Third (T) : Grâce à votre expérience, vous avez une connaissance fine des logiciels, de la gestion de crise et de la sécurité informatique. Pouvez-vous nous parler des interactions entre les notions de sécurité et de souveraineté́ dans le numérique ?

 
Alix Cazenave (AC) : On dit que la souveraineté est la qualité de l’État de n’être obligé ou déterminé que par sa propre volonté. Dans l’espace numérique, la souveraineté n’est pas du tout une chose évidente car les repères traditionnels sont difficilement transposables. Tout d’abord, le monde numérique ne connaît pas de frontières physiques, ce qui rend la notion de territoire plus difficile à définir. Ensuite, il n’y a pas d’infrastructures sur lesquelles un État peut se reposer car les réseaux sont interconnectés et beaucoup d’acteurs, privés et publics, coexistent. Enfin, il n’y a pas réellement de lois qui régissent le cyber-espace. Son équilibre repose plutôt sur un gentlemen’s agreement entre les opérateurs qui s’efforcent de répondre à l’impératif technique.

La sécurité est l’objectif premier de la souveraineté. On est souverain lorsqu’on peut protéger ses frontières, la nation et ses membres. Or, dans le numérique, il est difficile de déterminer le territoire à défendre mais il est aussi complexe d’identifier ses contreparties. On n’est jamais sûrs de l’identité d’une personne et seuls des moyens cryptographiques (adossés à des processus conventionnels) permettent d’authentifier un interlocuteur. À l’inverse, il est assez facile pour un attaquant qualifié de dissimuler son identité et son origine géographique. Certains laissent même à dessein de faux indices afin de brouiller les pistes. Cette dimension est critique lorsqu’on considère les cyber-attaques puisqu’il devient très complexe de connaître leur origine et quasiment impossible d’identifier leurs auteurs avec certitude.

Face à cela, les États décident de s’armer et de se doter de capacités numériques importantes pour être, autant que possible, en position de se défendre. Certains, comme les États-Unis, vont jusqu’à mettre en place une logique de hack back (cyber-riposte) en espérant dissuader les assaillants. Cependant, cette stratégie est délétère car, outre la difficile identification de l’attaquant (ce qui rend la réplique difficilement légitime), des représailles systématiques ont pour conséquence d’exacerber les tensions.

D’une certaine manière, on retrouve à peu près la même logique que la course à l’armement nucléaire au XXème siècle où tout le monde veut s’armer et espérer avoir des capacités dissuasives. À mon sens, les États devraient plutôt favoriser le multilatéralisme et chercher à promouvoir la paix dans l’espace numérique afin de protéger leurs intérêts nationaux, ce qui est un gage de souveraineté.
 

T : Quels sont les enjeux de sécurité pour la souveraineté numérique ?

 
AC : La protection des secrets de l’État est un des enjeux majeurs. L’espionnage, qui a toujours été pratiqué entre États, y compris entre alliés, est d’autant plus fréquent dans le numérique que les espions n’ont plus besoin d’extraire physiquement les secrets convoités. Ces attaques ont un coût pour les victimes mais ne sont pas dévastatrices.

Un autre type d’attaque est le sabotage, qui vise, de manière significative, à endommager une installation et impacter son fonctionnement. Les conséquences de telles attaques peuvent être dramatiques lorsqu’elles visent une centrale nucléaire, le réseau d’eau potable ou encore un hôpital. C’est surtout ce type d’attaque qu’on redoute lorsqu’on parle de cyber-terrorisme. La cyber-guerre ne fait pas que des cyber-morts et il peut y avoir des conséquences importantes dans le monde physique.

Enfin, il y a le déni de service, que l’on peut également appeler l’attaque en indisponibilité. Largement employées dans les années 2010 par Anonymous et d’autres collectifs plus ou moins radicaux, ces attaques sont prisées comme moyen de cyber-protestation et peuvent être assez déstabilisantes. Imaginez si le site des impôts était victime d’une telle attaque en pleine période de déclaration : sans être catastrophique, cela causerait un beau désordre et mettrait à mal l’autorité de l’État français.

Pour se prémunir contre de telles menaces, il est impératif de se doter des moyens adéquats pour assurer la confidentialité, l’intégrité et la disponibilité des systèmes d’information critiques.

En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est l’autorité de référence en matière de cyber-sécurité. Elle accompagne l’État et les opérateurs d’importance vitale (OIV) dans leur démarche de sécurité et en cas d’incident. Les OIV sont responsables d’installations essentielles au bon fonctionnement et à la survie de la nation dans des secteurs tels que les transports, l’énergie, l’agroalimentaire, la santé ou encore les activités militaires. Un cyber-sabotage chez un OIV peut avoir des conséquences épouvantables. À titre d’exemple, on peut mentionner les paralysies d’hôpitaux à cause de ransomware – le système d’information est verrouillé par l’attaquant jusqu’au paiement d’une rançon – ou des attaques telles que Stuxnet (qui a endommagé une centrifugeuse de la centrale nucléaire iranienne de Natanz) ou Shamoon (qui a paralysé la compagnie pétrolière saoudienne Aramco pendant une semaine en 2012).

Nous sommes ici au cœur de l’interaction entre sécurité et souveraineté. Les mesures de sécurité doivent correspondre aux enjeux. Plus le système d’information est critique, plus sa sécurité doit être élaborée.
 

T : Pensez-vous que seule une puissance technologique peut être souveraine ?

 
AC : La souveraineté numérique dépend de la capacité d’un État à maîtriser de manière indépendante ses systèmes d’information et ses réseaux. Cela suppose un tissu industriel pour fournir les produits et un savoir-faire pour les services, mais aussi des débouchés au sein du marché commun européen.

La France et l’Union européenne disposent de compétences humaines précieuses, et bien qu’elles ne soient pas leaders sur les marchés technologiques elles ont aussi des acteurs industriels solides et reconnus. Aujourd’hui, Nokia, Ericsson ou Altiostar sont en mesure de fournir le marché de la 5G, mais c’est Huawei qui remporte la mise. Que les équipements soient américains comme autrefois ou chinois comme demain, quelle est la vraie différence d’un point de vue de souveraineté ? Le vrai scandale est de se soumettre au dumping des fabricants chinois, au lieu de confier ces marchés à Nokia ou Ericsson comme le font les opérateurs américains, interdits de travailler avec Huawei.
 

T : L’Union européenne peut-elle exister dans ce paysage mondial numérique ?

 
AC : Outre les équipements télécoms dont nous venons de parler, certaines entreprises européennes sont présentes dans la chaîne de valeur. On pense à Siemens, Airbus ou Thalès qui, s’ils n’interviennent pas au niveau de la population générale, disposent des ressources technologiques précieuses pour des débouchés spécifiques (par exemple, le domaine de la Défense et des intérêts de l’État).

Le numérique dans l’Union européenne dépend largement d’entreprises technologiques étrangères, tant dans le matériel que dans le logiciel. Elle a beaucoup d’acteurs économiques mais peu de champions. D’un point de vue macro, ce sont les GAFAM (Google, Apple, Facebook, Amazon et Microsoft) qui dominent le paysage numérique européen. Pour autant l’Europe n’a pas abandonné toute souveraineté numérique.

En effet, le Parlement européen, sous l’impulsion d’initiatives citoyennes et de quelques élus soucieux de ces questions, s’est saisi de la protection des données des citoyens et des entreprises en adoptant le Règlement général sur la protection des données (RGPD). Justifié par l’espionnage sans limites auquel la NSA (agence nationale de sécurité des États-Unis) peut se livrer sur le territoire américain (central pour les GAFAM), ce règlement prévoit que les données des Européens doivent être hébergées dans des serveurs localisés sur le territoire de l’Union et doivent être soumises à ses lois. C’est un acte fort et une première affirmation de souveraineté au profit du grand public.

Par ailleurs, il existe une agence européenne de cyber-sécurité, l’ENISA, qui promeut la coopération entre États membres, propose des bonnes pratiques et offre un cadre de certification des produits de cyber-sécurité pour le marché commun. En février 2020, la Commission européenne a d’ailleurs renforcé cette orientation dans la stratégie « Façonner l’avenir numérique de l’Europe ».

À l’évidence, il y a encore beaucoup à faire mais on ne part pas de zéro.
 

T : Pensez-vous que les politiques ont une connaissance suffisante des enjeux numériques et de souveraineté ?

 
AC : Non, pas du tout. Nos décideurs au plus haut niveau manquent, depuis plusieurs décennies, de vision et d’ambition pour le numérique. Je crois qu’ils considèrent que ce n’est pas un sujet clivant et payant électoralement.

En Europe, le Parlement et la Commission ont trop souvent écouté les groupes de pression (lobbys) représentant les industries américaines du logiciel et du divertissement, en méconnaissance totale de la technique et des enjeux du numérique dans l’Union. Et si des efforts ont été faits pour harmoniser le marché des télécoms, l’Union et ses États membres n’ont jamais montré d’ambition pour maintenir ou développer des capacités stratégiques en matière de matériel ou de logiciel – hormis pour les secteurs de la sécurité et de la défense, qui échappent à la compétence de l’Union.

En France, des entreprises de premier plan (comme Alcatel ou ST Microelectronics) ont perdu de la vitesse et ne sont plus des acteurs de référence. D’autres sont encore importantes aujourd’hui, surtout parmi les prestataires de défense (comme Dassault ou Airbus). Globalement, le pouvoir politique ne s’est pas rendu compte qu’il était stratégique de maintenir et de développer du matériel souverain pour nos besoins nationaux.

Ce retard industriel n’est pas non plus compensé par une grande performance dans le domaine des logiciels. En effet, le tissu français peine à faire émerger des entreprises au-delà du marché français, de sorte que les éditeurs nationaux ne s’imposent pas comme des références. Il y a eu des sursauts de souveraineté et de politique industrielle, comme le « Grand Emprunt » et le projet de « Cloud souverain » mais ce furent des échecs patents. L’intention était pourtant louable.

Un des problèmes majeurs est que l’État a confié les clés du projet à de grandes entreprises (en l’occurrence Thalès et Orange) alors que l’expertise et la vision se trouvent dans les petites entreprises. Malheureusement, la France n’a pas la culture du risque. Tant que nos talents resteront sous la coupe de nos mastodontes, il sera difficile de faire émerger des champions. Les investisseurs ont également une lourde responsabilité dans notre retard. En ne prenant pas en compte les ambitions globales de nos start-ups, en limitant leur apport à la taille du marché français, ils les condamnent à végéter sur un marché étriqué, ou à déménager en Californie pour pouvoir prendre leur essor.

La cyber-sécurité et la souveraineté numérique échappent largement aux politiques qui considèrent souvent ce domaine comme une affaire de geeks. Fort heureusement, pour les enjeux de sécurité nationale ils écoutent les conseils de personnes très qualifiées au sein de l’appareil d’État. Mais au bout du compte, je trouve que la France, comme l’Union européenne, n’est pas une puissance technologique suffisamment indépendante pour prétendre être en complète maîtrise de son destin numérique.
 

T : Y a-il selon vous une stratégie à suivre pour devenir une puissance souveraine dans le numérique ?

 
AC :On pourrait commencer par définir un objectif. Que faut-il pour se prétendre une puissance numérique souveraine ? De quoi répondre aux besoins fondamentaux de l’État et de la Nation sans avoir recours à des offres étrangères – soit du matériel, du logiciel et des ressources humaines qualifiées.

À défaut de maîtriser l’ensemble de la chaîne, ce qui constitue un retard considérable à rattraper, nous pouvons nous spécialiser dans des domaines où nous avons l’avantage. Israël a su développer son marché des technologies de cyber-sécurité, et en est aujourd’hui le deuxième exportateur mondial.

Le marché français de la cyber-sécurité a longtemps souffert du fait que ce n’était pas un sujet grand public. Les utilisateurs considèrent encore souvent la sécurité comme une gêne et les entreprises comme un coût. Une prise de conscience se fait progressivement, notamment grâce à la médiatisation d’incidents comme des fuites de données à grande échelle et à la responsabilisation des acteurs privés vis-à-vis des données de leurs utilisateurs. Parallèlement, l’ANSSI s’efforce de poser un cadre de confiance pour développer tant l’offre que la demande. La certification permet de labelliser des produits et services selon des niveaux d’exigences ; en la rendant accessible aux PME, elle rend l’offre plus lisible et diverse. En sensibilisant les acteurs économiques aux enjeux de sécurité, elle stimule la demande.

Reste la question des ressources humaines. Pour développer un marché il est essentiel de proposer des formations correspondantes. Aujourd’hui un des freins au développement de la cyber-sécurité en France est le manque de compétences. D’abord, il faudrait commencer à enseigner les bons réflexes aux jeunes dès la primaire au lieu de n’aborder la sécurité qu’en cursus de spécialisation à bac+3. Ensuite, un nombre croissant d’universités et d’écoles d’ingénieur proposent des formations en sécurité et c’est très bien. Mais un cursus d’enseignement supérieur prend plusieurs années à compléter, et il faut encore quelques années pour acquérir de l’expertise. Cela fait long à attendre pour disposer de ressources qualifiées.
 

T : Nous avons évoqué les rapports entre États mais, en regardant plus précisément, on se rend compte qu’ils ont recours à des entreprises privées pour gérer des dimensions numériques stratégiques. Est-ce une menace pour la sécurité des États ?

 
AC : Comme toute organisation, l’État ne peut pas tout faire lui-même, il est naturel que des entreprises privées travaillent avec ses services. Là où il faut être extrêmement vigilant, c’est quand il s’agit de dimensions stratégiques pour la nation. De mon point de vue, pour les domaines sensibles, il ne faudrait pas avoir recours à des solutions étrangères.

Cependant, en pratique, on constate des situations de dépendance avec des solutions non nationales et extra-européennes. Je pense aux ministères de la Défense et de l’Éducation Nationale qui ont tissé des liens très proches avec Microsoft et qui, pour moi, dépassent l’entendement (non-respect des règles de marchés publics, des accords open bar très coûteux…). De manière plus large, ces incohérences reflètent un certain attrait pour la facilité et le confort qu’offrent ces partenariats, plus qu’un souci d’intégrité et de souveraineté.

Une autre aberration est le fait que Palantir Technologies, société américaine réputée très proche de la CIA, parvienne à travailler avec Direction générale de la sécurité intérieure (DGSI) ou des entreprises privées ayant des activités stratégiques pour la souveraineté (par exemple, Airbus). Quelles que soit les mesures prises pour compartimenter leur rôle, une telle collaboration a pour moi le parfum du loup dans la bergerie. La DGSI est d’ailleurs consciente du problème puisqu’elle l’annonce comme une solution temporaire en attendant une offre française.

La vigilance doit être de mise car tout le monde ne doit pas pouvoir travailler avec l’État ou les entreprises clés pour la sécurité nationale. On assiste ainsi à de véritables luttes pour le contrôle ou la mise en place de partenariats avec des sociétés très avancées sur des domaines stratégiques. En 2000 nous avons laissé TPG (Texas Pacific Group, proche de la CIA) acquérir Gemalto, spécialiste mondial de la carte à puces, finalement revenu dans le giron français l’an dernier suite à son acquisition par Thalès. Plus récemment, l’État s’est mobilisé pour que Thalès et Safran acquièrent Photonis (une société spécialisée dans la vision nocturne) dans le but d’empêcher l’américain Teledyne de le faire.
 

T : Comment faire fonctionner les partenariats public-privé sans compromettre la souveraineté ?

 
AC : Une bonne manière de le faire est d’appliquer un principe assez simple : l’argent public doit servir à financer des logiciels publics. En pratique, cela signifie de privilégier des solutions sous licence libre : au lieu de payer une rente (les licences) pour avoir un droit temporaire d’utilisation, nous pouvons payer pour de la valeur ajoutée (développement spécifique et service) et que l’État reste maître du code installé sur ses systèmes d’information, en capacité de le faire évoluer selon ses besoins, et libre de le republier (ou pas) pour que d’autres en profitent et l’enrichissent à leur tour. La France et l’Europe sont championnes en nombre de développeurs en logiciels libres, de sorte qu’il est vraiment dommage de ne pas s’appuyer davantage sur cet axe stratégique.

On ne peut pas se reposer exclusivement sur des solutions extra-européennes et propriétaires dont nous n’avons pas la maîtrise. Ce n’est pas sain ni sur le plan technique, ni sur le plan politique. À titre d’exemple, les liens entre Microsoft et l’État reflètent à la fois un certain favoritisme qui permet à Microsoft de contourner les procédures et une dépendance de l’État qui renouvelle les contrats par facilité. Il faudrait pouvoir développer des solutions différentes pour réduire notre dépendance en promouvant des compétences nationales et européennes. Il existe un large éventail de solutions en logiciels libres qui peuvent être opérées par des prestataires européens. Cela suppose évidemment de regarder les choses différemment.

La perpétuation des contrats avec Microsoft, outre les enjeux de sécurité et de confidentialité, renforce sa position dominante et constitue un obstacle à la diversité de l’offre. Si on promeut sans cesse les outils Microsoft et qu’on forme les jeunes sur ces outils avec le soutien de l’État, on promeut un écosystème propriétaire qui fonctionne en cercle fermé. Ce faisant, on accepte la nécessité de payer des licences pour utiliser des logiciels sur lesquels nous n’avons aucun droit d’étude et de modification, et de devoir passer par des prestataires agréés. C’est un obstacle à notre liberté de marché et à la liberté de choix de nos consommateurs.

Pour autant, il ne suffit pas de vouloir un champion pour qu’il existe. Prenons l’exemple de Qwant qui est un moteur de recherche français et dont on a essayé de faire un leader européen. Malgré l’attention qui lui est portée et les financements qui lui sont octroyés, il peine à passer à l’échelle ; ses performances sont insatisfaisantes et il continue de se reposer sur Bing pour calculer ses résultats (le moteur de recherche de Microsoft). La méthode américaine est très différente : pour répondre à un besoin technologique spécifique, les instituts fédéraux de financement de l’innovation (civils ou militaires) n’hésitent pas à octroyer des budgets de recherche à des poids plume s’ils ont des compétences concordantes. C’est ainsi que le National Science Fund a financé le premier algorithme de Google et permis la fondation de ce futur géant.

La leçon à tirer est la suivante : si on veut qu’un acteur européen soit fort, il faut qu’il soit performant. Selon moi, les investissements de l’État ne suffisent pas à élever au rang de champions certains acteurs numériques. L’État ne doit pas décréter l’émergence d’un champion, il ne peut que la soutenir. Au lieu de se considérer simplement comme utilisateur de solutions numériques, l’État devrait se considérer prescripteur et appréhender sa responsabilité non seulement sur ses propres usages, mais concevoir l’impact de ses décisions dans le paysage numérique, sur la population entière et l’économie nationale. Il faut assumer ce rôle d’orientateur en attribuant des marchés et en favorisant des entreprises nationales.

En conclusion, et pour revenir au sujet de notre entretien, je dirais qu’il y a souveraineté numérique lorsque l’on est en maîtrise de ses enjeux et de son futur. À défaut d’industrie, il faut miser sur les compétences, car ce sont elles qui permettront véritablement de consolider une souveraineté numérique, tant pour la sécurité de l’État que pour celle des citoyens et des acteurs économiques.