Jean-Jacques Urban-Galindo    septembre 2021

L’affaire du contrat des sous-marins australiens, rompu brutalement sous pression des USA, a animé l’actualité pendant quelques jours, le ton des propos indignés de notre ambassadeur et de notre Ministre des affaires étrangères s’est déjà quelque peu apaisé.

Les réactions de nos « alliés » dans la Communauté Européenne, fort discrètes, il faut dire qu’ils sont souvent du côté des USA quand ils doivent choisir des équipements, notamment dans le domaine militaire.

Une preuve, s’il en était besoin, que nous sommes plongés dans une guerre économique mondiale avec un affrontement de plus en plus vif entre la Chine et les USA qui se disputent le leadership mondial, la CEE étant clairement absente alors qu’elle est la première puissance économique mais avec des objectifs  trop dispersés.

Un  autre évènement me semble tout aussi important pour notre avenir, il est le fait de notre propre gouvernement, c’est la définition récente du « Cloud de confiance » pouvant s’appuyer sur les technologies dominantes des GAFAMs, assorti d’une orientation stratégique pour les systèmes d’information des administrations centrales « Cloud au centre » afin d’en améliorer l’efficacité. Ces 2 décisions reviennent à mon avis à favoriser encore des solutions non françaises (ou européennes)  qui rendent plus difficile encore la recherche d’une souveraineté minimale dans ces technologies dont on a pu mesurer, pendant la crise de la Covid, l’importance vitale qu’elles ont dans tous les secteurs.

Les risques liés au CLOUD Act (et autres législations US avec leurs abus d’extraterritorialité, peu contextés) sont balayés avec un « montage » pour le moins fragile à mon avis. Je ne suis pas juriste et ne peux argumenter sur ce plan mais je me demande comment nous pourrions réagir si, les éditeurs US, soumis à la commission contrôlant les exportations, étaient sommés par le Président des USA de ne plus nous fournir ces logiciels ou de nous en interdire l’utilisation. Comme le GPS je suppose qu’ils sont équipés (ou le seront dans le futur) d’un dispositif dans la backdoor permettant d’en interdire l’usage.

Même Guillaume Poupard, Directeur de l’ANSSI, en a formulé l’hypothèse dans un entretien à l’occasion du FIC, il juge le risque faible :

https://www.contexte.com/article/numerique/pour-lanssi-une-loi-cyber-peut-etre-bien-accueillie-apres-la-presidentielle_138676.html?

« L’offre Bleu ne répond pas aux tenants d’une souveraineté extrême. Le jour où le gouvernement américain interdit à Microsoft de vendre sa technologie en France, l’offre s’effondre. L’hypothèse fait partie de l’analyse de risques et le gouvernement américain l’a déjà fait avec Huawei. Mais nous y croyons peu. »

La première application d’importance « vitale » va être, je le crains beaucoup, le prolongement, pour longtemps, en fait toujours, du choix de la solution Azure de MSFT pour héberger et « motoriser » l’analyse de données du HDH.

Voir mon article Le sujet critique de nos données de santé en cette fin 2020 :
https://forumatena.org/le-sujet-critique-des-donnees-personnelles-de-sante/

Je ne partage pas cette appréciation, j’ai tendance à croire que notre dépendance aux outils numériques US est potentiellement un levier pour nous contraindre à nous aligner sur les positions américaines partout dans le monde, en premier vis-à-vis de la Chine, non en alliés et partenaires majeurs mais en simples vassaux.

C’est pourquoi j’appelle à un sursaut pour une stratégie numérique à moyen, long termes qui ne nous enferme pas, pour des raisons de court-terme, dans un abandon de l’économie autour de ces technologies (avec la valeur et les emplois …) un pas vers un asservissement plus profond encore.

Ce qui me désole c’est le nombre de rapports qui ont déjà alerté, il y a plusieurs années sur ce qui se dessinait et n’ont pas été suivis d’actions, maintenant c’est plus difficile et le sera de plus en plus quand « ils seront partout »    

Avons-nous nous pris au sérieux cette question depuis, notamment, la publication il y a juste 30 ans de « La guerre économique mondiale » de Bernard Esambert (sept 1991) ?

Je ne compte plus le nombre de rapports fort bien documentés qui posent et reposent les « bonnes questions ». Comme ceux de la Cour des Comptes ils semblent être surtout destinés à remplir les armoires d’archives !

Alors que la France va présider l’Europe pour 6 mois à partir du 1er Janvier 2022 et que nous allons entrer en campagne électorale pour élire, pour 5 ans, notre Président et nos Députés, je rêve que les cercles de réflexion qui se préoccupent vraiment de notre souveraineté numérique (qui en conditionne tant d’autres) puissent s’accorder sur 10 questions « vitales » compréhensibles par tous les citoyens afin de nourrir les débats et propositions concrètes, enfin :

Passer de l’incantation à l’action !

En annexe pour approfondir : le rapport de Bernard Carayon N° 1664 du …  09 juin 2004 ! dont voici un extrait

Stratégie de sécurité économique nationale
https://www.assemblee-nationale.fr/12/rap-info/i1664.asp

C.- RENFORCER LA SÉCURITÉ DES SYSTÈMES D’INFORMATION

La montée en puissance du traitement électronique de l’information, à un rythme sans précédent, a rendu nécessaire la sécurisation des infrastructures informatiques, pour assurer la protection de notre économie.

Nos sociétés doivent faire face à la menace des pirates informatiques et des services de renseignement d’États étrangers, chargés de pénétrer dans les systèmes d’information et de communication des autres pays dans un contexte de concurrence économique exacerbée.

Les États-Unis disposent d’une stratégie de contrôle du secteur de la sécurité de l’information. Grâce au soutien financier de l’État fédéral, cette stratégie permet aux entreprises américaines d’être en position dominante.

Face à cette hégémonie, les marchés européens semblent bien trop étroits pour permettre l’épanouissement d’industries nationales atteignant la taille critique.

Malgré sa tradition cryptographique la France risque de voir ses capacités autonomes s’appauvrir et disparaître progressivement si une véritable politique industrielle n’est pas lancée. S’appuyant sur la commande publique – puis, dans un deuxième temps, privée – des programmes de sécurisation des systèmes d’information doivent être amorcés.

L’État doit stimuler l’offre de solutions de confiance dont une partie importante sera achetée par les acteurs privés qui souhaitent se protéger. Ainsi, cette politique permettra-t-elle à l’État de se protéger et à l’économie française de disposer de technologies de l’information, de la communication et de la sécurité de haut niveau.

1.- Renforcer la sécurité des systèmes de l’État

La sécurité des systèmes d’information est l’art de combiner un ensemble de mesures préventives et curatives sur les plans technique et organisationnel pour faire face aux menaces que l’on aura au préalable identifiées et hiérarchisées. Elle repose sur trois techniques : la cryptographie, les procédés visant à lutter contre la compromission des données et la sécurité informatique, aujourd’hui étroitement imbriqués.

A partir de la demande du directeur du cabinet du Premier ministre – par une lettre du 4 avril 2003 précitée – une politique de sécurité des systèmes d’information globale doit être programmée par l’État.

En outre, l’identification des domaines présentant des vulnérabilités inadmissibles doit être réalisée dans tous les ministères. Des structures de protection doivent être mises en place. Il faut aussi poursuivre le développement des moyens interministériels de surveillance, d’alerte et de réponse. Les ministères doivent aussi compter dans leurs rangs des spécialistes de la sécurisation des systèmes d’information et de communication : il faut donc les former et les fidéliser.

En la matière, une prise de conscience de tous les ministères des enjeux cruciaux de la sécurité des systèmes d’information est primordiale. Des exercices de grande ampleur, dans le cadre du plan « Piranet » (plan de lutte contre les attaques informatique) par exemple, pourraient sensibiliser les responsables ministériels.

Votre Rapporteur rappelle qu’il proposait, dans son rapport (13) au Premier ministre sur l’intelligence économique, la création d’une mission interministérielle d’expertise technique et industrielle des systèmes d’information des administrations publiques.

2.- Mettre en œuvre une stratégie industrielle

Il apparaît indispensable de valoriser le tissu d’entreprises qui maîtrisent ces technologies et qui disposent de la compétence nécessaire à la protection des réseaux.

Il faut définir une stratégie de soutien à une offre industrielle de confiance française ou européenne pour préserver l’indépendance à l’égard des sociétés étrangères.

La capacité d’améliorer en toute autonomie la sécurité des réseaux d’information d’une nation est liée à sa maîtrise des technologies, des produits et des savoir-faire nécessaires. Or, leur nombre est aujourd’hui très élevé. Il faut donc procéder à une étude minutieuse de leur intérêt pour l’État (architecture des serveurs et des postes de travail, logiciels de sécurité, ingénierie des systèmes, administration et exploitation, etc.)

Pour préserver l’autonomie de notre pays, il est souhaitable de voir se développer l’usage des logiciels libres de droits, à l’instar de nombreux pays (Allemagne, Brésil, Inde, Chine, Japon, Afrique du Sud, etc.), dont la sécurité est plus facilement vérifiable, puisque les codes sources sont connus.

Au sein des entreprises, les employés doivent être sensibilisés aux enjeux de la sécurité des systèmes d’information. Il faut donc que le cryptage des transmissions sensibles, la mise à jour des logiciels anti-virus, la protection des messages électroniques, la sécurisation des accès aux réseaux des entreprises deviennent autant de préoccupations partagées par l’ensemble des collaborateurs. Trop souvent, les salariés mettent involontairement les informations stratégiques de leur société en danger (vols d’ordinateurs portables, mots de passe trop simples). La sensibilisation de tous les acteurs économiques doit encore être approfondie.

3.- Renforcer la coopération européenne

La sécurité des systèmes d’information et de communication est un champ de coopération prometteur pour les pays membres de l’Union.

Les institutions communautaires ont constaté que les actions des États membres se sont avérées disparates et insuffisamment coordonnées pour pouvoir apporter une réponse efficace aux problèmes de sécurité. Ces questions de sécurité ne pouvant pas être considérées comme ne concernant qu’un seul pays, les instances européennes ont décidé de se doter d’une agence spécifiquement chargée de ce dossier.

Suite à un accord interinstitutionnel du 20 novembre 2003 entre le Conseil et le Parlement européen, le règlement européen n°460/2004 du 10 mars 2004 a créé l’Agence européenne pour la sécurité des réseaux et de l’information (European Network and Information Security Agency, ENISA).

Sa mission consiste à « soutenir le marché intérieur en facilitant et en favorisant un renforcement de la coopération et de l’échange d’informations sur les questions de sécurité des réseaux et de l’information ». En pratique, elle doit conseiller les États membres et la Commission, promouvoir la coordination des activités de sécurité des systèmes d’information au sein de l’Union et sensibiliser les citoyens, les entreprises et les administrations sur cet enjeu.

Les différents efforts menés à l’échelle européenne pour sécuriser les systèmes d’information doivent être évidemment encouragés. En outre, la démarche communautaire associe les entreprises puisqu’elle repose « sur une étroite collaboration avec les milieux d’affaires », selon les termes même du communiqué de presse de la Commission…