Le mouvement n’a – heureusement – rien d’inédit pour un service régalien français, mais le lieu choisi, lui, est très significatif. Dans un «manifeste» rendu public mardi, l’Agence nationale de la sécurité des systèmes d’information (Anssi), chargée de superviser la protection des réseaux de l’Etat et des entreprises sensibles, annonçait la mise en place, d’ici 2025, de nouvelles antennes «sur au moins trois sites» en régions, à commencer par «l’ouverture dans les prochaines années d’une implantation à Rennes». Objectif : rapprocher l’agence «des acteurs institutionnels majeurs du ministère des Armées», au premier chef le Commandement de la cyberdéfense (ComCyber), qui a inauguré en octobre dans la capitale bretonne un bâtiment dédié à la «conduite des opérations dans le cyberespace». Présent comme chaque année au Forum international de la cybersécurité (FIC), qui tenait jusqu’à ce jeudi soir au Grand Palais de Lille sa douzième édition, le directeur général de l’Anssi, Guillaume Poupard, a pris les devants mercredi lors d’une conférence de presse : «Cela ne veut pas dire remettre en cause le modèle qui est le nôtre, a-t-il fait valoir. On va rester très clairs sur les fondamentaux.»

Missions «séparées»

Pourquoi ces précautions oratoires ? Parce que, sur le papier, l’affaire est très claire : «La cyberdéfense de la France repose sur un modèle d’organisation et de gouvernance qui sépare les missions et capacités offensives des missions et capacités défensives», rappelle la Revue stratégique de cyberdéfense de mars 2018, élaborée sous la houlette du secrétariat général de la défense et de la sécurité nationale (SGDSN, rattaché au Premier ministre). Les secondes relèvent de l’Anssi, quand les premières sont dévolues aux forces armées et aux services de renseignement – à la seule exception du ministère des Armées lui-même, où le ComCyber assure la protection des réseaux militaires et mène des attaques. Les autorités ne tarissent généralement pas d’éloges sur ce choix qui «facilite l’acceptation des interventions de l’Etat» en matière de cybersécurité, dixit la Revue stratégique, là où les pays anglo-saxons, eux, regroupent attaque et défense au sein de leurs agences de renseignement technique (comme la NSA aux Etats-Unis). Dans les faits, c’est évidemment plus compliqué. Au printemps dernier, Libération s’était ainsi penché sur la question, particulièrement sensible, de la gestion des failles informatiques, dont la partie offensive tire profit pour développer des «armes cyber» tandis que la partie défensive a précisément pour mission de les faire corriger…

A lire aussi L’attaque, faille de la cyberdéfense

En ouvrant une antenne en terres bretonnes, l’Anssi va rejoindre dans un «pool» régalien non seulement le ComCyber, mais aussi la Direction générale de l’armement-Maîtrise de l’information (DGA-MI), chargée justement, entre autres, de la conception du cyber-arsenal français, et implantée de longue date à Bruz, à une quinzaine de kilomètres de Rennes. Or Guillaume Poupard s’est dit, mercredi, «persuadé» que les quatre «chaînes cyber» (les acteurs de la protection des réseaux, des forces armées, du renseignement et de l’investigation judiciaire) seront amenées à «travailler de plus en plus étroitement ensemble». Et qu’il faudra, «y compris d’un point de vue opérationnel, aller plus loin dans la coopération».

«Plateaux communs»

Certes, la tonalité n’est pas totalement nouvelle. La Revue stratégique estimait déjà que «s’il n’est pas compensé par une très forte coordination entre ses pôles défensif et offensif, le modèle français peut présenter, en termes d’efficacité, l’inconvénient d’une bipolarité trop fortement assumée». C’est dans cet objectif qu’a été mis en place un Centre de coordination des crises cyber (C4) réunissant les ministères concernés. Mais l’évolution ira manifestement bien au-delà de la «fluidification des échanges» et de la «clarification» organisationnelle préconisées dans le document. Interrogé par Libération sur les contours que pourrait prendre une «coopération opérationnelle» entre l’Anssi et le ComCyber, Guillaume Poupard s’est montré concret : «A l’horizon 2025, je pense qu’on aura l’obligation d’avoir des plateaux communs [réunissant des défenseurs et des attaquants] pour réagir efficacement face aux pires menaces.» C’est très certainement à l’aune de ces futurs regroupements d’effectifs qu’il faut lire l’annonce de l’antenne rennaise à venir.

«Aujourd’hui, on a des structures de coordination à un haut niveau, on sait se passer les éléments nécessaires, a-t-il ajouté. On sait demander des effets à la partie offensive, on commence à le faire.» De fait, le cadre juridique pour de telles demandes est prévu depuis la loi de programmation militaire de 2013 : l’article L2321-2 du code de la défense dispose qu’en cas d’attaque informatique susceptible d’affecter «le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation», les services de l’Etat peuvent y mettre un terme «en accédant aux systèmes d’information qui sont à l’origine de l’attaque». Une instruction classifiée du Premier ministre est venue préciser en 2016 la manière dont l’Anssi «organise et dirige les opérations techniques nécessaires à la caractérisation d’une attaque informatique» et dont le SGDSN peut ensuite ordonner la «neutralisation des effets» de l’attaque, explique la Revue stratégique.

A lire aussi Cybersécurité : «La criminalité de masse se développe»

Au FIC, le patron de l’Anssi s’est dit «persuadé que demain, la fréquence des cas où on aura une interaction, sans confusion des genres, entre offensif et défensif, va se développer». Si on peut voir dans ce positionnement une inflexion notable du discours public de l’agence, sans doute aussi faut-il y lire la conséquence de la place prise par l’Anssi dans le dispositif «cyber» français… et la disparition progressive du voile pudique recouvrant les relations – évidemment pas nouvelles – entre attaque et défense, alors que les pouvoirs publics revendiquent désormais pleinement la «lutte informatique offensive». Reste que si, dans sa keynote de mercredi matin, Guillaume Poupard a filé la métaphore sportive en évoquant «l’équipe de France» de la cybersécurité ou en décrivant les services régaliens en charge du domaine comme un «pack» de rugby, le modèle français de cyberdéfense, lui, relève plutôt, entre la lettre de la «séparation stricte» et la réalité des «interactions», de l’exercice d’équilibrisme.