Les réservistes citoyens peuvent-ils apporter des réponses aux entreprises face à l’intensification des cyber-risques ? Les militaires français y croient et ont listé lors d’un séminaire au Cercle des Armées, le 6 octobre dernier, les arguments pour convaincre le secteur privé qu’une telle initiative était « gagnant-gagnant ».
Le Commandement de la cyberdéfense, sous les ordres du Chef d’Etat-Major des armées, le reconnait : l’un de ses grands défis est celui de la coopération entre l’armée et la sphère privée. Comment mobiliser au-delà des 3000 personnes que réunit ce commandement, alors que la croissance des cybermenaces coïncident également avec un changement d’échelle notable. En 2007, la cyberattaque qui a mis presque à genoux un Etat souverain, l’Estonie, a en effet montré que les frontières entre menaces sur les acteurs économiques et menaces sur les Etats devenaient plus floues.
L’alerte d’Areva
Depuis, chaque année, d’autres affaires résonnent, de plus en plus médiatisées. Et au-delà des questions de souveraineté, l’un des points de préoccupation est la limite du nombre de spécialistes qu’il est possible de fédérer pour faire face à de telles crises. Ainsi, en 2011, les malheurs d’Areva – qui s’est rendu compte que des attaquants lui siphonnaient ses secrets industriels – ont pointé une faiblesse structurelle. L’entreprise a rapidement reçu le soutien de l’Agence nationale de la sécurité des systèmes d’information (Anssi), mais a dû solliciter également les acteurs privés de la cybersécurité. Rapidement, devant l’ampleur du problème, c’est presque l’intégralité des ressources expertes d’île de France qui s’est ainsi retrouvée absorbée par le sujet. Au total, la « remédiation » durera près de six mois. Que ce serait-il alors passé si une autre entreprise avait été touchée au même moment, pour une crise aussi grave ?
1000 réservistes citoyens déjà rassemblés
Du point de vue des militaires français, la création de la réserve de cyberdéfense a été pensée pour répondre à cet enjeu, à l’image de la Cyber Defence League estonienne. Mais ceux qui la dirigent reconnaissent qu’il reste encore un important travail pour qu’elle puisse relever le défi. Depuis 2016, elle est rattachée à la garde nationale, créée après l’attentat de Nice, pour regrouper les différentes réserves opérationnelles déjà existantes des armées, de la gendarmerie et de la police nationale. Encadrée par 44 militaires d’active, elle est composée à la fois d’une réserve opérationnelle d’intervention de 150 personnes et d’une réserve de « reconstruction » qui doit permettre un accompagnement sur la durée des fastidieuses opérations post-crise, en cas de cyberattaque. En 2017, ce sont près de 1000 citoyens, en grande partie des étudiants issus d’écoles d’ingénieurs et d’informatiques, qui peuvent épauler les réservistes au statut de militaire ou encore l’Anssi.
Plus globalement, ces hommes et ces femmes ont vocation à pouvoir être disponibles pour les entreprises en cas de crise cyber. Mais un paradoxe subsiste : au-delà des étudiants (ou quand ceux-ci s’installeront dans le monde professionnel), ce sont bien des salariés qui doivent aussi pouvoir se mobiliser pour aider. Et la majorité des entreprises, et notamment leur DRH, ne perçoivent pas bien l’intérêt qu’elles pourraient avoir à mettre à disposition les rares personnes sensibles aux enjeux de cybersécurité dont elles disposent en interne, au risque d’en manquer cruellement en cas de problème.
Des arguments pour convaincre les entreprises
Le Commandement de la cyberdéfense renforce donc ces derniers mois sa campagne de séduction en listant les avantages très concrets qu’ont les acteurs privés à signer une convention avec la jeune réserve.
L’argument le plus percutant est sans doute celui de la formation : les salariés qui consacrent plusieurs jours par an à la réserve acquièrent rapidement des modes d’action et de planification valables pour des opérations militaires en cas de crise, transposable d’après les officiers de l’armée aux réalités d’une gestion de crise cyber « civile ». C’est aussi l’occasion de s’améliorer en matière de cybersécurité, en rencontrant des situations et des menaces beaucoup plus variés et en apprenant à collaborer de manière transversales avec des acteurs de différents métiers.
Les responsables militaires soulignent également que les salariés qui sont volontaires pour devenir réserviste vivent souvent ce genre d’expérience de manière épanouie. A l’image des pompiers volontaires par exemple, leur engagement auprès de l’entreprise au quotidien et leur productivité s’en trouvent alors renforcés. Une étude réalisée par le cabinet Goodwill Management décrit ainsi « l’impact économique du réserviste » en 2017, pour le compte de la garde nationale.
De plus, la participation à cette dernière (et donc à la réserve de la cyberdéfense) est prise en compte dans le cadre de la responsabilité sociétale des entreprises (RSE) depuis l’été 2017. Une valorisation formelle qui s’accompagne également d’avantages fiscaux, puisque 60% du coût de revient de l’absence d’un réserviste est déductible des impôts. De même, la formation dans le cas d’une participation à une réserve peut être prise en compte au titre de la formation continue.
Enfin, certains industriels espèrent à terme qu’obtenir le statut de « partenaires de la Défense » deviendra un critère de sélection dans les appels d’offres publics, à l’image de ce qui existe déjà avec le ministère de l’éducation nationale par exemple, pour les entreprises qui intègrent des élèves défavorisés. En attendant, ils accèdent déjà plus facilement à l’écosystème des entreprises partenaires, afin de construire des réseaux utiles.
Les acteurs privés se laisseront-ils convaincre ? Les responsables de la réserve de cyberdéfense le croient : ils ont l’objectif ambitieux de fédérer près de 4400 réservistes en ce sens dès 2019.
Devenir réservistes de cyberdéfense
La réserve de cyberdéfense recrute tout au long de l’année des spécialistes dans le domaine informatique, réservistes opérationnels ou citoyens. La réserve recherche différents profils : coordinateurs, experts, analystes, techniciens ; à différents niveaux : étudiants en 1ère année en informatique à BAC+5.
Le réserviste opérationnel souscrit un engagement à servir dans la réserve opérationnelle, un contrat rémunéré d’une durée de 1 à 5 ans renouvelable. Ces volontaires font le choix de servir leur pays sans faire du métier des armes leur seule profession.
Les réservistes citoyens sont des collaborateurs bénévoles du service public. Ils choisissent de servir leur pays en faisant bénéficier la défense de leur expertise et leur compétence. En tant que bénévole, ils consacrent le temps qu’ils souhaitent et peuvent, à cette mission.
Les conditions générales pour devenir réserviste
- Etre de nationalité française et résider en France
- Avoir plus de 17 ans
- Faire des études en informatique
- Etre en règle au regard des obligations du service national
- Ne pas avoir de casier judiciaire
Source : Site du Ministère des armées.