Alors que s’ouvre l’exercice de combat cyber de haute intensité, Defnet, le général de corps d’armée Aymeric Bonnemaison, commandant de la cyberdéfense, revient sur les caractéristiques du combat dans le cyberespace et sur les missions du Commandement de la cyberdéfense (Comcyber). 

Général Aymeric Bonnemaison. Le cyberespace, contrairement à la terre, la mer ou l’espace, n’est pas un milieu naturel. Au contraire, c’est un espace humain construit sur de la technologie. Nous ne pouvons pas y appliquer des schémas de pensée correspondant aux autres milieux. C’est un combat permanent et sous le radar. Je vais me prépositionner chez l’adversaire pour opérer au dernier moment quand j’en aurai besoin. La notion de durée est donc différente. L’autre différence importante, c’est que je peux frapper loin.

Une cyberattaque peut prendre des formes multiples. Pouvons-nous imaginer que quelqu’un d’hostile s’introduise dans le système, dort gentiment pendant un certain temps et se réveille au moment opportun ?

Tout à fait. C’est une guerre sous le seuil : le but est d’être sous le radar, de ne pas être détecté lorsque nous nous introduisons chez l’adversaire. C’est un travail assez long qui demande une véritable planification et de nombreux renseignements en amont. Il s’agit de trouver la vulnérabilité qui va vous permettre d’entrer dans le système, puis de voir où vous atterrissez et comment l’adversaire travaille. Il faut ensuite choisir les outils, soit pour extraire des données, soit pour neutraliser le système. Et tout cela sans vous faire repérer par ceux qui protègent le réseau. 

Vous êtes le grand responsable de la cyberdéfense dans les armées. Qu’est-ce que cela signifie ? 

J’ai délégation de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) sur tous les systèmes d’information, de communication et les systèmes d’armes des armées et aussi du ministère des Armées. Cela signifie que j’ai deux grandes missions principales, la première : la protection et la défense de ces systèmes d’information. La seconde, c’est de concevoir et de conduire les opérations dans le cyberespace. 

Pourquoi le commandement de la cyberdéfense a-t-il été créé en 2017 ?

L’élément déclencheur : l’attaque russe en Estonie en 2007. À l’époque, le pays entamait une transition très marquée vers le numérique. Les Russes, en représailles du déplacement d’une statue soviétique dans le cimetière militaire de Tallin, avaient alors conduit une attaque massive. Celle-ci a employé du déni de service et a bloqué les systèmes informatiques des Estoniens. Cette cyberattaque a alors généré l’image d’un État potentiellement faillible, qui chutait à cause du numérique. Dans ce cadre-là, un premier centre d’excellence de l’Otan a vu le jour à Tallin dès 2008, faisant d’ailleurs de l’Estonie un pays aujourd’hui performant dans le domaine de la cyberdéfense. En France, le livre blanc de 2008 prend, dès lors, cette problématique cyber en compte. 

Qu’est-ce que la lutte informatique défensive ? 

C’est un travail de veille, de détection et de caractérisation d’une attaque. Nous sommes à l’écoute, nous surveillons nos réseaux et les sondons pour vérifier que nous n’avons pas été attaqués. Nous réalisons des mises à jour nécessaires dès que des vulnérabilités sont détectées. En cas d’attaque, nous enquêtons pour corriger ce qui s’est passé et y remédier afin de relancer le système.

C’est un travail énorme : il y a beaucoup de données à traiter, de réseaux à suivre, à mettre à jour. Donc, tout ce qui va nous permettre d’améliorer et d’accélérer la surveillance va être indispensable, notamment l’intelligence artificielle.

Comment attribuez-vous une cyberattaque ? 

Contrairement à l’attaque, que nous détectons assez vite, l’attribution est un travail compliqué que nous conduisons à plusieurs avec les services de renseignement pour remonter à l’adversaire, à partir des caractéristiques comme le mode d’action utilisé, la victimologie ou les traces laissées lors de l’attaque. Mais l’attaquant, par définition, va se cacher et utiliser des solutions pour se masquer en utilisant par exemple des serveurs d’un autre pays. C’est un jeu trouble. Et à la fin, le choix d’attribuer une cyberattaque à un acteur revient au politique.

Quand menez-vous des actions de lutte informatique offensive ? 

Typiquement, sur le champ de bataille, je peux avoir intérêt à attaquer le système d’information d’un adversaire pour connaître son intention face à moi, savoir s’il veut m’attaquer par la droite ou par la gauche pour schématiser. Avec ces renseignements en amont, je serai plus performant au combat. L’intérêt peut être aussi d’empêcher l’adversaire d’utiliser ses systèmes. Si j’arrive à neutraliser tous ses chars parce que j’ai réussi à m’y prépositionner et en interdire l’utilisation à un moment donné, le combat sera plus facile. La lutte informatique offensive, c’est de l’espionnage et de l’entrave des systèmes adversaires.

Quand avez-vous saisi l’importance de la lutte informatique d’influence ? 

Le point de départ a été la propagande de Daesh en matière de recrutement. La capacité de cette organisation terroriste à faire passer des messages, à les produire, afin de solliciter des appuis financiers et réaliser du recrutement chez les jeunes Français. Puis, très vite, nous avons été confrontés à des attaques informationnelles en République centrafricaine et plus globalement en Afrique francophone de l’Ouest, avec une offensive russe très massive. Leur but : créer le chaos, perturber, susciter le doute. 

Notre objectif est alors de détecter les attaques informationnelles dans le cyberespace. Il ne s’agit pas de repérer l’avis d’une personne qui serait hostile aux armées, mais bien de détecter des campagnes construites, inauthentiques et coordonnées par un adversaire extérieur qui cherche à nous fragiliser.

Source : Ministère des Armées
18/03/2025