Security Defense Business Review

View Original

Interview du vice-amiral d’escadre Arnaud Coustillière (2S) Ex-DGNUM au Ministère des Armées

SDBR News : Vous venez de quitter votre poste* de DGNUM du Minarm**. Quel regard portez-vous sur vos dix années passées dans la fonction numérique de ce ministère régalien ?

Arnaud Coustillière : Je viens en effet de passer dix années à travailler à la modernisation numérique du ministère des Armées, que ce soit à la construction de la cyberdéfense puis à la mise en place de la DGNUM. Quand je me retourne, je vois que le ministère a bien l’élan de la prise en compte de ce qu’est le numérique et des efforts qu’il doit faire pour regarder maintenant le numérique comme un « nouvel espace y compris de combat ». C’est la première brique qui a été posée ; elle est arrivée maintenant à un certain niveau de maturité, permettant ainsi aux armées françaises d’être à la hauteur des plus grandes armées occidentales dans le domaine de la Cyber. Nous avons en particulier un grand satisfecit dans la synchronisation avec les autres opérations, ce qui ne se retrouve pas toujours chez tous nos partenaires occidentaux : rares sont ceux qui ont une imbrication très forte entre le cyber offensif et les opérations. Sur l’autre volet, qui concerne la maitrise de cet espace numérique pour retrouver une certaine autonomie stratégique, notamment dans le domaine plus classique de la transformation et de la modernisation, mon bilan est plus en demi-teinte car il reste encore un chemin important à parcourir.

SDBR News : En quoi est-il plus en demi-teinte ?

Arnaud Coustillière : D’abord c’est un sujet très compliqué et culturel à mener avec détermination dans la durée, ensuite parce que le ministère des Armées est sans doute l’organisation la plus complexe et la plus hétérogène d’Europe, que ce soit dans le monde civil ou militaire. Aucune institution, aucune organisation ne comporte en son sein une telle hétérogénéité et autant de métiers : une grande entreprise ou un grand fournisseur recèle en général quelques dizaines de métiers, alors qu’au Minarm on en trouve des centaines. Le ministère des Armées forme, habille et loge des personnels, fait naviguer et combattre des bateaux et des sous-marins, fait voler des avions, commande des véhicules armés, fait fonctionner des réseaux de communications de tous types, etc... La chaîne du système d’information des Armées doit avoir une culture permettant d’envoyer à l’autre bout du monde des réseaux de télécommunications sans délai, tout en étant un service au service de la modernisation d’un très grand organisme. Donc cette organisation est de très loin la plus complexe de par ses contextes d’emploi très variés : en métropole, en école, au logement, au combat à l’extérieur, etc. De cette organisation complexe est née une acculturation numérique plus longue, de tous les acteurs et responsables, devenue un enjeu de taille. Même si aujourd’hui tout le monde pousse dans le bon sens, la compréhension fine du numérique (et de ce qu’il apporte) est relativement peu partagée. Tout le monde reconnaît que c’est important, mais la compréhension de la finesse de la différence entre l’esprit « électronique de défense » et le numérique n’est pas encore acquise par le plus grand nombre. Ce n’est d’ailleurs pas propre au ministère et cela a été souligné par la Cour des Comptes, dans son dernier rapport sur les grands projets de l’Etat, avec aussi un état des lieux dans les grands groupes. Mais plus l’organisation est grande, plus ce sujet est compliqué à faire partager et les silos difficiles à faire s’estomper ; mettre la donnée au centre pour mieux la valoriser, la traiter et la partager est avant tout un enjeu culturel, sous tendu par une acculturation technique assimilée à tout niveau de responsabilité et pas que par les experts.     

SDBR News : Alors que faire pour passer ce cap ?

Arnaud Coustillière : Nous avons d’un côté des « pseudo sachant », avec ceux qui manient des grands mots à la mode, « Edge Computing », « intelligence artificielle », etc…., oubliant que pour fonctionner ces choses là reposent sur un socle technologique extrêmement compliqué et qui coûte très cher, financièrement mais surtout en compétence pour rester up to date ! De l’autre coté, nous avons des gens qui continuent à faire traditionnellement du système d’information / communication à l’intérieur de leur  chaîne. La réconciliation de ces différentes mentalités pour bâtir un SI sur des bases communes est la partie la plus compliquée, que la fonction DGNUM a amorcée en 2017/2018. En premier lieu, par une révision de la gouvernance pour la rendre plus unifiée, plus partagée et la doter de vrais leviers ; en parallèle, nous nous sommes occupés du socle numérique dont le niveau de complexité, le besoin en compétences et en investissements ciblés avaient été trop sous-estimés, au moins depuis 2014. Tout en poursuivant ce redressement, mon successeur devra aussi s’occuper de la réforme des grands projets, sur la base du rapport de la Cour des Comptes sur le sujet : ce rapport constate que tous les grands projets lancés au début des années 2010 ne marchent pas, ont des coûts excessifs, parce que trop ambitieux, trop gros et délivrés trop tard par rapport aux besoins évolutifs des utilisateurs. C’est toute une chaîne qu’il faut remodeler.

SDBR News : En janvier 2019, vous parliez d’agilité pour les nouveaux projets du ministère. Est-ce aujourd’hui la norme ?

Arnaud Coustillière : Les axes évoqués en 2019 ont été lancés et conduits avec plus ou moins de rapidité. Concernant l’acculturation numérique, nous avons lancé « Defense Connect » puis un projet d’Académie numérique ; concernant l’agilité, nous avons déployé de nouvelles procédures et surtout des personnels en interne pour accompagner les projets ; l’offre de formation et surtout d’accompagnement a été complètement renouvelée. L’agilité n’est pas une baguette magique mais tout un processus destiné à délivrer des systèmes en rapprochant les utilisateurs, les autorités clientes et ceux qui font de la conduite de projet ; c’est toute une transformation, un changement de paradigme dans la relation « utilisateur » et « chaîne SIC » ; cela fonctionne aussi si le socle IT destiné à accueillir le SI est à bon niveau en matière technologique et d’automatisation. Cela ne va pas se faire en un jour…. Le gros sujet va consister à repenser tous les processus de gouvernance des projets du ministère pour aller vers une gouvernance beaucoup plus transverse, notamment des données, où l’ensemble des métiers sera représenté autour de la table. Il faut que, dès le départ d’un projet, chacun puisse le voir et apprécier l’impact qu’il aura sur chaque métier. Cela signifie : « partage des données transverse » et visibilité, une couche cyberdéfense et cybersécurité transverse, des outils communs et bien sûr un hébergement, avec en cible un cloud hybride. Il faudra résoudre les problèmes de cloisonnement soulignés par la Cour des Comptes. Pour cela, nous devrons re-concentrer les entités éparpillées en une vingtaine de grandes entités fédératrices, qualifiées de DSI, métier ou de domaine avec des compétences et des processus inspirés des bonnes pratiques du CIGREF. Enfin, nous allons mettre en place une structure pour conduire, en mode agile là où nécessaire, les grands projets ambitieux du ministère : c’est ce que l’UMSNUM  (unité de management « socle numérique ») est en train de faire pour la refondation de l’intranet sensible « intradef ». Ce chantier, à présent lancé depuis septembre 2019 et présenté au ministre en juillet 2020, est une réelle refondation de l’ensemble de la chaîne : 2017/2019 DGNUM, UMSNUM, puis à présent DSI « domaine » en nombre resserré et projet de Direction des grands projets numériques qui sera adossée à la DGA, selon un mode de gouvernance et un périmètre en cours de définition fine. Sa conception générale est décidée, il faut à présent le mettre en œuvre.

SDBR News : Que souhaitez-vous à votre successeur en tant que DGNUM ?

Arnaud Coustillière : Tout ce que nous venons d’évoquer va constituer la feuille de route de mon successeur. Je lui souhaite beaucoup de courage et de détermination pour que la DGNUM reste un aiguillon chargé de faire avancer notre numérique avec l’ensemble des autres acteurs, à un juste rythme. La DGNUM ne porte pas de mission en propre et est directement rattachée au ministre. Son mandat c’est la cohérence, ce sont les processus, la vision d’ensemble, c’est faire avancer le ministère, donc être cet aiguillon transverse ayant une vision globale, porteur des besoins ministériels communs, notamment vis-à-vis du socle IT. La DGNUM peut seule prendre le recul avec une vision équilibrée de  l’ensemble des services et besoins du ministère et de nos opérateurs, notamment du principal qu’est la DIRISI. Elle doit pouvoir rester concentrée sur sa mission principale et sur le service à rendre aux utilisateurs, en heure et en temps et en toutes circonstances, et tout particulièrement pour l’appui aux opérations militaires.

SDBR News : A propos des grands projets, n’est-ce pas la DGA qui, au final, est l’acheteur et le maitre d’ouvrage ?

Arnaud Coustillière : Pour le numérique nous avons deux acheteurs aujourd’hui, la DIRISI qui est particulièrement efficace au profit de toutes les entités du ministère et la DGA pour les grands projets. Dans les années 2010, on croyait bien faire en appliquant les procédures classiques, avec des grands projets très fédérateurs, tels qu’on les avait conçus. Aujourd’hui, en fonction du changement de paradigme, ces procédures ne sont plus très adaptées et on ne peut plus considérer le numérique comme de l’électronique de défense : ce ne sont ni les mêmes règles, ni les mêmes stratégies, ni le même tempo, ni les mêmes services à acquérir, et de nombreux rythmes technologiques sont imposés par l’extérieur. Le ministère lui-même doit davantage s’ouvrir, davantage recourir directement à Internet ; nous avons déjà un réseau Internet « pur » de plus de trente mille postes de travail pour les écoles, les DRH, les services de soutien, les hôpitaux militaires… Sans parler du télétravail à partir de notre réseau sensible Intradef…, sans oublier bien sur nos réseaux classifiés pour nos cœurs de mission. Savoir aussi traiter, partager, faire circuler les données entre ces différents systèmes tout en garantissant leur cybersécurité ; la montée vers des cloud hybrides privés et dédiés chez des partenaires de confiance y tient une place importante, notamment pour permettre le déploiement à l’échelle de services SAAS ou de l’IA au profit des entités très diverses du ministère et des armées en opérations. C’est toute la façon dont le numérique est pris en compte qui doit être repensée, de l’expression du besoin à la délivrance aux utilisateurs, au sein du ministère comme ailleurs et en particulier chez nos industriels de défense, grands et petits. La DGA sait parfaitement conduire de grands projets, comme elle l’a montré avec le projet « Source solde », qui a pris la suite du projet  « Louvois », mais en bénéficiant de moyens et de procédures exceptionnels, notamment dans l’implication des autorités d’emploi. Maintenant ces façons de procéder doivent être élargies aux autres grands projets. Le numérique doit encore plus mettre les différents acteurs d’un même projet ensemble sur un même plateau et en particulier des autorités d’emploi et des utilisateurs, trop peu présents en mode classique, sauf en début et fin de process. Et le passage au mode « agile » suppose une délégation, à chacun des niveaux concernés, d’une petite part de responsabilité qui fasse qu’on les autorise à prendre des décisions : c’est très différent du mode actuel de fonctionnement. L’agilité implique aussi l’industriel, ce qui demande des relations refondées avec lui… La réforme numérique du Minarm ne pourra s’arrêter aux portes du ministère et doit concerner tout notre écosystème, et en premier lieu les industriels de rang 1. Pour certains, cela va demander une réelle révolution culturelle, y compris chez ceux qui nous fournissent des plateformes qui sont et seront de plus en plus numérisées avec des données de plus en plus transverses… Le SCAF qui devrait remplacer les Rafale en est un bon exemple.

SDBR News : En tant que marin, considérez-vous la numérisation des nouveaux bâtiments de surface comme aboutie ?     

Arnaud Coustillière : Je ne puis avoir qu’un regard éloigné car j’ai quitté la marine opérationnelle en 2006, mais il me reste des fondamentaux car j’en ai été le DSI de 2006 à 2008, puis en tant que Comcyber j’en ai testé la résistance. Peut-on dire que les nouveaux bâtiments, FTI ou FREMM, sont des bâtiments numériques ? La réponse est « oui » lorsqu’on regarde le nombre d’automatismes et les plans d’adressage Ip. Après, se pose la question de savoir si nous ne sommes pas allés trop loin en termes de réduction d’équipages lorsqu’on considère la polyvalence des missions de ces bâtiments ? Lorsqu’on fait du contrôle d’embargo, du contre-terrorisme, la garde à quai ou une mission humanitaire, il faut des bras… Il n’y a pas que le combat entre unités navales. Donc la question tient plus à la polyvalence des bateaux qu’à leur numérisation sécurisée et elle est bien sécurisée, même si la surface d’attaque ayant augmenté il a fallu augmenter les moyens de cyberdéfense et concevoir les architectures ad hoc. Donc la Marine a bien pris un virage numérique, mais il reste une différence importante entre les forces à terre, qui sont hautement numérisées ou facilement numérisables grâce à des câbles internet, et les personnels en mer, qui sont raccordés grâce aux réseaux satellitaire ou hertzien qui est une technologie dont les débits sont contraints par des règles physiques bien connues et les systèmes antennaires. Donc un bateau raccordé en satellitaire, même un porte-avions, aura un débit numérique comparable à un GTIA déployé au Mali. Tant que la marine française n’aura pas résolu ce problème, une grande partie de son commandement sera de plus en plus à terre et de moins en moins embarqué : entre la terre et la mer, il y a une certaine forme de désert numérique, de fracture qu’il est difficile de gommer, mais l’arrivée du Edge Computing ou encore de capacités de stockage massif très compact sont des virages à ne pas rater.

SDBR News : En janvier 2019, vous évoquiez dans nos colonnes la pénurie flagrante des compétences numériques qui touchait aussi le Minarm. Est-ce toujours vrai ?

Arnaud Coustillière : Depuis 2016, le ministère a mis en œuvre tous les processus et tous les relais possibles pour améliorer ses capacités à recruter et à fidéliser des compétences : salaire, parcours qualifiant, parcours de carrière, etc. J’observe que, sur le personnel civil, nous avons su trouver des leviers sur lesquels agir et les dernières grilles salariales sont assez conformes au secteur privé. En outre, le ministère représente un attrait et un challenge pour les contractuels : nous arrivons donc à recruter des personnels civils de tous niveaux. Le ministère arrivera t-il à les fidéliser ? C’est un vrai sujet. Il faut en tous cas agir sur la complémentarité contractuels – fonctionnaires. Concernant les militaires, c’est beaucoup plus compliqué. D’abord, il y a cinq DRH différentes qui recrutent différemment et voient les parcours de carrière de façons différentes à l’aune de leurs priorités, très marquées par leur milieu de combat et c’est normal : donc, encore une fois, hétérogénéité et complexité mais c’est une réalité avec laquelle nous devons composer. En outre, les cursus de carrière sont pensés pour le cœur de métier : par exemple, un sous-officier de la marine n’évoluera pas de la même façon qu’un sous-officier de l’armée de terre et, comme en matière numérique l’employabilité est en gros à 50% faite en interarmées, cela pose des problèmes de cursus. Enfin, lorsqu’un personnel entre dans les Armées, c’est en principe pour être un combattant dans une des trois armées, donc il est d’abord formé pour le combat, la remise à niveau technique de cycle n’intervenant que plus tard. Les Armées génèrent donc des techniciens supérieurs au bout de quelques années, c'est-à-dire au moment de renouveler leurs contrats, et les sirènes de l’extérieur sont bien souvent attirantes. Le recrutement et la fidélisation de personnels militaires pour le numérique sont donc compliqués et nous devrons nous habituer à travailler structurellement avec des forces spécialisées moins nombreuses qu’aujourd’hui, à l’exception du domaine Cyber très attractif car le personnel est au cœur du combat numérique. Ce n’est pas un problème de moyens, c’est devenu structurel. Ce personnel n’existe plus en nombre et compétences suffisantes au sein des armées. Il faut donc repenser le modèle : davantage de recours à des partenaires de confiance et à des compétences externes, là où c’est possible. Je vois aujourd’hui beaucoup trop de projets dans lesquels on n’a pas pris suffisamment en compte la volatilité des compétences, voire leur absence sur le projet. Cette problématique touche à la fois les experts techniques, mais aussi les cadres militaires de haut niveau de façon encore plus forte.     

SDBR News : Vous posez votre sac après 39 ans de carrière militaire, dont plus de 15 ans à la mer et une vingtaine d’année sur les sujets numériques. Et maintenant ?

Arnaud Coustillière : Je quitte le ministère avec bien sûr un pincement au cœur mais je vais aller retrouver mon ADN numérique, à savoir la cyberdéfense, mâtinée d’une approche de souveraineté numérique, ou plutôt d’autonomie stratégique et de confiance. Dans le numérique, on ne vient plus chercher des clients ou des fournisseurs mais, de plus en plus, on vient chercher des partenaires, le rôle central de la donnée a changé la donne. Des sujets comme le Cloud souverain, la montée d’une offre française de cybersécurité autour de PME et d’une offre de confiance française autour de certains prestataires de Cloud, sont des sujets qui ont du sens si nous voulons faire de l’intelligence artificielle indépendante, en maitrisant nos algorithmes sensibles, et acquérir une forme d’autonomie stratégique européenne. Tout cela marche ensemble. Il y a un vrai dynamisme numérique national en ce moment et je souhaite continuer d’y participer, au travers d’une activité de conseil que je crée pour pouvoir conserver ma liberté de travailler avec des gens que j’apprécie et qui portent des valeurs. A côté de ces activités, je continuerai à soutenir le Pôle d’Excellence Cyberdéfense et à intervenir dans différents mastères Cyber…