Renforcer la cybersécurité, une nécessité vitale pour la nation
Titre : Anne Le Hénanff : renforcer la cybersécurité, c'est une nécessité vitale pour la nation
Intervenant·e·s : Anne Le Hénanff - Maître Alexandra Iteanu - Julien Pillot - Jean-Noël de Galzain - Delphine Sabattier
Lieu : Podcast Politiques Numériques, alias POL/N
Date : 2 février 2024
Durée : 47 min
Licence de la transcription : Verbatim
Illustration : À prévoir
NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
Transcription
Delphine Sabattier : Bonjour à tous. Vous écoutez Politiques numériques, alias POL/N, l'émission qui pose des questions parfois corsées aux décideurs publics, comme celle-ci, pas facile : que comptez-vous faire pour améliorer la sécurité de nos données dans l'espace numérique, Madame la Députée du groupe Horizons, élue de la première circonscription du Morbihan, Anne Le Hénanff. Bienvenue.
Anne Le Hénanff : Merci. Bonjour.
Delphine Sabattier : Merci d'avoir accepté d'affronter une telle question
Au studio avec nous, quand même, pour traiter ce sujet des experts, le consultant enseignant-chercheur en économie à l'INSEC, Julien Pillot, expert ès Big Tech et business modèle dans le numérique. Bonjour Julien.
Julien Pillot : Bonjour.
Delphine Sabattier : Maître Alexandra Iteanu, avocate spécialisée en droit du numérique, également en cybersécurité et data. Bienvenue également. Et nous rejoindra normalement Jean-Noël de Galzain, un des grands représentants, finalement, un des acteurs français de la cybersécurité, s'il arrive à temps.
Anne Le Hénanff. au sein de l'Assemblée nationale vous siégez dans la commission de la Défense et des forces armées, vous êtes corapporteur, notamment, de cette mission d'information flash sur les défis de la cyberdéfense. Je me disais qu’en ce moment, avec la guerre en Ukraine, ce conflit Israël-Hamas, on ne manque pas de défis en matière de cyberdéfense.
Anne Le Hénanff : Oui, heureusement la France ne vient pas de découvrir qu’il est grand temps de s'y intéresser. On y travaille depuis longtemps, il y a eu des lois. J’ai eu affaire, en tant qu'élue locale, à des ministres qui ont vraiment fait de grandes avancées sur le sujet du numérique ; sur la protection des données, on a franchi un pas majeur, je pense notamment aux territoires, aux collectivités locales, au regard des données, de la protection des données, c'est le RGPD, je le cite souvent comme exemple vertueux de ce que peut faire bien l’Europe. Et puis là, effectivement, il y a les conflits armés qui ont lieu sur la planète. Il y a d'autres choses, plus latentes, il y a des parties du monde qui mettent en œuvre des moyens, notamment d'influence, de désinformation vis-à-vis de la France. Il y a effectivement les conflits, les cyberattaques contre les pays comme l’Ukraine ou le conflit entre Israël et le Hamas, mais il y a aussi d'autres formes de menaces de plus en plus nombreuses. Le rapport sur le défi de la cyberdéfense c'était un moment qui nous paraissait opportun pour dire « comment fait-on maintenant ? »
Delphine Sabattier : Jean-Noël de Galzain nous a rejoints. Merci. Benvenue Jean-Noël. Je vous présentais comme un des grands représentants des acteurs français de la cybersécurité, on va être un peu plus précis, fondateur PDG du groupe Wallis, vous êtes président d’Hexatrust et aussi vice-président de la filière « industries de sécurité », on va parler de tout cela ensemble. Notre sujet c'est la sécurité des données, mais on a commencé par une petite introduction sur ces défis de cyberdéfense, finalement pour la France en ce moment, qui ne peut pas être tout à fait hermétique à l'ensemble des conflits dans le monde. Jean-Noël, est-ce que ce contexte géopolitique, en ce moment, vous inquiète ?
Jean-Noël de Galzain : Le contexte géopolitique m'inquiète en ce sens qu’il n’est pas bon pour les personnes au quotidien et il n'est pas bon pour les affaires. C’est essentiellement pour cela que ça m'inquiète. Après, on collectionne les crises les unes après les autres depuis quelques années. Je vous dirais que j'appartiens à une catégorie de gens qui vit avec, qui se développe et qui essaye de trouver une voie dans un monde qui est de plus en plus compliqué à vivre, où nous avons une influence. En fait, notre rôle va être de faire en sorte qu’on puisse continuer à communiquer, à vivre. On a vécu à travers le confinement les périodes où tout s'arrêtait, il fallait maintenir un lien et le numérique était le lien.
Delphine Sabattier : Jean-Noël, quand vous dites que ce n'est pas bon pour les affaires, en même temps dans la cybersécurité, plus on a de défis à relever mieux c'est quand même. Non ?
Jean-Noël de Galzain : On va dire que la cybersécurité n'est pas le segment de marché le plus affecté, je ne vais pas vous dire le contraire.
Delphine Sabattier : On est d'accord.
Jean-Noël de Galzain : C’est un moment dans lequel, comme on doit maintenir ce lien, cette capacité à communiquer à faire des échanges, eh bien il faut maintenir le numérique en état de fonctionnement résilient et, ensuite, il faut garder un œil sur l'avenir et l'avenir, en matière de numérique, ce sont les données. Notre rôle, c'est donc de continuer à développer les moyens à travers nos offres, à travers nos technologies, à travers les partenariats avec différents opérateurs, acteurs de l'économie, de la vie réelle, d'impliquer, de mettre davantage de systèmes numériques de telle manière à ce que le système tienne bon.
Delphine Sabattier : Justement : est-ce qu'il faut davantage de systèmes numériques ? Est-ce qu'il faut mettre nos données dans le cloud quand on est dans des périodes comme ça d'incertitude, de difficultés de protection des données ? Est-ce que le cloud c'est plus, c'est moins sécurisé ? Julien Pillot, peut-être.
Julien Pillot : Je ne sais pas si je suis le mieux placé pour répondre à la question !
Delphine Sabattier : Il y a quand même cette volonté de l’Europe d'accélérer sur le cloud. On nous dit « on ne met pas assez nos données dans les nuages, aujourd'hui il faut qu'on aille plus vite là-dessus. » C'est un défi business, mais, en matière de sécurité, est-ce que c'est une bonne voie ?
Julien Pillot : C'est un vrai arbitrage.
Il faut déjà regarder dans quelle mesure le cloud est contrôlé par des intérêts qui sont amis, amicaux et surtout contrôlables.
Et puis, il y a la question de la résilience. Le cloud a le défaut de ses qualités, c'est-à-dire qu’il est il est centralisé et, étant centralisé, ça permet effectivement de concentrer des moyens pour pouvoir le sécuriser, mais ça le rend aussi vulnérable à des attaques qui sont, en fait, très facilement localisées. Je ne suis pas contre ou pro-cloud. Je dis que si on vise la résilience, la décentralisation plus forte, plus massive que celle qui est pensée actuellement sur des clouds régionalisés qui dupliquent, voire triplent les données, me paraît peut-être un arbitrage intéressant sur le plan géostratégique.
Delphine Sabattier : Et d'un point de vue juridique, qu'est-ce que ça donne de mettre ses données dans le cloud ? Ça complexifie leur protection.
Maître Alexandra Iteanu : Je pense qu'on assiste un peu à un double courant. D'un côté il y a l’État qui, avec ses propres services, incite à mettre ses données dans le cloud, on pense notamment à la politique « cloud au centre ». Et, d'un autre côté, on a un autre mouvement qui apparaît, qui est de plus en plus important, qui veut défendre une certaine souveraineté et aujourd'hui on sait que la plupart des acteurs cloud sont américains, étrangers, en tout cas très rarement européens, et ça pose des questions en termes de législation, de lois. On sait qu'aux États-Unis il y a notamment une législation qui est très décriée en ce moment, qui s'appelle la loi FISA, Foreign Intelligence Surveillance Act, on parle aussi du CLOUD Act. Ce sont des lois américaines qui permettent aux autorités américaines une certaine ingérence dans nos données, dans les données des citoyens européens. Toute la question est donc « oui il faut accéder à un cloud et c'est important aujourd'hui d'avoir recours au cloud, mais il faut trouver un moyen de sécuriser les données des citoyens européens et mettre en place des mesures législatives mais aussi des mesures techniques et organisationnelles. C'est ce qu'on va voir. En tout cas, aujourd'hui, la loi n'est pas suffisante.
Delphine Sabattier : Anne Le Hénanff, sur cette politique du « Cloud au centre » de l'État, est-ce qu’il vous semble qu'on y va suffisamment prudemment ?
Anne Le Hénanff : Il y a eu la loi SREN, dite SREN, sécuriser et réguler l'espace numérique. J’étais rapporteur du titre 3 qui parlait du cloud et je peux vous dire que ça a donné lieu à des discussions en amont que ce soit avec les industriels, avec des administrations. C'était mon titre, donc autant vous dire que l'article 10 bis A a été voté et je l'ai porté fortement
Delphine Sabattier : On attend quand même toujours le retour de la navette par Bruxelles.
Anne Le Hénanff : C'est fait, nous avons reçu l'avis circonstancié de Bruxelles.
Delphine Sabattier : Qu'est-ce que ça donne sur ce point ?
Anne Le Hénanff : Sur mon titre, il y a RAS, pas de modification, parce j'ai choisi, avec Jean-Noël Barrot de vraiment coller au Data Act. Il faut bien qu'on comprenne que l'avenir numérique, pas dans tous les secteurs, bien sûr, mais le cloud, la protection, la cybersécurité se jouent au niveau européen. On a des vrais champions en France. En tant que politiques, notre objectif c'est, finalement, d'accompagner la filière. Et quand j'ai fait passer le 10 bis A, qui était donc d'appliquer dans la loi une circulaire qui était celle de la Première ministre, qui s'appelle « Cloud au centre », c'est pour moi un premier pas vers la souveraineté numérique des administrations publiques et les GAFAM n'ont rien eu à redire là-dessus. L’avis des GAFAM, qu'ils ont d'ailleurs adressé à Bruxelles sur la partie du cloud, dit, en gros, « on peut comprendre que les Français veuillent sauvegarder leurs données publiques, c'est-à-dire que les données collectées par les ministères, les collectivités locales et les hôpitaux soient sauvegardées dans un cloud souverain en France, voire en Europe. »
Delphine Sabattier : Mais qu'est-ce qu'on appelle un cloud souverain ? Quelles sont les conditions pour qu'il soit vraiment souverain ? Il y a débat là-dessus.
Anne Le Hénanff : Pour moi, il y a deux choses, ça choque parfois et je pense que Jean-Noël réagira.
En tant que politique et souhaitant que nous allions le plus vite possible, effectivement, vers le développement d'une filière française de cloud français, qui collecte, qui récupère et qui peut protéger les données de toutes les collectivités, les administrations mais pas que, les entreprises, on y va, on souhaite y aller, je veux te rassurer Jean-Noël, mais il faut y aller pas à pas, il faut être pragmatique.
À ce stade, la priorité pour nous, et l’ANSSI nous aide beaucoup, c'est qu'il soit avant tout sécurisé. En tant que politique, je veux d’abord que ce cloud, où sont accueillis les données des organisations et des acteurs français, soit sécurisé. Parfois on dit que ce n’est pas facile quand on veut une labellisation, une qualification SecNumCloud de l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information, c'est tellement top niveau qu’une TPE, une PME n'a pas les moyens humains, financiers, ni le temps pour remplir ces fameux 700 items et je ne sais combien de dizaines et de dizaines de pages. Mais il faut qu'on y tende.
Pour moi la loi SREN, c'est une première étape sur le cloud, l'article 10 bis A, 10 bis B aussi.
Delphine Sabattier : Mais est-ce qu'elle apporte des contraintes ? Par exemple, quand on dit « il faut que ce soit sécurisé », sécurisé jusqu'à être complètement étanche aux lois américaines comme le FISA ? Pour l'instant, on n'y est pas et tout le monde n'est pas d'accord là-dessus. Par exemple sur les données de santé, ça reste aujourd'hui un point qui n'a pas été traité.
Anne Le Hénanff : Quand on parle des données de santé, je veux juste quand même préciser que le ministère de la Santé a fait un travail énorme sur la protection des données, il y a des choses qui sont faites, une agence a même été créée spécialement sur la protection des données de santé. Il ne faut surtout pas laisser faire croire aux auditeurs ou aux Français qu’on traite leurs données de santé comme n'importe quelle donnée. La donnée de santé est considérée comme une donnée stratégique, sensible, en France. Elle est sauvegardée dans des datacenters sécurisés. Ils n’ont pas la labellisation SecNumCloud, me semble-t-il, ils sont HDS, qui est quand même un très haut niveau. Mais notre objectif, mon objectif avec mes collègues sur les sujets du numérique, c'est évidemment qu'avec les données des ministères, les données publiques parce que ce sont les données des Français, c'est, en priorité, leurs données de santé, bien entendu, il faut les protéger plus que n'importe quoi.
Par exemple, pour faire la migration d'un cloud extraterritorial, je n’en citerai aucun, vers un cloud sécurisé, souverain, c'est un an et demi, parfois deux ans.
Delphine Sabattier : Donc, il faut aussi laisser le temps à la filière de se renforcer, c'est cela que vous nous dites ? Jean-Noël.
Jean-Noël de Galzain : On a défini le cloud souverain comme étant un cloud à l'abri des lois extraterritoriales. C'est comme cela que ça a été défini, c’est simple.
Aujourd'hu,i on a beaucoup reproché à la filière française de ne pas être prête sur le cloud, de ne pas avoir le bon niveau technologique et surtout le bon niveau de service, ce qui est en train d'être résorbé par un certain nombre d'acteurs, que ce soit des gens comme OVHcloud qui est certainement le leader européen, qui est français, il faut le dire, c'est même une entreprise familiale et cotée en bourse sur Euronext. On a des gens comme à Outscale, Docapost, Numspot maintenant, tout un tissu de PME qui sont en train de devenir des ETI et des champions dans le domaine du cloud. Effectivement, comme disait Anne, il faudra quand même un peu de temps, mais il y a le niveau, aujourd’hui, pour offrir des infrastructures cloud efficaces et sécurisées pour la plupart des projets qui en ont besoin.
Après, il faut qu'il y ait une volonté d'y aller.
On parlait, par exemple, des données de santé. iI n'y a pas d'illégalité, aujourd'hui, puisque Microsoft est HDS, à mettre les données chez Microsoft. Maintenant soyons clairs, les États-Unis ne mettraient pas les données des Américains dans un cloud français. On peut donc s'interroger sur la raison pour laquelle, en France, on n'y voit pas d’inconvénient. C'est une erreur qui a été commise, je pense, d'appréciation, non pas qu'on soit contre Microsoft mais ça n'est pas ce qu'on attend de la souveraineté des données. Il faut donc réparer cette erreur. Aujourd'hui on a une vision du cloud souverain, justement, qui est assez forte comparée à celle de la plupart de nos voisins européens.
Delphine Sabattier : C'est quand même très franco-français et ça pose un problème. En Europe, nous ne sommes pas tous alignés.
Jean-Noël de Galzain : Ce n'est pas franco-français. La France a une vision de l’Europe qui est finalement assez souveraine sur ces questions de numériques et qui est assez intéressante. Pareil sur l'armement, sur l'agriculture, sur un certain nombre de sujets, donc il ne faut pas le critiquer, on en a besoin parce qu'on est en retard. On en a besoin, il faut le construire, il faut l'appuyer. Mais on ne peut pas héberger les données de santé des Français dans un cloud Microsoft et dire qu'on est pour un cloud souverain à l'abri des GAFAM. Là il y a une contradiction. Il va donc falloir résoudre cette contradiction d'une manière ou d'une autre. Ça n'est pas le pouvoir des industriels, c'est le pouvoir des politiques.
Delphine Sabattier : Maître Iteanu.
14’ 39
Maître Alexandra Iteanu : Plusieurs choses
