Mardi 25 juin 2024
- Présidence de M. Dominique de Legge, président -
La réunion est ouverte à 15 h 35.
Audition de M. Sébastien Lecornu, ministre des armées
M. Dominique de Legge, président. - Monsieur le ministre, je vous remercie d'avoir accepté de venir devant notre commission, qui termine cette semaine ses travaux après une cinquantaine d'auditions, et celle de plusieurs membres du Gouvernement : M. Darmanin, M. Barrot, Mme Retailleau, M. Séjourné.
Il nous paraissait indispensable de vous entendre au regard du rôle que votre ministère joue dans la gestion et la prévention des influences étrangères. Vous nous expliquerez comment celui-ci réagit face à ces menaces. Mais nous attendons surtout de vous que vous nous expliquiez dans quelle stratégie d'ensemble les armées opèrent.
Votre ministère dispose d'une expertise reconnue, mais de nouveaux opérateurs sont apparus. Viginum, le service de vigilance et de protection contre les ingérences numériques étrangères, a été créé en 2021 ; il intervient tout particulièrement dans la dénonciation des manipulations de l'information provenant de l'étranger.
Le Président de la République avait annoncé dans la revue nationale stratégique 2022 la création d'une nouvelle fonction stratégique d'influence, dont la responsabilité a été confiée au ministère de l'Europe et des affaires étrangères.
Nous constatons d'ailleurs qu'en fonction des sujets, aussi bien vous que M. Séjourné pouvez faire des déclarations pour dénoncer telle ou telle annonce d'un ministre russe ou d'un responsable azerbaïdjanais.
Nos auditions ont fait apparaître une juxtaposition de différents acteurs, notamment dans la lutte contre les manipulations de l'information. Contrairement à la cyberdéfense, il n'existe pas encore de stratégie nationale dans le domaine de la lutte contre les manipulations de l'information à l'échelle nationale, valable aussi bien pour le domaine militaire que civil.
L'expérience de votre ministère a été éclairante, puisque vous êtes, semble-t-il, le seul à avoir rendu publique une partie de la doctrine des armées dans les trois domaines que sont la lutte informatique défensive, la lutte informatique offensive et la lutte informationnelle.
Cette audition fait l'objet d'une captation vidéo qui sera diffusée sur le site internet et, le cas échéant, les réseaux sociaux du Sénat. Elle sera consultable en vidéo à la demande.
Avant de vous donner la parole, monsieur le ministre, il me revient de rappeler qu'un faux témoignage devant notre commission d'enquête est passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. Je précise également qu'il vous appartient, le cas échéant, d'indiquer vos éventuels liens ou conflits d'intérêts en relation avec l'objet de la commission d'enquête. Je vous invite à prêter donc serment de dire toute la vérité, rien que la vérité, en levant la main droite et en disant : « Je le jure. »
Conformément à la procédure applicable aux commissions d'enquête, M. Sébastien Lecornu prête serment.
M. Sébastien Lecornu, ministre des armées. - Je vous remercie de me consacrer cette dernière audition. Pour commencer, je rappellerai quelles sont les compétences historiques du ministère des armées relativement au sujet qui nous intéresse aujourd'hui entre action sur le territoire national et action en dehors du territoire national, avant de détailler devant vous les menaces concrètes auxquelles nous sommes confrontées et de répondre à vos questions, occasion pour moi d'aborder notre stratégie d'ensemble.
Les influences étrangères ont toujours existé. La première particularité de l'époque actuelle, c'est qu'on assiste au retour d'une compétition débridée entre les grandes puissances. Après les années de dégel, la fin de la guerre froide, la dissolution du pacte de Varsovie, la chute du rideau de fer, le fait terroriste a dominé les préoccupations de l'ensemble des services occidentaux, sans anéantir totalement les actions d'influences étrangères, en premier lieu l'espionnage : l'espionnage militaire, l'espionnage des industries de défense et, de manière renouvelée depuis deux ans, des actions de sabotage ou de captation d'éléments de souveraineté.
Comme ministre de tutelle de la base industrielle et technologique de défense (BITD), je voulais vraiment commencer par là.
La seconde particularité, c'est l'avènement du cyber, qui change complètement la dimension des ingérences et des influences étrangères - lesquelles ont toujours existé -, de même qu'il modifie notre façon de nous comporter. Surtout, en tant que puissance nucléaire, nous sommes d'autant plus exposés à des menaces hybrides que les menaces directes sont largement contrées par nos moyens de dissuasion ou notre armée conventionnelle.
Il faut distinguer les questions informationnelles des menaces cyber : raconter n'importe quoi sur X, c'est une chose - et ce n'est pas l'apanage des puissances étatiques... - ; mener une attaque informatique, une attaque cyber, c'est autre chose. Et la lutte contre la désinformation, dans laquelle les journalistes ont un rôle à tenir, dépasse le seul cadre de mon ministère.
Les activités d'espionnage se sont densifiées ces derniers mois, singulièrement, avec des approches directes, en particulier d'origine russe, et en revêtant différentes formes.
On ne peut pas parler en 2024 d'influence étrangère sans parler du spatial, puisque c'est un moyen d'accéder à des informations de souveraineté. Ainsi, en 2023, le satellite russe Luch/Olymp-K2 s'est approché de différents satellites français EutelSat développés par Airbus Defence & Space. S'il n'a pas violé les règles de sécurité en conservant une distance raisonnable, ce satellite a néanmoins présenté une menace pour nos moyens de télécommunication et donc pour notre souveraineté nationale.
J'en viens aux menaces cyber. Nous sommes passés d'attaques plutôt crapuleuses menées à des fins de rançonnage - pensez aux attaques menées contre de grands hôpitaux comme celui de Corbeil-Essonnes - à des attaques cyber destinées à obtenir des data ou à détruire des infrastructures numériques. Parfois, les auteurs de ces attaques cyber ne se cachent même plus derrière des proxys tiers, ce qui rend facile d'identifier l'État qui en est à l'origine.
Le ministère des armées, ministère du secret - secret technologique, secret-défense sur les opérations tant des services que des forces armées - constitue une cible particulière. La dernière loi de programmation militaire (LPM) a consacré l'effort consenti pour la Direction du renseignement et de la sécurité de la défense (DRSD), anciennement Direction de la protection et de la sécurité de la défense (DPSD), service du ministère des armées dédié à la contre-ingérence. La DRSD avait été fortement touchée par la révision générale des politiques publiques (RGPP). À ce jour, grâce aux nouveaux moyens que vous avez votés, elle compte 1 600 agents militaires et civils, et elle verra son budget augmenter de 97 % sur la période 2024-2030 par rapport à la LPM 2019-2025.
Mon collègue Gérald Darmanin a dû vous le dire : aux côtés de la Direction générale de la sécurité intérieure (DGSI), compétente en matière de lutte contre les menaces intérieures, la DRSD a tout son rôle à jouer pour contrer les menaces visant particulièrement le ministère des armées. De même, la Direction générale de la sécurité extérieure (DGSE) mène des actions de contre-ingérence.
Encore faut-il être capable de détecter et d'identifier les influences étrangères, en particulier en matière cyber. Il faut alors relever quatre défis : premièrement, être capable d'identifier à l'instant T l'ingérence étrangère ; deuxièmement, désigner de manière sûre, devant la communauté internationale, l'État qui en est à l'origine ; troisièmement, entraver l'ingérence et y mettre fin ; quatrièmement, être capable de contre-attaquer. C'est évidemment la DGSE qui est chef de file en la matière, et c'est là un défi à la fois technologique et en termes de ressources humaines.
Nos résultats sont tout à fait encourageants : nous comptons à ce jour 4 600 cybercombattants ; ils devraient être 5 600 en 2030. Ces personnels peuvent servir pour les autres services du premier cercle.
Sur la BITD, je vais vous communiquer des chiffres qui n'ont jamais été rendus publics.
Dans ce domaine, la menace prend plusieurs formes.
Première menace : l'espionnage, par différents moyens, classiques ou cyber, indétectables ou difficilement détectables, pour nous voler des compétences et du savoir-faire - même des pays qui ne sont pas nos compétiteurs peuvent s'y livrer - ou pour nous nuire, mené essentiellement par des pays compétiteurs - approche de telle ou telle personnalité dans telle ou telle entreprise, tentatives de cambriolage, tentatives de recrutement... -, dans une optique très « guerre froide » et qui reprend une force particulière depuis deux ans.
Deuxième menace : les actions de sabotage, qui sont clairement liées à la guerre en Ukraine. À cet égard, même s'il faut rester prudent, la France est plus épargnée que beaucoup de ses voisins. Dernièrement, au Royaume-Uni, des actions de sabotage ont été menées contre des industriels de la défense concourant directement ou indirectement à l'aide à l'Ukraine.
C'est pourquoi il importe parfois de dupliquer des outils de production. Ainsi, on a demandé à KNDS France de dupliquer ses capacités d'usinage de telle sorte que, si un outil de fabrication du canon Caesar devait être saboté, il puisse être immédiatement remplacé.
J'identifie les questions industrielles comme un point de vulnérabilité. Certes, nous avons progressé, mais si des actions devaient être menées, elles pourraient être spectaculaires. Nous devons donc nous en prémunir, étant entendu que notre culture en la matière est ancienne, puisqu'elle remonte à la constitution de notre force de dissuasion nucléaire au cours des années 1960, période pendant laquelle nous avons assimilé des règles d'hygiène numérique, d'hygiène de contre-ingérence, d'hygiène d'habilitation. Partant, comment arriver à obtenir des industries de défense une hygiène aussi chimiquement pure et parfaite des programmes d'armement conventionnel ?
Troisième menace, plus classique : la délocalisation des emplois et des savoir-faire. La LPM autorise désormais le ministre des armées à user de pouvoirs de police administrative pour empêcher, par exemple, le recrutement d'un pilote de chasse par une puissance étrangère - avec son savoir-faire. En l'espèce, les équipes de mon ministère attendent les préconisations de votre rapport : jusqu'à présent, on a pu compter avec des comportements individuels vertueux, ce qui est encore le cas aujourd'hui, mais il suffit d'un cas pour que la crédibilité tout entière de notre système s'effondre, même si, à ce jour, des individus qui violeraient des secrets peuvent faire l'objet de poursuites pénales. En tout cas, conformément à mes instructions, la DRSD et la Direction générale de l'armement (DGA) suivent cette question d'une possible délocalisation des compétences, soit individuelles, soit collectives, très attentivement, en y consacrant d'importants moyens.
Quatrième menace : la prise de contrôle des entreprises, sujet clé qui est davantage de la compétence de Bercy. Certes, entrer au capital d'une entreprise ne permet pas pour autant d'accéder à des secrets, mais cela contrevient au modèle tel que nous l'avons conçu.
Cinquième menace : le lawfare, à savoir l'ingérence étrangère par la prescription normative, douce, lente, sucrée de prime abord, mais dont on s'aperçoit ensuite qu'elle va bien plus loin. Je suis particulièrement vigilant à ce que la Commission européenne relaie nos préoccupations en la matière, y compris outre-Atlantique - je pense à la réglementation Itar, ou International Traffic in Arms Regulations.
Les ingérences étrangères n'ont pas toujours un caractère brutal. Non, elles peuvent avoir un caractère légal, par exemple lorsque le Parlement est saisi de projets de loi portant transposition de directives. Nous devons mener un travail collectif sur cette question, même si je n'ai pas toutes les solutions entre les mains.
Quelques chiffres : 80 % de ces attaques, directes ou indirectes - espionnage, sabotage... -, ciblent les sous-traitants. Il est certain que Dassault, Thalès et Safran ont développé en interne des capacités importantes de protection. En revanche, le petit sous-traitant de province qui produit tel composant connexe, mais majeur, est potentiellement plus exposé à ces risques d'ingérence étrangère, « amicale » ou inamicale.
En 2021, une quarantaine de cas d'atteinte physique à ces entreprises ont été dénombrés - intrusion, cambriolage, tentative d'approche -, une cinquantaine en 2022 et en 2023. On ne parle pas là de petites cyberattaques ; on parle d'opérations beaucoup plus structurées et documentées menées par des individus qui, au gré d'une visite, au gré d'un cambriolage qui apparaît comme anodin, tentent de s'introduire au sein de notre industrie de défense pour le compte d'un acteur étranger.
Ces tentatives d'ingérence étrangère « à l'ancienne » mobilisent d'importants moyens de mon ministère.
La BITD doit investir pour sa propre protection : protection cyber, protection matérielle. Quand le ministère des armées achète, avec l'argent du contribuable, du matériel à ces industriels et habilite certains de leurs salariés au secret-défense, les entreprises en question doivent prendre les dispositions qui conviennent à une telle habilitation. Parfois, nous sommes obligés de le rappeler de manière un peu forte, car c'est là une obligation légale pour elles.
Concernant la prise de contrôle capitalistique des entreprises, c'est Bercy qui pilote les dispositifs de contrôle des investissements étrangers en France. Cela étant, en général, nous sommes force d'impulsion. Par exemple, nous avons dit non pour Segault, sous-traitant de la dissuasion, et pour Photonis, fournisseur des forces spéciales qui est depuis lors entré en bourse ; inversement, pour Exxelia, nous avons dit oui, mais avec des conditions très précises.
En la matière, mesdames, messieurs les sénateurs, vous n'échapperez pas au cas par cas. Parfois, une entreprise qui se dit stratégique ne l'est pas vraiment ; inversement, telle autre qui n'a rien de stratégique en apparence réalise 1 % de son chiffre d'affaires dans une activité qui nous intéresse fortement sans qu'on puisse nécessairement le dire publiquement.
Donc, le sujet n'est pas toujours facile à traiter quand il fait l'objet d'une trop forte exposition médiatique et politique.
Nous venons de signer une convention cyber avec les entreprises de la BITD pour accompagner le rehaussement du niveau de protection de nos industries de défense face aux menaces d'ingérence. J'ai demandé qu'elle soit communiquée à votre commission d'enquête.
L'ingérence, dans le domaine de la défense, peut prendre également la forme d'opérations de désinformation visant nos armées.
Depuis deux ans que je suis en poste, je veille à éviter les redondances entre nos services, mais également, bien que les frontières soient immatérielles dans le domaine de l'information, à préserver le partage des rôles entre chacun d'entre eux.
Je vous donne un exemple très précis. Le ministère des armées est concerné au premier chef par la guerre informationnelle autour de ce que fait l'armée française. Cela a été largement évoqué à l'occasion du débat qu'avait demandé le groupe socialiste du Sénat sur le bilan des opérations Serval et Barkhane en Afrique : lors de la restitution aux forces armées maliennes de la base de Gossi, Wagner s'est livré à une manoeuvre informationnelle en mettant en scène un faux charnier dont il s'est servi pour accuser l'armée française de crimes de guerre ; or les moyens de surveillance que nous avions mis en place nous ont permis de les confondre et de dénoncer cette opération militaire de désinformation qui faisait peser sur notre pays le risque d'une atteinte majeure à sa réputation, d'autant que le continent africain est assez poreux face à ce genre de fake news.
Bien que ces faits se soient déroulés hors du territoire national, c'est le ministère des armées qui les a dénoncés et qui a fourni tous les éléments nécessaires, soit aux parlementaires, soit à la presse, comme cela est la règle en démocratie.
Deuxième cas pratique : le 15 mars dernier, la Fédération de Russie a usurpé un nom de domaine officiel de recrutement de l'armée française pour créer le site sengager-ukraine.fr, afin de faire croire que la France allait déployer des troupes en Ukraine, donnant ainsi une forme de crédit à une fausse information et détournant la parole du Président de la République, qui, au moyen d'un verbatim précis, a voulu créer ce qu'on appelle une ambiguïté stratégique. Évidemment, les Russes en ont profité pour faire pencher l'ambiguïté du côté qui les intéressait, en suscitant un débat en politique intérieure française.
On est à cheval, là, sur deux frontières : ce n'est pas au ministre des armées, responsable politiquement devant le Parlement et pénalement devant la Cour de justice de la République (CJR), d'engager les forces armées dans un débat politique ; en revanche, apporter la preuve technique que ce site est faux et dénoncer l'État à l'origine de la manoeuvre, c'est le travail de mes services.
Jadis, ce travail se faisait de manière un peu artisanale. Désormais, et les applications d'intelligence artificielle militaire vont nous y aider, il faut être capable de réagir dans la minute face à cette « industrialisation » des fake news, si BFM vous appelle ou si vous êtes interrogé le jour même au Sénat, en apportant la preuve du caractère fallacieux de telle ou telle information. D'autant que, désormais, la parole officielle vaut la parole de n'importe quel anonyme sur un réseau social, comme on l'a vu pendant la crise du covid avec tous ces faux médecins ou comme on le voit avec tous ces faux experts sur les plateaux de télévision.
Imaginez un instant que nous n'ayons pas pu diffuser, dans les deux heures, les images filmées par nos drones au-dessus de ce faux charnier de la base de Gossi, sur lesquelles on distingue les mercenaires de Wagner déterrer les cadavres, puis les réenterrer ! Heureusement, la cellule anticipation stratégique et orientation (ASO) de l'état-major des armées, suspectant un risque, avait pris les dispositions nécessaires.
Contrairement à ce qui est la règle en droit pénal, à savoir établir la culpabilité d'un prévenu et instruire à charge et à décharge, dans la compétition entre les grandes puissances, c'est l'inverse : tout est à charge, nos services devant agir à décharge. Ce n'est pas qu'une affaire de moyens, ce n'est pas qu'une affaire d'argent, c'est aussi une affaire de doctrine : il faut parfois accepter que des actions grossières de manipulation émanent d'entités inattendues.
La Fédération de Russie, encore elle, a annoncé récemment, via un porte-parole, que des militaires français avaient trouvé la mort dans une frappe en Ukraine, publiant sur les réseaux sociaux la liste de ces militaires. Beaucoup de journalistes tout à fait honorables ont appelé le ministère pour savoir si cette affirmation était exacte - aucune loi ne pourra jamais lutter contre la crédulité des gens et même celle de certaines élites. J'ai immédiatement demandé au bureau réservé, à la DGSE, à la Direction du renseignement militaire (DRM) et à l'état-major des armées (EMA) de m'indiquer comment une telle liste avait pu être établie. Il se trouve que les militaires dont les noms apparaissaient sur cette liste avaient bien mis les pieds en Ukraine, au cours non pas des deux dernières années, mais des dix dernières années ! C'étaient également des techniciens informatiques qui étaient venus réparer les ordinateurs de la mission de défense de notre ambassade de Kiev, des militaires ayant accompagné telle ou telle mission parlementaire, etc. Certains d'entre eux sont même actuellement à la retraite ! En quatre ou cinq jours, nous avons pu indiquer à quand remontait, pour chacune des personnes présentes sur cette liste, son dernier séjour en Ukraine.
Vous mesurez tout le travail de recherche qui est nécessaire pour contrer ligne par ligne un communiqué de presse russe énonçant une contre-vérité. Il y a là une véritable asymétrie.
Je fais très attention à ce que les armées ne soient pas employées à mener une lutte informationnelle qui aurait des répercussions sur le territoire national. Le problème, c'est qu'il n'y a pas de frontière... Imaginez que, dans cinq ou dix ans, le Président de la République décide d'envoyer un corps expéditionnaire dans tel pays pour y protéger ou en évacuer nos milliers de ressortissants. Par définition, autour d'une telle opération d'évacuation et de protection de ressortissants français, de nombreuses fake news iraniennes, russes, etc. écloraient pour dire que l'armée française envahit le pays en question, va mener telle ou telle exaction. Voyez ce qui s'est déjà passé et raconté en Afrique.
Forcément, les armées vont vouloir se protéger sur le terrain informationnel, tout comme elles protègent leurs forces, le ciel, tout comme elles se protègent sur le terrain de la guerre électronique et cyber. Nous allons donc les autoriser à communiquer, comme elles le faisaient jadis avec un communiqué de presse, sauf qu'elles le feront cette fois par un tweet du porte-parole de l'EMA ou au moyen d'une capsule vidéo, sous le contrôle politique du Gouvernement. Le problème, c'est que ces vignettes sont vues autant sur le territoire national que dans le pays en question. Tous les ministères font de la communication, à l'instar de la Délégation à l'information et à la communication de la défense (DICoD). Mais dans le cas d'une manoeuvre informationnelle en tant que telle, il faut faire très attention au rôle de chacun. À cet égard, la guerre d'Algérie nous a enseigné que des dérives étaient possibles, ce qui avait conduit mon illustre prédécesseur, Pierre Messmer, à prendre des mesures pour faire en sorte que les règles d'emploi des armées françaises sur le territoire national soient attentivement respectées.
Pour répondre au président de Legge - qui fait quoi ? -, notre organisation actuelle repose sur de bonnes bases, mais une vigilance accrue dans les années qui viennent devra être de mise quant aux équilibres : au ministère de l'intérieur de gérer le territoire national ; à la DGSI, qui dispose d'officiers de police judiciaire, de gérer le contre-espionnage, la contre-ingérence ; au ministère des armées de prendre part aux efforts des uns et des autres - la DGSE est déjà chef de file dans de nombreux domaines, notamment la lutte informatique défensive et la lutte informatique offensive. Toujours est-il que la mission du ministère des armées est de s'occuper des territoires extérieurs et non pas du territoire national, même si la menace vient de l'extérieur, exception faite de la BITD, qui a un rôle particulier dans notre écosystème. C'est là où l'interministérialité prend tout son sens.
Selon la Constitution, le Président de la République est le chef des armées tandis que le Premier ministre est responsable de la défense nationale. Il n'est pas inutile de le rappeler en cette période. Dans un État de droit, que le Premier ministre soit responsable de la défense nationale est une bonne chose au regard des règles démocratiques, car il est responsable devant le Parlement des différentes opérations qui ont été engagées.
Après, je ne le nie pas, il peut exister des redondances, des phénomènes d'anthropophagie entre les services pour attirer les meilleurs talents, etc. Mais l'essentiel est de veiller attentivement à ce que l'abolition des frontières par le numérique ne remette pas en cause les grands équilibres issus de la Constitution de 1958 quant à la répartition des rôles entre les différents ministères sur les sujets de sécurité. Le Sénat en a d'ailleurs toujours été le garant.
M. Rachid Temal, rapporteur. - J'ai bien noté le débat, très intéressant et potentiellement inquiétant, sur le rôle du Premier ministre dans la lutte contre les ingérences. Je n'irai pas plus loin aujourd'hui...
Après le Mali, après l'Ukraine, après l'épisode du pacte Aukus - un livre sur l'affaire des sous-marins australiens vient d'ailleurs d'être publié -, notre capacité de lutte contre les ingérences s'est-elle améliorée ?
M. Sébastien Lecornu, ministre. - Une question similaire m'a été posée devant la délégation parlementaire au renseignement. Là, cette audition est retransmise, je m'exprime sous serment, mais je ne peux pas non plus violer le secret-défense, sinon j'aurai d'autres problèmes par ailleurs...
Jusqu'où faut-il surveiller ses propres amis ? Dans le cas d'Aukus, ce n'est pas un grand compétiteur français qui est venu rafler le contrat sous notre nez : ce sont nos alliés. J'invite le Parlement à y réfléchir. Je n'étais pas ministre des armées à ce moment-là, mais je sais que quelques signaux faibles d'insatisfaction vis-à-vis de Naval Group n'ont pas été pris suffisamment en compte. Florence Parly en était consciente, mais cette insatisfaction a peut-être été banalisée. Donc, quand un client n'est pas content, il faut savoir l'entendre.
Je m'en suis expliqué avec les nouvelles autorités australiennes. La réalité, c'est que nous avons eu affaire, à l'époque, à un gouvernement qui, de sous-marins à propulsion conventionnelle pour assurer la sécurité des côtes australiennes, est passé à des sous-marins à propulsion nucléaire, envoyant ainsi un mauvais signal à la Chine et se fâchant avec son grand voisin qu'est la Nouvelle-Zélande et avec nous.
Cette affaire a coûté cher au contribuable australien. En tant que ministre des armées, je puis témoigner que le dédommagement a été réglé rubis sur l'ongle et que Naval Group n'a pas perdu d'argent, ce qui était bien la moindre des choses. D'ailleurs, le nouveau gouvernement australien a dû s'en expliquer devant son Parlement.
Bref, il y aurait beaucoup de choses à dire sur cette opération, que je ne mets pas sur le même plan que les autres dossiers que vous avez évoqués.
Je le dis souvent aux équipes du ministère des armées : il y a ingérence et ingérence. De tout temps, des services étrangers ont distribué des billets de 50 euros à des gars pour qu'ils se placent avec un drapeau russe devant une ambassade française en criant : « Vive Vladimir Poutine ! » De fait, la France ne va pas se laisser intimider par cinquante personnes rémunérées pour agiter un drapeau russe devant une ambassade, ou alors nous ne sommes plus la France.
Le vrai sujet est le suivant : comment parvenir à détecter et à attribuer ces opérations, mais également à contrer cette crédulité qui donne à accroire que la France est détestée en Afrique et que la population lui préfère les Russes ? C'est sûr que, quand vous distribuez des billets de 50 euros ou de 100 euros à des gens pour qu'ils aillent manifester devant les ambassades, vous êtes beaucoup plus populaire. Je cite ces exemples, parce qu'ils ont été documentés.
En réponse à votre question, je vous dirai qu'il faut faire preuve de moins de naïveté. Cela ne passe pas forcément par plus d'argent, par plus de technique ou par un changement de doctrine : c'est un état d'esprit qu'il nous faut adopter - moi, les forces armées, les journalistes. Moins de naïveté nous permettra de regarder le monde tel qu'il devient et non pas tel qu'on aimerait qu'il soit.
M. Rachid Temal, rapporteur. - Au cours de nos auditions, nous avons ciblé les questions liées à la sous-traitance. Je vous remercie des chiffres que vous avez cités. Comment donc renforcer la sécurisation de la BITD ?
On achète parfois des programmes informatiques à un ami compétiteur en y ajoutant, comme on dit, une dose de souveraineté, pensant ainsi être protégés. D'où ma question : comment se doter d'une industrie souveraine, notamment dans la gestion de données ?
M. Sébastien Lecornu, ministre. - À question précise, exemple précis en réponse : l'IA. Je suis frappé de voir que le débat sur notre éventuelle dépendance aux Gafa (Google, Apple, Facebook, Amazon) - si l'on n'y prend pas garde - ne prospère pas plus que cela.
M. Rachid Temal, rapporteur. - Elle existe déjà !
M. Sébastien Lecornu, ministre. - Oui, mais sur des applications qui, à ce stade, ne sont pas souveraines ou d'une absolue sensibilité.
Le ministère des armées utilise des applications d'IA pour gérer les feuilles de salaire des fonctionnaires civils du ministère. La France doit-elle à tout prix développer son propre système d'IA pour cela ? Peut-être. Faut-il que ce soit fait avec de l'argent public ? J'ai un doute. Globalement, le marché français doit nous permettre d'avoir des applications commerciales grand public.
Inversement, pour des applications particulières relatives à la dissuasion nucléaire ou à la planification d'activités par le Commandement des opérations spéciales (COS), c'est-à-dire des activités sensibles, il va sans dire qu'il nous faut les développer nous-mêmes. Cela suppose d'abord un débat d'importance : faut-il le faire en sous-traitance, alors que l'on a déjà recours à la sous-traitance d'industriels pour la dissuasion nucléaire, le M51, le Rafale, où l'intégrité des programmes est parfaite et complète, ou faut-il au contraire en revenir à une logique d'« arsenalisation » et, sur certains métiers cyber et IA, redévelopper en interne avec la participation par exemple de la DGA et de jeunes issus de Polytechnique ? C'est un sujet absolument clé, car l'arsenalisation est l'un des moyens de se protéger.
Comme je l'ai déjà annoncé, cela va nous conduire à maintenir des compétences en matière d'IA. On voit en effet que, chez les Gafa, on parle français à tous les étages ; on a en effet laissé partir les gens. C'est la principale évaporation. Pour ma part, j'ai un plan en interne pour les récupérer, mais je n'entre pas dans le détail. Certes, il y a la question des barèmes de rémunération, mais il y a aussi l'intérêt des missions que l'on confie. À cet égard, le ministère des armées peut formuler des propositions intéressantes pour des missions qui, par définition, sont interdites à l'extérieur, mais permises ici.
Cela concerne aussi les infrastructures, le hard. C'est pour cela que je souhaite que nous ayons pour les armées notre propre supercalculateur en matière d'IA, non interconnecté à un réseau, permettant de faire tourner de l'IA en secret-défense, voire très secret pour certains sujets. On en a absolument besoin.
De ce point de vue, le modèle de la dissuasion est intéressant. En effet, on peut utiliser ce référentiel pour d'autres applications. Je considère que l'IA vaut l'atome en termes de rupture sur le terrain tactique et stratégique pour nos armées et que cela vaut le coup d'investir massivement.
M. Rachid Temal, rapporteur. - On voit aujourd'hui, dans la défense américaine, l'imbrication forte entre des Gafa et des éléments de sécurité nationale. D'ailleurs, dans ce dispositif, on peut se demander qui soutient qui et qui protège qui...
Je reviens aux questions relatives à la stratégie. Au cours des auditions que nous avons organisées, les ministères et les administrations nous ont expliqué ce qu'ils faisaient, ce qu'ils pouvaient faire et dans quel environnement ils travaillaient. Toutefois, plus on s'éloigne des ministres régaliens, plus cela devient évanescent ou flottant.
Dans le cyber, il a fallu en passer par des tâtonnements et de l'empirisme avant de parvenir à une véritable stratégie. Aujourd'hui, dans le domaine qui nous occupe, on voit bien que se pose la question de la coordination, non seulement de l'État, mais également des collectivités et de la société civile. C'est pour cela que nous prônons une stratégie avec un volet confidentiel et un volet public. À Taïwan ou en Scandinavie, la population participe à ce débat global.
Le vaisseau amiral qu'est aujourd'hui Viginum fonctionne à ce jour avec 40 équivalents temps plein (ETP). Nous avons donc bien un problème d'échelle. C'est pour cela que nous considérons qu'une stratégie nationale à plusieurs niveaux peut être un élément de lutte pour associer l'ensemble de la population dans la guerre informationnelle. Quel est votre avis à ce propos ?
M. Sébastien Lecornu, ministre. - Je partage la philosophie de votre question, mais il faut distinguer le cyber de l'informationnel.
Dans le domaine cyber, je suis frappé de voir que cela n'implique pas assez l'ensemble des acteurs. J'essaie de faire mon boulot avec les industries de défense, mais, je l'ai dit à de nombreuses reprises en interne, ce sujet me semble relever du Premier ministre et je le dis à dessein ici au Sénat : cela concerne aussi les collectivités territoriales.
En tant que particulier, vous payez votre système d'alarme, votre serrure, vos fenêtres. Si vous n'avez rien de tout cela, les assureurs, les policiers et gendarmes, la loi de la République vous rappellent que c'est à vous de vous protéger un minimum. Pour autant, une fois que vous êtes victime d'un cambriolage, vous appelez le 17, les policiers viennent et tout s'enchaîne. Il existe donc une répartition des rôles entre ce que doivent faire les individus, les collectivités, les entreprises ou les associations et ce que fait la puissance publique.
En matière cyber, pourquoi serait-ce à l'État d'installer un antivirus sur l'ordinateur de la mairie ? Pour autant, il est bien normal que l'État vienne au secours de la collectivité locale en question, si la menace dépasse la question de l'antivirus. Ce débat n'est pas tout à fait tranché, me semble-t-il. Une collectivité locale rend un service public et fait partie de la « puissance publique ».
En matière cyber, il faut une mobilisation générale, car nous ne sommes qu'au début de nos ennuis. En effet, au regard du comportement de la Russie - de la sphère russophone, d'ailleurs -, la violence des attaques ne va pas aller en s'arrangeant. Il faut donc être clair sur ce qui relève de la sécurité personnelle, c'est-à-dire ce que l'on demande aux citoyens, aux collectivités, aux entreprises, et sur ce que l'État doit apporter. À mon avis, c'est une question clé.
Pour ce qui relève de l'informationnel, c'est la même démarche. À cet égard, on n'échappera pas non plus à des discussions avec la communauté des journalistes. Donner une information quand on a une carte de presse ou quand on n'en a pas, ce n'est pas tout à fait la même chose, sauf à dire que la carte de presse ne sert à rien d'autre qu'à offrir un avantage fiscal. On en revient donc à la question de la source de l'information et de sa certification. Cela suppose aussi de dire ce qu'est la vérité - vaste sujet de philosophie...
C'est pour cela que, depuis deux ans, dans mon ministère, j'essaie d'être techniquement précis sur les questions de détection, d'attribution, etc.
Mme Nathalie Goulet. - En matière de sensibilisation, les actions sont-elles suffisantes ou doivent-elles être améliorées ? Je pense notamment au risque industriel. Notre commission d'enquête s'est beaucoup focalisée sur la guerre informationnelle, mais je pense que la guerre industrielle est tout aussi majeure. Les gendarmes accomplissent un énorme travail auprès de populations ciblées pour les prévenir. Ici même, des actions de sensibilisation aux influences étrangères ont été menées.
En matière de coordination, n'est-il pas temps d'élaborer un système proche de celui des États-Unis ? Le droit, y compris l'extraterritorialité du droit, l'économie et le fisc y constituent une task force pour protéger les entreprises américaines. Il me semble important que tout le monde aille dans le même sens.
Concernant le salon Eurosatory, enfin, quelle est à votre avis l'influence étrangère, s'il y en a eu une, qui est intervenue ?
M. Ronan Le Gleut. - Vous avez évoqué les attaques sur des sous-traitants de la BITD, notamment l'espionnage. Au-delà des actes de cambriolage ou de vol se pose la question du recrutement. En effet, les petits sous-traitants n'ont sans doute pas les moyens d'investigation nécessaires pour être certains de ne pas recruter quelqu'un qui fera ensuite de l'espionnage. Comment le ministère des armées peut-il les accompagner ?
Sur les cyberattaques, une fois la détection et l'attribution réalisées, vous avez parlé de légitime défense, donc de nécessaire contre-attaque, mais comment une démocratie comme la nôtre, c'est-à-dire un État de droit, peut-elle agir dans ce cadre ?
Mme Vanina Paoli-Gagin. - L'Union européenne a raté le virage des infrastructures technologiques, qui a été pris par les Gamam - Google, Apple, Meta, Amazon, Microsoft. Pensez-vous que l'on devrait reprendre la main au moins sur l'infrastructure cloud ou considérez-vous qu'il n'est pas pertinent de savoir où sont hébergées nos données et comment on les traite ?
Par ailleurs, alors qu'une vision macro paraît indispensable, il n'y a pas d'approche interministérielle en ce sens, par exemple avec un coordinateur. Cela permettrait pourtant des réponses plus ciblées au regard de la menace, qui iraient jusqu'à l'échelon territorial, puisque les vulnérabilités sont également décentralisées.
Lors de l'examen du projet de loi de simplification de la vie économique, j'ai déposé un amendement ayant pour objet un renversement de la charge de la preuve pour l'assurance cyber - c'est en vigueur à l'étranger. Il n'a pas prospéré, alors même que c'est un point très important pour permettre aux collectivités de se protéger. Il y va de l'assurabilité des systèmes.
Enfin, vous avez parlé de naïveté. L'affermissement des forces morales et l'éducation ne sont-ils pas la meilleure défense, la meilleure protection ?
M. Sébastien Lecornu, ministre. - La sensibilisation est-elle suffisante ? Il faut recommencer à chaque fois pour les industries de défense. Les grands patrons estiment que cela fonctionne mieux quand ce sont la DRSD et la DGA qui s'y attellent, plutôt que la hiérarchie des entreprises en question. À cela, je réponds que chacun doit prendre ses responsabilités.
Non, il n'y a pas assez de sensibilisation. Aux journalistes qui m'interrogent, je demande souvent quel est le plan de résilience cyber de leur rédaction. Qu'est-ce qui nous garantit que, demain, un grand quotidien sortira bien l'article tel qu'il a été écrit par le journaliste et validé par la rédaction en question et non, par un jeu de substitution, un autre article ? Quelles sont les mesures de sensibilisation d'un sénateur nouvellement élu ? J'ai eu cette conversation il y a quelque temps avec le président Larcher.
M. Rachid Temal, rapporteur. - Nous avons travaillé en ce sens.
M. Sébastien Lecornu, ministre. - Il faut une approche globale, d'autant qu'en matière de manipulation et d'ingérences étrangères les parlementaires sont des cibles de choix. À cet égard, certains débats parlementaires, voire certains amendements, peuvent surprendre, mais je n'en dirai pas plus.
Là où il y a du pouvoir médiatique, politique, culturel, il doit y avoir sensibilisation. C'est vrai de l'informationnel comme du cyber. Il faut un sursaut en la matière pour tout ce qui concerne les infrastructures médiatiques.
À mon sens, la coordination entre le droit, l'administration fiscale et l'économie ne fonctionne pas si mal.
J'en viens à la vision macro et à l'interministérialité.
Pour ma part - et je le tiens de mon expérience de ministre des armées -, je trouve que la dynamique horizontale, c'est-à-dire l'interministérialité, fonctionne bien, notamment grâce au secrétariat général de la défense et de la sécurité nationale (SGDSN), voulu par le général de Gaulle. Il a désormais beaucoup de moyens et, quand il demande quelque chose à l'un des ministères, c'est fait. En cas d'incident, une espèce de task force s'organise et tout le monde se met autour de la table. À entendre ce que les anciens me racontent, c'est le jour et la nuit.
En revanche, dans certains ministères, la verticalité laisse à désirer. Si vous avez des ministres, des cabinets ministériels, des directeurs d'administration centrale, qui considèrent au fond que ce n'est pas leur boulot, car c'est celui du ministère de l'intérieur et du ministère des armées, et que l'information ne redescend pas - au hasard dans chaque agence régionale de santé (ARS) ou dans chaque rectorat -, on n'y arrivera pas.
C'est donc plus un problème de verticalité que d'horizontalité. Matignon donne les impulsions, tout comme le font le SGDSN et les cabinets des ministres de l'intérieur et des armées, mais, si cela ne redescend pas, encore plus en matière cyber, qui est un enjeu crucial, on se heurte à une difficulté. On ne peut pas demander à l'Anssi de tout faire. Je reviens à mon exemple du cambriolage chez un particulier : en général, c'est une brigade de gendarmerie de proximité qui vient et non pas le directeur général de la gendarmerie nationale (DGGN). L'organisation horizontale a de la valeur et la communication ne me paraît pas mauvaise.
Les grands salons comme Eurosatory sont à haut risque. Toutefois, comme nous sommes à domicile, pour le dire ainsi, les intérêts français ne sont pas forcément ciblés en premier, parce que les protections sont durcies. Reste que les différents pays peuvent se cibler entre eux pendant le salon.
M. André Reichardt. - Un pays a été interdit avant l'ouverture du salon...
M. Sébastien Lecornu, ministre. - Vous sous-entendez qu'Israël espionne sur le salon Eurosatory ?
M. André Reichardt. - Je dis juste qu'un pays a été interdit.
M. Sébastien Lecornu, ministre. - Quel rapport avec les ingérences étrangères ?
M. André Reichardt. - Justement, y a-t-il eu une ingérence étrangère pour empêcher ce pays de participer à ce salon ?
M. Sébastien Lecornu, ministre. - Quelles ingérences étrangères ?
M. André Reichardt. - C'est la question que je pose.
M. Sébastien Lecornu, ministre. - C'est une décision du Président de la République et du ministre des affaires étrangères. C'est une décision diplomatique. On peut ne pas être d'accord, mais c'est une décision française.
La question de la sénatrice Goulet porte sur les types d'ingérences étrangères sur un salon comme Eurosatory. Je vous réponds qu'il y en a, surtout entre les différents pays, en raison de l'espèce de bouillon de culture formé par toutes les délégations présentes. Oui, les salons d'armement sont des moments à risque important, ce n'est pas propre à ceux que l'on organise sur notre territoire.
Monsieur Le Gleut, heureusement, les recrutements indésirables par des entreprises sous-traitantes arrivent peu, mais on en revient à la question de la sensibilisation et au respect des règles de sécurité de base. Si un employé rapporte chez lui son ordinateur qui contient des données qui auraient dû rester au bureau, vous pouvez demander tout ce que vous voulez à la DRSD ou à la DGA, cela ne suffira pas ! Si les gens ne respectent pas les règles, il faut les punir. On ne peut pas demander à un militaire d'observer scrupuleusement les règles, le punir quand il ne le fait pas et s'accommoder du fait que le salarié d'une boîte de défense, qui parfois gagne mieux sa vie que le militaire en question, ne respecte pas les règles. Les pires incidents de sécurité ont toujours lieu quand les gens se détournent des règles d'hygiène qui deviennent routinières.
L'essentiel des travaux de la DRSD, c'est de faire des enquêtes et de délivrer des habilitations secret-défense ou de les retirer, et ce pour le compte du ministère des armées, mais aussi pour la BITD et ses sous-traitants.
La négligence est un problème. Cela vaut aussi pour l'hygiène numérique des parlementaires ou des ministres. Il faut faire attention à l'endroit où on laisse son téléphone, aux applications que l'on utilise, etc. Tout cela relève aussi d'une responsabilité individuelle. Je manquerais l'audition si je ne le disais pas à un moment donné. En plus de la responsabilité de l'État et de celle des acteurs, il y a bien la responsabilité individuelle.
La question de la démocratie et de l'État de droit est évidemment essentielle, j'ai déjà un peu défloré le sujet. Que s'autorise-t-on à faire ? Jusqu'où va-t-on ? Je le répète, il faut respecter les règles du territoire national hors du territoire national. Le risque, c'est comme d'habitude d'appeler l'armée à la rescousse. On le fait à de nombreuses occasions, mais ce n'est pas le rôle des armées que d'intervenir dans le champ informationnel sur le territoire national. Pour ma part, c'est une ligne rouge que j'ai donnée aux équipes et aux états-majors depuis que je suis en fonction. Je forme le voeu que cela continue, parce que ce serait à mon sens une très vilaine idée que de revenir en arrière.
Rappelez-vous l'armée française qui, pendant la guerre d'Algérie, distribuait des tracts pour expliquer à quel point c'était bien que l'Algérie soit un département français. Avec le recul, peut-on dire que c'était la mission de l'armée française que de mener ce combat de conviction ? Non, à la rigueur, c'était un combat politique. Les gens qui le pensaient pouvaient politiquement mener ce combat, mais pas demander à des gens en uniforme de distribuer des tracts.
En ce qui concerne le cloud, je ne parlerai que du ministère des armées, car le sujet est vaste. Nous sommes très attentifs à la localisation de nos data : elles se trouvent sur des serveurs dont on a la maîtrise et qui ne sont pas interconnectés à des réseaux qui nous posent un problème. Ensuite se pose la question de la soutenabilité - qu'est-ce qui est faisable pour la défense française ou pour les data santé ? -, qui n'est pas inintéressante en termes d'enjeux de souveraineté notamment.
Je pense que le rapport de votre commission d'enquête ouvrira aussi des sous-ensembles de sujets qui mériteront d'être traités de manière ad hoc. Pour ce qui relève du curatif, il faudra pivoter sur certains aspects, en se posant notamment la question de ce que cela coûte, parce que, par définition, tout ce que l'on évoque depuis tout à l'heure a un coût pour le contribuable.
Sur la naïveté, c'est mille fois vrai. Je ne l'ai jamais annoncé publiquement, je le fais ici : j'ai amorcé une transformation profonde de la Journée défense et citoyenneté (JDC), l'ancienne Journée d'appel de préparation à la défense (JAPD), qui aujourd'hui n'a plus grand-chose à voir avec la défense, alors qu'elle est financée par le ministère des armées. Pour cette cible d'âge - 16 ans -, plutôt que de s'éparpiller sur divers sujets, il vaudrait mieux se concentrer sur quelques règles de vigilance numérique et autres qui trouveraient bien leur place dans une « JDC durcie ». De fait, je pense qu'il incombe au ministère des armées de faire cet éveil, car il a le personnel qui convient. En outre, comme il s'agit d'une journée obligatoire pour les filles comme pour les garçons, inclure cette thématique dans la JDC a de la valeur. En tout cas, cela fait partie de mes projets.
M. Dominique de Legge, président. - Monsieur le ministre, je vous remercie de votre éclairage et de votre enthousiasme pour défendre ce dossier. Dans ces moments troublés, c'est assez réconfortant.
M. Sébastien Lecornu, ministre. - Ce sujet de long cours n'appelle pas de réponses simples.
La réunion est close à 16 h 40.