Le vice-amiral d’escadre Arnaud Coustillière, président du Pôle d’excellence cyber, était présent sur le pavillon Bretagne dressé lors du Forum InCyber 2024. Il a profité de son passage sur cet espace pour présenter son ouvrage Soldat de la cyberguerre, paru en février, mais également dresser un état des lieux des éléments qui font de la Bretagne une terre de numérique régalien et donc un atout pour la sécurité informatique.
Pouvez-vous vous présenter ?
Je suis le vice-amiral d’escadre Arnaud Coustillière. J’ai passé 40 ans au sein du ministère des Armées. J’y ai pris le dossier de la cyberdéfense en 2008 et l’ai rendu en 2017. Ensuite j’en ai été le directeur général du numérique, où j’ai été chargé de la transformation numérique du ministère des Armées et la réforme de la gouvernance SIC. J’ai quitté le ministère en 2020 et suis depuis conseiller numérique et cyber auprès de PME et de start-up françaises afin de les accompagner pour établir des relations stratégiques. J’ai été nommé, en 2021, par le président de la Région Bretagne et le ministre de la Défense, président du Pôle d’excellence cyber. J’en avais été à l’origine de sa création en 2014 lorsque Jean-Yves Le Drian était ministre de la Défense.
En février 2024, vous avez publié le livre Soldat de la cyberguerre. Pouvez-vous nous expliquer la genèse de cet ouvrage ?
Ce livre retrace en particulier la façon dont le ministère des Armées a pris le tournant de la cybersécurité et s’est emparé de ce sujet. Comme le laisse entendre son intitulé, je ne m’exprime pas sur les services de renseignement, mais bien sur le domaine des opérations militaires. Je reviens sur comment nous sommes passés d’une feuille blanche, en 2008, à une force comprenant environ 2500 combattants en 2017, lorsque j’ai quitté toute cette aventure. J’ai également voulu rendre hommage à l’ensemble des équipes, à la façon dont elles se sont investies et montrer que le ministère a su se transformer. Il a bénéficié d’un très bon alignement des planètes pour cela. À la fois entre des autorités très bien coordonnées mais aussi avec les bâtisseurs, dont j’ai fait partie. Enfin, je voulais narrer cette aventure. La manière dont nous avons mené les premières opérations offensives en appui aux opérations militaires tactiques et les montées du défensif, vers la contre-propagande à la suite des attentats de 2015 mais surtout à la suite du Bataclan.
Comment percevez-vous l’évolution de la menace informatique ?
Ce qui peut être considéré comme une surprise, c’est l’accélération des tensions internationales, tant au Moyen-Orient qu’en Ukraine. Elles se traduisent par des tensions accélérées et accrues dans l’espace numérique, qui est un espace de combat comme un autre. Il interfère totalement avec ce qui se passe dans la réalité. Si le monde réel est calme, l’espace numérique sera relativement calme, il n’y aura que de la cybercriminalité. Quand l’espace du monde réel est secoué de secousses et de dangerosités comme on l’a aujourd’hui, l’espace numérique devient un espace de chaos et de tempêtes, puisque c’est l’espace où les groupuscules, les nations, les forces vont s’exprimer de façon cachée, de façon masquée, avant le conflit, avant les opérations militaires dures, les combats de haute intensité. C’est donc le moment où tout ce qui va être fait va être un peu gris. On le voit avec la propagande, avec l’ingérence, avec les attaques en sabotage, en espionnage, etc.
“Le niveau de sécurité informatique n’est pas encore au bon niveau”
Dans l’autre sens, quel regard portez-vous sur l’évolution sur les réponses qui sont apportées pour faire face à ces menaces ?
C’est toujours un peu l’affaire de l’épée contre la cuirasse. Malheureusement, les attaquants ont l’initiative. Les tempêtes arrivent beaucoup plus vite que prévu et les défenseurs ont malheureusement un temps de retard. Si les outils sont là aujourd’hui, il y a quand même assez peu d’organismes en dehors des grandes entreprises, des grands ministères qui ont réussi à mettre en place des dispositifs ad hoc. On voit bien dans nos communautés territoriales, dans nos hôpitaux, dans les TPE, les PME, le niveau de sécurité n’est pas encore à un bon niveau, y compris en termes d’acculturation, de vigilance et de précaution à prendre face à ces menaces numériques. Les gens apprennent vite, mais nous sortons d’une période de grande naïveté et d’absence de méfiance. Le monde est devenu dangereux. Donc si on ouvre des failles, quelqu’un arrivera à les exploiter.
Vous semblez dire qu’il y a un retard qui a été pris. Peut-il être comblé ?
Oui bien sûr, il peut être comblé. La première frontière dans le numérique, c’est l’individu. Si les individus font preuve de davantage de vigilance, de davantage de recul, respectent les consignes de sécurité, notamment les dix commandements de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), typiquement sur les mots de passe, la distinction vie professionnelle et vie privée. Si on accepte de plus segmenter, on peut réduire de beaucoup les attaques informatiques. Maintenant, les attaques informatiques de très haut niveau resteront toujours l’apanage d’États ou de groupes bien formés. Si les gens passent, c’est que le niveau de résistance est faible. C’est un peu comme quand vous quittez votre maison le matin, vous fermez la porte. Il y a 20 ans, c’était avec une petite clé. Aujourd’hui, c’est une serrure à trois points avec une alarme dans tous les coins. Le numérique fait un peu la même chose et prend ce chemin.
Selon vous, quelle place tient la Bretagne dans la stratégie de cybersécurité nationale ?
Bruz, c’est le cœur technologique de la DGA. Lannion est l’un des emblèmes qui fait de la Bretagne une terre de télécom. Elle compte également le Pôle d’excellence cyber, qui fait la fusion entre le monde étatique et le monde économique extérieur. Donc traditionnellement, la Bretagne a toujours été une terre technologique. Elle a su prendre, aux alentours de la période 2012-2014, le virage du numérique, en commençant, en particulier, par la cybersécurité. Pourquoi ? Car le ministère des Armées a fait le choix de concentrer ses forces en Bretagne. C’était un choix normal puisqu’elle avait déjà toute une expertise technique. Dans le même temps, elle a vécu la crise des Bonnets Rouges. La Bretagne a dû retrouver ses priorités d’investissement. Elle a donc fixé trois grandes priorités que sont le maritime, l’agroalimentaire et la cybersécurité. La Région et les différentes grandes communautés urbaines se sont mobilisées pour faire de cyber un sujet tourné vers l’avenir, tourné vers le numérique. La Bretagne a su prendre ce tournant. Aujourd’hui, la prochaine étape vers laquelle on se destine, c’est le numérique et la montée vers l’intelligence artificielle. Le ministère des Armées commence à investir dans son intelligence artificielle la plus régalienne. Donc la Bretagne, par la force des choses, devient une terre extrêmement régalienne, ce qu’elle a toujours été. Car la Bretagne héberge les écoles d’officiers. Tous les marins sont formés en Bretagne, à l’École navale et à Brest, les Saint-Cyriens sont formés à Coëtquidan. Cet aspect régalien, nous le retrouvons dans des spécialités numériques et techniques.
Quels sont selon vous les atouts qui font d’elle une terre de numérique régalien ?
Elle bénéficie de l’implantation historique du ministère des Armées et des écoles d’officiers depuis. La DGA y a historiquement concentré, autour de Rennes, toute son expertise numérique. Assez naturellement, j’y ai placé les unités opérationnelles. Le ministère des Armées est le plus gros investisseur de France, notamment pour le numérique. Derrière, un écosystème se forme concentrant nos grands industriels souverains et une quête d’autonomie. Cela draine un tissu économique qui rayonne à partir de la Bretagne. Il n’est pas question d’une vision fermée où seule la Bretagne en bénéficie. Cela n’a pas de sens dans le numérique. La Bretagne est un point de départ. Elle permet de partir à la conquête du monde et les Bretons savent le faire.
“La Bretagne peut montrer l’exemple d’une locomotive hors de Paris”
Quel rôle peut jouer la Bretagne dans les défis qui se dressent en matière de sécurité informatique ?
Je pense qu’elle peut montrer l’exemple et montrer aux autres régions qu’il peut y avoir une locomotive numérique en dehors de Paris. 80% des start-up cyber sont localisées en région parisienne, 10% sont en Bretagne et le reste ailleurs. Il n’est pas question de mettre les régions en concurrence. Nous avons absolument besoin du numérique. Nous le voyons avec l’intelligence artificielle. Il en existe des formes multiples. Donc je pense qu’France, qui un pays est très centralisé, la Bretagne est un exemple pour les autres régions. Cela vaut aussi pour la formation. Nous ne pouvons pas avoir un numérique avancé si, à côté, nous n’avons pas les formations adéquates. La Bretagne les a.