V. LA MONTÉE EN PUISSANCE DES SERVICES DE RENSEIGNEMENT DANS LE DOMAINE CYBER
Cet investissement dans la surveillance du cyberespace exige des moyens nouveaux pour les services : une adaptation de leur organisation, des personnels spécialisés dans les technologies de la sécurité informatique, dans le développement de nouveaux outils et de l'exploitation de ceux-ci, et enfin des moyens financiers pour concevoir, développer, acquérir et exploiter les nouveaux outils. Cet effort suppose, en outre, le développement parallèle d'une filière industrielle souveraine. Il est nécessaire si la France veut pouvoir maintenir son rang et ses capacités car l'ensemble des services de renseignement se dotent de capacités dans ce domaine.
A. LA MONTÉE EN PUISSANCE DES SERVICES FRANÇAIS DE RENSEIGNEMENT
Des informations recueillies auprès des services on constatera notamment :
• un effort continu de recrutement et d'investissement des services consacré au domaine cyber ;
• la recherche d'une mutualisation des investissements et des capacités avec des entités appartenant au même ministère (armées/DGSE, armées et CRAC-DRM, douanes, police/DGSI) avec des modalités d'usage différentes (séparation étanche des missions pour le ministère des armées et la DGSE, forte intégration du CRAC au sein de l'état-major du COMCYBER, compétence nationale de la DGSI pour opérer les captations de données dans le cadre judiciaire, délégation à une entité spécifique « Cyberdouane » pour la DNRED ;
• la commune difficulté des services à recruter et fidéliser des ingénieurs et techniciens informatiques de haut niveau spécialistes de la sécurité et de la gestion des données. Des initiatives ont été prises, par exemple au sein des armées pour mutualiser la formation des cadres intervenants dans ce domaine 191 ( * ) .
1. La DGSE
Dans le domaine de la lutte informatique défensive, la DGSE poursuit le développement de sa capacité à détecter, caractériser et surtout aider à attribuer les cyberattaques menées à l'encontre des intérêts français. En particulier, maintenir une connaissance actualisée sur l'état de la menace et accroître la visibilité sur les opérations numériques offensives des pays tiers supposera de multiplier les accès techniques, humains ou opérationnels à du renseignement capté auprès des attaquants.
a) Un effort de recrutement et de formation
En 2019, la DGSE a consacré environ ***** ETP à sa mission de cyberdéfense. En fin de loi de programmation militaire, cet effectif devrait atteindre *****. Ces agents sont majoritairement affectés à des missions *****.
Au titre de la LPM 2019-2025, la DGSE bénéficiera de 772 créations dont 502 sur la période 2019-2023 (310 de 2019 à 2022) au sein desquels 290 devraient être affectés à la fonction « cyberdéfense » et ces effectifs seront renforcés par 173 militaires de l'EMA 192 ( * ) .
*****
b) Des investissements importants
L'intensification et la consolidation capacitaire des grands programmes interministériels et de la cyberdéfense, avec notamment l'acquisition et le développement de matériels permettant de tenir compte des évolutions technologiques et de l'augmentation du volume et de la qualité des données à traiter ainsi que du développement et de l'industrialisation des processus techniques constituent le socle nécessaire au maintien de l'efficacité de la DGSE. Dans un monde où la collecte des données, notamment en source ouverte est massive, la performance d'un service de renseignement se mesurera davantage par ses capacités à exploiter intelligemment et rapidement l'information utile.
*****. Quand cela est possible les investissements capacitaires sont mutualisés au sein du ministère des armées dans une double logique d'économie des moyens et de respect des attributions et responsabilités du CEMA et du DGSE. La DGSE a reçu à ce titre un financement spécifique de l'EMA de ***** en 2019. D'autres investissements sont financés pour partie au titre de capacités techniques interministérielles mutualisées (CTIM) par transfert au budget de la DGSE de crédits du programme 129 « coordination de l'action du Gouvernement 193 ( * ) ».
La DGSE a consacré ***** à sa mission de cyberdéfense de 2015 à 2019. Elle poursuit sa montée en puissance et y consacrera près de ***** sur la période 2020-2024 (***** par rapport à la période précédente). Ces montants n'intègrent pas les crédits transférés au titre des programmes interministériels, ni les montants financés aux moyens des fonds spéciaux contrôlés par la CVFS.
2. La DGSI
a) *****
*****
b) *****
*****
c) *****
*****
3. La DNRED
*****
4. Tracfin
Au niveau humain, il convient de distinguer les moyens mis au service de la sécurité informatique du service de ceux liés aux aspects cyber des missions du service, et dont lutte contre la cybercriminalité.
S'agissant de la sécurité informatique du service, en septembre 2019, une cellule dédiée a été créée. Deux ingénieurs sécurité des systèmes d'information ont été recrutés en 2019 et au printemps 2020 pour renforcer l'officier de sécurité-chef de la cellule de sécurité des systèmes d'information.
Une cellule dédiée à la lutte contre la cybercriminalité, créée en septembre 2018, comporte depuis janvier 2020 4 enquêteurs (agents titulaires de catégorie A). Un développement de cette cellule est envisagé au regard du nombre de dossiers à traiter et de l'évolution des typologies de fraudes rencontrées.
La démarche capacitaire de Tracfin
*****
Une mutualisation des achats entre services des ministères économiques et financiers, voire entre services de renseignement, peut faire diminuer le coût des licences. C'est le cas pour les outils qui sont référencés par l'UGAP, centrale d'achat qui négocie les tarifs avec les éditeurs sur la base d'un volume de commandes mutualisé entre les différents acheteurs publics. Pour les outils qui ne sont pas référencés à l'UGAP, l'économie réalisée serait à mettre au regard des coûts de coordination que cette mutualisation occasionnerait, les services ayant en général des processus et supports contractuels d'achat différents.
5. La DRM
Depuis 2015, la DRM dispose du centre de recherche et d'analyse du cyberespace (CRAC) qui concentre ses capacités de recueil de renseignement d'origine cyber et d'analyse des menaces ( cf. supra ). Ce centre emploie un effectif de 100 personnes. La dualité de ses missions impose de disposer de profils variés d'analystes-rédacteurs. Si ces derniers sont une ressource relativement facile à capter, d'autres métiers sont soumis à une concurrence plus marquée. Ainsi les spécialistes de l'investigation sur supports numériques, qui requiert à la fois des connaissances en télécommunications, en électronique et en base de données, s'avèrent plus difficile à recruter et fidéliser (cursus de formation long, peu compatible avec le jeu des mutations militaires). De même, les spécialistes « télécoms » et « systèmes d'information et de communication », constituent une population sous tension.
Outre les compétences, la gestion de l'équilibre entre personnels militaires et civils représente un enjeu pour le domaine afin, notamment, de répondre aux besoins des théâtres d'opérations (exemple du laboratoire de renseignement multicapteurs en charge, entre autre, de l'extraction des données téléphoniques saisies). Le CRAC aujourd'hui est composé de près de 46 % de personnels civils (contractuels ou fonctionnaires, très majoritairement de catégorie A). A moyen terme, la DRM entend stabiliser le ratio civils/militaires aux environs de 30/70.
Sur la période de LPM (2019-2025), la DRM sera renforcée d'un total de 238 ETP. Il est actuellement prévu d'attribuer 2 de ces ETP au CRAC. Des études sont néanmoins en cours en interne DRM afin d'évaluer la possibilité de réévaluer à la hausse cette cible afin de mieux répondre aux besoins du domaine.
En matière de développement capacitaire, le CRAC s'inscrit dans la cohérence d'ensemble de la DRM. Le recours à des outils développés par des entreprises est courant et permet de constituer un socle de solutions pour conduire, par exemple, la veille sur les réseaux, l'investigation dans le dark web , l'extraction et l'exploitation des données numériques issues de différents supports (GSM, disques durs, puces mémoires...) ou des tâches de traitement de données (requêtage, croisement, analyse prédictive).
Les investissements, limités, sont essentiellement portés par le programme 178 de la mission Défense et s'inscrivent dans la gouvernance générale du ministère afin de garantir un niveau optimal de coordination avec les autres acteurs impliqués (DGA, DIRISI, DGSE, DRSD...). Les investissements consentis au profit du CRAC représentent chaque année plus de 4 millions €.
Les échanges réguliers entretenus avec le reste de la communauté du renseignement garantissent la bonne coordination/mutualisation des efforts et investissements. En matière de recueil en sources ouvertes ou sur les réseaux sociaux (OSINT), le besoin peut être mutualisé. Actuellement une preuve de concept (POC - outil ROSINT) portée par la DGA et Cap Gemini est à l'étude afin de fournir un espace de stockage cloud dédié à ces données. La DRM pourrait en faire bénéficier d'autres entités (unités des armées ou service).
A noter enfin que les données collectées par le CRAC, notamment par le biais de l'exploitation des supports saisis sur les théâtres d'opération, sont partagées avec la communauté au moyen des programmes mutualisés. Ces données (contacts, localisation, etc) contribuent directement aux résultats opérationnels des armées.
6. La DRSD
La montée en puissance des effectifs de la DRSD dans le domaine cyber s'inscrit dans le cadre de la remontée en puissance du service prévu par la LPM 2019-2025.
La plus grande part du personnel relevant du domaine cyber appartient à la sous-direction technique au sein de laquelle l'officier de cohérence cyber du service coordonne la manoeuvre cyber de l'ensemble de la DRSD. Cette sous-direction inclut en particulier un centre opérationnel de surveillance et sécurité (COSS) dont les missions principales sont d'assurer la sécurité cybernétique interne et de contribuer aux actions du ministère des armées dans ce domaine. La composante cyber est également représentée au sein de la sous-direction de la contre ingérence.
Les principales activités du service en matière de cyber, hors activités à vocation de surveillance interne et de certaines TR, relèvent principalement des inspections en milieux industriel et étatique (50 à 60 par an) d'une part et des investigations numériques (70 à 80 par an) de l'autre.
En 2019, 192 postes décrits relevaient du domaine cyber. A l'horizon 2025, l'effectif lié au domaine cyber doit atteindre 249 postes.
D'ici à 2025, le service entend consacrer 192 emplois temps plein (ETP) au domaine cyber. 85 % de ces postes sont d'ores et déjà armés. Ils se répartissent comme suit :
- 70 personnels (objectif : 80) agissent au profit de la cybersécurité de la sphère de défense (43 %) et mettent en oeuvre des compétences spécialisées ;
- 84 personnels (objectif : 97) sont dans l'environnement cyber et participent à l'élaboration du renseignement d'origine cyber (ROC). Il s'agit essentiellement de postes d'analystes, d'administrateurs et d'experts « renseignement » ;
- enfin, en sa qualité d'AQSSI (autorité qualifiée en SSI), la DRSD emploie 9 personnels (objectif : 15) pour assurer la sécurité de ses propres systèmes d'information.
Dans un contexte d'accélération de l'innovation technologique, le cadencement des recrutements vise à répondre à l'augmentation progressive du besoin. Les compétences et les profils recherchés prévalent sur la répartition statutaire et concernent l'ensemble des différents métiers de la cyberdéfense et en particulier des datascientists, des datamanagers, des développeurs et des experts des techniques cyber ou de l'investigation numérique. Au-delà du nombre, elle déploie également des efforts significatifs dans la formation avec la mise en place à compter de la fin 2020 de nouveaux parcours de carrière et de formations ayant vocation à dynamiser les carrières et renforcer le professionnalisme de ses agents. Le service ne fait qu'administrer le personnel qu'il emploie. Il n'est donc pas en mesure de chiffrer précisément le coût (T2) de ce personnel essentiellement supporté par les gestionnaires pourvoyeurs de ressources.
La DRSD a investi 500 000 € en 2019 dans des projets cyber. Les besoins pour les années 2020 et 2021 sont établis à ce jour respectivement dans le cadre de la planification pluriannuelle à hauteur de 700 000 € et 1,5 millions €.
Elle développe de façon autonome certains outils mais s'appuie principalement sur la mutualisation interservices. La cohérence avec les différents projets en cours est systématiquement recherchée dans le domaine cyber comme dans les autres et en particulier celui du nouveau système d'information du service (SIRCID, premier outil d'analyse et de traitement des données hétérogènes). La montée en puissance des moyens des services consacrés à la cyberdéfense doit être poursuivie compte tenu de l'évolution des menaces et des opportunités qu'offre le cyberespace pour le recueil de renseignement.
Recommandation n° 56 : Maintenir un niveau de financement suffisant pour garantir le niveau des investissements des services dans la cyberdéfense et leur permettre de recruter et de fidéliser des personnels de haut niveau.
Compte tenu des moyens financiers engagés en investissement comme en fonctionnement et en ressources humaines, il serait souhaitable de mettre en place au niveau du CNRLT un dispositif d'évaluation de la performance de la politique menée avec ses moyens croissants. Un outil permettant d'homogénéiser les informations sur les moyens consacrés par les services de renseignement à la cyberdéfense devra être intégré dans ce dispositif ( cf. recommandation n° 59).
* 191 Ainsi le COMCYBER préside la commission d'adaptation de la formation (CAF) « SIC/cyber » et co-préside un groupe de travail « Opérer dans le cyberespace » avec la DRH-MD. Il participe également à la gouvernance de la famille professionnelle « Renseignement » à travers la CAF « Renseignement » qui a vocation à faire évoluer la description des métiers et des compétences cyber nécessaires dans cette famille.
* 192 Les agents affectés à la DGSE et travaillant dans le domaine cyber sont rémunérés sur l'article 50-01 du programme 212 pour 65 % d'entre eux environ et sur leur BOP d'origine pour les 35 % restant (renforts EMA/Cyber).
* 193 Le montant des transferts s'est élevé à 73 M € en 2019 pour couvrir l'intensification et la consolidation des grands programmes interministériels et de la cyberdéfense.