Comment la France se bat pour sauver sa souveraineté numérique

La France est-elle en train de rentrer dans l'ère d'un nouveau contrat social numérique ? Florian Bachelier, député LREM d'Ille-et-Vilaine et à la tête du groupe d'études sur la sécurité et la souveraineté numérique à l'Assemblée Nationale en est persuadé. « Nous sommes à l'aube d'un nouveau contrat social de l'ère numérique transformant les secteurs de la défense, l'économie, l'éducation, l'énergie et l'aménagement du territoire », a lancé Florian Bachelier, invité lundi soir à l'événement CyberdéfenseLive organisé à Paris par Orange. Mettant en avant l'émergence d'un enjeu démocratique dans lequel la neutralité du Net devra figurer parmi les droits inaliénables, le député et, par ailleurs premier questeur de l'Assemblée Nationale, a évoqué les prochains défis que la France devra relever dans le domaine du numérique. A savoir continuer à transformer les règles en matière de sanctions et de soutien aux cybervictimes, distiller une culture sécurité et relever le défi de la souveraineté et de l'indépendance : « Externaliser à l'étranger, c'est renoncer à la souveraineté », a lancé Florian Bachelier. « On a déjà perdu la bataille du hard et du soft, on ne peut pas perdre la bataille de la donnée numérique ». Cela passera notamment par une coopération pour renforcer l'autonomie et la souveraineté avec différents partenaires comme l'Allemagne, l'Estonie, la Norvège...

Pour Alain Bouillé, président du club des experts en sécurité des systèmes d'information et du numérique (Cesin) - par ailleurs RSSI de la Caisse des Dépôts et Consignations - plus que les batailles perdues dans le domaine du matériel et du logiciel, c'est celle pour la souveraineté des données d'entreprises avec le SaaS et le cloud public que la France est en train de perdre. « Le cloud public, c'est l'absence de choix et d'alternative. Le chiffrement va rassurer le technicien mais pas l'utilisateur. La réponse ne peut pas être seulement technique, il faut une garantie juridique assurée », a lancé Alain Bouillé. « Dans les entreprises, la décision de reconnaitre telle ou telle solution SaaS vient de la pression des métiers et dans ce cas on réussit à appréhender la localisation des données. Mais quand à l'agenda la décision est prise d'externaliser la messagerie et la bureautique c'est 100% du patrimoine de l'entreprise qui est concerné. On est aujourd'hui dans l'incapacité de savoir ce qu'il y a dans la messagerie. On veut faire du cloud hybride, avec du cloud public pour le tout venant et du cloud privé pour les autres. Mon oeil ! Ces solutions sont en apparence intéressantes mais inefficaces. »

Guillaume Poupard directeur général de l'ANSSI (à droite) face à Thierry Bonhomme PDG d'Orange Business Services (à gauche) ont échangé sur l'événement Orange Cyberdefense lundi 5 février lors d'un plateau animé par Nicolas Arpagian, directeur de la stratégie et des affaires publiques d'Orange aux côtés de Michel Van Den Berghe, PDG d'Orange Cyberdefense (2 à droite). crédit : D.F.

Le SaaS interdit de séjour au ministère des Armées

Pour répondre à cette problématique de souveraineté des données, le président du Cesin met en avant une proposition choc qui pourrait bien faire siffler les oreilles des fournisseurs cloud étranger multipliant les datacenters dans l'Hexagone : « On n'a pas de définition claire de la souveraineté des données, je vous en propose une qui est de garantir que l'hébergeur réponde à la loi du pays en étant de droit exclusivement français », lance Alain Bouillé. Et Arnaud Coustillière, vice-amiral d'escadre et directeur général des systèmes d’information et de communication, d'enfoncer le clou : « La souveraineté stratégique c'est d'avoir un réseau séparé. Notre donnée restera souveraine et n'ira pas en mode SaaS pour des partenaires, restera à l'intérieur du ministère des Armées pour faire en sorte que les données restent en Europe ou en France. Il faut que l'Etat investisse dans des capacités de cloud souverain. »

La souveraineté des données numériques de la France passerait-elle donc exclusivement par le retour des opérateurs de cloud souverain ? On peut se demander à juste titre pourquoi les échecs des précédentes initiatives en la matière - Numergy et Cloudwatt en tête - n'ont pas servi d'exemples. Interrogé par la rédaction post-événement concernant la position du vice-amiral d'escadre des Armées, le directeur général de l'ANSSI nous a partagé son point de vue sur cette question : « De manière générale quand on cherche à faire la même chose avec du vieux ce n'est pas bon il faut se remettre dans l'innovation. Faire du cloud pour copier ce que l'on a déjà fait je ne suis pas convaincu que cela marche. Dans certains cas cela à un sens pour une administration comme le ministère des Armées, pas pour des accès cloud public, mais pour du privé. On est condamné à aller vers le cloud que ce soit vers le public pour du débordement ou du cloud privé », nous a indiqué Guillaume Poupard. « La zone de valeur commune c'est l'Europe, on ne gagne pas forcément beaucoup plus à faire autrement.»

L'émergence d'une guerre froide numérique

Outre la souveraineté numérique des données, la problématique de la lutte contre les cybermenaces et les moyens mobilisés par la France en matière de cyberdéfense a également été abordée. Pour David Martinon, ambassadeur pour le numérique au ministère de l'Europe et des Affaires Etrangères, le contexte de cyberdéfense ramène à une période sombre de l'histoire contemporaine. « Je constate que le cyber nous ramène à une époque de la guerre froide, à la différence que le monde est devenu multipolaires et que les affrontements sont quotidiens et directs. Les frontières s'estompent, n'importe quel état déterminé peut aller chercher des compétences cyber sur le marché. On assiste à une refonte de la doctrine française en termes de cybersécurité dans un nouvel espace de conflictualités », a fait savoir David Martinon. « Il faut parvenir à limiter un certain nombre de pratiques de déstabilisation, mener des contre-attaques cyber, mieux lutter contre la prolifération des armes cyber et faire en sorte de mieux travailler avec les entreprises privées dans les logiciels et les terminaux. Sur ce champs de bataille numérique, il fut faire en sorte que les très grandes entreprises comprennent que leurs responsabilités systémiques vont au-delà de leur engagement contractuel. »

« En 2017, 4 milliards de personnes utilisent Internet et 3/4 d'entre eux sont sur les réseaux sociaux. Le cyber est devenu un terrain d'affrontement, de délinquance, de guerre où règne la loi du plus fort. 19 millions de français ont été victimes de cyberattaques, 80% des entreprises ont été touchées au moins une fois, sans compter les fakes news », a précisé Florian Bachelier. « Il y a une vraie prise de conscience du législateur, de la commission numérique et des postes aux affaires sociales, la défense, les affaires économiques, que le cyber inerve l'ensemble des champs de compétences ». En attendant de voir émerger une législation cyber à l'échelle européenne permettant de mieux protéger les entreprises - aussi bien que les citoyens - la nécessité d'un changement de comportements est peut être à privilégier. « La transcription de la directive NIS une manière de convaincre. C'est un sujet qui dépasse les seules interactions de données et le rôle de l'Etat est de maintenir la sécurité avec de la qualification, des audits, de la réaction à incidents et de l'aide aux acteurs critiques à se sécuriser », nous a précisé Guillaume Poupard. De là à mettre en place un code Internet semblable à un code de la route contraignant pour les usagers comme le suggère Michel Van Den Berghe, PDG d'Orange Cybersécurité, il y a un pas que le directeur général de l'ANSSI ne franchit pas. « En tant que citoyen on peut vivre mal que la France impose des choses. Il ne s'agit pas de forcer et d'apporter plus de régulation, il faut protéger les citoyens de manière transparente. Cela n'a pas de sens de faire au niveau du citoyen ce que l'on fait pour des OIV », nous a soufflé Guillaume Poupard.