À bien des égards, le conflit ukrainien a sonné comme un terrible rappel de la célèbre maxime de Thucydide tirée du « Dialogue mélien » : « Les forts font ce qu’ils peuvent, les faibles soufrent ce qu’ils doivent ⁽¹⁾. » La France et l’Europe réapprennent le dialogue de puissance, mais montrer les muscles, exige d’en avoir et… d’avoir les bons. En effet, les termes de l’équation stratégique ont changé. Les fondements de notre système de sécurité vacillent sous les coups combinés du retour de la guerre, d’une brutale remise en question de la crédibilité de l’appui américain, de la contestation de l’ordre international actuel et de la révolution technologique. À l’heure du réarmement, le réflexe ne saurait donc être celui de la reconstruction à l’identique. « Notre responsabilité, c’est de continuer de voir loin » affirmait le président de la République à l’occasion de ses vœux aux armées 2025 ⁽²⁾, soulignant la nécessité de s’interroger sur les priorités capacitaires sur lesquelles faire effort. À ce titre, le cas de la cyberdéfense – domaine circonscrit ici aux capacités dédiées à la défense de l’intégrité des réseaux – mérite que l’on s’y arrête.

En effet, si la cyberdéfense a déjà fait l’objet d’efforts substantiels ces dernières années, la dynamique semble s’essouffler et le sujet peine à s’imposer comme une priorité militaire sur laquelle les évènements nous commanderaient d’investir massivement. Sans doute la dimension stratégique du cyber paraît-elle encore trop virtuelle et difficile à appréhender. Un examen approfondi du sujet démontre néanmoins que l’aptitude d’un État à défendre ses réseaux s’est imposée comme un enjeu de souveraineté majeur. Hier « simple » ligne de défense technique, la cyberdéfense s’est érigée au rang d’attribut et de condition de puissance. Nos armées doivent développer une vision stratégique de leurs capacités de cyberdéfense. Elles en ont le devoir et l’intérêt. Il faut qu’elles s’en donnent les moyens.

Partant des bouleversements militaires induits par la révolution numérique et de l’avènement d’un « cyber état de nature », cet article expose les raisons pour lesquelles la cyberdéfense s’est imposée comme un enjeu de puissance majeur. Il conclut sur la présentation des principales pistes susceptibles de nourrir et d’incarner une véritable vision stratégique du domaine.

Du virtuel au réel : la guerre de tous contre tous

Les fondements du besoin en matière de cyberdéfense ont leurs racines dans la révolution numérique, dont il importe de saisir la radicalité des conséquences en matière militaire.

Le cyberespace, un champ de conflictualité désinhibé

L’avènement du numérique a radicalement étendu le champ de la conflictualité. On ne se bat plus seulement dans les milieux terrestre, maritime, aérien ou spatial, mais aussi dans un milieu transverse : le cyberespace. Si la chose est connue, les conséquences et la réalité concrète de cet état de fait sont parfois mal comprises. Porté par la numérisation de chaque pan de la société, le combat cyber s’est immiscé partout. L’absence de droit réellement applicable, les perspectives de profits (aussi financiers que stratégiques) et l’anonymat propre au cyber ont conduit à l’avènement d’un nouvel « état de nature ». Le cyber s’est imposé comme un espace de violence hautement désinhibé. États, groupes criminels, activistes et simples individus exploitent les failles des réseaux sans crainte immédiate de représailles. L’impunité est quasi-garantie. Le faible est condamné à être pillé. Le coût annuel mondial de la cybercriminalité, 8 000 milliards en 2024 ⁽³⁾, illustre l’agressivité du milieu. Et pourtant, si le chiffre est impressionnant, il peine à mettre en lumière la menace stratégique cyber. D’un point de vue militaire, la « vraie menace » n’est pas le fruit de cybercriminels, elle est liée aux États et aux opportunités d’espionnage et de sabotage permises par le milieu.

Les services publics du Monténégro ont été frappés en août 2022 par des cyber-attaques coordonnées publiquement attribuées à la Russie. L’État a été globalement mis à l’arrêt ⁽⁴⁾ : les sites gouvernementaux (gov.me, équivalent de gouv.fr), le service d’identification numérique, le service des impôts en ligne ainsi que le portail numérique de l’administration monténégrine ont été fermés pendant plus trois semaines ; l’entreprise publique EPCG en charge de l’électricité a dû basculer sur des systèmes analogiques ; les sites gouvernementaux liés à la pandémie de Covid-19 sont restés inaccessibles durant 8 mois ; le service d’allocations familiales pendant plus d’un mois… Incapables de faire face, les autorités locales ont dû recourir à l’appui américain, abandonnant de fait leur souveraineté sur leurs réseaux ; sans néanmoins parvenir à échapper à une profonde déstabilisation du pays.

L’Ukraine a aussi connu sa grande bataille cyber. Les coups portés par Moscou en parallèle de l’« Opération militaire spéciale » ont été violents ⁽⁵⁾ : six groupes d’attaquants ont conduit plus de 230 opérations dont un tiers visait la destruction de systèmes d’information gouvernementaux, dont presque la moitié constituait des infrastructures critiques. Kyiv est pourtant parvenu à limiter l’impact de ces attaques grâce à l’appui résolu des États-Unis, du Canada et d’entités privées comme Microsoft qui ont notamment dupliqué l’ensemble des services gouvernementaux ukrainiens sur le Cloud. Sans cette aide extérieure, il est probable que l’État ukrainien aurait été « éteint » et donc incapable de résister dès les premières heures du conflit. L’exemple est à ce titre particulièrement intéressant : non pas pour souligner les limites des capacités offensives russes, bien réelles et évolutives, mais pour témoigner du caractère stratégique des capacités de cyberdéfense. Sans résilience cyber, un État peut s’effondrer en quelques jours.

La France n’est évidemment pas épargnée. Nous sommes attaqués. Il n’est pas question de menaces, mais d’attaques, n’ayons pas peur des mots ! C’est le sens du communiqué du ministère de l’Europe et des Affaires étrangères, et des informations diffusées par l’Agence nationale de la sécurité des systèmes d’information (Anssi) en avril 2025 attribuant une série d’attaques à la Russie, dont celles conduites en 2017 par le groupe « APT 28 » contre l’équipe de campagne du président Macron. Chaque attaque subie s’impose comme une brèche dans la crédibilité, la sécurité et la souveraineté de l’État, avec un risque systémique qu’il est de moins en moins possible d’ignorer : « les attaquants liés (…) ou réputés liés à la Chine et la Russie constituent les principales menaces tant pour les systèmes d’information les plus critiques que pour l’écosystème national de manière systémique ⁽⁶⁾. » Systémique, le mot est fort. Il rappelle ceux du général de Gaulle : « La Défense ! C’est la première raison d’être de l’État, il ne peut y maquer sans se détruire lui-même. » Nous y sommes. Cela va durer. Nous devons faire face.

Si la « dangerosité » du cyberespace est aujourd’hui bien perçue, notre conscience stratégique collective peine encore en percevoir la criticité sur le plan militaire.

Une prise de conscience encore limitée

Le cyberespace restera de façon durable un espace de confrontation militaire. Il faut s’en persuader malgré la « fatigue » que l’usage parfois inconsidéré du terme « cyber » a pu provoquer. Fatigue, par ailleurs décuplée par la technicité d’un sujet dont la portée stratégique a, en France, longtemps été tue ; bien sûr pas par ignorance, mais parce qu’il paraissait sans doute contre-productif d’inquiéter la population ou d’exposer l’État à la difficile question de la riposte.

La bonne compréhension du sujet par les armées semble se heurter au réflexe de scepticisme que suscite un domaine orphelin de toute armée et dont la montée en puissance s’est faite au prix de durs sacrifices sur d’autres segments plus traditionnels. La tendance des experts à se retrancher derrière le paravent de la confidentialité ou de la technicité pour ne pas expliquer les « vrais enjeux » n’a pas aidé non plus. Enfin, la nature hybride de la menace ne facilite pas les choses. Le sujet s’insère difficilement dans les modes de pensée et la culture militaire, imprégnés par l’action physique et cinétique. Il demeure néanmoins que la cyberdéfense s’impose comme un enjeu de défense majeur, pas « seulement » un sujet de sécurité technique. La nature des entités derrière les attaques qui nous ciblent le démontre. Le dernier rapport ⁽⁷⁾ « menace et incident » de l’Anssi désigne d’ailleurs clairement l’un de nos agresseurs : le service de renseignement militaire russe (GRU). Ces attaques s’inscrivent par ailleurs dans une stratégie confrontationnelle de nature hybride. C’est tout le sens de la doctrine Guerassimov ⁽⁸⁾.

La cyberdéfense s’impose comme un champ de confrontation militaire que les armées ne peuvent désinvestir ; au risque de manquer à leurs responsabilités et d’amoindrir leur crédibilité.

Une problématique durablement structurante

Le sujet va durer tout autant que ses enjeux vont s’accroître. La transformation numérique s’accélère à un rythme exponentiel. Au sens strict du terme. C’est ce que nous enseigne ⁽⁹⁾ la loi de Moore (qui veut que la performance à prix égal d’un processeur double tous les deux ans), celle propre à « l’effet réseau » (la valeur d’une machine est proportionnelle au carré du nombre de machines auxquelles elle est connectée) ou encore celle de Wright (à chaque doublement de la production d’un appareil, de la puce électronique à l’avion, le coût de fabrication diminue de façon constante). La dynamique à l’œuvre est une exponentielle d’exponentielles. La chose est tellement énorme qu’elle dépasse notre capacité d’imagination.

Le potentiel de l’Intelligence artificielle (IA) va encore accélérer la militarisation du cyberespace. L’IA est un game changer. Elle rend l’attaque informatique plus simple, plus rapide et plus rentable. Il est désormais possible d’automatiser les attaques ⁽¹⁰⁾ alors même qu’a disparu le « mur de la donnée » auquel les attaquants se heurtaient pour exploiter le fruit de leurs attaques. Pour le défenseur, le potentiel est globalement identique mais son exploitation exige de disposer d’une architecture adaptée ; objectif complexe et coûteux du fait de l’étendue de la surface à défendre et de la multiplicité des réseaux. « Dans le cyberespace, l’arrivée de l’IA est en train d’accélérer et d’intensifier la lutte entre le glaive et le bouclier » ⁽¹¹⁾ souligne l’amiral Vandier, Commandant suprême allié Transformation (SACT). Celui qui n’adapte pas sa cyberdéfense sera inévitablement occis.

Cette accélération s’accompagne d’une démultiplication des enjeux militaires. Telle est la conclusion logique de notre dépendance au numérique et du défi stratégique auquel l’Europe fait face pour assurer sa sécurité. La Russie a fait du cyber une arme d’emploi et de subversion. Sa responsabilité est pointée du doigt partout : Ukraine, Estonie, Géorgie, Monténégro, France, Hongrie, etc. La Chine n’est pas en reste, comme en témoigne l’attaque perpétrée par le groupe « Volt Typhoon » contre les infrastructures critiques de l’île Guam (territoire non incorporé hébergeant des infrastructures américaines à vocation nucléaire !). Pour le reste, les espoirs que nous avions placés dans l’appui américain et le droit international se dissipent. Le sol se dérobe sous nos pieds. Notre cyberdéfense doit changer d’échelle, au risque de nous voir « défait sans être envahi » selon la formule choc du ministre des Armées ⁽¹²⁾. La compétition se durcit.

Les éléments évoqués jusque-là justifient à eux seuls le besoin pour les armées de renforcer leurs capacités de cyberdéfense. Néanmoins, les enjeux ne se limitent pas à la protection des réseaux, fussent-ils critiques. La cyberdéfense s’impose comme une condition nécessaire de la Puissance.

La cyberdéfense : condition de puissance et risque d’impuissance

« La Puissance est la capacité d’une unité politique d’imposer sa volonté aux autres unités » ⁽¹³⁾ affirmait avec force le philosophe Raymond Aron tout en identifiant cinq leviers qui, tous, sont désormais dépendants du cyberespace. La conséquence est claire : pas de puissance économique, militaire, technologique ou idéologique sans maîtrise du cyberespace. Sur le plan militaire, le constat est sans appel : les technologies développées pour prendre l’ascendant sur l’adversaire sont elles-mêmes objets d’une contestation farouche. Il n’y a donc pas de puissance sans maîtrise du milieu cyber.

Cette logique se décline également en matière de crédibilité politique de l’État. La fragilité cyber d’un État sape très rapidement la crédibilité politique de ses gouvernants. C’est d’ailleurs l’objectif poursuivi par un acteur comme la Russie : derrière les objectifs opérationnels visés au « premier ordre » (renseignement, sabotage, etc.), s’inscrit un objectif secondaire de temps long d’affaiblissement de l’État. C’est la stratégie de la « mort par cent mille coupures » qui sape la crédibilité des autorités et érode la confiance des citoyens. Ainsi, comment solliciter un effort de défense pour défendre le pays « au loin » quand le citoyen perçoit tous les jours l’incapacité de l’état à le protéger du même ennemi chez lui ? Ne pas investir dans la cyberdéfense, c’est exposer les armées au discrédit de la démonstration de leur incapacité à défendre le territoire national face à des menaces pourtant bien connues. « Ce fut l’un des traits les plus frappants de notre effondrement : nous n’avons pas été surpris » disait March Bloch ⁽¹⁴⁾. Nous sommes prévenus.

Si le cyber conditionne la puissance, la faiblesse cyber condamne à la naïveté et à l’ignorance de sa propre impuissance. Si l’idée n’est pas triviale, elle n’en est pas moins fondamentale. La juste compréhension du potentiel opérationnel des armes cyber ne s’acquiert qu’au bénéfice de capacités cyberdéfensives de premier rang. Le « faible » est condamné à ne percevoir que la partie immergée du champ des possibles : celle livrée par les entreprises privées de cyberdéfense dont le commerce est, par nature, centré sur la menace cybercriminelle. L’exemple monténégrin est évocateur : c’est seulement quand l’attaquant s’est dévoilé que les autorités ont compris qu’elles vivaient depuis des mois, voire des années, sous le spectre de leur adversaire. La furtivité des outils cyber les plus perfectionnés maintient le « faible » dans l’ignorance de sa propre fragilité et des possibilités techniques maîtrisées par son adversaire. La faiblesse induit la naïveté. L’impuissance n’est pas loin.

Nul n’est à l’abri. Se préserver du spectre de la menace cyber exige, même pour les plus grands, une remise en question permanente pour s’adapter à des modes d’action en constante évolution. La lutte pour la « cyberpuissance » est une lutte de tous les instants où chaque acteur cherche à contourner l’autre par l’invention de nouveaux modes d’action. L’infinité des technologies et des réseaux susceptibles d’être attaqués démultiplie le champ des possibles.

L’exemple du Mode opératoire d’attaque (MOA) « Volt Typhoon » déjà évoqué en constitue une démonstration éloquente. Ce groupe, publiquement rattaché à la Chine, s’illustre par une stratégie de compromission innovante particulièrement furtive car consistant à détourner les outils natifs des systèmes d’exploitation sans recourir à des logiciels d’attaque traditionnels (technique connue sous le nom de « living off the Land »). Cette approche, d’une redoutable discrétion, rend les intrusions presque indétectables par les moyens conventionnels. Avec ce MOA, la cyberdéfense américaine découvrait un nouveau champ des possibles que leurs adversaires exploitaient déjà depuis plusieurs années.

Renoncer à sa cyberdéfense, c’est ainsi s’exposer au risque de l’ignorance et de la naïveté. C’est être un mort-vivant qui s’ignore. « L’ennemi le plus dangereux est celui que vous ignorez », comme le suggère Sun Tsu dans L’Art de la guerre. Cela n’a sans doute jamais été aussi vrai.

Risque de l’isolement et levier d’influence

Le faible s’expose également à l’isolement et à l’impossibilité de travailler de façon intégrée avec ses partenaires. Un réseau compromis est « toxique », dangereux pour ceux qui s’y connectent. C’est d’ailleurs la raison pour laquelle les règles de Sécurité des systèmes d’information (SSI) exigent d’isoler immédiatement toute machine suspectée d’être compromise. De cette recommandation élémentaire découlent des conséquences plus stratégiques : la crédibilité des capacités de cyberdéfense constitue un prérequis de l’interconnexion et de l’interopérabilité.

La criticité des enjeux de cyberdéfense et la technicité du domaine ont parallèlement imposé les partenariats de cyberdéfense comme l’outil d’une nouvelle stratégie de containment. Les États disposant de capacités avancées cherchent désormais à multiplier leurs partenariats, en particulier avec les pays les plus fragiles. Ces partenariats reposent sur une équation en apparence triviale : le « petit » troque sa souveraineté cyber contre une protection informatique ; là où le « grand » consent à investir une ressource technique rare en échange d’un élargissement de son périmètre défensif et de la possibilité de collecter chez son partenaire des indicateurs de compromission. En réalité, il existe un effet de deuxième ordre plus stratégique et durable. Ces partenariats offrent la possibilité aux « grands » de s’attacher la fidélité des « petits » de façon exclusive et potentiellement pérenne. Les partenariats cyber obéissent en effet à une logique d’exclusivité dans le sens où un État ne contracte que très rarement plusieurs accords en parallèle. L’abandon de souveraineté potentiel est trop important pour être renouvelé auprès de plusieurs États. L’intérêt est surtout que l’exclusivité de la relation cyber complique singulièrement la possibilité pour d’autres puissances de nouer des relations stratégiques sensibles (Défense, recherche, etc.) avec le pays concerné. Nul ne souhaite en effet s’engager dans une coopération sensible avec un pays dont l’intégrité des réseaux est assurée par une puissance tierce. Ce faisant, les partenariats de cyber-défense s’imposent comme un champ de compétition à fort effet de levier. « Dans la rivalité des peuples, la possession de l’espace est l’enjeu originel ⁽¹⁵⁾ » disait Raymond Aron. La logique est la même en matière de cyberdéfense. La France ne peut ignorer cette compétition. Exporter notre cyberdéfense, c’est prévenir la menace/le risque de l’isolement.

De ce point découle une autre réalité : nos partenaires cyber ne peuvent constituer qu’un complément capacitaire de deuxième ordre. En effet, si la coordination opérationnelle cyber demeure un impératif crucial ⁽¹⁶⁾, il n’est pas concevable de s’en remettre à ses alliés sauf à être certain que la connaissance qu’il acquerra sur nos réseaux ne sera pas utilisée à notre encontre ; ce qu’il serait bien ingénu de croire, car « les États n’ont pas d’amis, ils n’ont que des intérêts » disait Charles de Gaulle. En réalité, le « faible » importe ses capacités cyber au prix de sa souveraineté ; là où le fort les exporte au bénéfice de son influence. La cyberdéfense est un sujet de souveraineté. Loin du domaine technique dans lequel il est tentant d’enfermer le sujet, la cyberdéfense s’impose ainsi comme un enjeu stratégique de portée majeure. L’heure n’est plus à l’élaboration d’une stratégie cyber mais à l’affirmation d’une vision stratégique du cyber.

Ceci posé, on serait tenté d’objecter que la puissance cyber ne se décrète pas et qu’un tel objectif est hors de portée. Certaines pistes permettent pourtant de dessiner un chemin dont la difficulté n’est rédhibitoire : la cyberpuissance est à notre portée, sans doute d’ailleurs à bien moindre frais que dans d’autres segments.

Une dynamique déjà en marche

La France dispose d’atouts significatifs, constitutifs d’une base de départ robuste. Le dispositif national français de cybersécurité s’est progressivement structuré en un ensemble cohérent et disposant de vrais atouts. L’Anssi en 2009 a constitué un jalon déterminant, dotant l’État d’une autorité technique et stratégique dédiée à la protection des infrastructures critiques, à la régulation du secteur et à l’appui des opérateurs d’importance vitale. Cette architecture, au sein de laquelle le Commandement de la cyberdéfense (Comcyber) occupe une place singulière, a été renforcée par la publication en 2018 d’une Revue stratégique de cyberdéfense ⁽¹⁷⁾ qui a encore consolidé la coordination des services de l’État en particulier par la création du Centre de coordination des crises cyber (C4). Enfin, l’État a soutenu l’émergence du tissu industriel dont émergent des entreprises au solide savoir-faire capables de proposer des solutions souveraines de cybersécurité, de chiffrement, de détection et de réponse aux incidents.

Sur le plan militaire, la France a franchi un seuil doctrinal en reconnaissant officiellement en 2019 ses capacités de cyberdéfense offensive ⁽¹⁸⁾. Les Lois de programmation militaires (LPM) successives ont également, de façon continue et croissante, accentué les moyens accordés à la cyberdéfense. Les armées comptent aujourd’hui plus de 5 000 cybercombattants regroupés sous l’égide du Comcyber en une « communauté cyber des armées » en pleine structuration. Ces effectifs constituent une force de frappe significative, notamment pour développer des partenariats de cyberdéfense ambitieux ; d’autant que la France dispose d’un important capital confiance du fait de son engagement clair au service d’un cyberespace « ouvert, pacifié et régi par le droit inter-national » ⁽¹⁹⁾ (ce dont d’autres acteurs peuvent plus difficilement se targuer).

Si cette base est solide, elle doit être développée pour faire de notre cyber-défense un véritable outil de puissance. Trois principaux leviers pourront être prioritairement activés.

Assumer une vision décomplexée

S’affirmer comme une puissance cyberdéfensive exige avant tout de revoir notre doctrine pour adopter une posture « active ».

La France doit prendre acte du « cyber état de nature » et revoir en conséquence sa conception légale du cyberespace. Notre vision « territorialisée » du monde numérique nous conduit à percevoir un espace divisé en deux parties : celle laquelle s’applique notre souveraineté, et les autres, sur lesquels la souveraineté d’autres États s’applique. La pertinence du modèle mérite d’être questionnée dans la mesure où le cyberespace dessine surtout des espaces de non-droit à partir desquels les attaques se préparent et se conduisent. Notre cyberdéfense, enfermée dans les frontières de son propre « territoire », est ainsi cantonnée à un rôle de pompier. Elle défend un espace toujours plus vaste face à une menace toujours plus agressive, sans possibilité ⁽²⁰⁾ de contester la liberté d’action dont l’ennemi jouit à l’extérieur. C’est l’impuissance assurée, assumée et subie.

La France gagnerait à adopter une vision de « puissance cyber » comparable à celle théorisée par le stratégiste américain Alfred Mahan pour le milieu maritime ⁽²¹⁾. À l’image des pratiques de nombre de nos alliés (des États-Unis en particulier), il s’agirait de concevoir le cyberespace comme « une mer internationale » où le concept de souveraineté des États ne s’applique que de façon restrictive. Dans une telle vision, un acteur se connectant à Internet, perd volontairement ses droits découlant de son appartenance à un État souverain. Le principe régissant l’action et le droit n’est alors plus le respect de la souveraineté (c’est-à-dire l’appartenance à un État), mais le principe de non-intervention (comme le passage inoffensif). Selon une telle logique, les opérations de cyberdéfense se conçoivent dès lors de façon beaucoup plus large, au-delà du seul périmètre des réseaux défendus. Il devient légitime de mettre en œuvre des techniques offensives à des fins défensives, notamment pour se prépositionner sur les infrastructures informatiques de départ adverses à des fins de renseignement et d’alerte ⁽²²⁾. Même le Japon, dont la Constitution pose le principe de non-agression, a adopté ce principe en votant en avril 2025 une loi autorisant les forces armées à conduire des opérations de cyberdéfense active ⁽²³⁾.

L’adoption d’une doctrine fondée sur ces principes revient à reconnaître la possibilité, pour ne pas dire la nécessité, de mobiliser notre puissance « au large » en défense de nos réseaux. Le bénéfice serait d’abord opérationnel. La « projection » assumée des opérations de cyberdéfense sur les espaces de non-droit exploités par nos adversaires permettrait d’élargir considérablement le champ des techniques de défense employables en marge de nos réseaux, sans faux-semblant ou excès de précaution. Le bénéfice serait également stratégique par l’affirmation vers nos adversaires, nos partenaires et nos concitoyens de la détermination de l’État à prévenir les menaces pesant sur ses intérêts.

L’adoption d’une posture décomplexée active de cyberdéfense passe également par une politique volontariste en matière d’assistance cyber. Les coopérations relèvent en effet d’une logique de défense de l’avant. En appuyant nos partenaires, nous mettons sous pression les acteurs malveillants en les privant de liberté de manœuvre et en contraignant le rapport coût/bénéfice de leurs opérations. Nous en avons les moyens et l’intérêt. Nos spécialistes tireraient par ailleurs une grande expérience et une grande motivation d’un engagement chez nos partenaires les plus exposés à la menace. Inversement, cantonner nos équipes sur nos réseaux, c’est nous enfermer dans le piège du Désert des Tartares du romancier italien Dino Buzzati (1940) : celui du soldat qui s’entraîne tous les jours face à un ennemi qui ne vient pas et qui, le jour J, est surpris par la dureté du combat. L’affirmation de notre puissance passe aussi par la projection assumée de nos capacités.

Mobiliser les cybercombattants de demain

La puissance cyber exige également une vision en termes de Ressources humaines (RH), domaine qui constitue le deuxième levier nécessaire à l’avènement d’une réelle puissance cyber. Il nous faut générer le vivier d’hommes et de femmes aptes à bâtir la puissance cyber. Il faut bâtir l’expertise humaine sans laquelle nulle ambition n’est possible. Les talents sont les atouts stratégiques qui permettront à la France de s’élever au rang de cyberpuissance. L’État et les armées doivent se doter d’une politique RH ambitieuse et attractive pour répondre à l’exigence du domaine et se doter d’un réservoir talents cyber à la hauteur de l’enjeu.

L’étude de la Direction de l’animation de la recherche, des études et des statistiques (Dares, ministère du Travail) sur les métiers en 2030 ⁽²⁴⁾, démontre que les tensions sur les métiers du numérique ne cesseront pas et que les besoins en matière de cybersécurité augmentent plus rapidement que la capacité de l’écosystème à former. Il n’y a néanmoins pas de fatalité. La France doit investir massivement dans les compétences nécessaires aux métiers de la cyberdéfense. Si des initiatives ⁽²⁵⁾ ont été prises pour faire connaître et accroître l’attractivité du domaine, elles doivent être démultipliées. Le vivier doit être épaissi.

Les armées peuvent prendre part à cet élan. Elles en ont les moyens, à condition de d’exploiter le capital d’attractivité dont elles disposent sur le marché du recrutement. Il s’agit moins d’une question de moyens que de vision. Si les armées ne paient pas toujours bien, elles ont des atouts dont les autres employeurs sont dépourvus. Elles disposent notamment d’une forte culture de formation interne et ne souffrent pas des préjugés ⁽²⁶⁾ qui freinent le recrutement dans les métiers de la cybersécurité. Si cette dernière ne fait pas rêver, la puissance évocatrice du cybercombattant est plus attractive. Les jeunes sont en recherche de sens dans leur métier : le cybercombat au service de la nation peut le leur fournir, surtout sur la base d’un projet associant partenariats à l’étranger et cyberdéfense active. C’est un atout que les armées doivent exploiter.

Les Armées peuvent recruter et former leurs techniciens pour ainsi faire émerger les « talents cachés » que l’Éducation nationale ne sait pas produire. C’est d’ailleurs par ce biais qu’Israël s’est progressivement érigé au rang de cyberpuissance incontestée. Dès 2011, alors que la France créait l’Anssi, Israël investissait ⁽²⁷⁾ dans des bourses d’études cyber avec pour objectif affiché de mobiliser des hommes et des femmes avec un minimum de compétences dès le début de leur service militaire à 18 ans ⁽²⁸⁾. Dans le même temps, l’armée israélienne (Tsahal) accompagnait financièrement la Recherche et développement (R&D) privée ainsi que la création d’écoles spécialisées en cyberdéfense. Le résultat se traduit aujourd’hui par la puissance cyber tant privée qu’étatique du pays. La même logique est à portée de main en France, à condition de s’en donner les moyens. Le succès du Bachelor de cyberdéfense ⁽²⁹⁾ lancé par le Comcyber à l’été 2024 démontre qu’une vision volontariste permettrait de répondre au besoin. Lancé en partenariat avec l’École polytechnique et Epita, le dispositif a fait le plein dès la première année en recrutant 30 futurs officiers cyber. Le taux de sélection (1 pour 10) de cette première édition, lancée sans publicité et mise tardivement en ligne sur Parcoursup, démontre que les Armées ont, comme évoqué, des atouts à faire valoir. Le modèle est pertinent et attractif. Il doit être élargi via le futur Service militaire volontaire voulu par le président de la République comme via la Réserve cyber ⁽³⁰⁾, dont le potentiel opérationnel reste largement sous-exploité. Penser en cyber puissance militaire, c’est prendre en main le destin RH des armées et se donner les moyens de ses ambitions. Le coût est loin d’être prohibitif.

Penser un modèle dual

Le troisième levier est organisationnel et industriel. Il faut décloisonner, faire converger les efforts civils et militaires et, surtout, mobiliser la puissance du privé. La cyberdéfense est un sujet trop vaste et trop dual pour être pensé en silos.

Cette communauté d’effort doit d’abord se bâtir au niveau étatique. Les acteurs publics doivent davantage exploiter leurs synergies et faire converger leurs efforts. L’État doit en particulier se doter d’une plateforme de partage permettant un échange en temps réel des informations de cyberdéfense détenues par les acteurs du C4 : Anssi, Direction générale de la sécurité extérieure (DSGE) ou intérieure (DGSI), Comcyber, Direction générale de l’armement (DGA). La simple coordination n’est plus à la hauteur des enjeux et de la menace. S’appuyant sur une politique volontariste et normative de partage ⁽³¹⁾, ce centre incarnerait l’idée selon laquelle la valeur du renseignement de cyberdéfense (en particulier les indicateurs de compromission, IoC) vient de sa diffusion large et rapide, pas de sa détention.

Le dispositif militaire de cyberdéfense doit parallèlement se penser de façon plus large par une meilleure intégration des capacités militaires de cyberdéfense au dispositif étatique civil. Le Minarm gagnerait notamment, sous l’autorité de l’Anssi, à être associé au pilotage des incidents de cyberdéfense touchant à la Base industrielle et technologique de défense (BITD), domaine qui constitue le cœur de bataille en matière de cyberdéfense militaire. Les réseaux de la BITD, structurellement adhérents à Internet, sont en effet fortement exposés à la menace. Ils hébergent les données et systèmes censés assurer la supériorité technologique des armées et constituent le principal chemin d’attaque vers les systèmes militaires. Responsabiliser le Minarm sur le sujet, c’est décliner la logique d’économie de guerre au domaine de cyberdéfense et c’est essentiel.

La puissance cyber est enfin industrielle et technologique. Elle passe par la mobilisation des acteurs privés de la cyberdéfense dont le marché et la place doivent être à la fois consolidés et articulés avec la puissance étatique. La fragmentation actuelle du tissu industriel français, bien que riche de compétences, freine l’émergence d’un acteur de rang mondial, capable de rivaliser avec les géants américains (CrowdStrike, Palo Alto Networks), israéliens (Check Point), russes (Kaspersky) ou chinois (Qihoo 360). Ce qui a été fait hier au niveau européen dans l’aéronautique ⁽³²⁾ ou dans le nucléaire ⁽³³⁾ doit être reproduit dans le cyber. L’État peut et doit être le catalyseur d’un écosystème souverain et performant, en orchestrant politique industrielle, commandes publiques et « appui mutuel ».

Ce mouvement d’entraînement du privé s’inscrit dans une dynamique européenne et stratégique favorable qu’il faut exploiter. L’Union européenne, via le Fonds européen de la défense, le Programme européen pour l’industrie de la défense (EDIP) et le plan de réarmement européen de 800 Mds € offrent une opportunité unique de mettre sur pied une véritable BITD cyber. La cyberdéfense est expressément mentionnée comme un des axes stratégiques prioritaires. Le domaine bénéficie d’un consensus rare au sein des États-membres. Contrairement aux secteurs classiques de la défense – aéronautique, terrestre ou naval – où les intérêts souverains génèrent des frictions liées à la défense de leurs champions nationaux, la cyberdéfense se présente comme un champ vierge de telles rivalités. En l’absence de champions cyber trop puissants pour coopérer, les États-membres ont la possibilité de bâtir un écosystème intégré dès l’origine, sans subir les blocages habituels.

Le mouvement déjà enclenché par nos compétiteurs prouve que cela est possible, tout autant qu’il démontre la nécessité d’agir sans tarder. Au risque de nous condamner au déclassement et à l’impuissance. Les États-Unis ont su faire émerger leur écosystème cyber par l’effet levier de la commande publique (notamment via la National Security Agency [NSA], le Department of Defense [DoD] et l’Agence pour les projets de recherche avancée de défense [DARPA]), la structuration d’un marché privé par des standards normatifs ⁽³⁴⁾ et le soutien massif à l’innovation par capital-risque fédéral ⁽³⁵⁾. Israël, de son côté, a cultivé une symbiose étroite entre les unités cyber de Tsahal, les start-up technologiques et l’investissement étatique, générant un vivier d’entreprises innovantes immédiatement connectées aux besoins stratégiques de l’État ⁽³⁶⁾. Ces modèles montrent que la puissance cyber repose sur une dynamique public-privé forte.

Conclusion

La cyberdéfense s’impose en définitive comme un enjeu de puissance majeur. La révolution numérique et l’hybridation de la guerre ont étendu le champ de la conflictualité. Il existe désormais un risque bien réel de voir les États les plus faibles s’exposer au spectre de l’impuissance, de la vassalisation et de l’isolement. Aussi, face à un défi dont la portée embrasse autant la sécurité que la défense, les armées doivent prendre leur part du fardeau et durcir leur dispositif pour contribuer, dans leur périmètre, à l’avènement d’une logique de puissance. Les marges de manœuvre existent mais les exploiter exige, en premier lieu, de lire les enjeux avec un regard neuf.

À l’heure de dessiner les priorités capacitaires vers lesquelles investir les ressources additionnelles que la Nation pourrait consentir à la Défense, l’analyse des enjeux propres à la cyberdéfense démontre plus largement combien il importe de ne pas céder au réflexe d’une reconstruction à l’identique, homothétique ; ce réflexe qui consisterait à nous focaliser sur la seule reconstruction des capacités sacrifiées hier par temps de disette. D’autres segments doivent être investis. Sachons les considérer sans a priori, au risque de devoir souffrir.

(1) Thucydide, La Guerre du Péloponnèse, trad. Jean Voilquin, Flammarion, 1964, livre V, chap. 89.

(2) Macron Emmanuel, « Vœux aux armées depuis le Commandement de l’appui terrestre numérique et cyber de Cesson-Sévigné », 20 janvier 2025 (https://www.elysee.fr/).

(3) Gaudiaut Tristan, « cybersécurité - Le coût de la cybercriminalité dans le monde », Statista, 22 mai 2024 (https://fr.statista.com/infographie/32299/cout-cybercriminalite-dans-le-monde-et-par-pays/).

(4) Vujovic Drazen, « Meagre Ressources Leave Montenegro Exposed to cyber Threats », Balkan Insight, 9 mai 2023 (https://balkaninsight.com/2023/05/09/meagre-resources-leave-montenegro-exposed-to-cyber-threats/).

(5) Smith Brad (président de Microsoft), « Defending Ukraine : Early Lessons from the cyber War », Microsoft, 22 juin 2022 (https://blogs.microsoft.com/on-the-issues/2022/06/22/defending-ukraine-early-lessons-from-the-cyber-war/).

(6) Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR), Panorama de la cybermenace 2024, ANSSI, p. 4 (https://www.cert.ssi.gouv.fr/uploads/CERTFR-2025-CTI-003.pdf).

(7) CERT-FR, CERTFR-2025-CTI-006 – Ciblage et compromission d’entités françaises au moyen du mode opératoire d’attaque APT28, 29 avril 2025 (https://www.cert.ssi.gouv.fr/cti/CERTFR-2025-CTI-006/).

(8) Kasapoglu Can, « Russia’s Renewed Military Thinking: Non-Linear Warfare and Reflexife Control », Research Paper, n° 121, 3 novembre 2015, NATO Defense College, Rome, 12 pages (https://www.ndc.nato.int/).

(9) Bellanger Pierre, « Quelle frontière pour notre souveraineté numérique ? », table ronde organisée par l’association des auditeurs de l’IHEDN, Paris, 11 décembre 2018 (https://www.aa-ihedn.org/).

(10) Informations tirées de Europol, « The changing DNA of serious and organised crime », 27 mai 2025 (https://www.europol.europa.eu/cms/sites/default/files/documents/EU-SOCTA-2025.pdf).

(11) Hospital Adèle et Aillières (d’) François-Xavier, « Interview - Pierre Vandier : “L’urgence pour l’Alliance est de coordonner le réarmement européen” », Le Trombinoscope, n° 301, avril 2025, p. 4-5 (https://www.trombinoscope.com/).

(12) Lecornu Sébastien, Interview à France Inter, 10 octobre 2024 (https://www.vie-publique.fr/).

(13) Raymond Aron, Paix et Guerre entre les Nations, Calmann-Lévy, 1962, p. 57.

(14) Bloch Marc, L’Étrange défaite, Gallimard, 1946 (posthume), rééd. 1990, p. 66.

(15) Aron Raymond, Paix et guerre entre les nations, « Chapitre III : La puissance, la gloire et l’idée ou des buts de la politique extérieure », Calmann-Lévy, 1984, p. 84.

(16) Kirsch Svenja et Saunders Bethan, « Addressing Russian and Chinese cyber Threats : A Transatlantic Perspective on Threats to Ukraine and Beyond », Harvard Kenedy School, mai 2023, 65 pages (https://www.belfercenter.org/).

(17) Secrétariat général de la défense et de la sécurité nationale (SGDSN), Revue stratégique de cyberdéfense, 12 février 2018 (https://www.sgdsn.gouv.fr/files/files/Publications/20180206-np-revue-cyber-public-v3.3-publication.pdf).

(18) Parly Florence, « Déclaration de la ministre des Armées sur le volet de la cyberdéfense des armées », Paris, 18 janvier 2019 (https://www.vie-publique.fr/).

(19) Ministère des Armées, Droit international appliqué aux opérations dans le cyberespace, septembre 2019, 20 pages (https://www.defense.gouv.fr/).

(20) La LPM 2014-2019 (https://www.legifrance.gouv.fr/) a néanmoins prévu, dans son article 22 modifiant l’article L2321-2 du code de la Défense, la possibilité de prendre des mesures relevant d’une logique de contre-attaque. Néanmoins, le concept reste peu opérationnel, notamment du fait des limites de la logique réactive associée ; logique qui se marie mal avec les délais exigés par une opération cyber offensive.

(21) Mahan Alfred. The influence of Sea Power upon History, 1660-1783, Dover Publications, 1987, 656 pages.

(22) En revanche, la destruction d’une base de données sur un serveur resterait prohibée car constitutif d’une violation du principe de non-intervention.

(23) « Japan Enacts Active Cyberdefense Law », The Japan Times, 16 mai 2025 (https://www.japantimes.co.jp/).

(24) France Stratégie et Dares, Les métiers en 2030 – Rapport du groupe Prospective des métiers et qualifications, mars 2022, 194 pages (https://www.strategie.gouv.fr/).

(25) Anssi, ministère de l’Éducation nationale et Campus Cyber, « Demain Spécialiste cyber » (https://www.demainspecialistecyber.fr/).

(26) Métier solitaire, au caractère exclusivement technique, particulièrement réservé aux hommes et dont l’accès est conditionné par des études supérieures.

(27) Vidal Philippe, « Quelle prise au sérieux du cyberespace pour la défense et la sécurité nationale ? Compte rendu de la thèse d’Alix Desforges », Netcom – Réseaux, communication et territoires, vol. 32, n° 1/2, 2018, p. 201-206 (https://doi.org/10.4000/netcom.2961).

(28) Institut français d’analyse stratégique (Ifas), « Les enjeux du cyber en Israël » (http://www.strato-analyse.org/).

(29) En échange d’un engagement de cinq ans comme Officier sous contrat (OSC), les armées financent la formation d’un Bachelor de cybersécurité, conduite par l’École des ingénieurs en intelligence informatique (Epita) et Polytechnique.

(30) Comcyber, « La réserve de cyberdéfense », ministère des Armées (https://www.defense.gouv.fr/).

(31) Doctrine de capitalisation, formation à l’exploitation des marqueurs, rajout de clauses contractuelles de partage des données vers les autorités publiques et les opérateurs critiques, etc.

(32) Mazzucato Mariana, The Entrepreneurial State: Debunking Public vs. Private Sector Myths, Anthem Press, 2013, 201 pages.

(33) Hecht Gabrielle, The Radiance of France : Nuclear Power and National Identity after World War II, MIT Press, 1998, 496 pages.

(34) À titre d’exemple, la méthodologie développée par le National Institute of Standards and Technology (NIST) américain accompagne les organisations publiques et privées dans la définition de leurs objectifs de cybersécurité. Il définit des normes et permet d’encadrer le processus d’identification des risques, de protection du SI et de gestion des failles de cybersécurité.

(35) Stokes E. Donald, Pasteur’s Quadrant: Basic Science and Technological Innovation, Brookings Institution Press, 1997, 200 pages.

(36) Senor Dan et Singer Saul, Start-Up Nation: The Story of Israel’s Economic Miracle, Twelve, 2009, 400 pages.