1/ Un des débats en cours distingue les notions de cybersécurité et de cyberdéfense : voyez vous une différence profonde entre les deux et s'il y a des intersections (lesquelles), qu'est-ce qui est propre à la cybersécurité et qu'est-ce qui est spécifique à la cyberdéfense ?

Ce qui compte pour l'industrie, c'est le niveau de sécurité des réseaux et les capacités mises en place pour les surveiller. La cyber défense comporte donc l'ensemble des activités liées à la protection des infrastructures contre les logiciels ou utilisateurs malveillants, les processus de contrôle d'accès, la surveillance du réseau et des données, l'identification des attaques et la recherche de preuves, le forensic. La partie non strictement défense est du ressort exclusif des Etats.

2/ Pourtant, la division cybersécurité de Cassidian semble se tourner principalement vers la sécurité des entreprises : est-ce parce que le marché y est plus rémunérateur ? ou que la théorie stratégique du milieu cyber est encore trop neuve pour inspirer des solutions ?

Cassidian est un acteur majeur de la cyber sécurité de plusieurs Ministères de la défense et en France par exemple, du SGDSN qu'il s'agisse de programmes (Rifan, Spationav,…) ou de PEA (Supersec,…). Mais certains programmes sont classifiés et nous ne communiquons donc pas. Le monde de la Défense est un client très important avec qui nous avons construit une relation de confiance : nos relations avec le SGDSN et la DGCRI sont aussi très étroites. Avec toutes les administrations, nous avons des discussions fréquentes - sur le plan technique, ces échanges nous ont conduits à développer Cymerius® - sur les aspects stratégiques en termes de politique industrielle et de souveraineté

De plus, il est important pour notre expansion à l'export d'avoir des références pérennes au sein des gouvernements de nos "home countries", Royaume-Uni, France, Allemagne, qui permettent d’asseoir des références de haut niveau de confiance.

3/ EADS est un groupe dual , civilo-militaire : les solutions de cybersécurité "pour le civil" sont-elles transposables pour les systèmes militaires ? En quoi y a-t-il une spécificité militaire des produits qui imposerait des développements lourds, et plus importants qu'une simple adaptation de noyau logiciel vendu aux civils ?

Les réseaux civils et militaires subissent les mêmes attaques -> c'est pareil pour l'IT du "backoffice", ce qu'on appelle aussi le "white IT". Toutefois les systèmes d'armes sont très spécifiques et nécessitent des développements particuliers pour être protégés (cf. drone US en Afghanistan). Le niveau de classification élevé de certains systèmes et informations nécessite aussi des technologies spécifiques de durcissement des composants, logiciels et systèmes.

4/ L'aspect défense signifie-t-il qu'on s'adresse seulement à des besoins militaires (protection des réseaux internes, cryptographie, ...) ou bien qu'on envisage des procédés et "tactiques" propre à ce milieu qu'est le cyberespace ? autrement dit : pour vous, le cyber n'est-il qu'une couche logicielle qui vient s'ajouter à la gestion des autres milieux de la guerre (terre, air, mer, ...) ou constitue-t-il un espace en tant que tel ?

C'est un espace en tant que tel mais il faut faire plus que de rajouter une couche logicielle. Des capacités spécifiques doivent être mises en place pour développer et superviser, en temps réel, la sécurité du cyber espace. Le développement des concepts opérationnels correspondant sont du ressort des armées.

5/ Qu'est-ce qui caractérise opérationnellement cet espace ? comment y intervenir ? quelles solutions l'industriel peut-il proposer ?

Les process, les exercices, le training, le besoin de CONOPS, etc. comme pour les autres espaces. De l'opérateur à l'expert, de l'utilisateur final au décideur, chacun doit être formé à la cybersécurité pour ce qui le concerne. La formation doit être parfaitement adaptée au public visé : il est inutile, voire contre-productif, de vouloir imposer un cours théorique de cryptologie à un décideur ou à un utilisateur qui attendent davantage des informations pratiques et de l'aide à la décision prenant en compte leurs nécessités opérationnelles. Et cela doit se généraliser tout au long de la chaîne : l'expert, les opérateurs et les administrateurs système doivent recevoir un entraînement régulier qui leur permettra de rester à jour. Cassidian CyberSecurity a déjà plusieurs solutions industrielles présentes chez des clients comme par exemple :

• Cymerius®, système de surveillance en temps réel, pour faciliter l'opération et la capacité à mesurer les impacts d'une cyber attaque sur les opérations et les forces déployées.
• PKI pour gérer les identités au sein des coalitions militaires,
• la crypto haut débit (Ectocryp®) voix et données, pour protéger les communications,…

6/ Etant une société européenne, Cassidian est probablement très intéressée par l'organisation principale de sécurité du continent, à savoir l'Alliance atlantique : avez-vous des projets et contrats avec l'OTAN, d'autant que celle-ci a proclamé sa priorité au cyberespace ? Que pensez-vous d'ailleurs de l'initiative de la NC3A sur l'initiative de dévelopement de capacité cyber ?

Nous suivons avec attention l'évolution de l'organisation de l'OTAN dans le domaine de la cybersécurité en application du Traité de Lisbonne. Nous y contribuerons autant que possible en offrant des solutions susceptibles d'être certifiées par l'OTAN.

7/ Le cyberespace semble constituer un milieu où la souveraineté des Etats demeure importante, malgré tous les discours sur son ouverture : comment garantissez vous à vos clients étatiques (européens ou non) que la solution qu'ils achètent est exclusive ?

La souveraineté est effectivement fondamentale. Néanmoins, c'est une notion différente quand on supervise la sécurité d'un réseau et quand on fournit de la crypto.

• Concernant la supervision, c'est une question d'habilitation des personnels et de confiance (cf. DII)
• Pour la crypto, nous développons des chiffreurs qui se programment pour s'adapter aux besoins de nos clients (crypto spécifique,…). Les algorithmes sont spécifiques à chaque nation.

Ainsi, nous considérons la souveraineté de nos clients avec beaucoup d'attention et adaptons nos solutions et services.

8/ Dans le domaine de la cyberdéfense, qui sont vos concurrents : Thales et Bull ? BAE ? Northrop Grumann, Lockheed Martin, General Dynamics? ou des opérateurs de cybersécurité plus privative (Symantec, Mc Affee, Arkoon) ? Le marché qui est en grand développement est-il propice à des acquisitions ou des rapprochements ?

Ce sont principalement les sociétés américaines du secteur aéronautique et défense : Boeing, Lockheed Martin, Raytheon, Northrop Grumman, BAE Systems. Leurs chiffres d'affaires dans la cyber sécurité pure sont difficiles à évaluer car la frontière entre la cyber sécurité, le C4I et le Renseignement est fluctuante. On peut l'estimer entre 500 M€ et 1B€

Oui le marché est propice à des acquisitions ou des rapprochements, mais cela concerne pour l'instant essentiellement les solutions commerciales B to C et B to B. Exemple Symantec/Intel

9/ Vous étiez président d'EADS France, vous êtes désormais président de Cassidian cyber : la cybersécurité deviendra-t-elle un pôle principalement français ?

Cassidian CyberSecurity est une entreprise internationale mais avec des sociétés nationales pour traiter les programmes classifies et "national eyes only". Nous nous établirons en priorité en Grande Bretagne, en Allemagne et en France, avec une équipe de management internationale.

10/ Pour conclure, inversons les rôles, et posez moi des questions : Quelles questions stratégiques (au sens de la grande stratégie, ou stratégie étatique) poseriez-vous aux stratégistes et théoriciens sur ce domaine de la cyberdéfense ? Quels axes de recherche doivent être creusés en priorité ? Qu'attendez vous de la recherche stratégique ?

• Quelle politique industrielle en FR et en Europe ?
• Quel est le cercle de souveraineté exclusive de la France ?
• Quel est le cercle de coopération bilatérale ou multilatérale avec des pays de confiance?
• Quel rôle des Etats-membres dans le développement d'une capacité cyber de l'Union Européenne?

Hervé Guillou, merci de cet entretien stimulant. Espérons que la recherche stratégique saura répondre à vos demandes.

O. Kempf