SDBRNews : Pouvez-vous nous expliquer le sens de votre mission auprès du Délégué ?

Frédéric Valette* : Ma mission est de permettre aux Armées de défendre efficacement le ministère en matière de cybersécurité. Si nous sommes capables de prendre en compte la cybersécurité de manière cohérente dans l’ensemble du périmètre de la Direction générale de l’armement (DGA), nous permettrons au COMCYBER de défendre les systèmes du ministère et nous aiderons le travail du Centre d’Analyse de Lutte Informatique Défensive (CALID). Dans cet esprit, j’assure la coordination des équipes des différentes directions de la DGA dans le domaine de la Cyber, que ce soit pour la sécurité interne, pour le développement de solutions pour le COMCYBER ou les Armées, ou pour les programmes de préparation de l’avenir. Nous faisons aussi de la veille sur les nouvelles techniques mises en œuvre par les attaquants. Je n’ai pas d’équipe en propre donc je m’appuie pour cela sur les équipes implantées dans les différentes directions. Nous travaillons en lien avec le Directeur Général en charge du NUMérique au sein du ministère des armées aussi bien sûr, car développer des applications numériques ne peut plus se faire sans penser à intégrer, dès le départ, la cybersécurité. L’Amiral Coustillière (DGNUM) est complètement conscient de cet enjeu et il sollicite les équipes CYBER dès le départ, à la fois sur les aspects opérationnels (COMCYBER) et sur les aspects techniques (DGA).

SDBRNews : Quelle est votre actualité ?

Frédéric Valette : Le principal sujet du moment concerne les industriels de la défense et la sécurisation de l’ensemble de leur processus informatique de développement ou de maintenance. Lorsqu’ils nous livrent un système d’armes, il faut que ce système soit robuste mais aussi qu’il n’ait pas été piégé durant ses phases de conception et de développement. Les architectes de milieu, comme on les appelle, sont bien connus et donnent des preuves régulières de conformité, mais ils ont toute une chaîne de sous-traitants qui peuvent se révéler plus fragiles et qui utilisent des outils informatiques sur lesquels le donneur d’ordre n’a pas forcément accès. Nous avons donc une mission d’assistance auprès d’eux pour s’assurer que l’inventaire des sous-traitants existe et qu’il fasse apparaître que les plus critiques sont bien protégés. Ce sont souvent des PME qui interviennent sur des produits duaux (civil et militaire), avec des limitations financières importantes et qui ont donc des équipes internes civiles pas toujours très sensibles au risque cyber pour le domaine militaire.

SDBRNews : Des entreprises comme Naval Group ou MBDA ont des équipes Cyber. Comment fonctionnez-vous avec elles ?

Frédéric Valette : En signant une convention avec le ministère des Armées en novembre 2019, ces équipes se sont engagées à améliorer très significativement la sécurité de leur écosystème numérique. C’est sur leurs sous-traitants ou fournisseurs, qui sont souvent communs à ces grandes entreprises, que nous souhaitons qu’il y ait un effort de fait, sur l’application commune de règles de sécurité informatique, ce qui amènerait des économies d’échelle significatives en n’obligeant pas à des contrôles redondants. Nous parlons d’une approche commune entre les différents industriels face à leurs prestataires informatiques, domaine dans lequel il y a encore beaucoup de chemin à parcourir… Concernant les grands prestataires informatiques, les industriels seuls n’ont que peu de pouvoir pour leur imposer quoi que ce soit et, concernant les PME du secteur, si chaque industriel maître d’œuvre lui impose son lot de règles personnelles et de contrôle, ce sera le meilleur moyen de mettre la PME en difficulté. Or ces PME sont souvent des lieux d’innovation et d’agilité bien plus importants que les grands groupes. Il faut donc faire monter en sécurité ces PME en les aidant financièrement. Ce que demandent les Armées aujourd’hui va de toute façon s’imposer rapidement à d’autres secteurs industriels, tel que l’aéronautique ou l’automobile par exemple.       

SDBRNews : Vous parliez de solutions pour le COMCYBER. Vous pouvez être plus précis ?

Frédéric Valette : L’objectif est de fournir au COMCYBER les outils les plus performants et innovants possibles de lutte informatique. Sur les programmes d’armement ou sur les développements de chiffreurs, la DGA avait l’habitude de travailler sur le long terme, avec des durées de recherche et de développement de 4 à 5 ans. Dans le domaine Cyber, l’évolution est tellement rapide que les besoins du COMCYBER évoluent d’une année sur l’autre. Nous n’avons plus la même vision de la lutte informatique et les Armées ont gagné en maturité. Nous avons mis en place un cadre contractuel pour que le COMCYBER puisse demander un produit avec une mise à disposition dans les 6 mois, puis pouvoir le déployer et éventuellement le faire évoluer. Pour compléter ce dispositif et répondre aux besoins du COMCYBER par des outils toujours plus innovants, des défis ont été mis en place. Ainsi, au FIC 2019, la DGA avait lancé un défi pour développer un produit de « deceptive security » : produit qui vise à faire croire à un attaquant qu’il est sur le vrai réseau qu’il pense attaquer alors qu’il est en train d’être observé sur une cible factice. Plusieurs PME avaient répondu au défi et deux ont été retenues, SESAME IT et AMOSSYS, pour développer des preuves de concept (le vainqueur 2020 a été AMOSSYS). Ces entreprises pourront vendre des versions civiles de ces produits à des entreprises du secteur privé par exemple, ce qui leur permettra de ne pas être dépendantes uniquement du marché militaire. En 2019, HARFANGLAB* avait reçu ce prix des mains de la Ministre des armées pour sa solution EDR, développée pour le CALID, qui intéresse depuis des entreprises civiles. Fin 2019, la Ministre des armées a inauguré à Rennes la cyberdefense factory afin de systématiser cette approche. Dans ce lieu, des PME vont ainsi pouvoir développer des produits performants en bénéficiant de la proximité du COMCYBER et décliner des versions civiles pour assurer leur courant d’affaires.

SDBRNews : Et les systèmes d’armes ?

Frédéric Valette : Nous avons un travail de fond pour s’assurer, comme je l’ai déjà souligné, de la sécurisation des industriels qui fournissent des systèmes d’armes mais aussi de la sécurisation des systèmes d’armes eux-mêmes. Nous avions initié ce travail sur les systèmes des bateaux militaires puis sur les hélicoptères. Nous avançons maintenant sur les avions de transport, sur les missiles et sur les satellites. Sur chaque sujet, nous travaillons en trinômes entre les industriels, la DGA et les Forces. Nous arrivons ainsi à converger sur l’état des menaces, les procédures et sur les architectures les plus robustes, et sur quelle organisation il faut mettre en place pour que les Armées et le COMCYBER puissent détecter une attaque et la stopper. Nous avons travaillé ainsi pour le projet de nouvelle frégate (FDI*), construite par Naval Group, et nous avons aujourd’hui un RETEX excellent sur cette façon d’appréhender la cybersécurité. La DGA intervient aussi sur les capacités offensives de la France en matière de Cyber, avec pour mission de développer ces capacités. Nous avons en particulier un travail de réflexion sur les moyens d’intégrer ces capacités opérationnelles cyber offensives dans le système de défense de la France.  

• L’ingénieur général de l’armement Frédéric Valette est Chargé de mission Cyber auprès du Délégué Général pour l’Armement (DGA)

• Cette interview a été réalisée par Alain Establier - SDBR News - le 28/01/2020 à Lille, à l’occasion du FIC 2020 (Forum international de la cybersécurité)

• DGA : https://www.defense.gouv.fr/dga

• Video sur la FDI : https://www.youtube.com/watch?v=_jDpJrNqGRE

• HarfangLab : https://www.sdbrnews.com/sdbr-news-blog-fr/prserver-la-scurit-numrique-de-lentreprise-avec-harfanglab

Crédit Photo: DGA