N° 638

SÉNAT

SESSION ORDINAIRE DE 2022-2023

Enregistré à la Présidence du Sénat le 24 mai 2023

RAPPORT D'INFORMATION

FAIT

au nom de la commission des affaires étrangères, de la défense et des forces armées (1) pour une coordination de la cyberdéfense plus offensive dans la loi de programmation militaire 2024-2030,

Par MM. Olivier CADIC et Mickaël VALLET,

Sénateurs

(1) Cette commission est composée de : M. Christian Cambon, président ; MM. Pascal Allizard, Olivier Cadic, Mme Marie-Arlette Carlotti, MM. Olivier Cigolotti, André Gattolin, Guillaume Gontard, Jean-Noël Guérini, Joël Guerriau, Pierre Laurent, Philippe Paul, Cédric Perrin, Rachid Temal, vice-présidents ; Mmes Hélène Conway-Mouret, Joëlle Garriaud-Maylam, Isabelle Raimond-Pavero, M. Hugues Saury, secrétaires ; MM. François Bonneau, Gilbert Bouchet, Alain Cazabonne, Pierre Charon, Édouard Courtial, Yves Détraigne, Mmes Catherine Dumas, Nicole Duranton, MM. Philippe Folliot, Bernard Fournier, Mme Sylvie Goy-Chavent, M. Jean-Pierre Grand, Mme Michelle Gréaume, MM. André Guiol, Ludovic Haye, Alain Houpert, Mme Gisèle Jourda, MM. Alain Joyandet, Jean-Louis Lagourgue, Ronan Le Gleut, Jacques Le Nay, Mme Vivette Lopez, MM. Jean-Jacques Panunzi, François Patriat, Gérard Poadja, Stéphane Ravier, Gilbert Roger, Bruno Sido, Jean-Marc Todeschini, Mickaël Vallet, André Vallini, Yannick Vaugrenard.

L'ESSENTIEL

Avec 831 intrusions répertoriées en 2022 par l'ANSSI dans sa publication annuelle du panorama de la cybermenace, plus de 170 000 demandes d'assistance reçues par Cybermalveillance, dont 90 % émanent de collectivités territoriales, et 150 événements de sécurité numérique touchant au périmètre du ministère des armées (hors services de renseignement), l'évolution du niveau de la menace se caractérise par un passage à l'échelle « industrielle » des organisations criminelles (étatique et non-étatique), une concentration des attaques sur les vulnérabilités des systèmes (établissements de santé, collectivités territoriales et PME), une agilité technologique accrue des cybercriminels et une finalité lucrative (rançongiciels).

Aussi, parmi les 10 objectifs stratégiques fixés par la revue nationale stratégique de 2022 (RNS 2022), l'objectif n°4 vise à atteindre « une résilience cyber de premier rang » afin de prévenir et réduire l'impact et la durée des cyberattaques à l'encontre des fonctions les plus critiques ; cela en s'appuyant sur l'écosystème cyber public et privé, la gouvernance de la sécurité numérique de l'État et en élevant le niveau global de cybersécurité de l'ensemble des acteurs.

La LPM 2024-2030 prévoit 3 axes de renforcement de la cyberdéfense :

· 4 milliards d'euros de besoins programmés (effectifs et technologies) ;

· appui à l'Agence nationale de sécurité des systèmes d'information (ANSSI) ;

· renforcement des capacités de l'ANSSI pour l'analyse et la détection des cyber menaces.

4 milliards d'euros de besoins programmés pour le Cyber, contre 1,6 milliard d'euros pour la LPM 2019-2025

Périmètre des emplois cyber en 2023 (3 502 postes armés) pour un objectif initial de 5 000 cyber-combattants en 2025

Augmentation des effectifs sur la période 2024-2030 au profit principalement de l'État-major, de la DGA et de la DGSE

I. BUDGET CYBER DE LA LPM 2024-2030 : 4 MILLIARDS D'EUROS

A. TROIS AXES D'EFFORT EN FAVEUR DE LA CYBER PROTECTION, DE LA LUTTE INFORMATIQUE DÉFENSIVE ET LA DIVERSIFICATION DES MOYENS D'ACTION

Avec 4 milliards d'euros de besoins programmés pour le cyber, contre 1,6 milliard d'euros pour la LPM 2019-2025, l'enveloppe de la LPM 2024-2030 concerne principalement la cyber protection, notamment la cryptographie, dans le cadre du programme 146 « Équipement des forces ». Verront leurs dotations augmentées les dépenses de fonctionnement du commandement de la cyberdéfense (ComCyber), le maintien en condition opérationnelle des programmes d'armement, et le développement de capacité cyber de la DGSE. La lutte informatique défensive (LID) et les nouveaux domaines d'actions sont les deux autres axes d'effort de cette LPM.

On estime à près d'un milliard d'euros la « dette technique » à rattraper pour adapter nos forces aux évolutions technologiques.

De plus, le besoin de diversification des moyens d'actions vise à prendre en compte le développement de l'intelligence artificielle (IA) pour acquérir une supériorité dans le cyberespace, aussi bien dans les domaines de la LID, la lutte informatique offensive (LIO) que dans la lutte informationnelle et d'influence (L2I). Il s'agit ici de domaines d'effort dont la ventilation n'est volontairement pas chiffrée afin de ne pas fournir d'éléments pouvant porter atteinte à la défense nationale.

Le pôle d'excellence cyber de Rennes

Le Pôle d'Excellence Cyber a été cofondé par le Minarm et la région Bretagne en 2014 afin de créer un écosystème « régalien » mettant en présence les armées, la Région Bretagne au titre de ses compétences en matière de formation et de développement économique, d'entreprises de cybersécurité (Orange cyber défense, Thalès, Cap Gemini, etc.) et les services de l'ANSSI.

Selon les données de la Région Bretagne, cet écosystème représente :

· 3 280 emplois directs

· 1 000 étudiants formés par an

· 880 cyber-combattants du ministère des armées

À noter que les effectifs de la DGA-MI de l'ordre de 1 400 collaborateurs augmenteront de 500 collaborateurs d'ici 2027 et que le ComCyber et l'ANSSI bénéficieront de nouvelles implantations immobilières.

Visite du groupement de cyberdéfense des Armées (GCA) à Saint-Jacques-de-la-Lande (35)

Au retour de leur visite à Rennes de la DGA-Maîtrise de l'information, du ComCyber (photo ci-après) et du pôle d'excellence cyber, vos rapporteurs tiennent à saluer l'expertise et le très haut niveau technologique et scientifique des moyens militaires de cyberdéfense.

Ils ont pu constater sur place les synergies développées entre les différents acteurs publics et privés de cet écosystème régalien, inséré dans un bassin régional de formation et d'emploi.

L'effort cyber de la LPM 2024-2030 est donc sans précédent en France. Toutefois, à titre de comparaison, l'audition de M. Philip M. Stupak, directeur fédéral de la cybersécurité des États-Unis, a permis de mettre en perspective ce chiffre de 4 milliards d'euros répartis sur 7 ans avec le montant de 5 milliards de dollars qui est l'augmentation en une seule année des moyens fédéraux de la cybersécurité américaine dans les domaines civil et militaire, soit un ordre de grandeur estimatif de 45 milliards de dollars annuels.

Deux autres ordres de grandeur sont éclairants :

- lorsque Google Cloud investit 10 milliards de dollars, 10 %, soit 1 milliard de dollars, sont consacrés à la cybersécurité ;

- lorsque le Pentagone décide d'engager un programme de cloud de confiance dit « zero trust » ou « Joint WARfighting Cloud Contract1(*) » avec un consortium d'acteurs majeurs du numérique (Amazon, Google, Microsoft et Oracle) au profit des forces armées américaines, le projet se chiffre à 9 milliards de dollars.

À cet égard, le sujet du cloud de confiance n'apparaît pas comme faisant partie des priorités de cette LPM (ou dans une proportion bien moindre et non exprimée dans le rapport annexé au projet de loi), les projets par ailleurs étant conduits par des acteurs français en association avec des sociétés américaines (Thalès et Google cloud, Microsoft avec Cap Gemini et Orange) à l'exception de Dassault.

Constats :

- La LPM 2024-2030 constitue un effort sans précédent au profit de la cyberdéfense des armées ;

- Toutefois le cloud de confiance reste un angle mort de la LPM.

Recommandations :

- Accompagner le développement de la cyberdéfense régalienne autour de l'écosystème de Rennes en renforçant l'offre de formation ;

- Encourager les acteurs français du cloud et de la cybersécurité.


* 1 Traduction : « confiance zéro » et « capacité de cloud de combat interarmées ».