La lutte informatique dans les armées françaises repose sur un triptyque désormais bien identifié : lutte informatique offensive (LIO), lutte informatique défensive (LID) et lutte informatique d'influence (L2I). Ces volets sont coordonnés par le Commandement de la cyberdéfense (COMCYBER) pour protéger les forces, conserver la liberté d'action et influer sur un adversaire ou un environnement informationnel. Depuis quelques années, un quatrième pilier s'affirme : la lutte informatique défensive active (LIDA), qui permet de détecter, canaliser et neutraliser une attaque sans attendre qu'elle se produise.
1. Lutte informatique offensive (LIO)
La LIO regroupe les opérations conduites pour perturber, altérer ou neutraliser les capacités numériques adverses. Elle constitue l'équivalent cyber d'un feu dans la doctrine terrestre : choisir un objectif, produire un effet mesurable et s'assurer de la synchronisation avec les autres armes.
Effets recherchés : fermer un accès, ralentir une chaîne de commandement, altérer une capacité critique ou fournir un appui à une manœuvre d'ensemble.
Conditions d'emploi : décision politique, cadre juridique strict, attribution maîtrisée et coordination interarmées.
Compétences clés : renseignement d'origine cyber, exploitation de vulnérabilités, développement d'outils dédiés et pilotage temps réel.
Une opération offensive peut durer plusieurs mois : repérage de la cible, injection discrète, montée en charge des accès et déclenchement simultané avec d'autres effets pour surprendre l'adversaire.
Point de vigilance : la LIO s'inscrit toujours dans une logique stratégique contrôlée. La réversibilité des effets et la maîtrise des dommages collatéraux sont systématiquement évaluées.
2. Lutte informatique défensive (LID)
La LID couvre l'ensemble des mesures prises pour garantir la disponibilité, l'intégrité et la confidentialité des systèmes d'information de défense. Elle suit une logique de protection en couches : anticiper les attaques, détecter précocement et réagir avec des équipes prévues.
Surveillance 24/7 : centres opérationnels cyber, sondes et télémetries partagées.
Durcissement : cartographie d'attaque, segmentation, contrôle des chaînes logicielles et formation des utilisateurs.
Réponse : plans de continuité, équipes d'intervention (Hunt, CSIRT) et rétablissement maîtrisé.
Succès visible : plus la LID est mature, moins les opérations offensives adverses parviennent à créer une rupture. La défense devient alors un levier de supériorité opérationnelle.
Chaîne décisionnelle : du RSSI de base au centre de conduite du COMCYBER, la LID repose sur des procédures codifiées pour déclencher l'alerte, qualifier la menace et décider du niveau de riposte.
3. Lutte informatique d'influence (L2I)
La L2I agit sur les perceptions : protéger les forces des campagnes de manipulation et porter un message crédible auprès des audiences ciblées. Le champ est hybride, mêlant opérations psychologiques, contre-influence et appui aux opérations militaires.
Objectifs : contrer les narratifs hostiles, décrédibiliser un acteur influent ou expliquer l'action française.
Cadre : doctrine, respect du droit international humanitaire et cohérence avec les actions diplomatiques.
Moyens : cellules de veille infox, cartographie des communautés en ligne, production de contenus, partenariats avec la communication opérationnelle.
La L2I ne se résume pas à "répondre" : elle anticipe les récits concurrents, prépare des argumentaires vérifiables et mesure l'impact de chaque prise de parole.
Défi majeur : agir vite sans sacrifier la crédibilité. Une intervention maladroite peut renforcer la propagande adverse.
4. Lutte informatique défensive active (LIDA)
La LIDA est le chaînon entre défense et offensive. Elle autorise des actions proactives dans ses propres réseaux : traquer un intrus, perturber son infrastructure de commande ou reconfigurer dynamiquement un système pour piéger l'adversaire.
Détection augmentée : Threat hunting, analyse comportementale, corrélation des signaux faibles sur plusieurs réseaux.
Réponse active : isolation automatique, déception (leurres), injections de règles temporaires pour couper la progression.
Coordination : partage d'IOC au niveau interministériel, articulation avec les partenaires civils pour empêcher la réutilisation d'une même faille.
Ce que LIDA n'est pas : il ne s'agit pas de riposter hors de ses systèmes. L'action reste cantonnée aux réseaux protégés, tout en exploitant les marges de manœuvre offertes par la loi et par la posture permanente de sûreté.
Effet attendu : réduire le temps entre la découverte d'une attaque et la neutralisation de l'opérateur, limitant ainsi les dommages et privant l'adversaire de ses apprentissages.
Mettre ces doctrines en musique
Complémentarité. LIO crée l'effet, LID protège, L2I façonne l'environnement cognitif et LIDA accélère la réaction. Aucune de ces briques ne suffit isolément.
Temporalité. Défense et influence travaillent en continu, tandis que les opérations offensives sont déclenchées ponctuellement. La LIDA assure la liaison entre ces rythmes.
Gouvernance. Le COMCYBER pilote l'ensemble et s'appuie sur les commandements opérationnels, la DIRISI, les unités renseignement et les partenaires civils.
Facteur humain. Ingénieurs, linguistes, analystes et opérationnels partagent une même culture : anticiper, expliquer, agir vite et rester conforme au droit.
À retenir : la maîtrise de ces doctrines ne se limite pas à la technique. Elle implique une vision stratégique, une coordination interministérielle et la capacité d'expliquer clairement ce que l'on protège ou ce que l'on vise.