, la France était représentée par nos collègues députés Mmes Nicole Ameline et Patricia Adam, MM. Guy Chauveau, Francis Hillmeyer, Jean-Marie Le Guen, Michel Lefait, Pierre Lellouche, Jean-Luc Reitzer et Philippe Vitel.
Après une présentation des priorités du deuxième mandat du Président Barack Obama en matière de politique étrangère par plusieurs hauts responsables américains, nous avons eu des échanges sur la politique étrangère américaine et les relations transatlantiques lors de plusieurs tables rondes avec des représentants de l'administration et des experts américains.
Nous avons ainsi évoqué la nouvelle stratégie américaine de « pivot » vers la zone Asie-Pacifique, et ses conséquences sur les relations transatlantiques, les défis de la politique américaine au Moyen-Orient, notamment à l'égard de la Syrie, de l'Iran ou du processus de paix israélo-palestinien, le dialogue avec la Russie ou encore l'Afghanistan.
Nous avons également assisté à des présentations très intéressantes sur l'évolution des dépenses de défense aux Etats-Unis et ses conséquences pour les relations transatlantiques et l'OTAN. Une table ronde a aussi été organisée sur les opinions publiques des deux côtés de l'Atlantique.
Enfin, au cours de notre séjour, l'ensemble de la délégation française a été reçue lors d'un dîner à la résidence de l'ambassadeur de France à Washington, Son Exc. M. François Delattre, au cours duquel nous avons pu échanger sur la politique étrangère américaine et les relations avec la France.
Que faut-il retenir de ces échanges particulièrement denses ?
Je m'en tiendrai essentiellement aux priorités américaines en matière de politique étrangère, en laissant mes collègues évoquer les autres sujets.
Nous avons eu la confirmation, lors de ce Forum transatlantique, de la nouvelle stratégie américaine de « pivot » vers la zone Asie-Pacifique et donc d'un certain désengagement américain de l'Europe.
Comme l'illustre la faible place accordée à la politique étrangère dans le discours sur l'état de l'Union, prononcé par le Président Obama la semaine dernière devant le Congrès, et après les coûteuses opérations en Irak et en Afghanistan, on peut penser que le deuxième mandat du Président Obama sera surtout concentré sur la situation intérieure, en particulier la reprise de la croissance économique et la lutte contre les déficits aux Etats-Unis.
Dans l'esprit de nos partenaires américains, il est clair que l'Europe n'apparaît plus aujourd'hui comme une priorité du point de vue de la sécurité, mais que leur principale préoccupation se porte désormais sur la montée en puissance de la Chine, qui apparaît désormais comme un rival potentiel et une menace, en particulier dans le Pacifique et en Asie.
Dans un contexte marqué par la forte réduction du budget de la défense aux Etats-Unis dans les dix prochaines années (on parle d'une réduction de l'ordre de 500 à 1 000 milliards de dollars), pour enrayer le déficit abyssal du budget, et au regard de l'expérience des interventions en Irak et en Afghanistan, les Etats-Unis estiment qu'ils n'auront plus les moyens d'assumer seuls à l'avenir la sécurité de l'ensemble de leurs alliés.
Dans la lignée des discours des anciens secrétaires d'Etat à la défense Robert Gates et Leon Panetta, les Etats-Unis considèrent que les Européens doivent prendre davantage leurs responsabilités pour assurer leur propre sécurité et « partager le fardeau ». Ils estiment que la sécurité de l'Europe et de son proche voisinage, notamment au Sud de la méditerranée, doit reposer principalement sur les Européens.
Cela ne signifie pas pour autant que les Etats-Unis vont abandonner du jour au lendemain leurs alliés européens, qui demeurent leurs plus proches alliés, et que la garantie de l'article 5 du traité de l'Atlantique Nord sera moins effective à l'avenir. Simplement, les Etats-Unis ne sont plus disposés aujourd'hui à assumer seuls le coût financier et humain de la sécurité de l'Europe.
C'est le sens du « leadership from behind » évoqué par le Président Barack Obama lors de l'intervention de l'OTAN en Libye, où, pour la première fois, les Etats-Unis sont restés en retrait d'une opération militaire de l'OTAN, tout en apportant un soutien indispensable aux pays participants, ou de l'attitude américaine à l'égard du Mali et du Sahel.
Cette nouvelle attitude des Etats-Unis suscite de fortes inquiétudes chez la plupart de nos partenaires européens, en particulier des pays baltes ou d'Europe centrale et orientale, pour lesquels l'Alliance atlantique et les Etats-Unis restent la meilleure garantie de leur sécurité, notamment à l'égard de la Russie.
Elle constitue toutefois une réelle opportunité pour l'émergence, sinon d'une défense européenne, du moins d'un « pôle européen » au sein de l'Alliance atlantique, dont nous avons pu voir les prémices en Libye. D'ailleurs, comme nous l'a confirmé notre ambassadeur à Washington, les relations entre les Etats-Unis et la France sont excellentes et la nomination du francophone John Kerry à la tête de la diplomatie américaine est une bonne nouvelle.
Lors du Forum transatlantique, je suis d'ailleurs intervenu pour plaider en ce sens auprès de mes collègues et défendre l'idée d'un rééquilibrage entre Européens et Américains au sein de l'Alliance, en appelant les Européens à ne pas relâcher leur effort en matière de défense, mais à développer la coopération, sur le modèle de la coopération franco-britannique ou du « triangle de Weimar ». J'ai aussi souligné tout l'intérêt de renforcer la politique de sécurité et de défense commune et les liens entre l'OTAN et l'Union européenne.
Toutefois, dans un contexte marqué par la forte diminution des budgets de la défense chez la plupart de nos partenaires européens, d'une lassitude des opinions publiques et d'un refus de s'engager militairement chez certains de nos partenaires européens, comme on a pu le constater au Sahel, il n'est pas certain que les Européens soient aujourd'hui disposés à saisir cette opportunité et à consacrer davantage d'efforts pour assurer leur propre sécurité.
Voilà les quelques enseignements que je retire de ce Forum, mais mes collègues auront certainement d'autres éléments à ajouter.
M. Xavier Pintat. - Je voudrais compléter les propos de mon collègue Daniel Reiner en évoquant trois sujets.
L'évolution de l'effort de défense aux Etats-Unis, tout d'abord, et ses conséquences sur l'OTAN et les relations transatlantiques.
Je rappelle que le budget de la défense des Etats-Unis représente aujourd'hui, avec plus de 700 milliards de dollars, 4,7 % du PIB, 19 % du budget fédéral et près de la moitié des dépenses militaires mondiales.
Ce budget a considérablement augmenté depuis 2001 en raison notamment de l'engagement américain en Irak et en Afghanistan.
Compte tenu de la nécessité de réduire le déficit budgétaire, les autorités américaines ont déjà prévu une réduction importante, de près de 500 milliards de dollars, du budget de la défense sur les dix prochaines années.
Au moment de notre séjour à Washington, début décembre, l'attention de l'ensemble des responsables américains était focalisée sur la « falaise fiscale ».
Pour faire fasse aux déficits abyssaux (les Etats-Unis ont une dette publique de 15 000 milliards de dollars, soit 105 % du PIB, un déficit budgétaire de 1 300 milliards et un déficit commercial de 500 milliards de dollars), un accord passé en 2011 entre démocrates et républicains au Congrès prévoyait qu'en l'absence de plan d'envergure pour résorber la dette publique, 1 000 milliards de dollars de dépenses publiques supplémentaires, dites "de séquestre", seraient annulées d'autorité. Ces coupes auraient affecté pour moitié les dépenses de la défense (soit une réduction supplémentaire de 500 milliards).
En définitive, un accord provisoire a été obtenu à l'arrachée entre démocrates et républicains, dans la nuit du 31 décembre au 1er janvier, prévoyant des hausses d'impôts et des coupes supplémentaires, mais qui ne règle pas définitivement la question.
Cette réduction importante de l'effort de défense (entre 500 et 1 000 milliards de dollars sur les dix prochaines années) aux Etats-Unis devrait porter à la fois sur les personnels (les forces américaines comptent 1,4 million d'hommes auxquels s'ajoutent 1,2 million de réservistes), les équipements et le soutien (par exemple le système de santé) et les opérations.
En revanche, certains domaines devraient faire l'objet d'un renforcement, notamment le renseignement, les forces spéciales, le cyber ou encore les drones, où les Etats-Unis consacrent déjà des moyens considérables.
On voit bien qu'à l'avenir, après l'expérience douloureuse des interventions en Irak et en Afghanistan, les Etats-Unis privilégieront d'autres formes d'interventions, comme les frappes à distance à l'aide de drones.
Quel sera l'impact de cette réduction sur l'OTAN ?
D'ores et déjà, les autorités américaines ont annoncé la suppression de deux brigades (sur quatre) stationnées en Europe et on évoque une réduction des armes nucléaires tactiques. En revanche, les Etats-Unis devraient déployer de nouveaux moyens dans le cadre du système de défense anti-missiles de l'OTAN.
Concernant l'Afghanistan, qui a occupé une place importante lors du Forum, lors de son discours sur l'état de l'Union, le Président Barack Obama a annoncé la réduction de moitié du contingent américain en Afghanistan (qui passerait de 68 000 à 34 000 hommes) d'ici la fin de l'année 2013.
Pour l'après 2014, plusieurs options ont été présentées lors du Forum, allant de 0 soldat (à l'image de l'Irak), hypothèse envisagée si les Etats-Unis n'obtiennent pas des autorités afghanes une immunité de juridiction pour leurs soldats, à 30 000, l'hypothèse la plus vraisemblable se situant autour de 10 000.
Les Etats-Unis attendent un soutien des pays de l'OTAN pour l'après 2014 en Afghanistan (notamment le financement des forces de sécurité afghanes).
Enfin, le dernier sujet que je voulais évoquer concerne les relations avec la Russie.
Le premier mandat du Président Barack Obama avait été marqué par une volonté de renforcer les relations avec la Russie (le « reset » ou nouveau départ). Toutefois, malgré certains progrès, notamment l'entrée de la Russie à l'OMC et la coopération sur l'Afghanistan, cette politique d'ouverture à l'égard de la Russie n'a pas donné les résultats escomptés et les désaccords se sont multipliés, qu'il s'agisse de la Syrie, du système de défense anti-missiles de l'OTAN ou encore de la situation en matière de démocratie et des droits de l'homme en Russie, avec notamment le vote par le Congrès américain de la « loi Magnitsky », du nom d'un avocat américano-russe mort en détention en Russie.
Les relations sont si tendues qu'on évoque à Washington un climat de nouvelle « guerre froide » même si cela peut nous sembler très exagéré.
Le Président américain a toutefois annoncé récemment son intention de négocier avec la Russie une réduction supplémentaire de l'arsenal nucléaire des deux pays, après le traité START de 2010.
Mme Nathalie Goulet. - Je souhaiterais, pour ma part, concentrer mon propos sur l'approche américaine vis-à-vis du Moyen Orient, notamment vis-à-vis de l'Iran, de la Syrie et du conflit israélo-palestinien.
Le Moyen-Orient, et en particulier le règlement du conflit israélo-palestinien, était, on s'en souvient, l'une des premières priorités du premier mandat du Président Barack Obama.
Or, après l'espoir suscité par le discours du Caire de 2009, il est peu de dire que, malgré ses efforts, la diplomatie américaine a enregistré une série d'échecs ou de déceptions.
Ainsi, l'espoir suscité par le « printemps arabe » et les révoltes populaires en Tunisie, en Egypte et en Libye, l'arrivée des islamistes au pouvoir à la faveur des élections qui ont suivi ces révolutions, a été perçue à Washington comme une déception devant cet « hiver islamiste ».
De même, la politique d'ouverture et de dialogue engagée avec l'Iran au sujet du dossier du nucléaire militaire n'a pas donné les résultats escomptés, même si la voie diplomatique et des sanctions devrait rester privilégiée par la nouvelle administration présidentielle.
L'expérience désastreuse des interventions en Irak et en Afghanistan explique également la prudence des responsables américains.
Enfin, confrontés à l'intransigeance du Premier ministre israélien et à la poursuite de la colonisation en Cisjordanie, ainsi qu'à la division des palestiniens, le processus de paix israélo-palestinien apparaît durablement bloqué.
Face à cette situation, d'après les experts, il est peu probable que le Président Barack Obama prenne le risque de s'investir à nouveau sur ce dossier au cours de son deuxième mandat.
A cet égard, nous sommes bien loin du discours très allant des responsables américains sous la présidence de George W. Bush, il y a quatre ans, sur le Moyen-Orient.
Nous avons notamment entendu un ancien conseiller de la Maison Blanche pour le Moyen-Orient, qui s'est montré très critique sur l'absence de véritable vision et stratégie américaine à l'égard du Moyen-Orient sous l'actuelle administration présidentielle américaine.
A cet égard, lorsque j'ai interrogé les responsables américains sur le soutien américain à Israël, il m'a été confirmé que les Etats-Unis apportaient une aide militaire considérable, de l'ordre de 3 à 4 milliards de dollars par an.
Outre le lobby pro-israélien exercé par des associations comme l'AIPAC auprès de parlementaires américains, on trouve aussi les chrétiens fondamentalistes qui soutiennent sans réserve la politique de colonisation.
On sous-estime aussi en Europe les conséquences géopolitiques de la révolution du gaz de schiste. Grâce à l'exploitation du gaz de schiste, les Etats-Unis devraient passer du statut d'importateur à celui d'exportateur d'énergie, ce qui devrait bouleverser leur dépendance énergétique vis-à-vis du Moyen-Orient. Le « pivot vers l'Asie » pourrait d'ailleurs s'interpréter davantage comme un désengagement du Moyen-Orient que de l'Europe.
Lors du Forum transatlantique, une large place a été consacrée à l'évolution de la situation en Syrie. L'ambassadeur américain, M. Robert Ford, a présenté la situation particulièrement dramatique en Syrie, qui aurait fait plus de 70 000 morts en deux ans d'après les Nations unies.
Malgré cette tragédie, il est toutefois peu probable que les Etats-Unis interviennent militairement en Syrie, en raison notamment de l'opposition de la Russie et de la Chine au Conseil de sécurité des Nations unies.
Ainsi, en dépit de la demande en ce sens de Hillary Clinton et de Léon Panetta, le Président Barack Obama aurait refusé de livrer des armes à la rébellion syrienne, de crainte que ces armes ne tombent un jour aux mains de mouvements islamistes.
La question de l'attitude à adopter à l'égard de l'Iran fait aussi l'objet de nombreux débats aux Etats-Unis, comme nous avons pu le constater lors du Forum.
Si les responsables américains demeurent fortement préoccupés par la menace que représente, à leurs yeux, le développement du programme nucléaire iranien, l'attitude à adopter à l'égard de l'Iran ne fait pas l'objet d'un accord mais suscite au contraire de nombreuses discussions parmi les experts, et même au sein de l'administration présidentielle.
La plupart des responsables ou des experts américains s'accordent à considérer qu'une éventuelle intervention militaire préventive israélienne serait désastreuse, puisqu'elle ne parviendrait sans doute pas à détruire entièrement l'ensemble des installations et qu'elle ne réussirait donc pas à interrompre durablement le développement de ce programme.
Il est aussi évident qu'une telle intervention consoliderait le pouvoir en place, qu'elle renforcerait les extrémistes et qu'elle provoquerait des répercussions dans toute la région, notamment au Liban ou dans le Golfe.
Toutefois, on trouve aussi, notamment dans le camp républicain, d'ardents partisans d'une intervention militaire préventive.
Dans le même temps, tout le monde s'accorde à reconnaître que la politique d'ouverture vis-à-vis de l'Iran, qui a été tentée par Barack Obama au début de son mandat, ne s'est pas traduite par des avancées.
Entre ces deux extrêmes, on trouve toute une panoplie d'opinions concernant l'attitude à adopter à l'égard de l'Iran. Certains prônent un renforcement des sanctions, notamment à l'égard des hydrocarbures. D'autres souhaitent adopter une attitude plus conciliante, en s'en tenant aux sanctions actuelles, voire même en pratiquant une politique de « main tendue », ce qui pourrait aussi apporter des avantages par exemple dans le cadre de la transition en Afghanistan.
En définitive, si les responsables américains s'accordent sur l'idée que le développement du programme nucléaire iranien représente une grave menace pour la sécurité internationale, ils ne sont pas d'accord entre eux sur la réponse à apporter à cette menace et sur l'attitude à adopter à l'égard de l'Iran.
A la suite de ces présentations, un débat s'est engagé au sein de la commission.
M. Jean-Claude Peyronnet. - Dans quelle mesure la révolution du gaz de schiste a-t-elle une influence sur la politique étrangère des Etats-Unis, notamment à l'égard du Proche et du Moyen-Orient ? Les Etats-Unis ayant aujourd'hui acquis une autosuffisance énergétique, et pouvant même devenir demain une puissance exportatrice d'énergie, ne seront-ils pas enclins à se désengager progressivement de cette région, notamment au profit de la zone Asie-Pacifique ? Quelles seraient alors les conséquences géopolitiques pour l'Europe, qui reste, quant à elle, fortement dépendante du Proche et du Moyen-Orient pour son approvisionnement en gaz et en pétrole ?
M. Daniel Reiner. - Il me semble qu'il convient de relativiser cette crainte. En effet, comme nous l'ont affirmé les responsables américains, y compris lors de notre déplacement à Bahreïn au commandement de la Ve flotte américaine, les Etats-Unis n'entendent pas se désengager du Proche et du Moyen-Orient et conservent des capacités militaires importantes dans cette région. Plusieurs facteurs contribuent à faire de cette région une priorité stratégique de la politique étrangère américaine. Il y a d'abord le soutien à Israël, qui reste un partenaire de premier plan pour les Etats-Unis. Il y a ensuite la menace que représente le programme nucléaire militaire de l'Iran. Il ne faut pas non plus négliger l'importance de cette région en ce qui concerne les routes commerciales maritimes en provenance de l'Asie.
Déplacement de la commission de la défense et de la sécurité de l'Assemblée parlementaire de l'OTAN, à Bahreïn et au Qatar - Communication
La commission entend le compte rendu de MM. Daniel Reiner et Xavier Pintat sur le déplacement de la commission de la défense et de la sécurité de l'Assemblée parlementaire de l'OTAN, à Bahreïn et au Qatar du 20 au 25 janvier 2013.
M. Daniel Reiner. - Avec mon collègue M. Xavier Pintat, ainsi que nos collègues députés M. Gilbert Le Bris et Mme Nicole Ameline, nous avons participé au déplacement de la commission de la défense et de la sécurité de l'Assemblée parlementaire de l'OTAN, au Bahreïn du 20 au 22 janvier, puis au Qatar du 22 au 24 janvier.
Notre délégation était conduite par Sir John Stanley, ancien ministre de la défense britannique, et composée de 23 parlementaires issus de 12 pays.
Je vous présenterai d'abord le compte rendu de notre visite au Bahreïn, avant de laisser la parole à M. Xavier Pintat, qui vous présentera le compte rendu de notre séjour au Qatar.
Avec une superficie de 711 km², équivalente à celle de Singapour, comprenant 33 îles dans le Golfe persique, le Bahreïn est le plus petit des pays arabes.
Ancien Protectorat britannique, indépendant depuis le 15 août 1971, l'Emirat est devenu un Royaume le 14 février 2002. Il est placé sous l'autorité du Roi Hamad bin Issa Al Khalifa, lequel a succédé à son père le 6 mars 1999.
Le Gouvernement est, quant à lui, dirigé par Cheikh Khalifa bin Salman Al Khalifa, oncle du Roi et Premier ministre depuis 1971. Le Prince héritier, Cheikh Salman bin Hamad Al Khalifa, exerce depuis 1999 les fonctions de commandant en chef des forces armées et porte le titre de « Commandant suprême adjoint des forces armées » depuis janvier 2007. Il préside par ailleurs le Bureau du Développement Economique (BDE) du Bahreïn.
Le Bahreïn, qui compte 1,2 million d'habitants, dont presque la moitié de nationaux (530 000), connaît depuis février 2011 une crise politique sur fond de tensions confessionnelles.
La communauté chiite, majoritaire à 70 %, exige de la dynastie sunnite au pouvoir des réformes politiques et la fin des discriminations dont elle s'estime victime.
Entre le 1er février et le 14 mars 2011, jusqu'à 150 000 manifestants se sont mobilisés, en majorité chiites, pour demander l'instauration d'une monarchie constitutionnelle et la fin des discriminations.
A partir du 14 mars, à la suite de violents incidents survenus dans le centre ville de la capitale, Manama, les autorités ont décidé de réprimer sans concession les mouvements de foule : l'état d'urgence a alors été décrété et le gouvernement a ordonné la destruction du monument de la place de la Perle, symbole de la contestation.
Le 15 mars, le Bahreïn a reçu des renforts militaires des pays du Conseil de coopération des Etats arabes du Golfe (CCEAG), d'Arabie Saoudite et des Emirats arabes unis, et a mené une vaste campagne d'arrestations.
Si, à partir de l'été 2011, l'état d'urgence a été levé et qu'un « dialogue national » a été officiellement ouvert, la situation reste tendue et de nombreuses ONG ont constaté des violations des droits de l'homme.
Moins richement doté en hydrocarbures que ses voisins du Golfe, le Bahreïn affiche un PIB par habitant de 27 000 dollars (à comparer avec les 100 000 dollars du Qatar).
Le Bahreïn entretient enfin une relation très privilégiée avec les Etats-Unis, en accueillant le commandement de la Ve flotte et le Commandement central des Forces navales américaines, ainsi qu'avec le Royaume-Uni.
Lors de son séjour au Bahreïn, notre délégation a d'abord rencontré le maréchal Cheikh Khalifa bin Ahmed Al-Khalifa, commandant en chef des Forces de défense du Bahreïn, et le lieutenant-général Cheikh Mohamed Bin Abdulla Al-Khalifa, ministre d'Etat chargé des affaires de défense.
Notre entretien a porté sur les forces de défense du Bahreïn, notamment la défense antimissile, avec des questions sur le recrutement des personnels, les différentes appartenances religieuses de Bahreïnis et la place des femmes.
L'entretien a aussi donné lieu à un examen des relations avec les pays de l'OTAN, dont la Turquie, et à un tour d'horizon de la situation régionale, abordant les relations avec les pays voisins, notamment l'Iran, l'importance de la coopération dans le cadre du Conseil de coopération du Golfe, l'Irak, la Syrie ainsi que les menaces, parmi lesquelles le risque de minage du Golfe persique et du détroit d'Ormuz, ainsi que la lutte contre le terrorisme et contre la piraterie.
Des échanges sont aussi intervenus sur les événements du début de l'année 2012 à Bahreïn et le rôle des forces de sécurité.
Notre délégation a également rencontré, au QG de la Vème flotte américaine, le Commandement interarmées des forces maritimes combinées (CMF), commandée par le Vice-amiral John Miller, commandant de la Vème Flotte américaine, et par le Commodore Simon Ancona, de la Royal Navy.
La CMF intervient dans le quart nord-ouest de l'Océan indien et exerce, outre les missions de surveillance et de sécurité du trafic maritime, des missions de lutte contre le terrorisme et de lutte contre la piraterie.
Une coordination est opérée avec la lutte contre la piraterie opérée à partir de Djibouti, dans le cadre de l'Union européenne (opération Atalante) et de l'OTAN (opération Ocean Shield).
Nos interlocuteurs ont souligné la souplesse de ce type de coopération entre 27 pays, dont la France, sur une base volontaire, sans corps de règles spécifiques : les règles applicables à chaque unité, notamment en matière d'engagement, sont celles du pays d'origine.
Notre délégation s'est rendue à bord de navires de lutte contre les mines de la Royal Navy.
Nous avons également rencontré le major-général Cheikh Hamad bin Abdulla Al-Khalifa, commandant de la Force aérienne royale du Bahreïn, qui a présenté les moyens dont il dispose, notamment ceux de la protection antiaérienne.
La visite de la base aérienne bahreïnienne (Issa Air Base) a permis aux membres de notre délégation, non seulement de voir les équipements du Bahreïn, mais aussi de constater, avec bonheur, la présence de trois Rafale dans le cadre d'un exercice conjoint avec l'Armée de l'air.
Puis elle a rencontré le Commandant des Forces navales américaines du NAVCENT et Commandant de la Vè flotte américaine, le vice-amiral John W. Miller, qui a présenté le fonctionnement opérationnel des forces placées sous ses ordres dans le golfe persique et le quart nord-ouest de l'Océan indien.
Il a présenté les principaux enjeux de la lutte contre les mines dans le Golfe persique, de la lutte contre la piraterie et les implications de la proximité de l'Iran. Dans la foulée, le commandement central du Corps des Marines des Etats-Unis (MARCENT) et les missions des Marines stationnés dans le Golfe ont fait l'objet d'une présentation par le colonel Jackson.
Le Roi Cheikh Hamad bin Issa Al-Khalifa a ensuite accordé une audience à certains membres de la délégation, dont nos collègues députés.
Pendant ce temps, nous avons visité un navire de lutte contre les mines de classe « Avenger » et un patrouilleur de classe « Cyclone ».
Enfin, nous avons rencontré notre ambassadeur au Bahreïn, Son Exc. M. Christian Testot, qui nous a réservé un très bon accueil.
Mme Nathalie Goulet. - Il est intéressant de rappeler que la présence d'une forte communauté chiite au Bahreïn s'explique par les liens historiques de ce pays avec l'Iran, puisqu'il s'agissait à l'origine d'un bagne pour les Iraniens. On peut également relever la présence d'une communauté juive et d'une communauté chrétienne, ce qui constitue une originalité au sein des pays du Golfe.
Il est aussi intéressant de noter que l'intervention au Bahreïn des forces de sécurité des pays du Conseil de coopération du Golfe a été la première intervention armée de cette organisation, qui prend de plus en plus d'importance, comme en témoigne le fait que le Yémen a récemment adhéré à cette organisation.
M. Xavier Pintat. - Notre délégation s'est ensuite rendue au Qatar, du 22 au 24 janvier.
Avec une superficie de 11 437 km² et une population de 1,75 million d'habitants, l'Etat du Qatar est, avec Bahreïn, l'un des plus petits Etats du Golfe.
Devenu indépendant en septembre 1971 après cinquante cinq ans de protectorat britannique, il a refusé d'être intégré dans la fédération des Emirats arabes unis.
Disposant des troisièmes réserves mondiales de gaz, le Qatar est devenu le premier producteur et exportateur mondial de gaz naturel liquéfié (GNL). Il maintient, en complément, le développement de sa production pétrolière.
En dépit de la crise internationale, le PIB du pays a ainsi connu une croissance de 16 % en 2010 et 19 % en 2011. En termes de PIB/habitant, le Qatar est devenu en 2010 le pays le plus riche du monde (100 000 dollars/hab).
Sous la conduite de l'Emir, Cheikh Hamad bin Khalifa Al Thani, de son Premier ministre et ministre des affaires étrangères, Cheikh Hamad bin Jassem, et grâce à des ressources considérables, le Qatar joue un rôle nouveau sur la scène internationale.
Petit pays richissime, situé dans une des régions les plus instables du monde, enserré entre les deux puissances régionales, l'Arabie Saoudite, dont il ne veut pas être le vassal, et l'Iran, dont il se méfie, le Qatar a pour priorité d'assurer son indépendance et sa sécurité.
Cette politique d'« assurance-vie » prend la forme, d'une part d'alliances avec des grands partenaires (le Qatar a passé des accords de défense avec les Etats-Unis, la France et le Royaume-Uni) et d'autre part, un fort activisme sur la scène internationale. Le Qatar s'est ainsi rapproché de l'OTAN, notamment en participant aux frappes aériennes lors d'interventions en Libye (avec 6 mirages qataries).
Le Qatar mène ainsi une diplomatie active en qualité de médiateur régional puis, plus récemment, dans le contexte des printemps arabes, grâce notamment à la chaîne d'information en langue arabe Al Jazira.
Au Qatar, notre délégation a d'abord rencontré le Major Général Hamad bin Ali Al-Attiyah, chef d'Etat-major des forces armées du Qatar, pour un tour d'horizon général.
Celui-ci a notamment insisté sur la qualité des relations avec l'OTAN, qui ont pu être constatées lors de l'intervention en Libye en 2011, ainsi que sur les accords de défense conclus avec de nombreux pays, dont la France, pays ami et partenaire stratégique. La qualité des relations mutuelles a été soulignée.
Des questions ont notamment été posées sur le soutien apporté par le Qatar à l'opposition syrienne et sur les relations avec l'Iran.
Nos entretiens se sont poursuivis avec le général de division aérienne Al-Souleiti, commandant adjoint de la force aérienne du Qatar et le Brigadier Ahmed Al-Malki, qui a participé aux opérations en Libye.
Les interventions ont davantage porté sur les aspects opérationnels, avec entre autres les enseignements de l'opération en Libye, et l'environnement géostratégique du Qatar. Les besoins en équipements, avions et défense antimissile, ont aussi été abordés à l'occasion des questions.
Une visite de la base aérienne attenante a suivi, avec notamment la faculté de voir exposés les Mirage 2000-5 intervenus en Libye, dont les pilotes qataries ont vanté avec force les qualités, devant nos collègues de l'OTAN.
Notre délégation a ensuite visité la frégate de Classe Duke « Monmouth » de la Royal Navy, en escale à Doha.
Elle a également rencontré M. Zayed Al-Naemi, directeur d'Amérique et d'Europe au ministère des affaires étrangères du Qatar, et M. Yousuf Al-Saada, directeur des organisations internationales.
L'entretien a donné lieu à un tour d'horizon des relations avec les Etats voisins et les autres puissances régionales, ainsi qu'à un examen de l'intérêt des partenariats stratégiques.
Les relations avec l'OTAN, notamment dans le cadre de l'initiative de coopération d'Istanbul lancée en 2004, ont été évoquées, de même que l'importance des liens avec l'Union européenne et les pays européens, dont la France.
Les positions de l'Union européenne sur la question palestinienne ont notamment été mentionnées comme appréciées.
A également été affirmé l'attachement du Qatar, d'une part, aux aspirations du peuple syrien et, d'autre part, au règlement de la situation du Mali, avec un rappel de sa participation à la Conférence des donateurs.
Après des premières interventions assez critiques sur l'intervention de la France au Mali, le Premier ministre qatarien a pris des positions plus modérées, qui marquent une nette évolution du discours en faveur de l'intervention française, même s'il faut bien admettre que cette intervention reste perçue par l'homme de la rue comme une « croisade » à l'encontre de musulmans.
Etait également inscrite à l'agenda une visite du Centre aérien des opérations combinées d'Al Udeïd, qui abrite le commandement des forces aériennes américaines pour la zone centrale (COMAFCENT), et notamment le centre des opérations aériennes multinationales. Nous avons été reçus par l'Air commodore australien David Steele.
Enfin, pour conclure, nous avons pu bénéficier au cours de notre séjour d'un très bon accueil de la part de l'ambassadeur de France à Doha, Son Exc. M. Jean Christophe Peaucelle, et de l'ensemble de ses collaborateurs, dont notre attaché de défense.
M. Jean-Louis Carrère, président. - Le Qatar est-il intéressé par le Rafale ?
M. Xavier Pintat. - Le Qatar souhaite moderniser sa flotte de chasseurs de combat Mirage 2000-5. Un appel d'offres a été lancé. Le Rafale est en concurrence avec le F 15, l'Eurofighter et le Grippen. Compte tenu des qualités du Rafale, qui ont été démontrées lors de l'intervention en Libye, on peut toutefois être optimiste sur la décision qui sera prise par le Qatar.
Mme Michelle Demessine. - La presse évoque souvent le rôle ambigu joué par le Qatar en matière de financement de certains mouvements islamistes, y compris au Nord Mali. Ce sujet a-t-il été évoqué lors de vos entretiens avec les représentants de ce pays ?
M. Daniel Reiner. - Nous avons interrogé les représentants du Qatar à ce sujet et tous nos interlocuteurs ont démenti avec force l'idée que leur pays financerait des mouvements terroristes. « Il faudrait que nous soyons devenus fous pour financer des personnes ou des mouvements qui ne rêvent qu'à nous renverser et à nous combattre » nous ont-ils déclaré en substance.
En revanche, ils ont admis que, parmi les très nombreuses organisations non gouvernementales qataries qui recueillent des dons, certaines d'entre-elles viennent en aide aux populations musulmanes y compris dans des zones contrôlées par des mouvements islamistes, comme c'était par exemple le cas au Nord du Mali avant notre intervention, et qu'il est possible qu'une partie de cette aide destinée aux populations civiles ait été détournée par ces mouvements terroristes.
Il faut savoir que les habitants de ce pays sont très pieux et qu'ils considèrent comme leur devoir d'aider les populations musulmanes touchées par la pauvreté.
Article 88-4 de la Constitution - Saisine de la commission et nomination de deux rapporteurs
Sur proposition de son président, la commission a ensuite décidé de se saisir, au titre de l'article 88-4 de la Constitution et en application de l'article 73 quinquies du règlement du Sénat, de la proposition de directive de la Commission concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union (COM(2013) 48 final) du 7 février 2013, qu'elle examinera conjointement avec la stratégie européenne de cybersécurité « un cyberespace ouvert, sûr et sécurisé » (JOIN(2013) 1 final) et elle a désigné MM. Jacques Berthou et Jean-Marie Bockel comme co-rapporteurs.
Jeudi 21 février 2013
- Présidence de M. Jean-Louis Carrère, président -Audition publique organisée conjointement avec l'Office parlementaire d'évaluation des choix scientifiques et technologiques et la commission de la défense de l'Assemblée nationale
La commission participe à une audition publique, organisée par l'office parlementaire d'évaluation des choix scientifiques et technologiques, conjointement avec la commission de la défense et des forces armées de l'Assemblée nationale sur : « Le risque numérique : en prendre conscience pour mieux le maîtriser ».
Première partie
La place du numérique dans la gestion de la menace stratégique
Première table ronde : état des lieux en matière de cybersécurité
M. Bruno Sido, président de l'OPECST. - Je me réjouis que le Parlement puisse tenir une telle audition publique, à l'initiative de l'Office parlementaire d'évaluation des choix scientifiques et technologiques.
Regrouper notre délégation et les commissions de la défense et des forces armées de l'Assemblée nationale et des affaires étrangères, de la défense et des forces armées du Sénat est, au demeurant, une métaphore des travaux que nous menons en commun à l'Office, entre députés et sénateurs.
Actuellement, nous sommes ainsi chargés de quatre études, qui sont chacune portées par deux rapporteurs - un sénateur et un député.
Mais le sujet que nous allons aborder est tellement central pour notre pays que nous aurions aussi bien pu y associer des membres des commissions des affaires économiques, tant la pénétration diffuse de la numérisation est devenue décisive pour notre compétitivité, ou des affaires culturelles, puisqu'on ne peut aujourd'hui pratiquement plus faire de recherche de haut niveau sans avoir recours à des modélisations de plus en plus sophistiquées.
Mais Chamfort se rappelle à moi, qui disait « pour le superflu, il faut s'en tenir au nécessaire ». C'est pourquoi je termine ici mon propos introductif. Je m'exprimerai sur le fond du sujet lors de la première table ronde de cet après-midi.
M. Jean-Louis Carrère, président - Permettez-moi tout d'abord de féliciter notre collègue Bruno Sido pour son initiative, mais aussi de remercier l'Assemblée nationale, en particulier Mme Patricia Adam et M. Jean-Yves Le Déaut pour la qualité de leur accueil.
La menace représentée par les attaques contre les systèmes d'information n'est pas un sujet nouveau pour la commission des affaires étrangères et de la défense du Sénat. Dès 2007, après les attaques massives subies par l'Estonie, elle avait commencé à s'intéresser à ce sujet et avait publié un premier rapport d'information sur la cyberdéfense, présenté par notre ancien collègue Roger Romani.
Beaucoup de choses se sont passées depuis cinq ans. On peut notamment citer le cas de Stuxnet, ce virus informatique qui aurait contribué à retarder l'avancement du programme nucléaire militaire de l'Iran, en s'attaquant à des centrifugeuses d'enrichissement de l'uranium.
C'est la raison pour laquelle nous avons jugé utile de réactualiser ce rapport, notamment dans l'optique de l'élaboration du nouveau Livre blanc sur la défense et la sécurité nationale. Notre collègue Jean-Marie Bockel s'est donc vu confier la mission de rédiger un nouveau rapport sur la cyberdéfense, qu'il a présenté devant notre commission en juillet dernier et dont les conclusions ont été adoptées à l'unanimité.
Pour avoir été membre - avec Mme Patricia Adam et plusieurs de nos collègues députés et sénateurs - de la commission chargée d'élaborer le nouveau Livre blanc, et même si sa version définitive n'a pas encore été publiée, je pense pouvoir dire ici que la cyberdéfense devrait être l'une de ses priorités, et qu'il devrait se traduire par une nouvelle impulsion dans ce domaine.
Ces dernières années, les attaques contre les systèmes d'information se sont en effet multipliées, qu'il s'agisse de cybercriminalité, de tentatives de déstabilisation, d'affaires d'espionnage, ou de sabotage à des fins de destruction. Je pense notamment à l'attaque informatique qui a visé l'été dernier l'un des premiers producteurs de pétrole, Saudi Aramco.
Notre pays n'est pas à l'abri de ce fléau, comme en témoignent les affaires d'espionnage de Bercy - survenues à la veille de la présidence française du G8 et du G20 - ou d'AREVA.
C'est l'objet de cette première table ronde que d'essayer de cerner l'étendue effective de la menace que représentent les atteintes à la sécurité des systèmes numériques stratégiques.
Nous allons tenter d'évaluer la portée de cette menace grâce à nos trois premiers intervenants. M. Pascal Chauve, du Secrétariat général de la défense et de la sécurité nationale, va s'efforcer d'en rendre compte sous l'angle global de son intensité et de son acuité. M. Stéphane Grumbach, directeur de recherche à l'INRIA, analysera dans quelle mesure l'importance de cette menace peut s'interpréter comme le résultat d'une véritable géopolitique des données numériques gérée à l'échelle des grands pays. Enfin, M. Frédéric Hannoyer, de ST Microelectronics, évoquera les multiples canaux techniques qu'elle peut emprunter pour prendre forme.
Afin de laisser place au débat, j'invite les différents intervenants à limiter leur temps de parole à dix minutes.
M. Pascal Chauve, Secrétariat général de la défense et de la sécurité nationale (SGDSN). - Ma tâche est à la fois facile et difficile. Parler de la menace est certes toujours plus facile que d'évoquer les réponses qui peuvent lui être apportées, mais je dois aussi, dans un contexte particulièrement inquiétant, me garder de faire trop peur et veiller à donner la juste mesure de cette menace. Mon point de vue est celui du SGDSN : il s'attache à des problématiques et à des enjeux de sécurité nationale.
Lorsqu'on évoque la menace informatique, on pense d'emblée à ce qui nous affecte dans notre vie quotidienne, par exemple les virus qui viennent « écraser » les photos des enfants sur le disque dur de l'ordinateur, ou encore la cybercriminalité qui touche les individus - vol de données bancaires, utilisation frauduleuse des moyens de paiement, accès à nos comptes en ligne - et qui appelle des réponses de nature policière.
Mais la menace informatique ne vise pas que les individus, et n'a pas pour seul objectif l'appât du gain. Elle peut revêtir une tout autre dimension, qui dépasse la cybercriminalité, et viser des activités critiques pour le fonctionnement d'une nation, qui relèvent pleinement d'une problématique de sécurité nationale. Des exemples viennent d'en être donnés.
S'il fallait dresser une typologie des menaces auxquelles une Nation peut être exposée, je distinguerais trois domaines. Le premier est celui de la simple revendication, dans lequel les attaquants vont afficher des messages sur des sites officiels ou gouvernementaux en réponse à une politique à laquelle ils sont opposés - c'est ce que l'on appelle la défiguration de site. Ils utilisent les vulnérabilités habituelles des serveurs web pour s'y introduire. Récemment, lors de l'opération Serval au Mali, des groupes d'activistes se sont ainsi attaqués à des sites web plus ou moins officiels, sans toutefois causer de dommages particuliers, pour afficher leurs revendications.
La deuxième forme de menace informatique qui peut revêtir des enjeux nationaux est bien sûr le cyber-espionnage. Je ne parle pas du vol d'informations personnelles à des individus, mais du cyber-espionnage à grande échelle, qui peut toucher des entreprises, notamment celles qui travaillent dans les secteurs sensibles, ou des opérateurs relevant de ce que nous appelons les secteurs d'activité d'importance vitale, parmi lesquels figurent la banque, l'énergie, les transports ou la défense. Il y a là des acteurs économiques et des opérateurs qui détiennent des secrets de fabrication ou des secrets de fonctionnement d'une autre société. L'espionnage dont a été victime la société AREVA figure dans le rapport sur la cyberdéfense du sénateur Bockel, ainsi que celui qui a touché Bercy. Si vous avez lu la presse des derniers jours, vous avez appris que la société américaine Mandiant aurait trouvé l'origine d'une campagne d'espionnage informatique systématique conduite chez des industriels américains - 141 cas ont été rapportés. Ce pillage de secrets industriels aurait une origine étatique - je vous laisse découvrir laquelle.
S'agissant de cyber espionnage, la presse ne révèle cependant que la partie émergée de l'iceberg. Le SGDSN, avec l'Agence nationale de la sécurité des systèmes d'information (ANSSI), traite de très nombreux cas qui sont couverts par le secret, les opérateurs ne souhaitant pas que l'on fasse état des atteintes qu'ils subissent. Je vous confirme que cette menace n'est pas potentielle, mais quasi systématique.
La nouvelle forme de menace informatique qui touche les intérêts souverains est le cyber-sabotage. La transition entre le cyber-espionnage et le cyber-sabotage est désormais consommée. Vous vous souvenez sans doute du ver Slammer, qui avait semé « la pagaille » dans le système informatique de distribution d'électricité de l'Ohio et entraîné un blackout touchant 50 millions d'abonnés américains en 2003. Telle n'était peut-être pas l'intention de départ, mais toujours est-il qu'il est possible de toucher, par des moyens informatiques, des secteurs d'activité d'importance vitale dans leur fonctionnement, mettant ainsi en péril des fonctions vitales de la nation.
Comment a-t-on pu passer d'une menace potentielle, qui n'occupait que les esprits des spécialistes, à une menace réelle ? La technologie et les usages nous exposent de plus en plus à ces menaces. D'une part nous faisons face à un empilement de technologies de plus en plus chancelant ; il faut rétablir la chaîne de la confiance entre des systèmes d'exploitation du matériel, des applications, des middleware, qui vivent chacun sur une couche d'abstraction de la couche qui est en dessous, interprètent les commandes, et laissent finalement autant d'interstices à l'attaquant pour s'infiltrer dans les systèmes. D'autre part, c'est le problème de la confiance dans la chaîne d'approvisionnement de nos systèmes informatiques et de la maîtrise technologique qui est posé. Je vous rappellerai à cet égard le bon mot fait par Ken Thompson, gourou de la sécurité informatique, en 1984 : « Vous ne pouvez pas faire confiance à un code dont vous n'êtes pas totalement l'auteur, surtout si vous faites appel à des sociétés qui emploient des gens comme moi. » La confiance dans la chaîne d'approvisionnement est vitale. Asseoir cette confiance mérite donc la mise en oeuvre d'une politique industrielle à l'échelle nationale.
L'usage moderne des technologies de l'information est désormais de tout interconnecter avec tout, et donc d'offrir autant de voies d'attaque à des agents menaçants. Il est aussi caractérisé par la mobilité, qui fait circuler les technologies, les informations et les virus d'un système à l'autre, et par l'introduction de systèmes informatiques à vocation personnelle dans des applications professionnelles. Je pense au bring your own device (BYOD), qui fait que certains d'entre nous travaillent avec leurs terminaux personnels, qui sont autant de vecteurs d'infection, infection à l'échelle de l'individu mais qui peut ensuite se propager à l'échelle nationale.
M. Stéphane Grumbach, INRIA, directeur de recherche. J'évoquerai pour ma part les données et leur répartition sur la planète.
La société de l'information offre des services comme les moteurs de recherche, les réseaux sociaux ou les systèmes de vente en ligne, qui sont devenus incontournables - peu différents, en définitive, de nos utilities - comme disent les Anglais - telles que l'eau ou l'électricité. Pour leurs utilisateurs, ces services sont essentiellement gratuits. Les sociétés qui les proposent assurent le stockage et le traitement des données, avec en général une très grande qualité de service. D'un point de vue économique, on ne peut cependant pas exactement considérer ces services comme gratuits. Les utilisateurs échangent avec les entreprises leurs données privées contre des services. Ces données, qui peuvent sembler bien anodines, s'avèrent parfois d'une grande valeur. C'est par exemple le cas des requêtes sur un moteur de recherche, utilisées pour établir des profils utilisateurs qui permettent de cibler efficacement la publicité. Elles peuvent aussi l'être pour extraire des connaissances bien plus riches que les profils personnels - j'y reviendrai cet après-midi.
Certains systèmes stockent des données dont le caractère personnel est plus immédiat. C'est le cas des réseaux sociaux, au premier rang desquels Facebook, grâce auxquels les utilisateurs mettent à disposition toutes sortes d'informations personnelles. Les réseaux sociaux conservent également la structuration des relations sociales entre leurs utilisateurs, leurs échanges et, au-delà, leurs interactions avec d'autres services. Mais Facebook est bien plus qu'un réseau social : c'est le système numérique du futur, celui dans lequel nous stockerons nos données, et au moyen duquel nous interagirons avec le monde. C'est le système qu'utiliseront de nombreuses entreprises pour développer des services qui exploiteront l'interface et les fonctionnalités de Facebook. Facebook peut disparaître, mais ce type de système perdurera pour devenir universel.
Deux évolutions majeures dans la technologie induisent des changements fondamentaux dans la gestion des données. Tout d'abord, la disparition annoncée de nos ordinateurs conduira, tant pour les individus que pour les organisations, à une gestion des données et des services dans le nuage, données et services qui seront accessibles de n'importe où, au moyen de n'importe quelle tablette. Ensuite, le développement massif des réseaux sans fil qui forment l'infrastructure des services mobiles introduit une rupture dans la société de l'information, en assurant des services au plus près des individus.
Les données personnelles sont devenues la ressource essentielle de cette nouvelle industrie. Assez similaire aux matières premières pour l'industrie traditionnelle, cette ressource sera un jour plus importante pour l'économie globale que le pétrole. Etre capable de la récolter et de la transformer pour en faire des produits est donc d'une importance capitale. Au-delà de la ressource, ces données sont aussi une monnaie avec laquelle les utilisateurs payent leurs services. Cette monnaie, potentiellement dé-corrélée des banques centrales, sera conduite à jouer un rôle croissant.
La concentration est une caractéristique importante des industries de la société de l'information. Facebook a dépassé le milliard d'utilisateurs ; Google agrège de nombreuses activités - moteur de recherche, messagerie, réseau social, mobilité. Dans la société de l'information, la taille des entreprises est déterminante. La quantité de données et le nombre d'utilisateurs qu'elles gèrent contribuent exponentiellement à leur puissance.
Dans ce nouvel écosystème, les données circulent et passent les frontières. Certaines régions les accumulent, les traitent et les contrôlent, d'autres non. Comme pour les échanges commerciaux, on peut distinguer les exportations et les importations. Mais contrairement au commerce, les mouvements de données se font surtout gratuitement, c'est-à-dire sans paiement de l'exportateur par l'importateur. Les données ne font à ce jour pas l'objet d'un marché au niveau mondial : il n'y a pas de bourse de la donnée comme il en existe pour les matières premières.
Les États-Unis ont un véritable leadership dans la capacité à récolter et à traiter la donnée mondiale. Ils ont toujours fait preuve d'un véritable génie dans le développement des services de la société de l'information. Ils inventent des services extraordinaires, comme le démontre la rapidité de leur adoption, assurent une qualité de service inégalée - tout le monde utilise Gmail - et savent construire des modèles économiques efficaces.
Une cartographie des flux de données au niveau planétaire, sur le modèle des cartographies des flux de matières premières, serait extrêmement utile. Elle n'est aujourd'hui pas facile à établir. On peut toutefois étudier les services qui sont utilisés dans les différentes régions, qui constituent un premier indicateur assez significatif. Aux États-Unis, les 25 premiers sites de la toile sont tous américains. En France, comme dans un certain nombre de pays européens, seulement le tiers des 25 premiers sites sont français ; les autres sont américains. En outre, les premiers sites français ne sont pas les plus gros accumulateurs de données.
La situation est plus contrastée en Asie. En Chine, l'industrie nationale domine la toile, avec des systèmes très puissants et diversifiés dans tous les secteurs. Au Japon et en Corée, de nombreux systèmes, aussi fondamentaux que les réseaux sociaux, sont des systèmes locaux.
Si l'on considère les moteurs de recherche, qui jouent un rôle si essentiel dans notre accès à l'information, la situation de l'Europe, région de la diversité culturelle, est surprenante. Google y détient plus de 90 % de parts de marché. Ce n'est pourtant pas le cas aux États-Unis, où Bing et Yahoo ont chacun près de 15 % de parts de marché. La Chine et la Russie ont quant à elles développé deux des plus grands moteurs mondiaux : Baidu, qui détient 78 % du marché chinois, et Yandex, qui détient 60 % du marché russe.
Ces chiffres sont corroborés par l'analyse globale des premiers systèmes mondiaux, c'est-à-dire ceux ayant le plus grand nombre d'utilisateurs dans le monde. Parmi les cinquante premiers, on trouve 72 % d'Américains, 16 % de Chinois, 6 % de Russes, mais seulement 4 % d'Européens.
Les études que nous avons faites sur la partie invisible de la toile, celle des trackers qui permettent de suivre l'activité des utilisateurs au moyen de systèmes tiers, confirment cette tendance. Là encore, les Américains dominent largement ces systèmes invisibles, subtils accumulateurs de données.
Certaines régions envisagent la révolution numérique avec enthousiasme, d'autres avec crainte. Le programme de cette journée, centré sur la menace stratégique et le risque de dépendance, révèle le positionnement plutôt sur la défensive de la France. La situation de l'Europe est paradoxale : si le taux de pénétration est fort et les infrastructures importantes, aucun des grands systèmes de la toile n'est développé sur notre continent. Les données personnelles, pétrole de la nouvelle économie, sont la pierre d'achoppement des Européens, qui restent focalisés sur les dangers de leurs utilisations potentielles, en particulier pour la vie privée. La société de l'information se développe donc hors de l'Europe. On peut dire sans exagération que celle-ci est entrée dans une forme de sous-développement en dépendant, pour des services dont l'importance ne fait que croître, d'une industrie étrangère.
L'Europe exporte donc ses données aux États-Unis. Mais il y a autre chose : elle n'en importe pas. Or la capacité à récolter des données à l'étranger est également stratégique : elle permet de créer de la valeur à partir de ressources qui arrivent gratuitement, et de dégager des connaissances dans tous les domaines sur les régions dont viennent les données.
Les Américains ont une stratégie très élaborée en la matière, comme le montre leur succès international. Permettez-moi de l'illustrer par un exemple encore peu visible. À l'heure où la possibilité d'ouverture de la Corée du Nord fait frémir les chancelleries et où les Chinois construisent des infrastructures à la frontière, Google cartographie le territoire. Les cartes Google deviendront probablement incontournables lors du développement du pays. Et comme leur intérêt est avant tout l'hébergement des applications des entreprises, Google héritera d'une capacité d'analyse de la Corée, grâce aux flux de données qui transitent par ses machines. Le marché en Corée du Nord est de surcroît loin d'être facile pour les Américains, tant les Coréens du Sud et les Chinois sont de puissants concurrents.
Les exemples asiatiques pourraient être intéressants pour les Européens. Ces pays ont bien compris les enjeux de la société de l'information ; ils préservent une certaine souveraineté en offrant tous les services de l'Internet made in Asia. En même temps ; ils ont une forte connexion avec la recherche américaine. En Chine, les laboratoires d'Alibaba ou de Baidu sont peuplés de chercheurs de la Silicon Valley - les mêmes que chez Facebook ou Google : ils participent du même écosystème.
J'aborderai cet après-midi les nouveaux services de la société de l'information, qui reposent sur ces données et dont nous dépendrons à l'avenir.
M. Frédéric Hannoyer, ST Microelectronics, directeur de recherche. - Je vous remercie de m'offrir l'occasion de témoigner au nom de ST Microelectronics.
Vous m'assignez une tâche difficile. Je vais me livrer à une présentation rapide, qui ne pourra être exhaustive, en m'efforçant de ne pas être trop technique. J'essaierai de couvrir les grandes familles d'attaques à partir d'exemples récents. Dans la mesure où les attaques stratégiques ont été traitées par M. Chauve, je me concentrerai davantage sur des exemples d'attaques contre les particuliers et les entreprises.
Une attaque peut être définie comme une intrusion sur un système de sécurité qui génère un dommage ou un préjudice. Une intrusion élémentaire peut être décomposée en trois composantes : au moins une vulnérabilité dans le logiciel ou le système ; un vecteur - qui est souvent un programme - qui utilise et exploite cette vulnérabilité, qui arrive à passer à travers les mesures de sécurité mises en oeuvre, et qui installe un composant actif, un programme malware, qui est la partie maligne de l'attaque. Soit ce programme lance une autre attaque de l'intérieur du système, soit il effectue sa mission - récolte des mots de passe, analyse du réseau ou du système, écoute des communications - et reporte à l'attaquant. Le composant actif peut soit être autonome, soit être commandé de l'extérieur. Il peut remplir ses missions tout de suite, ou rester silencieux pendant très longtemps - jusqu'à des années. Le rapport de Mandiant cite ainsi des attaques où les composants actifs sont restés inactifs pendant plusieurs années, mais étaient fréquemment questionnés.
Parmi les préjudices subis figure le vol d'argent aux particuliers ou aux entreprises, par exemple avec des malwares tels que Zeus ou Citadel grâce à la récupération des mots de passe temporaires envoyés par les banques, type 3D secure, le vol de propriété artistique, auquel nous avons été sensibilisés par la loi HADOPI, l'espionnage de données ou vol de propriété intellectuelle - secrets d'affaires ou de production. Un exemple en a récemment été fourni par une intrusion sur le site du New York Times visant à connaître la teneur des articles en préparation sur le Premier ministre chinois. Les communications téléphoniques sont exposées maintenant aux mêmes attaques que les données pures.
De nouvelles attaques apparaissent : le chantage aux données personnelles des particuliers, assorti d'une demande de rançon ; le sabotage de services, qui empêche l'activité économique, et offre la possibilité de détruire une infrastructure de production, ce qui peut avoir un coût considérable pour une entreprise ; les attaques à la réputation. Nous voyons également se développer la désinformation par le piratage des médias sociaux, comme Twitter. Nous en avons constaté l'impact en ce qui concerne la population en Inde, mais aussi les marchés économiques, comme le marché du pétrole - le piratage du compte Twitter d'un diplomate Russe annonçant la mort du Président syrien Bashar Al-Assad a par exemple créé des remous sur les marchés du pétrole.
Parmi les futures attaques à redouter, on peut penser à la santé. La démonstration que l'on peut envoyer une décharge par le piratage de pacemakers à une dizaine de mètres doit nous faire réfléchir, de même que le fait que tous les équipements médicaux soient connectés à Internet pour pouvoir récupérer des mises à jour de logiciels. Je pense également à la domotique. Comment réagirait une caserne de pompiers si toutes les alarmes incendie d'une ville se déclenchaient en même temps ?
Les attaques peuvent être distinguées selon le point d'attaque. Celui-ci peut être situé dans le terminal, qu'il s'agisse d'un ordinateur, d'un compteur électrique, d'un téléphone, ou de tout navigateur web. Il peut être situé dans le centre de données lui-même, où les mots de passe ou les informations dans le nuage sont stockées, ou enfin dans le réseau - d'où on peut facilement rediriger les communications d'une victime vers le PC d'un attaquant ou écouter les messages en clair.
La sécurité se doit de couvrir les trois maillons de cette chaîne, le terminal, le centre de données, et le réseau. Les vulnérabilités utilisées peuvent être scindées en deux catégories : celles qui peuvent être traitées par une mise à jour des logiciels, et celles pour lesquelles cette mise à jour s'avère délicate ou ne suffit pas.
Pour ce qui est des premières, l'accumulation actuelle de couches logicielles de fournisseurs différents, et de plus en plus complexes, rend la tâche de sortir un produit sans vulnérabilité logicielle impossible. Une vulnérabilité du logiciel est juste un bug non fonctionnel, qui ne crée donc pas de problème dans l'utilisation de l'application, mais est exploité par le pirate pour prendre le contrôle et compromettre l'équipement - car il a alors tous les pouvoirs. On a parlé dernièrement de la vulnérabilité de la technologie Java dans le navigateur web, et des attaques de Facebook et d'Apple.
Ces vulnérabilités logicielles sont très nombreuses. Elles peuvent être traitées. Mais avant cela, elles créent des exploits « zero day », qui peuvent se définir comme l'exploitation d'une faille qui n'est pas publique, indétectable donc par les équipements de sécurité, et qui concerne même les plateformes bénéficiant des dernières mises à jour. Les exploits « zero day » sont devenus un phénomène courant, qui bénéficie même d'une chaîne de valeur et d'un marché pour les développer et les revendre. Ils doivent être traités sérieusement. C'est pourquoi il est essentiel de pouvoir mettre à jour les plateformes de manière très réactive et à distance.
Parmi les autres vulnérabilités à traiter, je citerai les vulnérabilités sur la chaîne de production chez les sous-traitants, et les équipements qui pourraient être piégés. C'est pourquoi il faut garder une maîtrise industrielle dans les produits. Lorsque l'ensemble de notre coeur de réseau sera chinois ou américain, quelle confiance pourrons-nous réellement lui accorder ? Il nous faut au moins arriver à construire cette confiance.
Je pense aussi aux attaques de cryptographie et aux attaques sur les certificats, qui sont les bases de la confiance sur les échanges numériques, ou encore aux attaques sur la vulnérabilité humaine - mots de passe devinables, complicités internes...
Le critère majeur est à mon sens la grande furtivité des attaques. Les malware peuvent s'attraper en surfant nos sites préférés ou en ouvrant un attachement ou un lien dynamique dans un email, ils peuvent se mettre en dessous du système d'opération et des systèmes de sécurité. Ils s'interfacent entre vous et le matériel, par exemple lorsque vous tapez votre code confidentiel sur votre téléphone ou sur un terminal de paiement, ou lorsque votre logiciel vous donne des informations confidentielles, ou lorsque vous communiquez au niveau du réseau. Ils sont aussi capables de dissimuler toutes leurs actions des mécanismes de surveillance du terminal.
M. Jean-Louis Carrère, président - Je vous remercie de vos interventions. Après avoir identifié les menaces, nous allons tenter d'identifier les stratégies de réponse. Pour cela, je donnerai successivement la parole à M. Patrick Pailloux, directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), qui est l'autorité nationale chargée de la protection et de la défense des systèmes d'information, à M. Jean-Marie Bockel, sénateur, à M. Eduardo Rihan Cypel, député, et enfin au capitaine de vaisseau Alexis Latty, de l'état-major des armées.
M. Patrick Pailloux, directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) - Il n'est pas aisé d'expliquer comment il convient de réagir face au tableau cataclysmique qui vient de nous être présenté. Si quelqu'un, où qu'il se trouve, pense avoir la bonne réponse, je l'invite à contacter l'ANSSI au plus vite : nous avons un poste à lui proposer ! (Sourires.)
La stratégie de réponse de l'État a cependant évolué de manière significative depuis quelques années. La problématique de la sécurité de nos données n'est certes pas nouvelle, puisque des systèmes de chiffrement sont apparus dès l'Antiquité, mais le sujet a littéralement explosé depuis quelques années. La stratégie nationale de la France a véritablement commencé à évoluer à partir de 2008 et du dernier Livre blanc sur la défense et la sécurité nationale, qui a identifié le risque d'attaque majeure contre les systèmes d'information comme une menace stratégique, et estimé que le degré de probabilité d'occurrence dans les quinze années à venir était extrêmement fort. Il était dès lors nécessaire de se doter d'une stratégie et de capacités de cyberdéfense.
La stratégie, définie dans la foulée du Livre blanc sur la défense et la sécurité nationale de 2008, repose sur quatre points. En premier lieu, la France souhaite être une puissance mondiale en matière de cyberdéfense. Il ne s'agit pas de montrer notre force pour le plaisir. Simplement, les frontières n'existent pas dans ce domaine. On ne peut donc se contenter d'être un joueur local.
En deuxième lieu, il s'agit de conserver la capacité - que la France avait par le passé - de protéger ses informations essentielles de manière autonome. On touche ici au coeur du coeur du fonctionnement de l'État dans les domaines de la défense et de la sécurité nationale. Pour prendre un exemple, nous devons être capables de produire des chiffreurs en toute autonomie, afin d'être sûrs de ne pas dépendre de tiers auxquels nous ne faisons pas nécessairement confiance.
En troisième lieu, nous devons renforcer très significativement la sécurité de nos infrastructures vitales. J'aime à dire que les systèmes d'information et de télécoms sont nos systèmes nerveux : rien ne fonctionne dans notre vie courante sans informatique. Si nous ne sommes pas capables de protéger les infrastructures vitales que sont la distribution d'énergie, les moyens de télécommunication, nos finances, nos systèmes médicaux et nos systèmes industriels, notre Nation s'effondrera.
Enfin, il nous faut promouvoir la sécurité dans le cyberespace. Nous sommes là dans l'usage du citoyen, et de la confiance qu'il peut avoir dans l'e-administration et les transactions sur Internet.
Pour mettre en oeuvre cette stratégie, nous avons établi - comme toujours en France, mais à raison me semble t-il - une capacité centralisée. Nos grands homologues internationaux ont souvent davantage d'effectifs que nous, mais ils sont généralement moins centralisés.
Créée en 2009, l'ANSSI est à la fois l'autorité de sécurité et l'autorité de défense. Elle a donc deux missions, une mission de prévention et une mission de réaction.
La mission de prévention consiste à veiller à ce que nos infrastructures vitales, qu'elles soient gouvernementales ou privées, soient suffisamment résilientes et capables de résister à des attaques informatiques. Cela repose sur un ensemble d'actions, dont la principale est le conseil, c'est-à-dire la capacité de l'État à édicter de bonnes pratiques en matière de règles de sécurité et à délivrer des labels à des produits de sécurité ou à des prestataires. Un grand nombre de prestataires coexistent en effet dans le domaine de la cybersécurité, un peu moins dans celui de la cyberdéfense ; il faut pouvoir s'y retrouver. La capacité à aller vérifier participe aussi de la prévention - c'est ce que l'on appelle l'audit. Concrètement, il s'agit de tests de pénétration consistant à vérifier si nos systèmes étatiques ou les systèmes critiques privés sont capables de résister à des attaques informatiques. Je ne détaillerai pas les résultats - qui ne sont pas vraiment brillants. Il y a enfin notre capacité à doter le coeur de l'État de moyens de haute sécurité, pour qu'en cas de problème, nos autorités puissent continuer à communiquer et à échanger de l'information en toute sécurité.
Malheureusement, cette mission de prévention, qui représenterait 90 % de notre activité dans un monde stable, est largement supplantée par l'autre activité de l'ANSSI : l'activité de réaction, à savoir la responsabilité, sous l'autorité du Premier ministre et du secrétaire général de la défense et de la sécurité nationale, de coordonner et de piloter la réponse lorsque les infrastructures critiques ou les grandes entreprises françaises sont touchées. Cette activité repose sur un centre opérationnel localisé aux Invalides, actif vingt-quatre heures sur vingt-quatre. Notre capacité de réaction et de défense est hélas « enfoncée » par le volume des attaques informatiques, si bien que nous devons en permanence arbitrer entre les différentes attaques pour décider de celles sur lesquelles nous devons nous mobiliser. Notre action est ici facile à comprendre. Elle peut être comparée à celle des pompiers : des groupes d'intervention sont chargés d'intervenir auprès des administrations ou des grandes entreprises victimes d'attaques, pour les aider à gérer la situation. Cela nécessite d'abord de comprendre ce qui se passe, en sachant que le pirate peut être présent dans l'entreprise depuis très longtemps - jusqu'à quatre ans, selon le rapport de Mandiant. Il faut ensuite comprendre ce qu'il fait et où il a déposé les virus informatiques. Une fois ceux-ci identifiés, il faut nettoyer le réseau. Dans le cas des très grandes entreprises, ce sont plusieurs centaines de milliers d'ordinateurs qui peuvent être potentiellement infectés. La dernière mission consiste à remettre en état et à re-sécuriser le réseau. Si vous réinstallez le réseau tel qu'il était après une attaque informatique, ce que vous avez fait ne servira en effet pas à grand-chose : les attaquants - qui travaillent souvent en toute impunité - recommenceront immédiatement à exploiter vos vulnérabilités.
M. Jean-Marie Bockel. - Je n'insisterai pas sur le constat - cela a été fait, et fort bien, par les intervenants précédents - mais sur les avancées que je tiens à saluer et sur les progrès qui restent à accomplir.
Nous sommes dans un contexte particulier. Cette rencontre est la bienvenue à la veille de la publication du Livre blanc sur la défense et la sécurité nationale. Dans le rapport d'information sur la cyberdéfense que j'ai présenté au nom de la commission des affaires étrangères et de la défense du Sénat, j'ai abordé le sujet du risque numérique sous l'angle de la défense, mais c'est un sujet transversal, qui touche à nos intérêts vitaux, mais aussi à l'économie, à la vie quotidienne de nos concitoyens et aux services publics. Le Livre blanc sera donc une étape importante, et ce que nous disons dans cette dernière ligne droite revêt par conséquent un sens particulier.
S'agissant de notre stratégie de réponse, nous observons un certain nombre d'avancées. J'avais appelé, à l'image de ce que font les Britanniques ou les Allemands, à ériger la cyberdéfense en une priorité nationale portée au plus haut niveau de l'État. Nous avons progressé sur ce point : le président de la République François Hollande a explicitement évoqué cet enjeu dans la lettre de mission adressée à M. Jean-Marie Guéhenno - président de la commission chargée de rédiger le Livre blanc - comme dans ses voeux aux armées.
La question des moyens de l'ANSSI est évidemment centrale. Les États qui réduisent aujourd'hui leurs dépenses de défense, notamment en Europe, n'en augmentent pas moins les budgets dédiés aux outils en matière de cyberdéfense et de cybersécurité. Sans parler des États-Unis, on peut citer le cas du Royaume-Uni. Dans un tel contexte, les moyens de l'ANSSI ont vocation à se renforcer pour être portés au niveau de ceux de nos partenaires britannique ou allemand. La qualité de notre outil est reconnue, y compris à l'international, mais ses moyens sont encore insuffisants. Je me félicite donc de la création de 65 postes supplémentaires à l'ANSSI en 2013 ; ses effectifs devraient atteindre 500 agents à l'horizon 2015. Nous serons bientôt au même niveau que nos voisins non plus sur le seul plan qualitatif, mais aussi sur le plan quantitatif. Le ministre de la défense, M. Jean-Yves Le Drian, a également annoncé un renforcement des effectifs des armées dans le domaine de la cyberdéfense.
Mon rapport proposait aussi de créer une « cyber réserve » citoyenne, qui rassemble des spécialistes et des ingénieurs mobilisés sur ces questions. Cette proposition peut sembler anecdotique de prime abord, mais je crois savoir que l'état-major la prend très au sérieux.
J'en viens aux évolutions législatives ou réglementaires qui permettraient à ces outils publics de mieux exercer leurs missions. Lors de la réunion du Forum international de la cybersécurité (FIC) à Lille, le ministre de l'intérieur, M. Manuel Valls, a annoncé la création d'un groupe interministériel chargé d'étudier l'adaptation de notre droit aux nouvelles menaces liées au cyber. D'autres progrès pourront être envisagés dans le cadre de la future loi de programmation militaire.
Je m'étais montré assez critique en ce qui concerne le niveau européen, mais je me félicite aujourd'hui de la publication, le 7 février, de la nouvelle stratégie de l'Union européenne en matière de cybersécurité, qui s'accompagne d'une proposition de directive. Le président M. Jean-Louis Carrère m'a d'ailleurs désigné pour suivre ce sujet pour la commission des affaires étrangères, de la défense et des forces armées du Sénat avec notre collègue Jacques Berthou. Compte tenu des compétences de l'Union en matière de normes, de réglementation et de communication, il était important qu'elle se positionne sur ce sujet. Il y a d'ailleurs un lien entre législation nationale et européenne sur un point que j'avais mis en exergue, l'obligation de déclaration d'incident, notamment pour les entreprises et les opérateurs d'importance vitale. Lorsque ceux-ci sont attaqués, ils ont tendance à taire ce qu'ils considèrent comme un signe de faiblesse, qui pourrait leur faire perdre des marchés. Or c'est le contraire : plus ils ont de valeur, plus ils seront attaqués. Ils doivent donc l'assumer et accepter de se faire aider. L'obligation de déclaration d'incident les y aidera.
Après ces motifs de satisfaction, j'en viens aux aspects de mon rapport qui mériteraient d'être mieux pris en compte.
Tout d'abord, d'importants efforts restent à faire en matière de sensibilisation des administrations, du monde de l'entreprise, notamment des PME, et des opérateurs d'importance vitale. Je pense à l'organisation à l'intérieur des entreprises ou à la place donnée aux responsables des systèmes de sécurité. Ce n'est pas un enjeu technique, mais bien un enjeu économique ; nous sommes en guerre économique, et c'est notre chaîne de valeur qui est concernée. Les exemples qui ont été cités montrent que nous sommes confrontés à un véritable pillage. C'est donc un enjeu majeur pour notre économie et pour la préservation de nos emplois.
Il y a un lien entre cet aspect défensif et les opportunités de développement industriel et de création d'emplois qualifiés. Puisque nous avons parlé de l'actualité, permettez-moi d'évoquer l'entreprise chinoise ZTE, qui hésite toujours à s'implanter à Poitiers. Hier, notre collègue l'ancien Premier ministre Jean-Pierre Raffarin a estimé dans un quotidien local que mon rapport tenait des propos de café du Commerce sur ces sujets. L'actualité d'aujourd'hui - je pense au rapport de Mandiant, qui affirme sans ambiguïté l'existence d'un immeuble abritant des escouades entières de hackers à Shangaï - me donne raison. Je suis un ami de la Chine et je souhaite que l'on commerce avec elle ; ZTE est une belle entreprise. Pour autant, il ne faut pas être naïf : nous devons mettre en place un certain nombre de règles du jeu.
Un point a fait polémique dans mon rapport : la proposition d'interdire sur le territoire national et à l'échelle européenne le déploiement et l'utilisation des routeurs et autres équipements de coeur de réseau d'origine chinoise qui présentent un risque pour la sécurité nationale dans le contexte actuel. L'aspect positif dans tout cela, c'est que nous devons conforter notre outil industriel, tant au niveau français qu'au niveau européen. Nous avons de beaux fleurons - Thales, Cassidian, Bull, Sogeti ou Alcatel-Lucent - et de nombreuses PME innovantes. Sachons exploiter ces atouts.
Il y a là un enjeu de souveraineté nationale, voire de souveraineté européenne partagée. Nous avons déjà une Europe de l'aéronautique et une Europe spatiale. Pourquoi pas une Europe des industries de la cyber demain ? Le potentiel de développement et de création d'empois est considérable. Il reste que notre capacité de formation n'est pas à la hauteur en termes quantitatifs, comme en témoigne la difficulté de l'ANSSI à recruter. Or les perspectives sont réelles dans des domaines comme la cryptologie, l'architecture matérielle et logicielle et la production de certains équipements de sécurité ou de détection. Nous sommes performants, et les échanges avec les Chinois, les Américains ou les Russes existent pour certains produits. Mais sur les routeurs et les équipements de coeur de réseau, nous devons construire pour demain, à partir de nos fleurons, une capacité française et européenne.
Nous avons aujourd'hui une base industrielle et technologique de défense (BITD). Pourquoi ne pas avoir demain une base industrielle et technologique en matière de cyber (BITC) ? Le séminaire gouvernemental du 28 février et la feuille de route pour le numérique devraient nous permettre d'avancer sur ce sujet. Vous recevrez d'ailleurs tout à l'heure la ministre chargée de l'économie numérique, Mme Fleur Pellerin, qui est sensibilisée à cette question ; des progrès importants sont possibles.
Il me paraît également nécessaire de renforcer la sensibilisation des utilisateurs au respect des règles élémentaires de sécurité, que Patrick Pailloux appelle à juste titre des règles d'hygiène élémentaires.
Il nous faut enfin poser la question - sensible - de nos capacités offensives. La France dispose de capacités offensives. Si nous n'avons pas à mettre sur la place publique le dispositif opérationnel qui est le nôtre, qui est un vrai dispositif de dissuasion, nous pourrions néanmoins avoir une doctrine d'emploi. Devant la grande vulnérabilité de nos sociétés, et la possibilité d'une déstabilisation qui confinerait quasiment à une cyber-guerre, les efforts de sensibilisation que nous poursuivons à travers une réunion comme celle-ci ont toute leur importance.
M. Jean-Louis Carrère, président. - Je vais maintenant passer la parole à M. Eduardo Rihan Cypel, député de la Seine-et-Marne et membre de la commission chargée d'élaborer le Livre blanc sur la défense et la sécurité. Lors de la réunion de cette commission le 24 septembre dernier, M. Rihan Cypel a rappelé l'urgence d'une réaction nationale face aux menaces d'attaques stratégiques dans le domaine numérique.
M. Eduardo Rihan Cypel, député. - Peut-être serai-je amené à répéter certains aspects des interventions précédentes : c'est le signe que nous sommes d'accord sur les problématiques et les enjeux fondamentaux en matière de cybersécurité.
Depuis que je travaille à ces sujets, c'est-à-dire depuis mon élection en juin dernier, j'ai pu mesurer leur importance dans l'organisation de l'ensemble de la société. L'accélération de la révolution amorcée il y a une trentaine d'années a provoqué des bouleversements sociaux considérables. Tout est intégré aujourd'hui, ce qui pose avec force la question de la sécurité des réseaux et de l'acheminement de l'information, mais aussi celle de la sécurité de l'information elle-même.
De la protection du simple citoyen à la sécurité nationale et internationale, les enjeux sont multiples. Les spécialistes en ont une conscience claire : pour eux, ces enjeux ne sont pas seulement virtuels, ils sont aussi d'ordre physique et matériel. Les attaques contre nos systèmes d'information peuvent mettre à bas les circuits numériques pour nous empêcher de communiquer, pour récolter des informations dans le cadre de l'intelligence économique, pour déstabiliser les réseaux ; mais il est également possible, par exemple, d'ouvrir les vannes d'un barrage après avoir pris le contrôle de son système informatique, ou de s'emparer d'un système de contrôle de transports ferroviaires pour provoquer des accidents.
On se souvient du virus Stuxnet, qui a provoqué la désynchronisation des centrifugeuses iraniennes destinées à l'enrichissement de l'uranium et la destruction de 20 à 30 % de ces équipements. La dernière attaque de grande ampleur est celle qui a été menée l'été dernier contre la compagnie pétrolière saoudienne Aramco, infectant 30 000 ordinateurs de l'entreprise. On le voit, les cyberattaques peuvent quasiment provoquer un choc pétrolier.
Le cyberterrorisme prendra très probablement de l'importance dans les années à venir. Nous devons nous préparer à y faire face en mobilisant tous les efforts de la nation. Le Livre blanc de 2008 avait identifié ces sujets comme majeurs, les plaçant presque au même niveau que la dissuasion nucléaire et les forces balistiques conventionnelles. Cela représentait une prise de conscience importante.
Aujourd'hui, nous devons tenir trois enjeux principaux.
D'abord la sécurité nationale. Si l'ANSSI est au coeur de ce combat pour ce qui est de la protection de l'appareil d'État et des grandes entreprises, il reste du travail à accomplir dans tous les segments de la société française : je pense par exemple aux PME exposées au risque d'espionnage économique mais aussi aux particuliers confrontés à la cybercriminalité - près 10 millions de Français ont été victimes de cyberescroqueries l'année dernière pour un coût total estimé à 2,5 milliards d'euros -, notamment par défaut de sécurisation de leurs données bancaires et personnelles. Même si des progrès existent, la prise de conscience est encore insuffisante pour permettre une mobilisation nationale. Je souscris à l'idée selon laquelle la sécurité numérique est un enjeu d'indépendance nationale. La France doit prendre cette question à bras-le-corps.
Les travaux préparatoires au prochain Livre blanc accordent une importance centrale à la cybersécurité. Si je suis confiant de ce point de vue, je pense aussi que la formation est insuffisante.
Le deuxième enjeu est donc celui de la formation. Nous devons créer des filières universitaires qui nous permettront d'accroître le nombre d'ingénieurs dans ce domaine.
Le troisième enjeu est économique. Les questions de sécurité représentent une opportunité formidable pour créer de nouvelles filières économiques et industrielles. Les entreprises qui évoluent dans le secteur présentent des taux de croissance à deux chiffres. Nous avons des atouts - Cassidian, Thales et beaucoup d'autres -, mais il faut encore nous mobiliser car le travail ne fait que commencer.
M. Jean-Louis Carrère, président. - Cette mobilisation ne devra pas se relâcher après la remise du Livre blanc : il faut que la loi de programmation qui s'ensuivra corresponde à la volonté politique exprimée dans ce document.
Le capitaine de vaisseau Alexis Latty, de l'état-major des armées, va maintenant nous présenter le dispositif de cyberdéfense des armées, qui est dirigé par le contre-amiral Arnaud Coustillière, officier général à la cyberdéfense.
M. le capitaine de vaisseau Alexis Latty, état-major des armées - Comme l'ont montré les précédents intervenants, le cyberespace est devenu un nouveau lieu de confrontation.
Cette situation est appréhendée par le ministère de la défense selon une approche prioritairement opérationnelle.
Pour la sphère militaire, les enjeux relèvent de l'efficacité de notre outil de défense. Nous devons d'abord protéger les données classifiées ; ensuite être en mesure de continuer à opérer sous agression cybernétique afin de garantir notre autonomie d'appréciation de la situation et notre liberté d'action ; enfin, nous devons contribuer à assurer le bon fonctionnement de l'État en cas de crise cybernétique nationale majeure.
Les théâtres d'opérations cybernétiques - c'est là l'une de leur principale spécificité - englobent non seulement le théâtre classique d'une opération extérieure mais aussi le territoire national. L'exemple malien en est l'illustration la plus récente, avec des cyberattaques - d'ailleurs peu sophistiquées et d'ampleur limitée - contre des intérêts français en réaction à l'opération Serval.
Il faut reconnaître que l'état de cybersécurité du ministère de la défense, en dépit des efforts consentis depuis dix ans, n'est pas encore à la hauteur des risques et des menaces. Nous savons qu'un effort particulier doit être consenti sur les systèmes d'information embarqués, notamment concernant les systèmes d'armes et les automatismes des plateformes.
L'ambition du ministère, en totale adéquation avec les objectifs de la stratégie nationale, est de porter rapidement la cybersécurité au niveau adéquat puis de devenir un acteur majeur de la dimension « cyber » d'une coalition militaire internationale.
Pour y parvenir, nous avons retenu une approche globale. Un schéma directeur capacitaire oriente les actions à entreprendre sur un horizon de dix ans. Il appréhende l'ensemble des systèmes d'information du ministère, dans l'acception la plus extensive possible en raison non seulement du caractère centralisé de la chaîne opérationnelle de cyberdéfense, mais aussi de l'interdépendance des processus de cyberdéfense et de cyberprotection qui a été précédemment évoquée par le directeur de l'ANSSI.
Concernant les moyens, je soulignerai trois points.
Premièrement, notre organisation a été refondue en 2011. La chaîne opérationnelle de cyberdéfense est désormais centralisée sous l'autorité du chef d'état-major des armées. La chaîne fonctionnelle de cyberprotection est distribuée autour de cinq autorités qualifiées qui ont pour mission de mettre en état de cybersécurité les systèmes d'information dont elles sont responsables.
Deuxièmement, des investissements sont planifiés selon des modalités qui devront être confirmées par la loi de programmation militaire. Ils ménagent un équilibre entre, d'une part, l'acquisition des outils urgents ou indispensables, comme des chiffreurs de données, des sondes sur les systèmes et des logiciels d'analyse technique, et, d'autre part, des dépenses d'avenir visant à étudier la cyberdéfense spécifique des systèmes d'armes et à préparer les outils de demain.
Troisièmement, le renforcement de nos liens avec l'ANSSI s'illustre de manière exemplaire par la co-localisation en 2013 du centre d'analyse et de lutte informatique défensive du ministère avec le centre opérationnel de l'Agence, dans le cadre d'un partenariat de confiance inscrit dans la durée.
Cette politique ambitieuse passe par le développement de relations étroites avec des partenaires internationaux de confiance. Les exigences de souveraineté étant fortes - ce domaine fait partie du premier cercle de souveraineté, au même titre que la dissuasion -, l'orientation principale est de rechercher des convergences avec les partenaires qui ont le même niveau d'ambition, sans toutefois s'en rendre dépendant.
Dans les quelques minutes qui me restent, je voudrais rapidement développer un angle particulier, celui de l'adéquation des ressources humaines aux ambitions
Nous le savons, la cybersécurité repose pour une large part sur des hommes et des femmes. Aujourd'hui nous disposons d'environ 1 000 spécialistes à temps partiel, soit l'équivalent d'environ 300 postes à temps plein. Pour la période 2013-2020, un plan de renforcement de l'ordre de 400 spécialistes pour les armées a été engagé. Ce plan, qui devra également être confirmé par la loi de programmation militaire, vise à professionnaliser la fonction de cybersécurité au rythme d'environ 50 spécialistes additionnels à temps complet par an, qui est le rythme maximum de ce qu'il est possible de consentir.
Les facteurs de succès en manière de ressources humaines reposent sur plusieurs éléments.
En premier lieu, une gestion prévisionnelle performante des effectifs, des emplois et des compétences. Le modèle de ressources humaines des armées reposant sur la génération de compétences en interne, le plan de renforcement CYBER est une opportunité pour remodeler les parcours professionnels et la pyramide des emplois de nos spécialistes, ce qui constitue une priorité pour cette famille professionnelle composée de civils comme de militaires.
En deuxième lieu, l'émergence d'un écosystème national propice. La cybersécurité est un domaine qui a besoin d'innovation et d'échanges, notamment entre les acteurs opérationnels et les acteurs de la base industrielle et technologique de défense, voire au-delà. La défense nationale y contribue par plusieurs initiatives, avec en particulier l'émergence d'un pôle d'excellence en matière de formation de Brest à Rennes, la mise en place d'une chaire de cyberdéfense à Saint-Cyr Coëtquidan ou un projet de pôle « cyber » du monde maritime sur la place de Brest.
En troisième lieu, la promotion d'une hygiène cybernétique implacable Aujourd'hui, nous constatons que sommes loin du compte et que les maillons faibles se trouvent en réalité chez nos grands partenaires. Cette hygiène repose sur une sensibilisation régulière, notamment dans toutes les formations internes, sur une information régulière du niveau de menace, qui permet de rappeler les bonnes pratiques, et sur des contrôles a posteriori tels que l'analyse après incident.
Enfin, la sensibilisation de la société aux enjeux cybernétiques tout en y développant l'esprit de défense. C'est toute l'ambition de la création d'une réserve citoyenne de cyberdéfense, dont Luc-François Salvador a accepté d'être le coordonnateur national, dans le cadre d'un engagement éthique et citoyen. Cette réserve citoyenne agit tant au profit de l'ANSSI que des armées et pourrait devenir apte à contribuer au traitement d'une crise informatique majeure sur le territoire national.
En conclusion, le ministère de la défense s'attelle à relever les enjeux de la cybersécurité par la mise en oeuvre déterminée d'une vision directrice à dix ans. Les défis sont nombreux mais les acteurs civils ou militaires sont motivés et les relèveront.
M. Jean-Louis Carrère, président. - J'invite maintenant les parlementaires et les personnalités présentes dans la salle à poser leurs questions.
M. Stanislas Bourdeaut (Alcatel-Lucent). - Je remercie les intervenants d'avoir montré combien la cybersécurité est fondamentale pour la souveraineté nationale. Ce sujet est au coeur des préoccupations des équipes d'Alcatel-Lucent en France.
Quelle influence peut avoir l'ANSSI sur les opérateurs privés qui se sont développés dans notre pays ? Ses recommandations sont-elles écoutées ?
Si l'idée d'édicter des normes européennes est intéressante, ne risque-t-on pas toutefois d'assister à un alignement sur le moins-disant ?
Alors que le rapport de M. Bockel préconise à juste titre que l'on retranche des coeurs de réseau les équipements malveillants, notamment chinois, où en est la réflexion sur l'accès ? Le plan télécoms du Gouvernement vise à étendre le très haut débit à la fois aux fixes et aux mobiles. La norme de quatrième génération reposant essentiellement sur des protocoles Internet tout aussi exposés que les coeurs de réseau, ne conviendrait-il pas de réfléchir à des mesures de prévention ?
M. Patrick Pailloux. - En matière de normes européennes, le risque d'alignement sur le moins-disant est clairement identifié. La France joue ici un rôle d'explication et d'influence - j'ai même eu des échanges un peu difficiles avec la Commission européenne à ce sujet. Cela étant, je ne m'inquiète pas plus que de raison. Le sujet est bien identifié à l'échelle européenne, où l'on privilégie une stratégie de capacity building. Tous les État ne connaissent pas la même avance technologique, et de surcroît pas dans les mêmes domaines. Aussi la politique européenne vise-t-elle à tirer vers le haut l'ensemble du dispositif afin qu'il ne reste pas de maillon faible. Il est en effet probable, du fait de notre forte interconnexion, que d'éventuels attaquants utiliseront ce maillon.
La France, me semble-t-il, a eu une influence positive sur différents aspects de la stratégie européenne de cybersécurité dévoilée la semaine dernière. Je pense que nous allons dans le bon sens.
L'influence de l'ANSSI sur les opérateurs passe d'abord par un travail de sensibilisation et d'explication. Après avoir été victime d'une attaque, un opérateur a généralement une vision sensiblement différente de la situation !
Notre influence passe aussi par une action de régulation. Le dispositif législatif et réglementaire issu du « paquet télécoms » nous donne désormais la capacité de mener des audits auprès des opérateurs de télécommunication et de leur imposer des règles de sécurité. La question se pose toutefois pour les autres types d'opérateur.
M. Jean-Marie Bockel. - Je redis ici mon soutien aux salariés et aux responsables d'Alcatel-Lucent France. Je les ai rencontrés à plusieurs reprises et ils savent que je suis à leurs côtés. J'ai longuement évoqué leur situation avec Mme Pellerin. Nous ne devons pas oublier le caractère mondial de cette très belle entreprise, certes, mais nous devons nous garder de toute naïveté et renforcer ses chances. M. Montebourg est sensible à cet aspect : il nous faut protéger nos fleurons tout préservant leur capacité à être présents à l'international.
M. Patrice Laya, rédacteur du site Sécurité commune info et membre du Haut comité français pour la défense civile. J'attire votre attention sur la pénurie de ressources humaines. Les jeunes ingénieurs préfèrent s'orienter vers les nouveaux développements des mobiles. Une fois la crainte du bogue de l'an 2000 dissipée et le passage à l'euro accompli, les entreprises et les organisations se sont séparées de leurs ingénieurs système et réseau ancienne architecture. À l'approche de la soixantaine, ils se retrouvent sur le carreau. Ne conviendrait-il pas de mettre ces personnes à contribution ? Écrire des codes et faire de l'assemblage, c'est comme la natation : cela ne s'oublie pas !
M. Patrick Pailloux. - Il y a manifestement un déficit de formation. D'après une estimation menée avec les industriels qui recrutent dans ce domaine, il apparaît que la formation des experts de sécurité ne correspond qu'à un quart de ce qui serait nécessaire. Nous nous employons donc à développer des filières de sécurité, avec notamment l'ouverture d'une école spécialisée dans la région de Coëtquidan. Les cursus que nous mettons en place concernent bien entendu les jeunes, mais ils peuvent aussi permettre la reconversion de personnes ayant travaillé dans les systèmes et les réseaux.
M. Jean-Louis Carrère, président. - En faisant appel à ces personnes, on pourrait mettre en place des formes de tutorat comparables à celles que le Président de la République préconise.
M. Jean-Marie Bockel. - La filière a un potentiel de création de centaines de milliers d'emplois qualifiés. Au moment du choix de leur formation, les jeunes sont sensibles à la conjonction d'un volontarisme industriel français et européen et à l'effet de mode dont peut bénéficier l'activité en question.
M. Claude Kirchner, délégué général à la recherche et à la technologie de l'institut national de recherche en informatique et en automatique (INRIA). - Ma question, qui s'adresse à MM. Pascal Chauve et Stéphane Grumbach, concerne les données.
Naguère, lorsque l'on voulait acquérir de l'information, il fallait aller la chercher dans un endroit protégé par divers moyens, y compris cryptographiques. Aujourd'hui, on dispose également de données publiques, largement disponibles, dont l'agrégation et l'analyse permettront d'acquérir des informations que leurs détenteurs ne connaissent pas eux-mêmes. On peut imaginer que Google en sait beaucoup plus sur le ministère français de la défense que le ministère lui-même sur un certain nombre d'éléments.
Comment abordez-vous cette vulnérabilité et quels sont les moyens d'y répondre ?
M. Pascal Chauve. L'habitude de l'administration est de marquer d'un grand coup de tampon rouge ses informations classifiées. Elle s'attache à identifier précisément ce qui relève de la protection du secret de la défense nationale, de manière à ce que ces informations ne se retrouvent pas dans la nature : la compromission d'un secret protégé est punie par le code pénal.
Mais il existe une autre information, diffuse, qui permet par recoupement d'en apprendre beaucoup sur une entreprise ou sur un ministère comme par exemple le ministère de la défense, sur ses priorités, voire sur ses services de renseignement. Aucun coup de tampon ne peut résoudre ce problème, alors que l'accès au big data et à son traitement permet de dégager des informations précises. Pour remédier à cette situation préoccupante, il conviendrait sans doute d'étudier les technologies permettant de réaliser des recherches discrètes afin de dissimuler nos priorités. La discrétion des recherches, à laquelle l'INRIA travaille également, n'est pas qu'un sujet académique.
Pour le reste, nous ne disposons pas d'autre parade légale pour se protéger contre cette forme d'espionnage, que le régime de protection des données personnelles, qui ne s'applique dans le cas où de telles données, mélangées à des données de connexion ou, à des priorités de recherche, seraient compromises.
M. Stéphane Grumbach. - Il faut en effet distinguer les données classifiées, les données personnelles accumulées par des industriels comme Google ou Facebook, et les données ouvertes - open data -, très populaires en Europe.
Les sociétés que j'ai citées sont propriétaires de leurs données. Dans la limite de certaines normes, elles peuvent en faire usage tant pour tirer des informations personnelles que des informations globales au niveau d'une région. On le voit, la situation est très différente selon que tous les pays possèdent ces informations ou seulement certains. En l'occurrence, les données de l'Europe ne sont pas en Europe, si bien que nous ne pouvons pas en faire grand-chose. Cela soulève un problème de souveraineté, y compris concernant les informations sur l'état de notre pays.
Pour autant, les données produites en France transitent par des tuyaux situés en France. De fait, elles pourraient être accessibles aux autorités françaises moyennant une analyse des paquets.
M. Jean-Yves Le Déaut, député, premier vice-président de l'OPECST. - M. Pailloux pourrait-il apporter des précisions sur les mauvais résultats français en matière de tests de pénétration ?
Le capitaine de vaisseau Latty a pour sa part laissé entendre qu'il y avait des maillons faibles chez les grands partenaires du ministère de la défense. Peut-il en dire un peu plus ?
M. Patrick Pailloux. - Les pirates informatiques entrant facilement dans les réseaux de nos grandes entreprises, il n'est pas étonnant que les tests de pénétration produisent les mêmes résultats. Pendant trente ou quarante ans, nous avons développé des systèmes d'information sans nous préoccuper véritablement de la sécurité. Le sujet dont nous débattons ici était encore, il y a deux ans, l'apanage de cercles très restreints. Les grandes entreprises et les grandes administrations ne s'en préoccupaient guère. De sorte qu'aujourd'hui nos systèmes d'information sont des portes ouvertes et les règles élémentaires d'hygiène informatique - auxquelles nous avons récemment consacré un guide - ne sont ni appliquées ni enseignées aux ingénieurs.
Que les audits de sécurité détectent des vulnérabilités est inquiétant mais n'est pas surprenant. Ce qui importe, c'est que leurs résultats soient bien pris en compte par la suite. Il nous arrive malheureusement de retrouver les mêmes vulnérabilités lors d'un test ultérieur !
M. le capitaine de vaisseau Alexis Latty. - Il y a des maillons faibles partout, Monsieur Le Déaut. Par contraste, nous estimons que les mesures prises au sein du ministère de la Défense nous ont mis sur la bonne voie. Mais nous avons de nombreuses interactions avec l'extérieur : fournisseurs de matériels, concepteurs ou,- développeurs de systèmes, et tous sont susceptibles de se glisser dans les « interstices » - comme les qualifiaient précédemment M. Chauve - de nos systèmes. Nous avons également des interactions avec des prestataires de services, en particulier de télémaintenance, qui disposent de points d'accès sur nos réseaux. Toutes ces interactions nécessitent la plus grande vigilance et que soit maîtrisé le niveau de cybersécurité des prestataires associés.
M. Daniel Kofman, professeur à Télécom ParisTech et membre du conseil scientifique de l'OPECST. - Alors que l'on a évoqué à plusieurs reprises les problèmes pouvant se poser au niveau des coeurs de réseau, il me semble que les frontières du réseau présentent des vulnérabilités très importantes. Je veux parler des équipements personnels, tablettes et smartphones, qui seront demain les passerelles entre notre réalité physique et le reste de l'infrastructure. Quelle est la réflexion des participants à ce sujet ?
On a peu évoqué également les algorithmes destinés à traiter les masses de données, les big data. À l'avenir, ces algorithmes apporteront des conseils directs aux citoyens. Pour l'heure, rien ne garantit qu'ils ne sont pas biaisés et répondent véritablement aux intérêts de ceux qui soulèvent les questions.
M. Patrick Pailloux. - Les deux questions sont liées.
Le terminal personnel nous a fait changer de paradigme dans la mesure où la personne possède désormais un outil qui concentre la totalité de ses données : ses « contacts », ses messages électroniques, ses photos, sa localisation, ses accès à divers systèmes d'information. C'est donc un point de fragilité extrême en termes de sécurité, d'autant plus faible qu'il est techniquement beaucoup moins puissant qu'un ordinateur.
En plus, les systèmes de ces terminaux sont contrôlés par un très petit nombre d'acteurs : essentiellement Google et Apple. Un client qui achète un mobile muni du système Androïd doit s'inscrire chez Google, sans quoi son équipement ne fonctionnera pas. De même, l'acheteur d'un e-pad, e-phone ou autre est contraint de s'inscrire chez Apple. Bien que le modèle soit ouvert d'un côté, fermé de l'autre, on doit de toute façon passer par ces sociétés pour accéder à la totalité de l'information. Ce sont elles qui gèrent votre identité et vos accès, qu'elles peuvent le cas échéant couper. Le sujet, rarement évoqué, pose de sérieux problèmes.
M. Jean-Louis Carrère, président. - Auxquels s'ajoute celui de la dépendance à ces objets !
M. Eduardo Rihan Cypel, député. - Nous abordons en réalité un nouveau continent qui recouvre tous les autres et où se joue non seulement la sécurité nationale - tout le monde s'accorde sur la nécessité de sécuriser les domaines vitaux -, mais aussi, ce dont on parle beaucoup moins, la vie concrète de nos concitoyens. De la sécurité nationale au petit appareil dont nous nous servons pour nous interconnecter, les enjeux sont imbriqués. Un des deux opérateurs cités va jusqu'à refuser de sécuriser les systèmes qu'il diffuse, sans doute par attachement à une conception « libertaire ». Mais comme toute la vie concrète passe par ces terminaux, les points de fragilité risquent de rendre vulnérables des systèmes beaucoup plus vastes. L'utilisation des comptes bancaires et de différentes données personnelles permet, par exemple, des activités d'intelligence économique.
Demain, ce seront les réfrigérateurs et tous les autres appareils domestiques qui seront interconnectés avec notre terminal. Nous pourrons tout contrôler à distance. Les ingénieurs prendront la relève des plombiers, qu'il ne sera même plus nécessaire de faire venir puisqu'ils pourront travailler à distance.
Le changement d'ère est encore plus important que celui qui a suivi l'apparition de l'automobile. Nous en sommes encore à une phase exploratoire qui devra s'accompagner d'une régulation forte, non pas pour contraindre les personnes mais pour organiser ce nouvel univers.
M. Michel Cosnard, président-directeur général de l'INRIA. - Cette transformation de la société se traduit par une évolution de la notion de service public, puisque les questions dont nous parlons - défense nationale, mise en relation des citoyens, protection des données personnelles - relèvent bien du service public. La représentation nationale et l'OPECST réfléchissent-ils à cet aspect et à ses implications au regard de l'intérêt des citoyens ?
M. Bruno Sido, président de l'OPECST. - Si j'ai souhaité l'organisation de ces tables rondes ouvertes au public et à la presse, c'est parce que jamais, dans mes douze années de mandat sénatorial où j'ai pourtant rapporté deux projets de loi relatifs aux télécommunications, je n'ai constaté que l'on ait vraiment abordé ces sujets, hormis peut-être à la commission de la défense et des forces armées. Les discussions d'aujourd'hui nous permettront de décider s'il est opportun que l'OPECST se saisisse de la question.
M. Jean-Yves Le Déaut, député, premier vice-président de l'OPECST. - C'est à la suite d'auditions de l'INRIA que nous avons mesuré l'ampleur des problèmes, déjà abordés néanmoins par la commission de la défense et des forces armées de l'Assemblée nationale. L'OPECST a coutume d'être une passerelle entre le Parlement, le monde de l'université, le monde de la recherche et le monde industriel, mais c'est la première fois qu'il traite d'un sujet commun avec la défense. Les thèmes abordés ce matin ont des implications dans le domaine militaire. Cet après-midi, nous discuterons de leurs aspects civils.
Ces sujets majeurs pour notre pays relèvent bien, comme l'a dit M. Cosnard et comme l'ont bien démontré tous les intervenants, du service public. Nous devons nous en saisir. Se pose en particulier la question de la gouvernance mondiale de l'Internet. En dépit de quelques évolutions, le dispositif actuel, fondé sur des initiatives d'industriels américains privés, reste insatisfaisant. Au niveau national, les systèmes qui se mettent en place ont encore des progrès à faire.
M. Jean-Louis Carrère, président - Il me semble en effet que nous avons ici la première structure publique de débat sur ce thème. Et notre participation à des travaux qui requièrent une certaine confidentialité, quand ils ne sont pas soumis au secret défense, est assez récente. Nous n'avions pas l'habitude de ces préoccupations concernant nos téléphones mobiles, tablettes ou autres !
La Commission des affaires étrangères, de la défense et des forces armées du Sénat a travaillé à ces questions lors de la préparation de sa contribution au Livre blanc, il y a un peu plus d'un an. Auparavant, le rapport sur la cyberdéfense remis par Roger Romani en 2008 avait constitué une première parlementaire.
Je reconnais néanmoins que le Sénat s'en est tenu pour le moment à l'aspect de la cyberdéfense, sans explorer assez un autre aspect que je dois taire mais qui est indispensable. Comment, en effet, élaborer un dispositif de cyberdéfense avec des moyens seulement défensifs ?
Au sein de la commission du Livre blanc, le groupe de travail consacré au renseignement a beaucoup réfléchi à la cyberdéfense. Je crois ne trahir aucun secret en affirmant que ce sujet fera partie des priorités du document final.
Je remercie tous les intervenants pour la qualité de ces échanges.
- Présidence de M. Le Déaut, député, premier vice-président de l'OPECST -
Deuxième table ronde : Fiabilité et sécurité numérique des systèmes d'armes
M. Jean-Yves Le Déaut, député, premier vice-président de l'OPECST, président. - La première table ronde de la matinée visait à prendre la mesure de l'intensité des menaces induites par les attaques informatiques pour notre système de défense. Il s'agissait ainsi à proprement parler de la sécurité numérique. Cette seconde table ronde portera plutôt, quoique non exclusivement, sur la sûreté numérique.
Dans le domaine numérique comme, par exemple, dans le domaine nucléaire, la « sûreté » concerne les conditions du bon fonctionnement en soi et la garantie de réalisation de l'objectif par une mise en oeuvre conforme à la conception, tandis que la « sécurité » concerne la résistance aux agressions volontaires externes et la capacité de continuer à fonctionner face aux attaques délibérées.
Permettez-moi d'illustrer cette différence avec un exemple tiré de l'actualité : dans le cas des lasagnes surgelées, la sûreté garantit que les barquettes mises en vente contiennent bien un mélange de pâtes et de viande de boeuf, tandis que la sécurité garantit que le produit est propre à la consommation. L'utilisation de viande de cheval est ainsi révélatrice d'une défaillance de sûreté du dispositif de production, mais pas à proprement parler d'une défaillance de sécurité.
Dans un monde devenu numérique, cette seconde table ronde vise donc à analyser les conditions permettant de garantir la sûreté des dispositifs numériques au coeur des systèmes d'armes comme des systèmes civils. La sûreté de la fabrication des systèmes numériques comporte, pour l'essentiel, une part qui n'est pas spécifique au domaine de l'armement. Dans tous les domaines en effet il faut modéliser, simuler et calculer le futur. Cet impératif se traduit par une préoccupation de qualité qui est commune aux secteurs civil et militaire : un système de pilotage automatique doit faire l'objet d'un contrôle très poussé, qu'il soit destiné au cockpit d'un avion de ligne ou à la tête de guidage d'un drone.
Je souhaiterais cependant que nos échanges d'aujourd'hui puissent montrer dans quelle mesure les technologies numériques sont effectivement duales, c'est à dire s'appliquent indifféremment aux domaines civil et militaire. En tant que nouveau membre de la Commission de la défense et rapporteur de l'avis budgétaire sur la prospective de la politique de défense, je suis en effet amené à m'interroger directement sur les conditions dans lesquelles des solutions du marché peuvent suffire pour répondre à des besoins liés à certains composants d'armement. Quelle recherche duale faut-il susciter ? Comment s'explique la carence de formation et comment y remédier ?
On peut se demander s'il n'existe pas des contrôles supplémentaires touchant en fait plus à la sécurité qu'à la sûreté et visant à repérer des capteurs espions ou des trappes aménagées intentionnellement afin de surveiller ou manipuler ultérieurement les systèmes une fois qu'ils sont en opération. Qui doit, en outre, gérer ces trappes si elles existent ?
Pour ce qui est de l'interconnexion des systèmes, la question de l'arbitrage entre gain et risque se pose pour des systèmes militaires comme pour des systèmes civils, tels les outils dématérialisés de transaction bancaire. Dans le cas des activités bancaires et financières, l'arbitrage a conduit manifestement à choisir le développement des interconnexions. N'y a-t-il pas des dimensions spécifiques à prendre en compte pour les interconnexions dans le monde militaire et les problèmes d'arbitrage ainsi soulevés ne sont-ils pas alors des vieux problèmes, déjà rencontrés face aux possibilités offertes par des formes plus anciennes de réseaux - notamment routiers ou ferrés ? Comment les systèmes d'information des différentes armées communiquent-ils ? Les faire communiquer présente-t-il plus d'avantages que de risques ?
On sent bien, intuitivement, que la multiplication des interconnexions apporte des gains d'efficacité pour la conduite des opérations, mais qu'en même temps elle rend les centres névralgiques plus directement vulnérables si l'ennemi parvient à pénétrer dans le réseau. Quelles sont les évolutions prévues ?
Quels sont les liens avec les milieux académiques ? Quelle recherche en SSI le ministère de la défense et la DGA promeuvent-ils ? Est-ce suffisant ?
Enfin, alors que la Direction générale de la sécurité extérieure (DGSE) et la Direction du renseignement militaire soulignaient hier devant la commission de la défense l'importance du traitement des informations, disposons-nous de systèmes suffisants en la matière ?
Avec plus de 1016 opérations à virgule flottante par seconde, la vitesse des calculateurs dépasse aujourd'hui le pétaflops. Combien en coûtera-t-il d'atteindre le chiffre de 1021 ? Les meilleurs seront-ils demain ceux qui possèdent les systèmes de calcul les plus puissants ?
Nous allons maintenant entendre M. Didier Brugère, directeur des relations institutionnelles et de l'intelligence économique du groupe Thales - lequel doit veiller à préserver tout au long de la chaîne industrielle, de la conception à la finition, la qualité et la sécurité des produits qu'il livre, notamment pour ce qui concerne les systèmes numériques qu'intègrent ces produits.
M. Didier Brugère, directeur des relations institutionnelles et de l'intelligence économique, Thales. - Je commencerai par une anecdote : voilà environ vingt ans, l'entité que je dirigeais avait livré à l'un de nos clients militaires un système opérationnel embarqué qui, pour des raisons de coût, utilisait de la micro-électronique civile. En examinant l'un de ces équipements qui nous avait été retourné à la suite d'une panne, nous avons constaté qu'il était infesté par un virus. Plus surprenant encore : des jeux électroniques avaient été intégrés dans le système. Après enquête menée avec l'utilisateur, il est apparu que l'un des opérateurs, utilisant le lecteur de disquettes du système civil, avait introduit des jeux récupérés auprès de ses enfants et dont l'un était piraté et porteur d'un virus.
La première leçon de cette anecdote est que les problématiques que nous rencontrons aujourd'hui ne datent pas d'hier. Ce qui est nouveau, c'est la prise de conscience de l'importance et du danger de cette menace.
La deuxième leçon est que la vulnérabilité des systèmes de défense vient souvent de l'emploi des technologies civiles, bien connues et largement ouvertes et interconnectées. Cet emploi appelle certaines précautions.
La troisième est qu'il ne faut pas agir seulement au stade de la conception ou du développement d'un système, mais tout au long du cycle de vie des équipements.
Pour ce qui concerne le premier point, les industriels, dont Thales, s'emploient depuis des années à développer et intégrer des savoir-faire liés à la sécurité. Thales travaille ainsi depuis des décennies sur le chiffrement et la cryptographie et le fait que nous employions environ 1 500 ingénieurs dans ce domaine est le résultat de ces travaux engagés de longue date.
Pour ce qui concerne le deuxième point, les performances croissantes des systèmes d'armes tiennent à l'utilisation croissante des capacités de l'informatique, issues du monde civil et appliquées à des systèmes de défense. Pour bénéficier de l'apport de ces technologies numériques tout en assurant fiabilité et sécurité, il faut établir entre l'ensemble des intervenants des processus de développement - grandes entreprises, PME-PMI, services officiels et utilisateurs - une chaîne de confiance, un écosystème industriel qui s'inscrira dans la durée - c'est-à-dire parfois sur dix ou vingt ans, voire trente.
Cela suppose toujours une forte dimension nationale, car les enjeux relèvent de la souveraineté nationale. Une ouverture européenne est souhaitable et possible, mais elle est encore limitée.
Cela suppose aussi la maîtrise de certaines technologies critiques et des moyens de production associés. Ainsi, notre maîtrise des technologies et des savoir-faire en matière de chiffrement et de cryptographie nous assure une pleine indépendance sur ce terrain. Si nous sommes leaders dans ce domaine, c'est parce que l'État a investi depuis de nombreuses années dans l'industriel national spécialiste du chiffrement.
Cela suppose également la conception et la réalisation de composants électroniques. Si nous avons mis en place avec EADS une filiale commune pour les composants hyperfréquence - UMS - et racheté récemment la petite société allemande SYSGO, qui développe des systèmes d'exploitation à haut niveau de fiabilité et de sécurité, c'est pour pouvoir garder en France ou en Europe la maîtrise de ces technologies.
Cela suppose encore le développement de champions nationaux. Je ne reviendrai pas sur ce point, qui a été évoqué tout à l'heure, mais il faut mettre en oeuvre une véritable politique industrielle dans ce domaine.
Cela suppose enfin le développement d'expertises très pointues, c'est-à-dire la mobilisation et l'entretien de tout un ensemble d'acteurs dans le domaine de la formation et de la recherche. En soutenant des chaires consacrées aux systèmes complexes à l'École Polytechnique ou sur la cybersécurité à Saint-Cyr, Thales contribue à développer cet écosystème.
Quant à la troisième leçon, selon laquelle tout ne se règle pas dès la conception et qu'il faut être capable de surveiller et de garantir la fiabilité et la sécurité du système tout au long de sa durée de vie, elle suppose la mise en place de mécanismes de surveillance et de détection en temps réel de l'intégrité des processus. Être en mesure de proposer de tels dispositifs est pour Thales un important axe de recherche.
Il faut pour cela une grande coopération entre l'ensemble des acteurs, notamment entre le fournisseur et l'utilisateur. Cette relation exige un partenariat de confiance fondé sur l'acceptation par les industriels de contraintes et d'engagements. Le ministère de la défense et l'Agence nationale de la sécurité des systèmes d'information (ANSSI) ont en la matière un rôle à jouer.
Une approche globale au niveau des systèmes, la maîtrise des technologies critiques, l'investissement dans la recherche et la formation, la surveillance continue des processus et la notion de partenaires de confiance sont, pour conclure, les concepts clés qui doivent guider notre approche de la fiabilité et de la sécurité des systèmes de défense face aux cyber-menaces.
Ces domaines dépassent le cadre des seuls systèmes de défense et touchent l'ensemble des systèmes d'information critiques que l'on retrouve aussi bien dans l'aéronautique que dans le secteur de l'espace ou dans les infrastructures de transports et d'énergie. Ce que nous faisons dans le domaine de la défense trouve très naturellement à s'appliquer dans les autres domaines. Thales, dont les activités relèvent pour moitié de la défense et pour moitié du domaine civil, s'attache donc à développer cette capacité à maîtriser les systèmes d'information critiques, qui conditionne la mutualisation des efforts et des investissements et rend la charge du développement des savoir-faire et des technologies supportable pour nos clients et pour nos propres capacités d'investissement. Cette mutualisation et cette approche globale des systèmes de souveraineté doivent nous permettre de rester leader en matière de maîtrise de la cyber-sécurité des grands systèmes.
M. Jean-Yves Le Déaut, député, président. - Je vais donner maintenant la parole à M. François Terrier, chef du département ingénierie des systèmes et logiciels au laboratoire d'intégration des systèmes et des technologies du Commissariat à l'énergie atomique (CEA).
Monsieur Terrier, vous n'êtes pas directement en prise avec la production d'armes et nous ne sommes d'ailleurs pas ici pour chercher à dévoiler des secrets stratégiques. En revanche, vous semblez bien placé pour essayer de nous faire comprendre, à partir d'exemples tirés de ces outils délicats à mettre au point que sont les armes, quels sont les enjeux, en termes de fiabilité et de sécurité, de la fabrication de systèmes comportant un coeur numérique. Peut-être pourrez-vous préciser au passage les précautions supplémentaires imposées par le métier de l'intégration des systèmes dans l'univers militaire.
M. François Terrier, chef du département ingénierie des systèmes et logiciels au laboratoire d'intégration des systèmes et des technologies du Commissariat à l'énergie atomique. - La volonté d'embarquer de plus en plus d'intelligence dans divers objets se traduit par des fonctionnalités de plus en plus riches, par une certaine complexité et par la nécessité d'interconnexions, de communication et d'ouverture. Des systèmes embarqués ne peuvent être figés d'emblée et ils doivent pouvoir s'adapter à un environnement changeant. Compte tenu de la complexité que cela suppose, des défaillances de sûreté sont possibles, et des portes permettent les interventions d'un système extérieur, comme cela a été identifié pour des réseaux électriques. Des objets courants peuvent ainsi devenir accessibles à des attaques, comme les réseaux de distribution d'énergie ou les réseaux routiers, ainsi que les systèmes automobiles. L'un des enjeux est donc la mise en place d'une ingénierie système et logicielle permettant d'analyser tout au long du processus les différents éléments à valider et certifier pour que le système soit correct.
Il s'agit donc d'un enjeu à la fois économique, lié à la qualité du produit, et de défense, lié à la mise en danger du territoire.
Ce développement de nouvelles techniques s'accompagne de la conscience que les systèmes sont développés par briques et qu'ils sont approvisionnés par des éléments provenant d'un marché très divers et ouvert, à propos duquel on ne dispose pas de tous les éléments d'information. Il est donc essentiel de pouvoir certifier ces éléments et d'intégrer cette certification dans la démonstration de sûreté ou de sécurité de l'ensemble du système. À cet égard, les normes sont des éléments structurants de la mise en place des processus de certification.
Il conviendra également de développer de nouveaux outils technologiques. Le CEA a développé des outils et des expertises permettant de concevoir des architectures de systèmes sûrs et de réaliser des analyses de sûreté de systèmes - liés certes au nucléaire, mais aussi à des domaines tels que l'avionique et l'automobile - avec des exigences variables en fonction des domaines. Nous tenons compte du besoin d'adapter ces outils en vue de la sécurité, compte tenu notamment du fait que les techniques formelles que nous utilisons pour l'analyse de sûreté d'un système pourront être déployées et adaptées pour réaliser des analyses de sécurité des logiciels embarqués dans ces systèmes. Cela supposera des recherches complémentaires, mais les bases de cette démarche sont bien structurées et très prometteuses.
La recherche et développement basée sur des techniques informatiques formelles progresse également au niveau européen, avec des projets importants regroupant de nombreux acteurs de la recherche et de l'industrie. Une conférence a d'ailleurs été organisée au début de la semaine sur le « e-government », c'est-à-dire les services en ligne destinés aux États, et les problèmes de sécurité correspondants.
Il importe donc de soutenir les techniques de développement et les chaînes d'outils utilisées pour développer les logiciels, afin de les adapter pour assurer un suivi de la sûreté de systèmes de plus en plus complexes en veillant à l'adaptabilité et à la reconfiguration des systèmes. Il convient également de prendre en compte le volet sécurité, qui présente des caractéristiques et des propriétés complémentaires à celles de la sûreté. Certaines technologies sur lesquelles travaille le CEA ont été développées en collaboration avec d'autres acteurs académiques, dont l'INRIA. Cet axe de travail est appelé à croître au cours des prochaines années.
M. Jean-Yves Le Déaut, député, président. - Monsieur Jean-François Ripoche, vous êtes ingénieur en chef de l'armement et remplissez au sein de la Direction de la stratégie de la Direction générale de l'armement (DGA) la fonction un peu énigmatique d'architecte « Commandement et maîtrise de l'information ». Après nous avoir précisé la nature de vos responsabilités, vous voudrez bien aborder le sujet du deuxième thème de cette table ronde, qui consiste à faire le point sur l'arbitrage entre les gains et les risques de l'interconnexion des systèmes numériques en matière d'armement.
M. Jean-François Ripoche, ingénieur en chef de l'armement. L'intitulé complet de ma fonction est le suivant : « architecte du système de forces `commandement et maîtrise de l'information' ». Je suis chargé, conjointement avec l'État-major des armées, de préparer les programmes du futur pour les aspects liés à l'équipement, en matière notamment de recherche et de technologie, incluant les études amont. Il s'agit donc de l'amont des programmes d'armement.
Après les interventions que nous avons entendues, il ne fait aucun doute qu'un risque existe. Les deux précédents exposés, qui ont évoqué la fiabilité et la sécurité dans toute la filière de production des équipements, ont fait apparaître qu'il existait un champ de solutions concrètes, mais que des points clés devaient être surveillés - nous disposons de chiffreurs du meilleur niveau, mais cela ne suffit pas.
Pour ce qui est du gain, l'interconnexion des systèmes de défense est aujourd'hui un fait et une nécessité qui répond à des impératifs militaires. Il nous faut mieux connaître l'environnement dans le cadre des opérations - position des amis, des ennemis et des neutres, géographie, géolocalisation, météo... Les opérations peuvent être menées très vite, comme l'illustre la réactivité qu'il a fallu avoir pour l'opération Serval. Nos systèmes d'armes doivent être aussi efficaces que possible, face par exemple à la loi du nombre ou dans un cadre asymétrique, et leurs effets doivent être totalement maîtrisés, en termes de précision des cibles et d'effets collatéraux. Pour améliorer le temps de traitement des cibles par exemple, il faut accélérer le cycle du renseignement - orientation des capteurs pour savoir où regarder à grandes mailles, détection de points d'intérêt, analyse et action. Devant un ennemi furtif et très mobile, qui se déplace en pick-up et peut se cacher dans des grottes, il faut aller très vite et la réduction du délai séparant la constatation d'un indice d'activité et le traitement de la cible passe nécessairement par l'interconnexion.
Nous adoptons donc une posture de gestion du risque et une approche globale. Dans le monde de la défense, la notion de « systèmes d'information » ne se limite pas aux systèmes d'information opérationnelle informatiques à base de support tels que les messageries, mais elle englobe aussi les systèmes d'armes et les systèmes industriels qui peuvent se trouver dans leur environnement. Dans cette approche globale, les moyens de défense en complément des moyens de protection sont très importants. La maîtrise nationale de certains éléments clés du système est primordiale. Elle doit être étendue, au-delà des composants, à des briques logicielles ou à des plateformes de ce domaine. Il est également primordial de connaître l'état de la menace cybernétique.
J'en viens à l'arbitrage entre gain et risque. Pour des raisons budgétaires, mais aussi de performance, les systèmes militaires recourent dans une large mesure à des équipements civils ou dérivés du monde civil, comme l'automate de propulsion pour les navires et les chaînes de mobilité des blindés, dérivées du monde du camion, sans parler des systèmes d'information dans l'acception traditionnelle du terme.
La dualité est une opportunité, car le monde civil développe lui aussi de nombreuses protections qui peuvent nous servir, comme la biométrie permettant l'authentification des accès, les pare-feu sur les réseaux ou certaines messageries de niveau sensible.
En revanche, le monde civil s'est peu penché sur les hauts niveaux de sécurité, qui représentent un marché très étroit dans lequel la rentabilisation des efforts de recherche et de développement n'est pas assurée.
L'une des voies à suivre pourrait consister à utiliser ou encourager des initiatives européennes. Certains microprocesseurs, par exemple, pourraient être développés dans des filières européennes là où il n'existe que des filières asiatiques ou américaines.
Dans ses travaux axés sur la préparation de l'avenir, la DGA s'attache à mettre au point des architectures systèmes résilientes et prenant en compte à la fois les capacités de protection que nous pouvons intégrer et les vulnérabilités existantes. Ces architectures systèmes ne peuvent pas être universelles et doivent être adaptées à chaque cas et à chaque classe de cas : on ne protège pas un système d'information comme un système d'armes ou un système industriel - à quoi bon avoir un excellent chiffreur si la porte du local électrique est ouverte ?
Ces systèmes ne doivent pas seulement être protégés : il faut les rendre défendables, ce qui suppose de savoir comment ils sont construits et d'être capables d'analyser les flux de données. Il faut aussi les rendre résilients, ce qui pourrait passer par une forme de convergence entre la sûreté de fonctionnement et la sécurité assez prometteuse. Si une telle démarche avait été adoptée dès le début face à Stuxnet, peut-être y aurait-il eu la mise en place à la fois des dispositifs de protection et des dispositifs empêchant l'instrument de se mettre dans un mode de défaillance. Ces deux approches couplées sont potentiellement très intéressantes.
Le monde de la défense se caractérise par une grande hétérogénéité de ses systèmes d'armes. Un Rafale va durer plus de quarante ans, et l'on voit bien la différence entre l'informatique d'il y a quarante ans et celle d'aujourd'hui. Les nouveaux systèmes que nous développons tiennent compte dès le départ de l'impératif de sécurité informatique. Pour les systèmes existants, nous faisons au mieux, en évitant les maillons faibles. De simples mesures organisationnelles peuvent permettre d'atteindre à coûts mieux maîtrisés l'objectif d'une meilleure sécurité informatique.
Enfin, la question de l'interopérabilité avec nos alliés est très importante. Face à la multitude de systèmes en usage dans les différents pays et au sein de l'OTAN, seules les démarches pragmatiques ont un avenir. L'Afghan Mission Network, en Afghanistan, avait ainsi assez bien réussi à cantonner les problèmes de sécurité de l'information à certaines interfaces, avec des passerelles d'accès à des réseaux, l'OTAN défendant ses réseaux pendant que les nations défendaient les leurs.
Nous vivons dans un monde interconnecté, y compris pour la défense, avec un risque que nous nous efforçons de gérer au mieux. Cela nécessite un effort sur le plan des ressources humaines comme sur le plan financier. Le budget affecté aux études amont réalisées par la DGA devrait doubler en 2013 par rapport à 2012. La sélection des sujets que nous traitons se fait en étroite collaboration, voire en cofinancement, avec l'ANSSI, afin que l'ensemble de la communauté nationale puisse bénéficier de ces travaux.
M. Jean-Yves Le Déaut, député, président. - Je vais maintenant donner la parole à M. Jean-Luc Moliner, qui va nous apporter l'éclairage qui procède de l'expérience d'un grand groupe international - Orange - en matière de gestion des risques liés à l'interconnexion des systèmes numériques. Pour avoir été antérieurement responsable de la sécurité des systèmes d'information à l'État-major des armées, M. Moliner a une parfaite connaissance des enjeux de la « guerre en réseau ». Il a également vécu récemment l'attaque qui a valu aux clients d'Orange une journée de gratuité.
M. Jean-Luc Moliner, directeur de la sécurité, Orange. - La panne du 6 juillet 2012, qui a entraîné l'indisponibilité du réseau pendant 11 heures, n'était pas le résultat d'une attaque, mais le résultat d'une panne technique d'un élément essentiel de notre coeur de réseau.
Orange est à la fois un opérateur international présent dans plus de 170 pays à travers le monde, gérant un réseau d'interconnexions mondial, et un prestataire de services fournissant des réseaux fermés aux principaux services de l'État et des transmissions aux services de la défense aérienne ou de la coordination du trafic aérien. L'interconnexion est l'élément fondateur de l'explosion actuelle des télécommunications. C'est le moteur de la vie que connaîtront demain tous les citoyens.
Les interconnexions permettent aux individus un partage dynamique et fluide de l'information. N'importe où dans le monde, on peut aujourd'hui se connecter avec des délais de réponse inférieurs à quelques secondes, voire à la seconde. L'interconnexion est démultipliée par l'« Internet des objets ». Des millions d'objets sont déjà connectés à des réseaux intelligents. Demain, on en comptera des milliards. Cette déferlante est tournée vers l'optimisation des « réseaux intelligents » ou de la « ville intelligente ».
Cette évolution a des effets que certains peuvent juger pervers, comme la possibilité de savoir combien de personnes viennent d'entrer dans la maison ou quel est votre profil d'utilisation de certains services - eau, électricité ou chauffage, par exemple.
Le marché des télécommunications explose : on comptait chaque mois 600 millions de gigaoctet en 2011, puis 1 300 millions en 2012. Ce chiffre doublera en 2013, pour atteindre 10 800 millions de gigaoctet par mois en 2016. Cette quantité d'informations doit circuler d'une manière parfaitement fluide, avec des taux de disponibilité élevés.
La structuration des réseaux a pour objet de transférer des contenus, qui circulent entre des data centers entre l'Asie, l'Europe et les États-Unis, et de permettre à un utilisateur d'avoir accès à ces données. Les profils d'utilisation sont très variés. Ainsi, 10 % des clients d'Orange consomment 70 % de notre bande passante.
L'une des questions qui peuvent se poser aux armées est celle de savoir où dans le système se situe la puissance de calcul - près des données ou près des utilisateurs -, ce qui pose des problèmes d'architecture assez compliqués.
L'interconnexion provoque des problèmes de sécurité dans notre propre écosystème comme avec les écosystèmes avec lesquels nous pouvons être interconnectés.
Au-delà des questions de disponibilité, les problèmes intérieurs sont principalement dus au comportement des usagers. Nos clients ne sont pas sensibilisés à ces questions et tous les opérateurs de télécoms ont parmi leurs clients un pourcentage assez significatif de gens qui hébergent des réseaux de Botnet, malwares qui vont à leur tour attaquer d'autres systèmes.
En France, des réglementations nous empêchent d'avertir de manière proactive le client qu'il est infecté. Les attaques, quant à elles, sont massives. Ainsi, l'an dernier, des flux de données de 40 gigabits par seconde circulaient sur notre réseau en direction de quelques cibles, provoquant des effets collatéraux assez importants. Ces données provenaient du monde entier dans des attaques coordonnées. Nous savons gérer des attaques de ce type, mais elles perturbent profondément les réseaux pendant plusieurs heures et leur généralisation poserait à terme d'importants problèmes.
Nous sommes par ailleurs handicapés par l'industrie du logiciel. Le développement mal maîtrisé du langage Java, fourni par la société Oracle, est à l'origine de nombreuses failles installées chez tous les clients utilisant ce type de logiciels et nous ne disposons pas de normes ou de processus permettant de garantir que les logiciels, même destinés au grand public, présentent un niveau de sécurité acceptable. Du reste, la diffusion de logiciels de mauvaise qualité ne cause aucun dommage à la société Oracle.
Des problèmes de filtrage se posent au niveau des frontières. Le monde des télécoms a en effet été imaginé par des gens bien élevés qui n'ont pas envisagé les attaques massives que nous connaissons et qui, pour nous, se traduisent principalement par de la fraude.
L'interconnexion des réseaux au profit des différentes armées ou du Gouvernement est un peu plus simple, car un réseau fermé d'abonnés permet un niveau de sécurité que la DGA ou le Secrétariat général de la défense nationale peuvent juger satisfaisant. En revanche, la sécurité des équipements de réseau pâtit d'un système relativement hétérogène, comprenant des matériels provenant d'une douzaine de fournisseurs dont les centres de développement et de fabrication sont établis principalement en Asie, y compris pour des sociétés américaines ou européennes. L'une des difficultés consiste donc à s'assurer que les équipements que nous sommes contraints d'acheter chez eux présentent un niveau de qualité suffisant. Faute de pouvoir vérifier toutes les lignes de code fournies, il nous faut assurer une gestion du risque sur le fonctionnement normal de certains événements. Qui plus est, les évolutions de ces logiciels sont relativement fréquentes, avec des paliers technologiques tous les six à neuf mois. Maintenir une infrastructure mondiale de télécoms qui soit à la fois intègre et disponible et qui puisse satisfaire l'ensemble des objectifs que nous nous sommes fixés est un véritable challenge.
L'interconnexion des systèmes d'information suppose, pour permettre la surveillance de nos propres systèmes, l'intégrité des informations qui remontent, afin d'éviter le déclenchement intempestif de systèmes automatiques d'autoprotection face aux attaques.
M. Jean-Yves Le Déaut, député, président. - M. Christian Malis est professeur associé à Saint-Cyr Coëtquidan. Il a aujourd'hui pour tâche de montrer que les questions que nous nous posons à propos des enjeux stratégiques de l'interconnexion des moyens numériques modernes en termes d'avantages et de risques sont en fait des questions anciennes qui se sont déjà posées dans le passé lors d'avancées techniques intervenues dans les réseaux de communication au sens large, c'est-à-dire concernant aussi bien le transport des moyens militaires que le transport d'information.
M. Christian Malis, historien, professeur associé à Saint-Cyr Coëtquidan. - Je m'exprimerai en tant que professeur d'histoire militaire à Saint-Cyr. Il se trouve que j'appartiens aussi à la société Thales, mais je tiens à préciser que ce n'est pas moi qui exprime aujourd'hui le point de vue de cette société.
Je vais m'efforcer de tirer brièvement de l'histoire de la guerre et de l'impact stratégique de certaines transformations techniques quelques éléments de jugement sur le problème qui nous préoccupe dans le cadre de cette table ronde.
La perspective de l'histoire est-elle légitime ? Le monde numérique interconnecté présente toutes les apparences de l'hypermodernité, mais il présente incontestablement aussi des équivalents historiques. Le cyberespace est une nouvelle infrastructure de transport d'informations dont les origines sont au moins partiellement militaires - si l'on fait d'ARPANET, le réseau américain de la DARPA, l'ancêtre de l'Internet - mais aussi un milieu social et une réalité géopolitique. En ce sens il peut être rapproché, à vingt siècles de distance, du réseau des voies stratégiques romaines, dont la construction s'est étalée sur quatre siècles et qui représentait un système véritablement dual : ces routes, qui devaient faciliter le passage des légions et des lourds convois d'artillerie avaient également une vocation économique pour la circulation des négociateurs et des biens, ce qui en a fait un outil de propagation de la civilisation romaine.
Sans remonter aussi loin, j'évoquerai maintenant la mise en place au XXe siècle et la succession d'infrastructures de transport et de communication qui ont modifié en profondeur la stratégie et la morphologie de la guerre : le réseau ferré et le réseau télégraphique pendant la Première Guerre mondiale, puis l'usage du réseau routier pour le déplacement des armées motorisées et blindées pendant la Deuxième Guerre mondiale et enfin le réseau stratégique de transport aérien américain mis en place lui aussi durant la Deuxième Guerre mondiale. Je m'efforcerai de présenter leur succession comme obéissant à une logique dialectique.
J'évoquerai d'abord la Première Guerre mondiale et les nouvelles infrastructures de la guerre industrielle.
L'historien israélien Martin Van Creveld a baptisé « âge des systèmes » la période de 1830 à 1845 du point de vue de la technologie militaire. Désormais, l'organisation s'applique à la technologie, et non plus seulement à des êtres humains. Les machines se trouvent intégrés dans des systèmes technologiques complexes qui assurent leur coordination.
L'infrastructure ferroviaire permet le déploiement stratégique, dans des délais raisonnables, d'armées nationales fortes de plusieurs centaines de milliers et même de plusieurs millions d'hommes.
Le réseau télégraphique joue un rôle important pour permettre le commandement et le contrôle de ces masses armées dispersées sur des centaines de kilomètres de front : au XVIIe siècle l'extension des armées pouvait atteindre quelques kilomètres et, à l'époque de Napoléon, quelques dizaines de kilomètres seulement.
La stratégie défensive consiste à manoeuvrer par le rail sur ses lignes intérieures pour colmater une brèche ou concentrer des troupes avant un assaut.
L'usage du réseau ferré et de plus en plus celui du réseau routier jouent donc un rôle très important dans la défensive finalement victorieuse de l'armée française, puis dans le retour final à une stratégie offensive victorieuse en 1918.
En deuxième lieu, j'évoquerai le Blitzkrieg et le contre-blitzkrieg : l'adversaire allemand réagit en exploitant à son profit le réseau routier pour restaurer la guerre de mouvement offensive, grâce à de nouvelles tactiques de pénétration à l'aide de divisions blindées, mais aussi en exploitant la jeune arme aérienne au profit d'une action dans la profondeur : l'aviation de bombardement allemande sert, en Pologne puis en France, non seulement à appuyer les troupes à l'assaut, mais d'abord à détruire au sol l'armée de l'air adverse et à détruire les gares de triage, les ponts, et les concentration de troupes. Par ailleurs l'armée allemande protège ses colonnes motorisées et blindées - la percée de Sedan a été précédée de 150 kilomètres d'embouteillages - des raids aériens français par un usage beaucoup plus intensif de l'armement anti-aérien.
Selon l'image employée plus tard par le stratège britannique J.F.C. Fuller, l'armée française a été battue en 1940 parce qu'elle a opposé une défense statique et linéaire du type de celle de 1914-1918 à des modes nouveaux d'attaque par pénétration, un peu comme un homme qui voudrait barrer la route à un boxeur en étendant les bras. Il aurait fallu concevoir une défense échelonnée dans la profondeur et manoeuvrante, ainsi décrite par un chroniqueur militaire de l'époque, Stanislas Szymonzyk : « comme toute manoeuvre de la guerre moderne, la retraite employée comme méthode stratégique suppose une préparation minutieuse : destructions de toutes espèces par des unités spéciales, procédés anti-tanks (mines, fossés, barrages...), organisation du pays ; le réseau routier, splendide, de la France, aurait dû être utilisé pour les manoeuvres de la défense élastique et non pour l'évacuation des populations ». Les Soviétiques, par doctrine et parce qu'ils disposaient d'une plus grande profondeur territoriale, ont su déployer une telle défense dans la profondeur.
J'évoquerai enfin le transport aérien militaire américain pendant la Deuxième Guerre mondiale. La conduite américaine de la guerre s'appuie - c'est peu connu - sur l'exploitation industrielle d'une nouvelle profondeur stratégique : le milieu aérien en vue du déplacement des troupes, du matériel et de l'aviation de bombardement à l'échelle intercontinentale.
L'Air Transport Command dispose très vite d'un réseau qui s'étend aux cinq continents. Les quadrimoteurs venus des États-Unis se ravitaillent à Marrakech, devenu une plaque tournante, avant de rejoindre le Moyen-Orient, d'autres escadres y font escale avant d'aller bombarder l'ennemi en Tripolitaine, en Italie ou en Roumanie, où se trouvent les installations pétrolières de Ploesti. Des « facilités » nouvelles - ateliers d'entretien technique, parcs automobiles et cantonnements - et toute l'infrastructure du contrôle aérien moderne sont mises en place. Cette maîtrise technique et industrielle n'apparaît pas seulement dans la maîtrise générale des flux et dans la recherche générale du rendement qui contraste avec la médiocre productivité qui avait caractérisé la France, son industrie et une partie de ses activités militaires dans les années 1930, mais aussi dans un degré élevé de spécialisation des métiers de l'Air - notamment contrôleurs aériens, mécaniciens, radios, météorologistes et manipulateurs de cargo. Derrière la pointe aérienne combattante il y a donc toute une ressource spécialisée pour servir cette vaste infrastructure.
Ce sont ces progrès dans l'industrialisation du transport qui ont permis le fantastique développement de l'aviation civile après la Deuxième Guerre mondiale.
Je conclurai par quatre éléments de jugement.
Tout d'abord, la sanctuarisation totale du dispositif numérique étant impossible, il faut prévoir une défense opérationnelle dans la profondeur, par opposition à une défense périmétrique et statique. Sa version contemporaine comporte deux volets. Le premier est celui de la sécurité native dans la conception des systèmes d'armes et informatiques embarqués, des systèmes d'information et de communication, des systèmes industriels, des drones et des autres types de robots militaires. Le deuxième volet est celui de la protection, jusqu'au niveau de la donnée, dans les systèmes d'information publics ou privés. Dans cet esprit, je ne crois guère à des forces armées capables de fonctionner durablement en mode dégradé, c'est-à-dire susceptibles de s'affranchir du recours aux systèmes numériques dans un contexte de blitz cybernétique, sinon en cas de défaillances locales et temporaires. De fait, on n'a jamais désappris un nouveau mode de fonctionnement technologique et ce mode dégradé est difficile à concevoir comme mode structurel de fonctionnement des forces armées.
Ensuite, depuis la Deuxième Guerre mondiale, la profondeur industrielle et technique, qui représente en soi une forme de profondeur stratégique, est un préalable critique pour tirer pleinement parti de l'interconnexion des systèmes numériques et en dominer les risques. Dans le domaine de la cyberdéfense, la sûreté et la sécurité dans la durée dépendront de la capacité à mettre en place une force humaine et industrielle de grande envergure.
En troisième lieu, la stratégie est affectée d'une logique paradoxale : on a affaire à un adversaire intelligent. En 1940, la Wehrmacht recherche la surprise déstabilisante - « the line of least expectation », ou le contrepied. Or, la « cyber » est par excellence le domaine de l'imagination, de la prolifération technique et de la créativité, et cela d'autant plus que le ticket d'entrée est peu élevé.
Je conclurai donc en citant Churchill : « Aussi légitime soit-il pour le haut commandement de se préoccuper de sa propre doctrine, il est parfois utile de s'intéresser à celle de l'ennemi ». On devrait s'interroger sur le motif, l'intention stratégique d'un adversaire recherchant ou provoquant une agression cybernétique de grande envergure. Ce motif ne serait-il pas avant tout psychologique, ayant un rapport avec le lien d'obéissance et de confiance qui relie les populations à l'autorité politique. L'affaire Al Chamoun devrait être méditée, mais des précédents existent, durant la Deuxième Guerre mondiale comme au Moyen Âge - mais c'est là un autre sujet que je réserve à l'éventuelle discussion que nous aurons tout à l'heure.
M. Jean-Yves Le Déaut, député, président. - Merci pour cet exposé qui donne un ancrage historique aux problèmes contemporains.
M. Claude Kirchner. - Monsieur Moliner, la panne du 6 juillet 2012 relevait-elle de la sécurité ou de la sûreté ? Quels ont été les effets collatéraux, en interne comme en externe ?
M. Jean-Luc Moliner. - Cette panne a atteint le coeur de réseau, et plus précisément le HLR (Home Location register) qui permet d'authentifier et de localiser les utilisateurs de téléphones mobiles lorsqu'ils sont connectés. Des analyses ternes et externes ont relevé un certain nombre de dysfonctionnements consécutifs. La commission de sécurité de la Fédération française des télécoms, que je préside, ainsi qu'une association des opérateurs de télécoms européens, dont je suis membre, analysent aussi ces incidents majeurs. Une semaine après celui dont nous parlons, un autre du même type a eu lieu en Angleterre sur le réseau de la société Telefónica O2. Le groupe Telefónica avait d'ailleurs connu un problème similaire en Argentine.
Nous nous efforçons de tirer les enseignements de ces incidents récurrents et d'origines diverses, qu'il s'agisse de la conduite à tenir, du paramétrage ou de l'architecture globale. Ces échanges d'informations participent à la sécurisation de nos infrastructures.
M. Claude Kirchner. - Qu'en est-il des effets collatéraux, notamment pour les utilisateurs ? Cette défaillance est en effet l'une des plus importantes subies par un réseau de téléphonie.
M. Jean-Luc Moliner. - Seuls les utilisateurs en mouvement ont été concernés par la panne. Les leçons de cet événement ont été tirées, et des changements ont été apportés afin de sécuriser les infrastructures encore plus fortement qu'elles ne l'étaient. Pour information, nos « home location registers » (HLR) sont répartis en six lieux différents, et les bases de données sont multipliées par trois pour chacun des serveurs : cette configuration représente déjà ce qui, aujourd'hui, se fait de mieux sur le marché en termes de sécurité.
M. Frédéric Hannoyer. - Les activités de ST Microelectronics étant essentiellement civiles, je ne suis pas un spécialiste des systèmes d'armes. Ma question est la suivante : qu'en est-il de la gestion du risque, notamment au regard de la pervasion des terminaux de grande consommation - y compris chez les militaires - et du rythme d'évolution de ces terminaux ? Les plateformes qui seront annoncées au congrès de Barcelone, la semaine prochaine, auront quatre coeurs à plus de 1 GHz, capacité très supérieure à celle dont disposait un ordinateur il y a quelques années. En ce domaine, les évolutions sont très rapides, et il faut aussi compter avec la consumérisation des logiciels. Certains applications, autrefois vendues plusieurs centaines ou milliers d'euros, le sont aujourd'hui pour deux euros seulement sur des appstores. La sécurité et la chaîne de valeur des outils n'en seront que plus difficiles à assurer. Finalement, les réseaux de défense sont fermés et relativement étanches ; cependant, existe-t-il des risques d'interpénétration de votre réseau par les réseaux de consumérisation qui les entourent, qu'il s'agisse des militaires sur le terrain - qui peuvent être connectés par leurs équipements personnels - ou par l'usage de clés de stockage - ou enfin par les réseaux domotiques des bâtiments militaires qui deviennent de plus en plus gérés comme des immeubles intelligents par des systèmes automatisés de capteurs communicants ?
M. Jean-François Ripoche. - Les terminaux civils sont en effet de plus en plus performants : c'est là une évolution que nous sommes obligés de suivre. Les réseaux militaires utilisent des débits assez bas au regard de la norme Internet, ce qui présente des inconvénients mais aussi des avantages en termes de sécurité. Cependant, le grand progrès des terminaux récents est l'intuitivité, que nous voulons aussi retrouver dans nos systèmes d'armes. Nous pouvons par ailleurs utiliser un terminal civil en lui ajoutant des éléments matériels ou logiciels, afin de diminuer sa vulnérabilité. Enfin, n'oublions pas que la défense est par certains aspects une entreprise du secteur tertiaire, ce qui l'expose à une plus grande porosité dans ce cadre. Cela dit, un soldat sur le terrain n'a pas davantage le temps de se connecter à Internet avec son téléphone qu'un opérateur de n'importe quelle entreprise. Cela limite un peu les risques.
M. Didier Brugère. - Dès lors que la menace est reconnue, on évalue son niveau et celui de la protection recherchée. Ce travail, qui permet aux industriels de proposer des solutions adaptées, doit se faire avec les utilisateurs et les services officiels ; d'où l'importance de la chaîne de confiance et du partenariat. En l'espace de quelques années, la menace a fait l'objet d'une vraie prise de conscience, dont le futur Livre blanc constituera le point d'orgue. L'ensemble du système et de ses opérateurs pourra alors se mettre en marche.
M. Michel Cosnard. - Comme l'a observé M. Moliner, des milliards d'objets intelligents seront bientôt connectés. Dans l'aéronautique, les normes, traditionnelles, semblent avoir donné satisfaction ; dans le secteur bancaire, elles semblent plus drastiques mais restent globalement traditionnelles aussi. Qu'en est-il pour les nouvelles applications, en particulier dans le domaine médical, du moins en dehors de la salle d'opération, où les normes sont bien moindres, comme le montre l'exemple des pacemakers ? Des problèmes sont aussi apparus sur les systèmes embarqués dans les automobiles. Des travaux et des réflexions sont-ils menés au niveau européen ?
M. François Terrier. - Ces questions sont difficiles, mais elles représentent un enjeu réel. L'absence de normes est un problème ; au demeurant, la définition de la juste norme est aussi un enjeu industriel. Quoi qu'il en soit, des réflexions sont en cours sur les smart grids, afin de définir des normes qui garantissent leur sécurité sans générer des coûts de démonstration intenables. La recherche d'un tel équilibre fait la spécificité de l'Internet des objets par rapport à l'aéronautique ou au nucléaire, même si celui-ci, faisant face à l'internationalisation des normes, doit en permanence réfléchir à la façon d'y adapter ses systèmes sans les changer de fond en comble. En tout état de cause, des projets sont en cours, qu'il faut encourager et développer au niveau des pouvoirs publics, des acteurs industriels comme de la recherche, laquelle peut contribuer à trouver des solutions performantes à des coûts maîtrisés.
M. Jean-Luc Moliner. - L'une des grandes questions actuelles, pour les télécoms, est la dématérialisation des cartes SIM, qui en France font l'objet d'une certification EAL 4+ par l'ANSSI, soit le niveau de sécurité le plus élevé. En matière d'Internet des objets, les industriels ont tendance à vouloir noyer les fonctionnalités dans le silicium, sans garantie de sécurité. Les débats, au sein d'organismes de normalisation européens et internationaux, portent donc essentiellement sur les risques de fraude ; leur teneur est critique car, en France et en Europe, ces questions concernent toute une filière industrielle de compétences.
M. Jean-Yves Le Déaut, député, président. - J'exprimerai un point de vue de parlementaire. On a beaucoup évoqué la dualité entre la recherche civile et militaire, ainsi que les exigences de haute sécurité, notamment pour les laboratoires de type P4, ceux de l'INRIA et ceux de la DGA d'une part et de l'État-major des armées de l'autre, au sein desquels on étudie des virus particulièrement dangereux. J'ai eu l'occasion de visiter le laboratoire civil, et ne tarderai pas à visiter le laboratoire militaire. Les liens entre les deux vous paraissent-ils suffisants ? Des relations plus étroites ne permettraient-elles pas de développer la formation ? Plus généralement, les relations entre le civil et le militaire dans le domaine de la haute sécurité des systèmes informatiques vous semblent-elles suffisantes ?
M. Claude Kirchner. - Le laboratoire de haute sécurité informatique, installé dans le centre de recherche de Nancy, collecte virus et malwares afin de les analyser et de tester la résistance de nouveaux logiciels. Bien qu'ils existent déjà, les liens avec la DGA mériteraient d'être renforcés, d'autant que certaines compétences apparaissent complémentaires. Il convient aussi d'améliorer la formation des personnels susceptibles de travailler dans nos laboratoires.
M. Jean-François Ripoche. - La DGA souhaite rester en relation avec la recherche académique, que ce soit, par exemple, à travers l'INRIA de Nancy ou les écoles normales supérieures de Cachan et de la rue d'Ulm, où sont menées des recherches sur la cryptographie. Beaucoup de contractuels employés par la défense ont aussi vocation à rejoindre l'industrie ou d'autres administrations, où ils pourront diffuser leurs acquis. Nous souhaitons tous intensifier les efforts, ce qui passe par une augmentation des échanges. Je rappelle que le centre d'excellence de la DGA est la DGA-MI, à Bruz, non loin de Rennes.
M. Didier Brugère. - Le partage de l'effort de recherche concerne aussi les industriels. On constate, depuis plusieurs années, un renforcement des liens entre la recherche étatique et la recherche industrielle. Ont ainsi été créées des unités telles que le laboratoire commun entre Alcatel-Lucent, le CEA-Leti et Thales, ou celui créé en partenariat avec le CNRS, respectivement spécialisés dans les technologies de composants très avancées et les technologies de magnétorésistance. Sur des sujets qui intéressent aussi bien le civil que le militaire, de tels rapprochements doivent être poursuivis et encouragés car ils sont essentiels pour l'avenir.
M. Jean-Yves Le Déaut, député, président. - J'aborde ce point dans le rapport consacré à la traduction législative des Assises de l'enseignement supérieur et de la recherche que je viens de remettre au Premier ministre. Une telle dualité est assez emblématique de la situation française, même s'il ne faut pas la généraliser. Entre les écoles d'ingénieur et les universités, les cultures demeurent malgré tout différentes. La seule question de la reconnaissance du doctorat montre toute la difficulté qu'il y a à traiter avec chacun des corps. Le niveau de coopération entre le civil et le militaire n'est pas optimal, ce qui pénalise notre pays par rapport à d'autres, comme les États-Unis, où les deux types de recherche sont totalement intégrés. J'aurai l'occasion d'y revenir dans le cadre des travaux qui prolongeront mon rapport.
M. Bruno Sido, sénateur, président de l'OPECST. Les systèmes dont nous parlons sont extraordinairement fragiles, puisque chacun trouve normal que l'on y entre comme dans une motte de beurre. Une telle fragilité me semble être une régression. Vous êtes passé de la Rome antique à la Première guerre mondiale, monsieur Malis, et peut-être aurait-il fallu parler du Moyen Âge. Mais j'évoquerai pour ma part la Seconde guerre mondiale, au cours de laquelle le système de cryptage allemand Enigma n'a jamais pu être percé, jusqu'à ce que les Alliés mettent la main sur un sous-marin en train de couler. Que penser de la robustesse des systèmes d'alors, par comparaison avec la fragilité de ceux d'aujourd'hui ?
M. Christian Malis. - Le percement d'Enigma est l'une des raisons cachées du retournement de situation en Afrique du Nord lors de la Seconde guerre mondiale. Par ailleurs, l'intention stratégique qui avait présidé au bombardement de l'Allemagne nuit et jour était, comme l'observait un stratège italien, de briser le lien entre les autorités et la population en lui montrant que celles-ci ne la protégeaient pas. Le but, en somme, était de provoquer une insurrection : au-delà de la destruction d'un potentiel de guerre, les bombardements stratégiques constituaient d'abord une arme subversive et psychologique. Les Allemands ont résisté grâce à une défense dans la profondeur, au sens le plus fort du terme, puisque deux millions d'hommes étaient mobilisés pour reconstruire les infrastructures bombardées. Une défense dans la profondeur n'annule donc pas les risques : elle permet une résistance dans la durée.
M. Michel Cosnard. - Seul l'appareil de cryptage d'Enigma avait été trouvé dans le sous-marin : les codes, eux, furent cassés par l'équipe d'Alan Turing, l'un des pères fondateurs de l'informatique. Ce décryptage, d'autant plus difficile que les codes changeaient en permanence, fut réalisé grâce aux plus gros calculateurs de l'époque, à l'origine de l'informatique. La maîtrise des « super-calculateurs », depuis leur conception jusqu'à leur utilisation, est en ce sens un enjeu majeur pour la défense nationale.
M. Jean-Yves Le Déaut, député, président. - En quoi, monsieur Moliner, la législation vous empêche-t-elle d'avertir ceux de vos clients qui détiennent des malwares ? Quelles modifications faudrait-il apporter en ce domaine pour corriger ce qui peut l'être, dès lors que l'information est connue ?
M. Jean-Luc Moliner. - La loi, qui protège la vie privée des clients, interdit aux opérateurs de télécoms d'analyser le trafic et d'avertir les clients individuellement. Nous ne pouvons donc mener que des études statistiques, sur la base de données anonymes.
M. Jean-Yves Le Déaut, député, président. - Nous serions intéressés par une discussion et une analyse juridique du sujet, afin de trouver des solutions permettant de prévenir les attaques. L'incident subi par votre système n'était pas une attaque, mais il aurait évidemment des conséquences très graves s'il survenait dans le cockpit d'un avion. La sûreté et la sécurité des systèmes informatiques sont donc des enjeux majeurs.
Avant de laisser la parole à M. Mallet, je veux remercier les différents intervenants. L'OPECST est le seul organisme interparlementaire : il joint donc la sagesse à l'innovation - je me garderai évidemment de dire à laquelle des deux assemblées il faut attribuer chacune de ces qualités. (Sourires.) Nous nous efforçons, en tout état de cause, d'être en amont des propositions législatives.
M. le ministre étant retenu par une réunion à l'OTAN, je vous remercie, Monsieur Mallet, d'être venu, en son nom, conclure nos échanges. Je rappelle que vous avez joué un rôle important dans l'élaboration du dernier Livre blanc comme du précédent.
Nous avons parcouru différents thèmes, en associant les approches civiles et militaires : c'est sans doute l'une des premières fois que la défense, l'OPECST et les organismes de recherche se réunissent autour d'une même table.
M. Jean-Claude Mallet, conseiller spécial de M. Jean-Yves Le Drian, ministre de la défense. - Je vous remercie de votre invitation. Cette réunion illustre le rôle d'éclaireur vigilant qui est celui du Parlement sur des questions touchant à la défense, à l'économie et aux capacités de nos sociétés à résister à de nouvelles menaces, questions qui étaient déjà au coeur de la préparation du Livre blanc de 2008. Je m'efforcerai de vous exposer le point de vue du ministère de la défense sur ces nouveaux enjeux pour la sécurité nationale.
Les cyberattaques augmentent de façon exponentielle, qu'il s'agisse de bénins dénis de service, d'intrusions ayant pour but de piller des informations détenues par des acteurs privés de nos programmes d'armement, de paralysies d'infrastructures critiques ou de destructions de réseaux informatiques vitaux. Cette menace progresse à un rythme beaucoup plus rapide que celui des réponses qui lui sont apportées par nos entreprises et par les grands acteurs de la défense. Elle n'en est, soyons-en conscients, qu'à ses débuts, et nous commençons seulement à définir des stratégies de défense et d'attaque - puisque le Livre blanc de 2008 mentionne la lutte informatique offensive comme un nouvel instrument de défense, notamment dans le cadre d'une réplique. L'échelle de la menace, sorte d'archétype du conflit sans frontières, dépasse les normes habituelles de la guerre : il ne s'agit plus d'une confrontation directe entre États, y compris au regard de la dissuasion. Entre la destruction d'installations vitales, la prise de contrôle d'infrastructures critiques, à un niveau partiel ou global, la destruction du fonctionnement d'entreprises - illustrée par l'affaire Saudi Aramco -, le pillage d'informations ou la paralysie d'infrastructures et le soutien à des actions militaires - lequel figure désormais dans la doctrine militaire de certains pays -, les capacités sont insoupçonnées, et elles seront bientôt développées par des États.
Nous savons aussi qu'elles le seront, compte tenu de leur nature, par des groupes non étatiques - le cas échéant avec l'appui de certains États -, dans le but de mener des guerres asymétriques contre des États ou des gouvernements. Le développement du numérique démultiplie les capacités en matière de croissance économique, de connaissance et même de capacité de défense ou de lutte contre la criminalité ; aussi la numérisation fera-t-elle l'objet d'investissements massifs, comme l'ont confirmé le Président de la République et le Gouvernement. Nous devons aussi nous préparer à utiliser ces moyens de façon offensive, ce qui, au demeurant, est déjà le cas. Si les grands acteurs économiques et les partenaires du ministère de la défense ne s'organisent pas, nous en paierons le prix fort. Leon Panetta a évoqué un possible Pearl Harbor pour les États-Unis, événement synonyme, pour la mémoire collective américaine, d'attaque brutale et imprévisible ayant détruit une partie importante des moyens de défense. Cette vision me semble rigoureusement exacte. Soit dit en passant, je pressens le moment où le ministère de la défense devra imposer à ses partenaires privés des normes de sécurité, dont le non-respect leur interdira tout simplement de lui fournir des moyens. Le sujet dont nous parlons est donc au coeur, non seulement de l'élaboration de doctrines futures, mais aussi d'un effort majeur du ministère de la défense et, au-delà, de l'ensemble de l'appareil d'État. Les moyens de l'ANSSI doivent impérativement être renforcés afin de compléter le spectre de nos capacités de défense en ces domaines.
Depuis plusieurs années, le ministère de la défense a créé une chaîne de commandement opérationnel relative à la cyberdéfense offensive et défensive ; il a commencé à investir, tant en moyens humains que techniques, pour répondre aux besoins des pôles du ministère et des armées, et développer une base industrielle et technologique. Plus généralement, l'État définit des doctrines qui seront débattues dans les mois et les années à venir, qu'il s'agisse de la protection des systèmes d'informations de l'État et des opérateurs d'importance vitale - l'organisation opérationnelle étant assurée par le ministère de la défense et coordonnée, au niveau gouvernemental, par le Premier ministre -, ou de la réponse à des attaques globales via les moyens juridiques, policiers et diplomatiques requis, ou des moyens plus spécifiques au ministère de la défense, en particulier en cas de menace pour les intérêts nationaux. Dans ce cadre, le ministère de la défense réfléchit à des capacités informatiques offensives, dont les autorités publiques, au plus haut niveau de l'État, pourraient décider de l'emploi - en l'occurrence, un emploi proportionné, discret et le plus efficace possible, en appui des actions militaires. Il est donc essentiel, je le répète, que les fournisseurs d'équipements et les prestataires de services du ministère de la défense adoptent des normes de sécurité, sous le contrôle vigilant des autorités en charge de la cyberdéfense.
J'évoquerai pour finir la dimension sociale et citoyenne. Une réserve citoyenne a été créée pour sensibiliser l'opinion et faire la promotion d'un esprit de cyberdéfense. Nous réfléchissons aussi à la mise en place d'une réserve opérationnelle qui permettrait à la société française de résister à un incident ou une agression de grande ampleur, au-delà des moyens que j'évoquais précédemment.
J'espère ne pas avoir dressé un tableau trop sombre. Le développement des capacités de cyberdéfense comme de capacités offensives est une ambition qui ouvre un champ formidable pour nos jeunes ingénieurs et nos militaires : c'est le meilleur des technologies et des intelligences, dont notre pays ne manque pas - les acteurs de la défense le montrent tous les jours -, qu'il faudra mobiliser. Aussi les questions que vous avez abordées représentent-elles des enjeux essentiels pour le Président de la République et le ministre de la défense.
M. Bruno Sido, président de l'OPECST. - Merci pour cet exposé conclusif, qui est comme le point d'orgue de nos discussions de ce matin. Je remercie aussi les différents intervenants pour la richesse de nos échanges.