Renforcer la cybersécurité, une nécessité vitale pour la nation
Titre : Anne Le Hénanff : renforcer la cybersécurité, c'est une nécessité vitale pour la nation
Intervenant·e·s : Anne Le Hénanff - Maître Alexandra Iteanu - Julien Pillot - Jean-Noël de Galzain - Delphine Sabattier
Lieu : Podcast Politiques Numériques, alias POL/N
Date : 2 février 2024
Durée : 47 min
Licence de la transcription : Verbatim
Illustration : À prévoir
NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
Transcription
Delphine Sabattier : Bonjour à tous. Vous écoutez Politiques numériques, alias POL/N, l'émission qui pose des questions parfois corsées aux décideurs publics, comme celle-ci, pas facile : que comptez-vous faire pour améliorer la sécurité de nos données dans l'espace numérique, Madame la Députée du groupe Horizons, élue de la première circonscription du Morbihan, Anne Le Hénanff. Bienvenue.
Anne Le Hénanff : Merci. Bonjour.
Delphine Sabattier : Merci d'avoir accepté d'affronter une telle question
Au studio avec nous, quand même, pour traiter ce sujet des experts, le consultant enseignant-chercheur en économie à l'INSEC, Julien Pillot, expert ès Big Tech et business modèle dans le numérique. Bonjour Julien.
Julien Pillot : Bonjour.
Delphine Sabattier : Maître Alexandra Iteanu, avocate spécialisée en droit du numérique, également en cybersécurité et data. Bienvenue également. Et nous rejoindra normalement Jean-Noël de Galzain, un des grands représentants, finalement, un des acteurs français de la cybersécurité, s'il arrive à temps.
Anne Le Hénanff. au sein de l'Assemblée nationale vous siégez dans la commission de la Défense et des forces armées, vous êtes corapporteur, notamment, de cette mission d'information flash sur les défis de la cyberdéfense. Je me disais qu’en ce moment, avec la guerre en Ukraine, ce conflit Israël-Hamas, on ne manque pas de défis en matière de cyberdéfense.
Anne Le Hénanff : Oui, heureusement la France ne vient pas de découvrir qu’il est grand temps de s'y intéresser. On y travaille depuis longtemps, il y a eu des lois. J’ai eu affaire, en tant qu'élue locale, à des ministres qui ont vraiment fait de grandes avancées sur le sujet du numérique ; sur la protection des données, on a franchi un pas majeur, je pense notamment aux territoires, aux collectivités locales, au regard des données, de la protection des données, c'est le RGPD, je le cite souvent comme exemple vertueux de ce que peut faire bien l’Europe. Et puis là, effectivement, il y a les conflits armés qui ont lieu sur la planète. Il y a d'autres choses, plus latentes, il y a des parties du monde qui mettent en œuvre des moyens, notamment d'influence, de désinformation vis-à-vis de la France. Il y a effectivement les conflits, les cyberattaques contre les pays comme l’Ukraine ou le conflit entre Israël et le Hamas, mais il y a aussi d'autres formes de menaces de plus en plus nombreuses. Le rapport sur le défi de la cyberdéfense c'était un moment qui nous paraissait opportun pour dire « comment fait-on maintenant ? »
Delphine Sabattier : Jean-Noël de Galzain nous a rejoints. Merci. Benvenue Jean-Noël. Je vous présentais comme un des grands représentants des acteurs français de la cybersécurité, on va être un peu plus précis, fondateur PDG du groupe Wallis, vous êtes président d’Hexatrust et aussi vice-président de la filière « industries de sécurité », on va parler de tout cela ensemble. Notre sujet c'est la sécurité des données, mais on a commencé par une petite introduction sur ces défis de cyberdéfense, finalement pour la France en ce moment, qui ne peut pas être tout à fait hermétique à l'ensemble des conflits dans le monde. Jean-Noël, est-ce que ce contexte géopolitique, en ce moment, vous inquiète ?
Jean-Noël de Galzain : Le contexte géopolitique m'inquiète en ce sens qu’il n’est pas bon pour les personnes au quotidien et il n'est pas bon pour les affaires. C’est essentiellement pour cela que ça m'inquiète. Après, on collectionne les crises les unes après les autres depuis quelques années. Je vous dirais que j'appartiens à une catégorie de gens qui vit avec, qui se développe et qui essaye de trouver une voie dans un monde qui est de plus en plus compliqué à vivre, où nous avons une influence. En fait, notre rôle va être de faire en sorte qu’on puisse continuer à communiquer, à vivre. On a vécu à travers le confinement les périodes où tout s'arrêtait, il fallait maintenir un lien et le numérique était le lien.
Delphine Sabattier : Jean-Noël, quand vous dites que ce n'est pas bon pour les affaires, en même temps dans la cybersécurité, plus on a de défis à relever mieux c'est quand même. Non ?
Jean-Noël de Galzain : On va dire que la cybersécurité n'est pas le segment de marché le plus affecté, je ne vais pas vous dire le contraire.
Delphine Sabattier : On est d'accord.
Jean-Noël de Galzain : C’est un moment dans lequel, comme on doit maintenir ce lien, cette capacité à communiquer à faire des échanges, eh bien il faut maintenir le numérique en état de fonctionnement résilient et, ensuite, il faut garder un œil sur l'avenir et l'avenir, en matière de numérique, ce sont les données. Notre rôle, c'est donc de continuer à développer les moyens à travers nos offres, à travers nos technologies, à travers les partenariats avec différents opérateurs, acteurs de l'économie, de la vie réelle, d'impliquer, de mettre davantage de systèmes numériques de telle manière à ce que le système tienne bon.
Delphine Sabattier : Justement : est-ce qu'il faut davantage de systèmes numériques ? Est-ce qu'il faut mettre nos données dans le cloud quand on est dans des périodes comme ça d'incertitude, de difficultés de protection des données ? Est-ce que le cloud c'est plus, c'est moins sécurisé ? Julien Pillot, peut-être.
Julien Pillot : Je ne sais pas si je suis le mieux placé pour répondre à la question !
Delphine Sabattier : Il y a quand même cette volonté de l’Europe d'accélérer sur le cloud. On nous dit « on ne met pas assez nos données dans les nuages, aujourd'hui il faut qu'on aille plus vite là-dessus. » C'est un défi business, mais, en matière de sécurité, est-ce que c'est une bonne voie ?
Julien Pillot : C'est un vrai arbitrage.
Il faut déjà regarder dans quelle mesure le cloud est contrôlé par des intérêts qui sont amis, amicaux et surtout contrôlables.
Et puis, il y a la question de la résilience. Le cloud a le défaut de ses qualités, c'est-à-dire qu’il est il est centralisé et, étant centralisé, ça permet effectivement de concentrer des moyens pour pouvoir le sécuriser, mais ça le rend aussi vulnérable à des attaques qui sont, en fait, très facilement localisées. Je ne suis pas contre ou pro-cloud. Je dis que si on vise la résilience, la décentralisation plus forte, plus massive que celle qui est pensée actuellement sur des clouds régionalisés qui dupliquent, voire triplent les données, me paraît peut-être un arbitrage intéressant sur le plan géostratégique.
Delphine Sabattier : Et d'un point de vue juridique, qu'est-ce que ça donne de mettre ses données dans le cloud ? Ça complexifie leur protection.
Maître Alexandra Iteanu : Je pense qu'on assiste un peu à un double courant. D'un côté il y a l’État qui, avec ses propres services, incite à mettre ses données dans le cloud, on pense notamment à la politique « cloud au centre ». Et, d'un autre côté, on a un autre mouvement qui apparaît, qui est de plus en plus important, qui veut défendre une certaine souveraineté et aujourd'hui on sait que la plupart des acteurs cloud sont américains, étrangers, en tout cas très rarement européens, et ça pose des questions en termes de législation, de lois. On sait qu'aux États-Unis il y a notamment une législation qui est très décriée en ce moment, qui s'appelle la loi FISA, Foreign Intelligence Surveillance Act, on parle aussi du CLOUD Act. Ce sont des lois américaines qui permettent aux autorités américaines une certaine ingérence dans nos données, dans les données des citoyens européens. Toute la question est donc « oui il faut accéder à un cloud et c'est important aujourd'hui d'avoir recours au cloud, mais il faut trouver un moyen de sécuriser les données des citoyens européens et mettre en place des mesures législatives mais aussi des mesures techniques et organisationnelles. C'est ce qu'on va voir. En tout cas, aujourd'hui, la loi n'est pas suffisante.
Delphine Sabattier : Anne Le Hénanff, sur cette politique du « Cloud au centre » de l'État, est-ce qu’il vous semble qu'on y va suffisamment prudemment ?
Anne Le Hénanff : Il y a eu la loi SREN, dite SREN, sécuriser et réguler l'espace numérique. J’étais rapporteur du titre 3 qui parlait du cloud et je peux vous dire que ça a donné lieu à des discussions en amont que ce soit avec les industriels, avec des administrations. C'était mon titre, donc autant vous dire que l'article 10 bis A a été voté et je l'ai porté fortement
Delphine Sabattier : On attend quand même toujours le retour de la navette par Bruxelles.
Anne Le Hénanff : C'est fait, nous avons reçu l'avis circonstancié de Bruxelles.
Delphine Sabattier : Qu'est-ce que ça donne sur ce point ?
Anne Le Hénanff : Sur mon titre, il y a RAS, pas de modification, parce j'ai choisi, avec Jean-Noël Barrot de vraiment coller au Data Act. Il faut bien qu'on comprenne que l'avenir numérique, pas dans tous les secteurs, bien sûr, mais le cloud, la protection, la cybersécurité se jouent au niveau européen. On a des vrais champions en France. En tant que politiques, notre objectif c'est, finalement, d'accompagner la filière. Et quand j'ai fait passer le 10 bis A, qui était donc d'appliquer dans la loi une circulaire qui était celle de la Première ministre, qui s'appelle « Cloud au centre », c'est pour moi un premier pas vers la souveraineté numérique des administrations publiques et les GAFAM n'ont rien eu à redire là-dessus. L’avis des GAFAM, qu'ils ont d'ailleurs adressé à Bruxelles sur la partie du cloud, dit, en gros, « on peut comprendre que les Français veuillent sauvegarder leurs données publiques, c'est-à-dire que les données collectées par les ministères, les collectivités locales et les hôpitaux soient sauvegardées dans un cloud souverain en France, voire en Europe. »
Delphine Sabattier : Mais qu'est-ce qu'on appelle un cloud souverain ? Quelles sont les conditions pour qu'il soit vraiment souverain ? Il y a débat là-dessus.
Anne Le Hénanff : Pour moi, il y a deux choses, ça choque parfois et je pense que Jean-Noël réagira.
En tant que politique et souhaitant que nous allions le plus vite possible, effectivement, vers le développement d'une filière française de cloud français, qui collecte, qui récupère et qui peut protéger les données de toutes les collectivités, les administrations mais pas que, les entreprises, on y va, on souhaite y aller, je veux te rassurer Jean-Noël, mais il faut y aller pas à pas, il faut être pragmatique.
À ce stade, la priorité pour nous, et l’ANSSI nous aide beaucoup, c'est qu'il soit avant tout sécurisé. En tant que politique, je veux d’abord que ce cloud, où sont accueillis les données des organisations et des acteurs français, soit sécurisé. Parfois on dit que ce n’est pas facile quand on veut une labellisation, une qualification SecNumCloud de l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information, c'est tellement top niveau qu’une TPE, une PME n'a pas les moyens humains, financiers, ni le temps pour remplir ces fameux 700 items et je ne sais combien de dizaines et de dizaines de pages. Mais il faut qu'on y tende.
Pour moi la loi SREN, c'est une première étape sur le cloud, l'article 10 bis A, 10 bis B aussi.
Delphine Sabattier : Mais est-ce qu'elle apporte des contraintes ? Par exemple, quand on dit « il faut que ce soit sécurisé », sécurisé jusqu'à être complètement étanche aux lois américaines comme le FISA ? Pour l'instant, on n'y est pas et tout le monde n'est pas d'accord là-dessus. Par exemple sur les données de santé, ça reste aujourd'hui un point qui n'a pas été traité.
Anne Le Hénanff : Quand on parle des données de santé, je veux juste quand même préciser que le ministère de la Santé a fait un travail énorme sur la protection des données, il y a des choses qui sont faites, une agence a même été créée spécialement sur la protection des données de santé. Il ne faut surtout pas laisser faire croire aux auditeurs ou aux Français qu’on traite leurs données de santé comme n'importe quelle donnée. La donnée de santé est considérée comme une donnée stratégique, sensible, en France. Elle est sauvegardée dans des datacenters sécurisés. Ils n’ont pas la labellisation SecNumCloud, me semble-t-il, ils sont HDS, qui est quand même un très haut niveau. Mais notre objectif, mon objectif avec mes collègues sur les sujets du numérique, c'est évidemment qu'avec les données des ministères, les données publiques parce que ce sont les données des Français, c'est, en priorité, leurs données de santé, bien entendu, il faut les protéger plus que n'importe quoi.
Par exemple, pour faire la migration d'un cloud extraterritorial, je n’en citerai aucun, vers un cloud sécurisé, souverain, c'est un an et demi, parfois deux ans.
Delphine Sabattier : Donc, il faut aussi laisser le temps à la filière de se renforcer, c'est cela que vous nous dites ? Jean-Noël.
Jean-Noël de Galzain : On a défini le cloud souverain comme étant un cloud à l'abri des lois extraterritoriales. C'est comme cela que ça a été défini, c’est simple.
Aujourd'hu,i on a beaucoup reproché à la filière française de ne pas être prête sur le cloud, de ne pas avoir le bon niveau technologique et surtout le bon niveau de service, ce qui est en train d'être résorbé par un certain nombre d'acteurs, que ce soit des gens comme OVHcloud qui est certainement le leader européen, qui est français, il faut le dire, c'est même une entreprise familiale et cotée en bourse sur Euronext. On a des gens comme à Outscale, Docapost, Numspot maintenant, tout un tissu de PME qui sont en train de devenir des ETI et des champions dans le domaine du cloud. Effectivement, comme disait Anne, il faudra quand même un peu de temps, mais il y a le niveau, aujourd’hui, pour offrir des infrastructures cloud efficaces et sécurisées pour la plupart des projets qui en ont besoin.
Après, il faut qu'il y ait une volonté d'y aller.
On parlait, par exemple, des données de santé. iI n'y a pas d'illégalité, aujourd'hui, puisque Microsoft est HDS, à mettre les données chez Microsoft. Maintenant soyons clairs, les États-Unis ne mettraient pas les données des Américains dans un cloud français. On peut donc s'interroger sur la raison pour laquelle, en France, on n'y voit pas d’inconvénient. C'est une erreur qui a été commise, je pense, d'appréciation, non pas qu'on soit contre Microsoft mais ça n'est pas ce qu'on attend de la souveraineté des données. Il faut donc réparer cette erreur. Aujourd'hui on a une vision du cloud souverain, justement, qui est assez forte comparée à celle de la plupart de nos voisins européens.
Delphine Sabattier : C'est quand même très franco-français et ça pose un problème. En Europe, nous ne sommes pas tous alignés.
Jean-Noël de Galzain : Ce n'est pas franco-français. La France a une vision de l’Europe qui est finalement assez souveraine sur ces questions de numériques et qui est assez intéressante. Pareil sur l'armement, sur l'agriculture, sur un certain nombre de sujets, donc il ne faut pas le critiquer, on en a besoin parce qu'on est en retard. On en a besoin, il faut le construire, il faut l'appuyer. Mais on ne peut pas héberger les données de santé des Français dans un cloud Microsoft et dire qu'on est pour un cloud souverain à l'abri des GAFAM. Là il y a une contradiction. Il va donc falloir résoudre cette contradiction d'une manière ou d'une autre. Ça n'est pas le pouvoir des industriels, c'est le pouvoir des politiques.
Delphine Sabattier : Maître Iteanu.
14’ 39
Maître Alexandra Iteanu : Plusieurs choses. Déjà, pour parler des données de santé et de l'hébergement, une nouvelle certification HDS va entrer normalement en application en 2024 et, pour la première fois, la question de la souveraineté est traitée dans cette nouvelle certification, qui va justement demander aux hébergeurs HDS, donc des hébergeurs de données de santé, de prouver leur étanchéité face aux lois étrangères, extraterritoriales. C'est vrai qu'aujourd'hui ça peut paraître un peu fou que des hébergeurs étrangers puissent être, d'un côté, HDS – parce qu’il y avait, avant, ce qu'on appelait le Privacy Shield qui permettait de rendre les transferts légaux – et, d'un autre côté, ces hébergeurs-là, pendant très longtemps n'étaient plus considérés, en tout cas légalement, comme légitimes sur le territoire français parce qu'il n'y avait plus d'accord entre les États-Unis et l’Europe.
Delphine Sabattier : Mais ce Privacy Shield, justement, se joue au niveau européen. Aujourd'hui allons-nous pouvoir appliquer nos propres règles en France, en dépit de ce qu'on décide au niveau européen ?
Maître Alexandra Iteanu : Il y a quand même un courant général : HDS, c'est français, mais il y a l'espace européen des données de santé qui est quelque chose d’européen global et, dans ce règlement qui va encadrer cet espace, il y a aussi la question de la souveraineté qui est traitée. Il faut quand même dire qu’aujourd'hui, au niveau européen, dans la plupart des règlements et des directives, etc., il y a quand même cette volonté et ce souci de protéger les données des citoyens européens face aux règlements étasuniens.
Delphine Sabattier : Il y a le souci de la protection de nos données, parce que c'est la donnée sensible, parce que c'est aussi notre vie privée, c'est important dans l'espace numérique de dire qu'on peut encore conserver une vie privée, mais ces histoires de souveraineté c'est aussi un enjeu business, Julien.
Julien Pillot : Si l'objectif c’est de me faire dire que les données ont de la valeur, oui, les données ont de la valeur et même beaucoup de valeur. D'ailleurs il y a une économie de la donnée qu'on peut appeler bleue, celle qui est légale, celle qui est à peu près transparente, à peu près traçable. Après, il y a des marchés gris et même des black markets de la donnée.
Pour se donner une idée de ce que ça pèse, on pourrait regarder les comptes de Meta. Pourquoi Meta est-ce intéressant à regarder ? Déjà parce que c’est une entreprise cotée, qui publie ses résultats, qui donne beaucoup d'informations, qui est assez transparente, en fait, sur la façon dont elle génère de l'argent. Meta, ce sont 120 milliards de chiffre d'affaires par an et 98,3 % de son chiffre d'affaires résulte de l'exploitation de la donnée à des fins publicitaires. On peut quasiment dire que Meta ne fait que de la publicité.
On peut regarder la façon dont Meta gagne de l'argent de façon différenciée en fonction du profil de l'internaute et là on se rend compte que, par exemple, entre un Nord-américain et un Européen, il y a un écart de un à cinq entre ce que Meta gagne en exploitant les données d'un Américain et les données d’un Européen. Pourquoi ? En fait, il y a deux éléments de réponse et le deuxième élément de réponse sera beaucoup plus intéressant. Néanmoins, le premier c'est une question de comportement : taux d'engagement vis-à-vis de la plateforme, on peut considérer que l'internaute américain va consulter plus de contenus, va rester plus longtemps connecté à la plateforme, va donner, finalement, plus d'attention, donc de données, et puis, derrière, va cliquer sur plus de contenus promotionnels et, éventuellement, va avoir des actes d'achat plus forts que l’Européen. Donc, quelque part, l'exposition publicitaire sur Facebook est peut-être plus intéressante lorsque vous faites une campagne de publicité aux États-Unis d’Amérique plutôt qu'en Europe.
Le deuxième élément de réponse qui est, à mon sens, beaucoup plus intéressant par rapport au sujet qui nous intéresse aujourd'hui, c'est la question de la réglementation qui est différenciée : les annonceurs américains vont avoir accès à une diversité de données et des données beaucoup plus intrusives que ce qu'on peut faire en Europe, du fait de la mise en place du RGPD. Et, quelque part, cela a un impact en termes de valorisation de la donnée : si vous avez accès à moins de données, moins qualifiées, moins intrusives, quelque part vous, en tant qu’annonceur, vous êtes moins intéressé à mener des campagnes dispendieuses, sur un même espace numérique, en Europe plutôt qu'en Amérique du Nord. Là on a vraiment un élément de réponse assez manifeste de ce que la réglementation et une innovation réglementaire peut avoir comme impact sur la valorisation d'une donnée sur le marché numérique.
Delphine Sabattier : Qui sont les premiers qui en pâtissent ? Les plateformes américaines ou, finalement, les sites français ou européens ?
Jean-Noël de Galzain : Excellente question. Si on ne change pas les équilibres, ce sont forcément les groupes américains qui vont en profiter et les groupes extraterritoriaux on va dire, hors de notre territoire, puisque, aujourd'hui, leur modèle économique est axé là-dessus et nous restreignons nos propres modèles, sauf à inviter nos entreprises à aller sortir de France pour pouvoir appliquer les mêmes réglementations. C'est donc assez évident que soit on change la réglementation et on va au bout de la voie qui a été, on va dire, démarrée et qui est ouverte, notamment par Thierry Breton, un Français à Bruxelles. D'ailleurs, on va arriver à des élections européennes, j'interroge la représentation française pour aller à Bruxelles et se battre sur la vision d'une Europe un peu plus souveraine, notamment en matière de numérique ; si on a perdu des batailles, on n'a pas perdu celle-là. Nous sommes extrêmement puissants au niveau technologique, nous sommes très performants notamment au niveau de l'intelligence artificielle qui permet à ces grands groupes d'être, on va dire, les leaders, les plus grosses capitalisations mondiales, les plus grands groupes mondiaux, ceux qui dégagent le plus de bénéfices, il faut avoir tout cela à l'esprit. Tant qu'on ne change pas ces équilibres-là, nous sommes dans une bataille économique dans laquelle nous sommes perdants.
Delphine Sabattier : Madame la Députée, vous vouliez réagir.
Anne Le Hénanff : Oui. Je voulais dire qu’effectivement on peut accompagner, qu’il est indispensable d'aller plus vite. Je fais partie de ces députés qui pensent qu’on est un peu frileux en France et qu’on navigue un peu.
Beaucoup de choses vont se passer à Bruxelles. La France est très présente pour les négociations, il y a effectivement monsieur Breton, l'ANSSI va négocier pour l’EUCS qui est le niveau de cybersécurité minimal européen. Il faut quand même noter que nous sommes assez isolés dans nos positions. Nous avons une position française, très française culturellement, c'est-à-dire la protection et la régulation, mais ce n'est pas partagé par les voisins européens. Vous avez une coalition de 13 pays qui résistent à la position française en matière de niveau de cybersécurité ; ça existe, il faut pour le savoir.
Après comment peut-on faire en France ? Je réponds à la question que vous avez posée tout à l'heure : est-ce qu'on peut aller plus vite, plus loin ? Oui, il y a l’Europe, il faut qu'on soit solidaires et beaucoup de choses vont se jouer en Europe, il faut qu'on joue collectif en Europe. Mais, par exemple, sur le titre 1, le titre 2 de la loi SREN, Bruxelles n'est pas d'accord. Le titre 3, sur le cloud, coup de chance, je n'ai pas de remarque.
Delphine Sabattier : Rappelez-nous, titre 1, titre 2.
Anne Le Hénanff : En résumé, le titre 1 et le titre 2 de la loi SREN, la loi sur le numérique que nous avons portée avant Noël avec Jean-Noël Barrot c'était sur la protection des usages sur le Net : protéger les mineurs, lutte contre le harcèlement, vérification de l’âge pour les sites pornographiques très contraignant pour les opérateurs, la lutte contre la pédopornographie. Ce sont des choses essentielles, très importantes pour nous, mais Bruxelles trouve que c'est une atteinte à la liberté, donc il y a eu une remise en cause sur le titre 1 et le titre 2. Ce que je veux dire, c'est qu'on a toujours la possibilité, en France, de faire une loi sur le numérique, 100 % française.
Ma position c'est : jouons collectif et collons au maximum aux politiques européennes, ne faisons pas de sur-transcription parce qu'on va se faire retoquer, c'est supranational. Avec Jean-Noël Barrot, s’il est renommé ministre du Numérique.
Delphine Sabattier : Parce que là, c’est vrai que nous sommes dans une période intermédiaire, on attend une confirmation.
Jean-Noël de Galzain : Il était à Las Vegas.
Anne Le Hénanff : J’y crois beaucoup et j'espère qu'il va être reconduit. Sur ces sujets-là, qui sont très importants pour la France, faisons une loi nationale sur l'accompagnement, les risques cybers ou les dérives sur le Net.
Delphine Sabattier : Anne Le Hénanff, nous sommes allés à l'Assemblée nationale écouter un peu dans les couloirs les réactions, justement, des députés sur ces questions de la sécurité des données. C'est Cécile Dard, une consœur, qui est allée les interroger.
Cécile Dard : Monsieur Bernalicis, député LFI, bonjour. Cécile Dard, journaliste pour le podcast Politiques Numériques. Que pensez-vous de la protection des données aujourd'hui en France ? Avez-vous déjà été vous-même piraté ?
Ugo Bernalicis : Je pense qu'on est à la ramasse dans ce pays ! Toutes les études le montrent chaque année, sur les mots de passe qui sont encore donnés, quatre fois « 0 », « ABCD ». Bref ! C’est assez affligeant.
D’ailleurs, j'avais été très critique avec mon groupe parlementaire, celui de la France insoumise, lors de la transcription de la directive sur le RGPD ici, à l'Assemblée nationale, au début de la mandature précédente, puisque c'est à ce moment-là que ça s’est fait. On nous a proposé une transcription a minima en fait, en réalité, là on aurait pu donner des pouvoirs bien plus exorbitants à la CNIL, à l’Arcom aujourd'hui, pour être des vrais régulateurs avec des moyens. On a préféré avoir une vision, comment je vais dire ça, on a dit « on va superviser le marché, en l'occurrence, on va obliger les entreprises privées à bien modérer leurs contenus, mais on va bien se garder de mettre les doigts dedans nous-mêmes, en tout cas d'avoir les moyens de contrôler véritablement les choses ». J'ai vu effectivement ce que cela pouvait produire par exemple à la mairie de Lille, là où je suis élu, dans ma circonscription, qui a souffert pendant plusieurs mois, qui continue de souffrir en bonne partie. Donc oui, il y a un enjeu majeur, mais quand on voit la faiblesse des moyens de l’ANSSI, on ne va pas faire de lien.
Cécile Dard : Bertrand Pancher , président du groupe LIOT.
Bertrand Pancher : Je pense que la question de la souveraineté, en termes de cloud, se pose : à quel endroit hébergeons-nous ces données. Il vaut mieux que ce soit hébergé dans des pays démocratiques que pas démocratiques. Il vaut mieux que ce soit dans des pays européens que dans d'autres pays. Je pense que ça passe peut-être par des investissements de ce type.
Cécile Dard : Pierre Cordier, député apparenté au groupe Les Républicains.
Pierre Cordier : Il y a eu une fois où, effectivement, quelqu'un a utilisé ma photo pour créer une page en parallèle. J'ai tout de suite averti qui de droit pour faire en sorte que ça cesse. Donc il existe déjà un certain nombre de dispositifs pour justement lutter contre ce genre de choses, mais je pense qu'il faut les renforcer.
Cécile Dard : Danielle Brulebois, députée Renaissance du Jura.
Danielle Brulebois : Oui, mon compte Twitter a effectivement été piraté, mes comptes en banque ont été piratés aussi. Il faut être vraiment très vigilant et je pense qu’il faudrait qu’on se prémunisse de toutes ces escroqueries. Je pense en particulier qu'il y a quelque chose à faire sur le prélèvement SEPA. À partir du moment où on a signé un prélèvement SEPA, si des malhonnêtes s'en saisissent, ils peuvent vous prélever autant qu'ils le veulent. C'est compliqué. Je pense qu'on a quand même encore des choses à faire pour protéger nos concitoyens.
Delphine Sabattier : On sent, là, qu’il y a du vécu. Encore beaucoup de choses à faire pour protéger nos concitoyens.
Est-ce que vous êtes d'accord avec votre collègue LFI pour dire qu'on est à la ramasse sur la sécurité des données.
Anne Le Hénanff : Je n’utiliserais évidemment pas ce mot-là, mais je partage sa position. Je viens de faire un rapport dans le cadre de la commission de la Défense avec un de ses collègues, le député LFI de Rennes, avec qui je travaille depuis six mois sur le sujet des défis de la cyberdéfense. On a fait un travail énorme : six défis, 35 propositions dont certaines que monsieur Bernalicis vient de citer. Il est évident qu'il faut qu'on aille beaucoup plus vite et je suis même favorable à de la contrainte dans certains cas, notamment vis-à-vis des hôpitaux, c'est une évidence, vis-à-vis des collectivités locales, c'est une évidence. Dans une des propositions que nous faisons avec mon collègue Frédéric Mathieu, je pense même que c'est dès le primaire, comme on le fait en Finlande, en Estonie, dès le CM1/CM2, qu’on éduque nos petits Français à l'hygiène numérique. C'est un bon démarrage et ça aura une autre vertu : je pense ça donnera envie à des filles, à des jeunes filles, à des femmes, d'embrasser les carrières dans le numérique et la cybersécurité.
Delphine Sabattier : Est-ce qu'on a encore beaucoup de choses à faire pour protéger, peut-être avec des armes juridiques, les concitoyens des cybercriminels ? Maitre Iteanu.
Maitre Alexandra Iteanu. : Ce que vous dites sur la pédagogie est très intéressant, pas que pour les enfants, pour tout le monde. Avec l'entrée du RGPD et le renforcement des pouvoirs de la CNIL qui se sont élargis, la CNIL fait un vrai travail de pédagogie notamment sur son site. Il y a de plus en plus de fiches, de salons sur ces questions-là. On voit aujourd'hui, en tout cas au cabinet on le ressent, qu’il y a une vraie sensibilité des citoyens sur la protection des données. De plus en plus de gens portent plainte à la CNIL. On a de plus en plus de contrôles CNIL, de gens qui viennent aussi pour demander ??? [27 min 30].
Delphine Sabattier : Mais a-t-on les moyens vraiment de répondre à leurs requêtes ? Peut-on, aujourd'hui, aller jusqu'au bout d'une enquête pour une cyberattaque ?
Maitre Alexandra Iteanu. : C'est la question. Aujourd'hui, le problème des cyberattaques c'est déjà que c’est transfrontalier. C’'est très compliqué de retrouver les auteurs et, quand bien même on les retrouve, lorsque ce ne sont pas des auteurs français, comment va-t-on les chercher ? Comment les sanctionne-t-on ? Ça demande des jeux entre États, des coopérations judiciaires, des coopérations pénales, etc. Donc c'est très compliqué, aujourd'hui, de protéger les données des citoyens.
Delphine Sabattier : Et puis on laisse aussi traîner les données partout. C'est vrai que nous ne sommes pas forcément très prudents.
Jean-Noël de Galzain : Mais a-t-on les données ? Il y a un vrai sujet, il y a là un choix de société encore une fois. Il y a une LPM, par exemple, loi de programmation militaire qui donne maintenant plus de pouvoir notamment à l’ANSSI et à nos organes pour faire du contrôle, remonter à la source des données et essayer de résoudre les affaires criminelles, c'est quand même le but, les fraudes, les affaires criminelles, qui sont irrésolues aujourd'hui, soyons clairs pour la plupart, 90 ou 92 % des cas.
Delphine Sabattier : On voit passer maintenant, régulièrement, quelques arrestations, mais c’est vrai que ça reste marginal par rapport à la quantité de cyberarnaques.
Jean-Noël de Galzain : Mais ce n'est rien. Encore une fois, on revient à cette histoire des données et du cloud souverain : est-ce qu'on va devoir, à un moment donné, externaliser la recherche des criminels, la résolution des affaires, à des gens qui ont les données, qui les analysent et qui sont capables d'aller rechercher l'origine des crimes ?, donc on continue sur une voie « Cloud au centre » qui va de plus en plus vers les GAFAM. Ou est-ce qu'on se donne les moyens de récolter nos données pour avoir nos propres moyens d'investigation ? C'est un enjeu de société. Nos données, c'est un enjeu de notre société de demain.
Delphine Sabattier : La protection des données, c'est aussi lutter contre le traçage, contre les cookies.
Jean-Noël de Galzain : La protection des données c'est notre sécurité.
Delphine Sabattier : On a ce règlement européen sur la protection des données aussi. Julien.
Julien Pillot : Et c'est surtout prendre conscience que ces données, ayant de la valeur, sont de plus en plus convoitées. L’ITFC, un institut américain spécialisé dans la traque des fraudes et surtout des cyberattaques, a révélé quand même qu'en 2023 il y a eu une explosion du nombre de cyberattaques, du nombre de fuites de données. Il s'occupe surtout de ce qui se passe au niveau américain, mais je pense qu'on peut le prendre comme proxy de ce qui se passe un peu au niveau mondial. Dès le mois d'octobre de l'année dernière, on avait déjà dépassé, en quantité, le nombre d'attaques et d’actes de cybermalveillance par rapport à l'année précédente, on était à plus de 3000, sachant, en plus, que tous les cas, là-bas, ne sont pas déclarés, puisqu’il n'y a pas d'obligation, aux États-Unis de déclarer les fuites de données non sollicitées, contrairement à ce que le RGPD peut imposer par exemple en Europe.
Il devient aussi extrêmement intéressant de regarder la nature des données qui sont convoitées. Évidemment, les données financières sont les données les plus convoitées, mais arrivent, de suite derrière, les données de santé, ce qui fait écho à ce dont on parlait tout à l'heure.
30’23
Delphine Sabattier :
