Souveraineté numérique : la cyber‑résilience comme ligne de défense

1/ Le modèle défensif classique est-il devenu obsolète face au contexte actuel ?

La menace continue de s’intensifier et le contexte géopolitique accentue cette tendance. Au gré des alliances et du positionnement de l’État français, on observe des fluctuations dans les attaques. Ce que redoute particulièrement l’ANSSI, c’est une attaque coordonnée. Aujourd’hui, nous faisons face car les attaques sont relativement désordonnées, mais une offensive coordonnée mettrait en difficulté nos capacités de défense. Pour toute entreprise, il viendra un moment où elle ne saura pas faire face. Il faut donc passer d’une logique de défense à une logique de résilience.

J’ai coutume de dire qu’avant, la cyber‑résilience était un enjeu de cybersécurité. Aujourd’hui, c’est l’inverse : la cybersécurité n’est qu’un volet de la cyber‑résilience, qui est un concept bien plus large. Quand on pense exclusivement défense, on ne pense pas résilience. À l’inverse, penser résilience permet d’intégrer naturellement la défense dans la réflexion.

L’autre risque majeur est celui de la dépendance stratégique à des opérateurs susceptibles de devenir coercitifs. Il ne s’agit pas uniquement de la question du « kill switch ». Cela peut aussi passer par une augmentation brutale des tarifs ou une dégradation des services. Les hausses tarifaires, les changements de conditions contractuelles imposés ou les coupures d’accès à des plateformes essentielles représentent aujourd’hui un risque majeur pour l’activité des entreprises.

2/ Comment articuler souveraineté numérique et cyber‑résilience ?

Cette réflexion est concrètement matérialisée par l’Indice de résilience numérique (IRN), qui mesure les dépendances numériques et les relie à un indice de résilience. À tel point que l’on ne sait plus si l’on mesure la résilience ou la souveraineté, tant ces deux notions sont imbriquées. L’IRN est un outil de pilotage stratégique permettant aux entreprises et aux organisations publiques de mesurer, piloter et réduire leurs dépendances numériques critiques.

La résilience ne signifie pas nécessairement l’absence de dépendance. Elle peut reposer sur une pluridépendance. Si je dépends à parts égales de plusieurs fournisseurs et que l’un d’eux devient coercitif, je peux m’appuyer sur les autres. C’est aussi une forme de souveraineté, au sens fort : le souverain peut dire non, là où le vassal ne le peut pas. La cyber‑résilience se construit ainsi sur une approche par les risques et par l’analyse d’impact sur le métier.

3/ Les initiatives politiques françaises sont-elles à la hauteur ?

Le gouvernement poursuit sa quête d’autonomie stratégique. L’ensemble de l’appareil d’État est désormais engagé dans une démarche visant à réduire les dépendances aux technologies américaines. La DINUM annonce notamment sa sortie de Windows au profit de postes sous Linux.

C’est plus facile à dire qu’à faire. Cela suppose un travail de fond de redéfinition des besoins réels. Si l’on part du besoin métier, on réalise souvent que l’on paie pour des services inutilisés. Une première action politique pourrait consister à casser les logiques de packs intégrés, en dissociant le système d’exploitation de la couche applicative, comme cela a été fait dans les télécoms en séparant réseau et services.

L’open source n’est pas non plus une solution par défaut. Parce qu’il est ouvert, chacun peut y contribuer, pour le meilleur comme pour le pire. C’est une piste, mais il faut raisonner en termes de robustesse et de résilience. Et le politique doit éviter d’annoncer des objectifs sans s’assurer que l’industrie soit en capacité de suivre.

4/ Pourquoi insister sur la dimension humaine et collective ?

Le risque est devenu systémique ; la réponse doit l’être aussi. En cybersécurité, les campagnes de sensibilisation fonctionnent mal et s’inscrivent rarement dans la durée. L’enjeu est de faire de l’humain un acteur, et non un simple spectateur. La sécurité ne peut pas reposer uniquement sur le DSI.

La Revue nationale stratégique 2025 l’exprime clairement dans son objectif stratégique n°2 : « une France unie et résiliente », qui appelle à un réarmement moral de la nation face aux crises. Pandémies, cyberattaques, violences internes, actions hybrides : la France doit être capable d’absorber les chocs, ce qui suppose une mobilisation collective.

Lorsqu’un dirigeant s’interroge sur la résilience, il devrait poser une question simple à son management : que faites-vous pour donner envie aux équipes de nous protéger ? Cette question est pourtant rarement posée. Les deux profils que je cherche en priorité à sensibiliser sont les managers et les RH, qui considèrent encore trop souvent que ce n’est pas leur sujet.

5/ Quel rôle joue l’éducation, et l’ESILV en particulier ?

Nous formons des ingénieurs responsables, capables de prendre du recul, à l’image d’un citoyen éclairé, pour orienter les choix technologiques de leur entreprise. C’est pourquoi nous ouvrons un parcours dédié à la souveraineté numérique et à la défense, en lien avec l’intelligence économique, la théorie du renseignement et la géopolitique… des disciplines encore peu présentes dans les écoles d’ingénieurs il y a quelques années.

Ce parcours « Souveraineté Numérique et Défense » est un des 8 parcours transversaux proposés par l’ESILV aux étudiants de 4ème et 5ème année. Un étudiant très solide techniquement m’a récemment expliqué vouloir rejoindre ce cursus, estimant que ses compétences techniques ne suffisaient plus face aux enjeux de géopolitique, de guerre informationnelle et de guerre cognitive. La surprise a été le succès de ce parcours auprès des étudiants, alors que certains anticipaient une faible affluence.

Nous sommes entrés dans une ère systémique. Sans cette approche globale, mêlant technique, renseignement, géopolitique et facteurs humains, il devient très difficile de répondre aux menaces actuelles.