Différences entre les versions de « Souveraineté, Cloud, StopCovid, Flore : l’interview vérité de Nadi Bou Hanna (ex-DINUM) »

Titre : Souveraineté, Cloud, StopCovid, Flore : l’interview vérité de Nadi Bou Hanna (ex-DINUM)

Intervenants : Nadi Bou Hanna - Arnaud Pessey

Lieu : CTRL - Podcast de Burst

Date : 20 juillet 2022

Durée : 1 h 12 min

Podcast

Licence de la transcription : Verbatim

Illustration : À prévoir

NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Description

Pour ce nouvel épisode, nous recevons Nadi Bou Hanna, l'ex-patron de la direction numérique de l'Etat. Il a dirigé pendant trois ans la Direction interministérielle du numérique (DINUM), en charge de la transformation numérique de l’État. Durant cette période, il a participé à la modernisation des services de l'État, en développant le programme Tech.gouv. Il a fait parler de lui pour ses prises de positions visant à protéger à la souveraineté numérique de l'État. C'est lui qui avait demandé aux administrations françaises de ne plus migrer vers la suite bureautique de Microsoft hébergée dans le cloud Microsoft 365. Il expliquait alors s'inquiéter de la sécurité des données sensibles des agents et vouloir en finir avec le « tout-Microsoft ».
Nadi Bou Hanna a quitté ses fonctions fin 2019 après la publication d'une enquête publiée par Le Monde, comprenant les témoignages de plusieurs agents faisant état de la dégradation de leurs conditions de travail depuis la réorganisation de leur administration par le nouveau directeur.
Il se concentre aujourd'hui sur son nouveau projet Flore qui vise à encourager les porteurs de projets à impact à s'unir pour répondre aux appels d'offres des grands groupes.

Transcription

Arnaud Pessey : Aujourd’hui on reçoit Nadi Bou Hanna l’ancien dirigeant de la DINUM, la Direction interministérielle du numérique. Pour ce nouvel épisode de CTRL, le podcast pour reprendre le contrôle sur nos vies numériques.
Nadi Bou Hanna est un passionné d’Internet, passionné aussi des valeurs de l’Internet de ses débuts, c’est ce qu’il a cherché à défendre au sein même de l’État. Il s’est fait connaître notamment parce qu’il a diffusé une note au sein des ministères pour les encourager à ne plus utiliser les services de Microsoft sur le cloud. Ça fait beaucoup de bruit, forcément ça a fait réagir Microsoft et les différentes Big Tech qu’il s’est peut-être mises à dos. On va en discuter avec lui. Il a beaucoup de choses à nous raconter, il va nous présenter ses nouveaux projets.

Bonjour Nadi Bou Hanna. Nous sommes très heureux de vous recevoir pour ce nouvel épisode de CTRL, le podcast pour reprendre le contrôle sur nos vies numériques et sur la tech. C‘était important pour nous de vous recevoir parce que vous avez été, pendant trois ans, le patron du numérique de l’État français, ce n’est pas rien, une bonne personne à interroger sur ces questions de contrôle de vos vies numériques.
Pour commencer, est-ce que vous pouvez, s’il vous plaît, nous expliquer ce qu’est la DINUM, la Direction interministérielle du numérique, et nous parler un petit peu votre parcours, ce qui vous a amené à cette position-là jusqu’à janvier 2022 où vous avez quitté cette fonction.

Nadi Bou Hanna : Bonjour Arnaud. Merci pour votre invitation.
La DINUM c’est la Direction interministérielle du numérique. C’est le capitaine d’équipe du numérique de l’État. Chaque ministère a sa propre direction, sa propre chaîne de commandement, ses propres projets informatiques, de télécommunications. En tant que DINUM, on assure la coopération entre tous ces acteurs et on assure également la liaison avec le politique. On voit bien qu’il y a des enjeux qui portent sur le travail ensemble, qui portent sur la mutualisation des outils, qui portent également sur des enjeux de souveraineté ou d’autonomie, on aura l’occasion d’y revenir.
Le numérique c’est quelque chose dans lequel je suis tombé tout petit puisque dès le collège j’ai commencé à manipuler les premiers micro-ordinateurs, ça remonte déjà à quelques décennies. Pendant mes études d’ingénieur, Internet a déboulé dans les campus, c’était dans les années 1991/92/93. Quand j’ai vu ça j’ai vraiment eu envie de m’y plonger, de comprendre comment ça fonctionnait et ensuite d’en faire mon métier, c’est ce que j’ai fait pendant 25 ans à peu près, moitié au sein de l’État, au Quai d’Orsay pour m’occuper des communications des ambassades et des consulats, aux douanes pour la bascule numérique des douanes, mais également comme entrepreneur. J’ai eu l’occasion de créer plusieurs entreprises dans le domaine du conseil, dans l’édition logicielle, également dans les services aux entrepreneurs avant de rejoindre la DINUM au sein de laquelle je suis resté trois ans. Et puis j’ai repris au début de cette année, en janvier de cette année, un peu ma liberté pour me lancer dans un nouveau projet entrepreneurial qui s’appelle Flore, qui est une communauté d’entrepreneurs.

Arnaud Pessey : Pour préciser aussi sur votre parcours, je crois que vous êtes quelqu’un, comme on dit, qui met les mains dans le cambouis, en tout cas vous l’avez fait à vos débuts, vous avez appris le code, vous faisiez vraiment de la tech.

Nadi Bou Hanna : C’est quelque chose qui m’intéresse, qui m’a beaucoup intéressé et qui continue à m’intéresser, je continue à développer le soir, j’ai toujours développé des jeux, des sites web, des bases de données. Oui, le code est un vrai plaisir, est une vraie passion, les réseaux de télécommunications également et tout ce qui est autour, la sécurité informatique, les serveurs, finalement l’environnement tech. Comprendre et pratiquer est vraiment quelque chose qui me paraît fondamental pour ensuite pouvoir conseiller au mieux et faire.

Arnaud Pessey : Quand vous avez démarré est-ce que vous rêviez de devenir un startupeur ? Est-ce que vous aviez de projets dans la tech entrepreneuriale et comment, finalement, vous êtes-vous retrouvé à travailler pour l’État parce que ce n’est pas un parcours habituel ? Quand on veut travailler dans la tech on ne s’imagine pas, peut-être, devenir fonctionnaire d’État.

Nadi Bou Hanna : Vous avez raison. Je me suis un peu laissé porter par le courant. Mes études m’ont porté vers l’École polytechnique et puis ça débouche un peu naturellement vers des corps d’État. J’avais envie de faire des télécoms, de l’informatique, et j’avais cette opportunité de le faire au sein de l’État. À cette époque on m’avait vanté les mérites de l’État, c’était la possibilité de prendre très vite des responsabilités même avec peu d’expérience, ce qui m’a effectivement assez convaincu de me lancer dans cet univers public. Il y a d’autres raisons plus personnelles. Je suis arrivé en France en provenance d’un pays en guerre, quelque part j‘ai bénéficié de tout le système éducatif français, de l’école républicaine, et j’ai eu envie quelque part, au même titre que j’avais beaucoup reçu, de rendre du temps, de l’énergie, du savoir. C’est aussi ce qui m’a beaucoup convaincu de rester au sein de l’État.

Arnaud Pessey : Vous avez eu une fonction très importante durant trois ans, diriger a DINUM. Vous avez porté différents projets notamment le projet, le programme TECH.GOUV [1] qui était très important pour le gouvernement en place. Est-ce que vous pouvez nous en parler et nous faire un petit bilan de ce qui a été fait et quelles sont vos plus grandes fiertés, peut-être aussi vos plus grands regrets sur cette période ?

Nadi Bou Hanna : Effectivement la DINUM, comme je vous disais, c’est ce capitaine d’équipe, mais on ne se contente de faire travailler les différentes équipes ministérielles. En fait on fait, on met les mains dans le cambouis, on construit des outils qui doivent servir au plus grand nombre. Le programme TECH.GOUV était l’incarnation d’une méthode qui ne consistait pas simplement à dire aux autres ce qu’ils devaient faire – posture plutôt facile, je dirais –, mais plutôt à animer des équipes qui proviennent d’univers différents pour travailler ensemble, pour construire ensemble des solutions. Ce programme TECH.GOUV a effectivement donné lieu à un grand nombre de réalisations. La plus connue est probablement FranceConnect. Aujourd’hui bientôt 38 millions de Français, je crois qu’on a atteint ce seuil, l’utilisent.

Arnaud Pessey : J’en fais partie. C’est vrai que c’est génial.

Nadi Bou Hanna : Il y a trois ans, trois ans et demi, il y avait moins d’un million d’utilisateurs. L’idée c’était justement d’en faire un outil très largement démocratisé, d’accès en confiance aux ressources, aux ressources publiques d’abord et puis, au fur et à mesure que les mois et les années ont passé, vers des ressources privées. On a beaucoup travaillé également dans le cadre de TECH.GOUV sur les enjeux de résilience numérique et ça a été particulièrement utile pendant la crise sanitaire.

Arnaud Pessey : Justement je vous arrête là-dessus, on en parle beaucoup et ça va être important dans notre échange. La résilience, en termes de numérique, qu’est-ce que ça veut dire ?

Nadi Bou Hanna : Ce qui était fondamental pour l’État c’était de pouvoir assurer la continuité du service public, faire en sorte du jour au lendemain, en mars 2020 lorsque la quasi-totalité des fonctionnaires ont été amenés à rentrer chez eux et à essayer de travailler depuis chez eux, qu’on mette à leur disposition les outils pour continuer à assurer ce service public. En période de crise en particulier, la résilience c’est vraiment cette continuité de fonctionnement. L’enjeu, finalement, du directeur interministériel du numérique et de son équipe c’est de prévenir les catastrophes qui pourraient survenir et de dimensionner des solutions de manière raisonnable – le tout sécurité est évidemment hors de prix –, de réfléchir à des solutions de contournement qui préservent, d’une certaine manière, l’autonomie de la France et de son service public.

Arnaud Pessey : Quelle est votre plus grande fierté de ce mandat ? Je ne sais pas si on peut parler de mandat, en tout cas de cette expérience que vous avez eue.

Nadi Bou Hanna : Je ne sais pas dire si j’ai eu une plus grande fierté. Je peux citer plusieurs progrès qui me paraissent importants.
Le premier progrès qui me paraît vraiment fondamental c’est celui de l’amélioration du numérique pour tous. Un des risques – d’ailleurs on a vu à plusieurs reprises les sénateurs, les députés s’en émouvoir – c’est de faire la bascule numérique des servies publics et, du coup, d’écarter de l’accès aux services publics une partie de la population, la moins à l’aise avec les outils ou parfois, simplement, parce qu’elle n’accède pas aux ressources et au réseau. On a beaucoup travaillé pour essayer de faire en sorte que le numérique soit de qualité, que les personnes qui arrivent à accéder aux ressources y voient un gain et n’y voient pas une régression, n’y voient pas un recul du service public. C’est quelque chose qui met du temps, qui a été un vrai combat de trois ans qui a marqué tous les ministères. On a pris les 250 démarches administratives les plus utilisées par les Français et on a essayé de faire en sorte qu’elles soient toutes numérisées et qu’elles soient toutes bien numérisées, qu’elles soient toutes accessibles par exemple en situation de handicap, qu’on développe des réflexes de l’UX, donc du design, qui viennent du monde du design, pour faire en sorte qu’un utilisateur, en face de sa démarche administrative en ligne, comprenne ce qu’il faut faire, n’aie pas besoin d’une assistance et, dans le cas où une assistance est nécessaire, qu’il puisse y accéder. On n’a pas accompli 100 % du parcours pour ces 250 démarches, mais on est à plus de 80 % alors qu’on avait démarré, quelque part, dans une situation bien en dessous de 40 %.

Arnaud Pessey : On partait de très loin en effet.

Nadi Bou Hanna : On partait d’assez loin.

Arnaud Pessey : Vous parliez d’UX des services de l’État, c’est vrai qu’on partait de très loin, c’était compliqué.

Nadi Bou Hanna : C'est un exemple. Il y a d’autres exemples dans le domaine de la data. Par exemple obtenir la maturité dans les équipes de direction des ministères pour s’intéresser au sujet de la donnée et en faire un actif – un actif ça s’entretient, ça s’exploite, ça se protège, ça s’ouvre également avec l’open data. En faire un vrai actif au sein de l’administration a été un travail relativement long mais avec des vrais résultats. On a pu voir, en particulier sur la dernière année, l’année 2021, une appropriation par l’ensemble des ministères, l’ensemble des ministres, parce que ça a été porté aussi par le Premier ministre, par l’ensemble de strates de décision de l’État de cet enjeu de la data, mais aussi de celui de l’open data, de l’ouverture de la donnée et de la mise à disposition de ces données au public, avec la première place conquise par la France à l’échelle européenne, qui est quand même un motif de satisfaction.

Arnaud Pessey : L’open data était un de vos gros chantiers aussi je crois. Est-ce que vous pouvez nous expliquer quel est l’objectif ? C’est quoi ? C’est mettre à disposition de la data fournie par l’État à des services tiers ?

Nadi Bou Hanna : Pour moi l’objectif principal c’était le cycle de vie de la donnée. Se saisir de la donnée pour en tirer tout son potentiel. Prendre des décisions basées sur la donnée c’est quand même plus intéressant et plus productif que prendre des décisions basées exclusivement sur son intuition ou sur son sens politique. Je dirais que c’est une culture d’ingénieur qui est quelque part mise à disposition, qui a été apportée à nos décideurs justement pour développer ce réflexe.
L’open data c’est finalement ce que l’on fait en bout de chaîne une fois que l’on a acquis des données, qu’on a les mises en qualité, qu’on les a exploitées, les remettre à disposition des tiers, c’est le meilleur moyen à la fois de permettre à ces tiers – la société civile, les associations, d’autres entreprises – d’exploiter ces données pour créer des services à valeur ajoutée et c’est aussi assurer une transparence de l’action publique. À l’heure des fake news généralisées on voit bien que le fait de développer une culture du reporting de la situation, donc des faits, des données, vers les citoyens est quelque chose qui nous permet, en France en tout cas, de mieux lutter contre les manipulations que dans d’autres pays qui ont moins cette culture de l’open data.

Arnaud Pessey : Un bon moyen de l’expérimenter c’est pendant la crise du covid. On a l’exemple de Guillaume Rozier qui a créé CovidTracker et ensuite Vite Ma Dose. Est-ce que c’est typiquement ça un usage d’open data ?

Nadi Bou Hanna : C’est ça et je dirais même que l’intérêt de Vite Ma Dose, ce qu’a fait Guillaume Rozier et ce qu’on fait d’autres, c’est plus que ça. Il y a le sujet d’exploiter des données, il y a aussi, quelque part, cette nouvelle culture qui consiste à dire que l’État n’a pas le monopole de l’intérêt général. On va retrouver des étudiants, on va retrouver des associations, on va retrouver des entreprises on va dire dans le domaine concurrentiel qui vont aussi avoir envie de se positionner sur les projets d’intérêt général. Je vous disais que c‘était un des moteurs pour l’émergence de Flore, mais je sais citer un très grand nombre d’entreprises qui contribuent à cet intérêt général, ce qui n’est pas antinomique avec une culture du développement commercial.

Arnaud Pessey : Comment fait-on pour insuffler cette culture, qui est très propre à l’univers de la tech, à des développeurs alimentés par l’idéal de ce qu’était Internet au début, de l’open source ? Comment fait-on pour insuffler ça au sein même des administrations qui parfois n’y comprennent rien j’imagine ?

Nadi Bou Hanna : C’est l’enjeu numéro 1 du DINUM. L’enjeu numéro 1 du DINUM c’est d’arrêter de parler aux techs, c’est de parler aux décideurs de l’État, aux ministres, à leurs cabinets, aux secrétaires généraux, aux directeurs d’administrations centrales, en général tous ceux qui sont issus de l’univers non tech, mais qui sont aux manettes des politiques publiques. C’est comment on utilise la tech pour faire évoluer les politique publiques, pour les transformer, pour les moderniser, pour faire en sorte qu’elles coûtent moins cher, mais aussi pour faire en sorte qu’elles atteignent mieux les usagers, parfois même qu’elles contribuent davantage à la productivité ou à la compétitivité des entreprises françaises. C’est ce pont entre les politiques publiques et l’univers technique qui est en fait au cœur du métier du DINUM mais aussi au cœur des métiers des nouveaux directeurs du numérique dans l‘État. On a vu ça également dans les entreprises. Les anciens directeurs informatiques s’occupaient de la tech. Les directeurs du numérique s’occupent des enjeux marketing, des enjeux business. Ce pont qui a été fait entre l’univers de la technique et l’univers des projets, des politiques publiques ou l’univers stratégique, est, je trouve, particulièrement intéressant ces dernières années.

14’ 43

Arnaud Pessey : Il y a eu plusieurs chantiers majeurs que vous avez su relever, parfois avec de la réussite, d’autres qui ont dû être plus difficiles. Est-ce qu’il y a des regrets, des choses que vous n’avez pas pu accomplir comme vous auriez aimé ?

Nadi Bou Hanna : Soit j’utilise mon joker maintenant, soit j’essaie de répondre.
Évidemment les choses ne vont pas aussi vite que j’aurais aimé. Quand vous venez de l’entreprenariat et que vous vous retrouvez dans une grande machine de l’État, mais ça doit être la même chose dans les grandes entreprises privées, tout prend du temps. Il faut convaincre énormément de monde, il y a des forces en présence qui, évidemment, ne poussent pas dans le même sens ou ne tirent pas dans le sens, donc tout prend du temps. J’aurais aimé que ça prenne moins de temps, ça a pris trois ans et on n’a pas fini, il reste pas mal de choses à faire, donc il y a encore beaucoup de travail pour mon successeur à la tête de la DINUM quand il sera nommé.
Est-ce qu’il y a des projets sur lesquels j‘ai des regrets ? J’ai deux regrets concernant StopCovid. Le premier c’est que les autorités ne m’aient pas confié ce projet, n’aient pas confié ce projet à mon équipe. Je pense qu’on aurait pu apporter une capacité d’ingénieur, une capacité d’analyse pour faire des choix peut-être un peu différents. Un deuxième regret c’est qu’on n’ait pas réussi à transformer ce projet en un outil d’alimentation de la science, plutôt qu’essayer que notifier les citoyens, les uns les autres, et créer potentiellement un peu de panique. Les technologies n’étaient pas prêtes pour faire un outil C to C entre citoyens. En revanche, on aurait probablement pu contribuer, de manière beaucoup plus efficace, au développement du savoir autour de la pandémie en alimentant les chercheurs, les épidémiologistes avec des données volontaires, proposées par les citoyens qui auraient aimé entrer dans le dispositif. Mon regret c’est probablement StopCovid.
Hormis cela, je ne vois pas très bien. Les autres projets se sont à peu près passés comme je souhaitais que ça se passe.

Arnaud Pessey : Sur StopCovid finalement c’est quoi ? C’est Bercy qui a traité ça directement par le secrétaire général qui a fait appel à un prestataire externe ?

Nadi Bou Hanna : Je ne vais pas rentrer dans la polémique autour de cet outil. Le constat on le voit, de toute façon, avec le recul peut-être pas de l’histoire mais enfin de quelques années. Le pivot qui a été fait avec Tousantiovid pour en faire, finalement, un gestionnaire de fichiers a été salutaire, ça a permis effectivement de fluidifier les déplacements des Français. Toute la partie tech initiale est tombée parce qu’elle ne reposait pas vraiment sur de la science.

Arnaud Pessey : On vous connaît aussi pour les prises de position que la fonction vous incombe à ce moment-là, notamment une prise de position vis-à-vis de Microsoft qui a fait beaucoup de bruit. C’était à la rentrée 2021, je crois, où vous avez envoyé une note à l’attention des directeurs du numérique dans les différents ministères, j’imagine que ça s’adressait aussi à l’ensemble de l’administration, peut-être aux collectivités, etc., un message qui s’adressait à tous, où vous les encouragiez à ne plus utiliser les services de Microsoft Office 265, uniquement ceux-là, je précise, parce que ce sont des services qui sont utilisés sur le cloud de Microsoft, le cloud Azure. J’imagine que cela implique, vous allez nous expliquer, qu’en temps réel, les échanges de données qu’il pourrait y avoir sur ces services qui sont sur le cloud, disponibles en ligne, peuvent être transférés aux États-Unis, en tout cas peuvent circuler sur des services de clouds d’entreprises privées. Est-ce que c’était ça le risque et est-ce que vous pensez que c’était une bonne décision ?

Nadi Bou Hanna : Il faut peut-être rembobiner un tout petit peu. Avant cette note qui a fuité, il y a eu une prise de position officielle de l’État sur la stratégie cloud. C’est un travail qui a duré six mois avec beaucoup de discussions, des points divers qui ont été agglomérés, que j’ai portés sur le volet de l’administration, les ministres ont porté plutôt le volet politique. La stratégie cloud de l’État a été concrétisée dans une circulaire du Premier ministre, ce qu’est quand même pas rien, ça veut dire qu’il y a une vraie prise de position officielle, elle s’appuie sur une double approche.
D’abord une approche de l’État utilisateur de technologies, c'est ce qu’on a appelé la stratégie «  cloud au centre ». La stratégie « cloud au centre », qu’on peut retrouver dans la circulaire, vise à protéger les Français, les citoyens français, les entreprises françaises et les agents publics des dérives potentielles et de l’utilisation abusive potentielle de leurs données. Mais, en même temps, elle incite les administrations à se tourner vers les technologies du cloud. Donc il fallait trouver un compromis entre arrêter de faire de l’informatique à la papa, c’est-à-dire se tourner vers les nouvelles technologies pour abaisser les coûts, pour améliorer les performances, pour augmenter la scalabilité, l’agilité des projets, etc., mais, en même temps, ne pas le faire n‘importe comment. « Cloud au centre » ça définit que l’État, donc les administrations mais également les établissements publics – ça ne va pas jusqu’aux collectivités locales, on n’a pas autorité sur les collectivités locales – qu’au sein de l’administration les projets qui manipulent des données sensibles doivent se reposer sur une conformité juridique et sur un agrément qui est donné par l’ANSSI qui s’appelle SecNumCloud.
À côté de ça, il y a une prise de position politique qui est ce qu’on appelle le « cloud de confiance », qui consiste à dire, ça a été communiqué comme cela, que des technologies d’origine étrangère, en particulier américaines, dès lors qu’elles font l’objet d’un transfert de technologies et d’opérations vers des entreprises européennes alors elles sont éligibles, ça ne pas dire qu’elles sont élues, elles sont éligibles à cet agrément dit « cloud de confiance ».
Il y a deux trains un peu différents. Le premier qui dit « vous voulez jouer dans la cour de l’État sur des données sensibles, vous devez être conforme au droit européen et au niveau de sécurité exigé en France qui est SecNumCloud » et puis un train politique qui dit « on incite les transferts de technologies vers les opérateurs français ».
C’est le départ, le démarrage, cette stratégie cloud. J’en suis plutôt content parce que, en tout cas sur le volet « cloud au centre », ça a donné un temps d’avance aux entreprises françaises et européennes. Toutes les entreprises qui ne s’y conformaient pas étaient exclues du jour au lendemain de la possibilité de travailler pour l’État. Quelque part ça permettait d’équilibrer le temps d’avance marketing colossal que certains pouvaient avoir en redonnant une temporalité, en tout cas un intervalle de temps pendant lequel les entreprises françaises ou européennes de la tech pouvaient proposer leurs technologies.
La question qui s’est posée, effectivement ce que vous signalez, c’est qu’est-ce qu’on fait d’Office 365 de Microsoft. L’État dans sa très grande majorité, plus de 80 % des utilisateurs, utilisait des technologies Microsoft, Windows, la suite Office, la messagerie, etc., c’était à peu près 80 % du potentiel. Il y avait évidemment un lobbying massif de l’éditeur pour inciter, pour ne pas dire forcer, des clients à basculer les uns après les autres sur Office 365. Ça veut dire concrètement que les données, au lieu d’être sur des serveurs dans l’administration, opérées par l’administration, se retrouvaient sur les serveurs de Microsoft donc avec les risques potentiels juridiques, techniques d’interception, d’exploitation, associés. Cette circulaire que j’ai adressée à l’ensemble des directeurs du numérique visait à dire « sur la messagerie collaborative il n’y a pas lieu d’utiliser Office 365, il y a des solutions alternatives », il y a aussi des solutions qui étaient en train d’être construites au sein de l’État, en mutualisation entre les administrations. D’ailleurs plusieurs ministères avaient déjà déployé des solutions alternatives, je pense au ministère de l’Écologie, au ministère de l’Intérieur, à la direction des impôts, la DGFiP, qui étaient les plus en avance sur des approches alternatives. Au sein même de la DINUM on travaillait sur la mise à disposition d’outils communs. J’en citerai un que je trouve assez emblématique, c’est celui de la messagerie instantanée, particulièrement utile pendant la crise sanitaire. On n’allait pas dire aux agents publics continuez à travailler en utilisant WhatsApp ou Telegram, évidemment. On est parti d’un composant open source édité par une PME franc-anglaise et, à partir de cette solution open source, on a construit une messagerie instantanée qui s’appelle Tchap qui a été déployée à plus de 300, 350 000 maintenant j’imagine, utilisateurs au sein de l’État et même au-delà de l’État.

Arnaud Pessey : Donc vous n’avez pas dû apprécier la petite intervention de Elliot Anderson et Baptiste Robert qui s’étaient installés dans un des salons du ministère en se faisant passer pour quelqu’un qui travaillait pour l’Élysée, je crois que c’est ça, avec une fausse adresse mail qui renvoyait sur son adresse mail perso. Il avait pu s’installer. Comment réagit-on quand on est confronté à une situation pareille ?

Nadi Bou Hanna : C’est tout le propre de l’innovation. L’innovation consiste à se confronter le plus tôt possible à ses utilisateurs. Si vous attendez que tout soit sec, c’est trop tard ! Ce sont les cycles informatiques historiques : vous écriviez un cahier des charges, vous reteniez un prestataire, vous développiez pendant cinq ans et, une fois que l’application arrivait entre les mains des utilisateurs, les besoins avaient changé, ce n’était plus le bon tempo. On a fait le contraire, on est sorti le plus vite possible avec un prototype qui avait des bugs, qui avait des failles de sécurité. Celle que vous signalez en fait ce n’est pas une faille de sécurité, c’est un incident complètement mineur qui ne permettait pas d’accéder au contenu des données. Il y a toujours des personnes qui profitent de ces évènements pour augmenter leur nombre de followers sur les réseaux sociaux, c’est une polémique qui ne m’intéresse pas vraiment. En revanche, ce qui m’intéresse c’est que les personnes qui détectent des failles contribuent à l’amélioration des outils, ce sont des outils d’intérêt général et c’est ce qu’on a fait. À côté d’un Elliot Anderson vous avez une dizaine d’autres personnes qui n’ont pas du tout fait le même bruit, le même foin médiatique, qui nous ont signalé des bugs, certains sensibles qui ont été corrigés très vite. On a d’ailleurs lancé un bug bounty justement pour ouvrir ce canal de communication avec les spécialistes de la cybersécurité.

Arnaud Pessey : Je voudrais revenir juste sur ce qu’on disait sur Microsoft parce qu’il y a aussi une nuance à apporter concernant votre note. Ce n’est pas de l’anti-Microsoft bête et méchant, vous êtes d’accord pour l’utilisation de Microsoft, ce qu’on appelle on-primise, du logiciel sur la machine. Ce qui pose problème c’est vraiment le fait que ça communique avec le cloud de manière permanente. Du coup quel est le risque concrètement ? Est-ce que vous avez des exemples ?

Nadi Bou Hanna : je vais peut-être préciser parce que je pense que c’est important. Il n’y a pas à être pro ou anti Microsoft, ça n’a pas de sens. Quand vous êtes un responsable dans le domaine du numérique vous avez besoin de Microsoft, d’ailleurs Microsoft faisait des très bons produits. Il y a des évolutions et des positionnements stratégiques qui peuvent, ou pas, convenir à un client comme l’État qui n’est pas un client comme les autres ; les grandes entreprises ont le même réflexe. Microsoft reste un fournisseur, il doit rester un fournisseur. S’il fait des choix stratégiques qui ne conviennent pas à ses clients, c’est normal que les clients changent de crémerie. C’est quelque chose qui, je pense, n’a pas forcément été bien compris à la fois par une partie des décideurs mais aussi par les dirigeants de Microsoft France. Le remettre dans un rôle de fournisseur, même si c’est un fournisseur dominant, je pense que c’était quelque chose de salutaire.

Arnaud Pessey : On parle souvent, on entend beaucoup parler de la relation de Microsoft avec la France, on dit même, dans certains journaux, que c’est « open bar » dans les ministères, même le ministère des Armées, des enjeux quand même assez importants. Est-ce que vous n’avez pas eu l’impression d’avoir eu un petit peu le mauvais rôle, d’être celui qui a dû aller au charbon, d’aller au front, de dire ce que tout le monde devait dire mais que personne n’avait le courage de faire ?

Nadi Bou Hanna : C’était mon job ! Vous avez raison. C’est exactement pour ça qu’un directeur interministériel du numérique existe. À un moment donné il faut prendre des positions, il faut faire des choix, il faut mesurer les risques, il faut sortir du bois. C’est le rôle du DINUM de sortir du bois et ça a fait, je pense, plaisir à beaucoup de monde. Si vous saviez le nombre de messages que j’ai eus après ça en disant « c’est bien ce que tu as ». Encore une fois ce n’est pas une approche anti-Microsoft, je pense vraiment que c’est un très bon éditeur logiciel. C’est simplement l’intérêt de l’État et c’est au-dessus de tout autre intérêt.

Arnaud Pessey : Depuis il y a un nouveau projet qui est apparu, qui porte le nom d’une couleur, ma couleur préférée, qui est porté aussi par deux très belles entreprises français Orange et Capgemini. C’est un projet qui s’appelle Bleu, qui commercialise différents services, notamment les services d’Office 365 qui pourront être vendus avec, je crois, l’agrément SecNumCloud, en tout cas ce label, je ne sais pas combien on doit l’appeler. Cela veut dire que de cette manière-là les services d’Office 365 peuvent à nouveau rentrer dans les administrations.

28’ 25

Nadi Bou Hanna : C’est la théorie. On disait ça il y a deux ans et deux ans après je n’ai pas vu grand-chose, j’ai vu des plaquettes commerciales, un communiqué de presse, mais je n’ai pas vu grand-chose pour de vrai. Le jour où ça sortira on regardera. Je pense que les acheteurs regarderont les prix, les conditions, s’assureront effectivement que le transfert d’opérations s’est fait et que les machines tournent sur des datacenters européens opérés par une entreprise française ou une entreprise européenne, on va regarder tout ça. Le cadre, ce que je vous disais tout à l’heure, « cloud de confiance » le permet. Dans la vraie vie, pour l’instant, ça n’existe pas, et le jour où ça existera il faudrait évidemment regarder de très près et voir si c’est intéressant d’y basculer.

Arnaud Pessey : Est-ce que les gens qui vous succéderont auront le courage que vous avez eu de s’y opposer aussi fermement ?

Nadi Bou Hanna : Je ne peux pas répondre, je ne sais pas. En tout cas, je pense que c’est toute la différence qu’il doit y avoir entre l’administration et le politique. Le rôle de l’administration c’est de prendre des positions au long terme, de se positionner en transcendant les clivages, les alternances, etc. J’espère que mes successeurs auront effectivement à l’esprit cet intérêt au long terme pour l’État.

Arnaud Pessey : Donc vous êtes garant des services numériques proposés par l’État. Ça implique aussi un rôle important sur la sécurité de ces services-là. On entend beaucoup parler de ransomware aujourd’hui. Est-ce que vous pouvez nous rappeler un petit peu ce que c’est, comment ça fonctionne ?

Nadi Bou Hanna : Le mieux placé pour parler de cybersécurité c’est l’ANSSI, l’Agence nationale de la sécurité des systèmes d'information, c’est notre monsieur cybersécurité.

Arnaud Pessey : On aimerait les recevoir, si vous pouvez nous aider à les avoir ce serait bien.

Nadi Bou Hanna : N’hésitez pas à inviter Guillaume Poupard tant qu’il est en charge de cette agence. Il contribue de manière exceptionnelle à démocratiser la culture de la cybersécurité et aussi les réflexes à avoir pour se prémunir des attaques, des risques.
Le ransomware consiste effectivement, dans son approche la plus classique je dirais, à piéger les données d’un client, souvent en les chiffrant à l’insu du client, les données et les sauvegardes de ces données évidemment, parce que sinon ça ne sert à rien, et ensuite d’obtenir une rançon en échange des clefs de déchiffrement. Je dirais que c’est le basique de ce qu’est un ransomware. Ce qui est compliqué c’est qu’il y a des vecteurs d’attaque innombrables et plus les structures sont faiblement outillées en compétences, je parle bien de compétences, en compétences numériques, plus elles sont exposées à ces risques. C’est comme ça que l’on a vu des municipalités, des hôpitaux quelque part assaillis par des attaquants parce qu’effectivement ils n’ont pas, ils n’avaient pas les moyens des grandes organisations publiques. C’est tout l’intérêt de la mutualisation. Lorsque vous mutualisez vous mettez à disposition des « petits », entre guillemets, les moyens des grands. C’est tout l’intérêt de pouvoir, au sein de l’État, créer ces structures de mutualisation que sont l’ANSSI, que sont la DINUM, que peuvent être certains autres opérateurs informatiques, ce qui permet justement de donner au plus grand nombre des administrations, à un coût marginal finalement, le meilleur de ce qui peut exister.

Arnaud Pessey : Récemment on a vu un groupe qui se fait appeler, qui s’appelle Conti, un groupe de ransomware qui a attaqué un pays, le Costa Rica, en ciblant plusieurs ministères de ce pays et il a eu accès à plusieurs systèmes critiques des ministères, notamment des finances, en ayant accès à des informations des douanes et des impôts. Il demande une rançon de 20 millions de dollars et menace même de renverser le nouveau gouvernement de Rodrigo Chaves qui a déclaré lui-même « nous sommes en guerre et je n’exagère pas ». Est-ce que les ransomwares sont aujourd’hui une arme de guerre ?

Nadi Bou Hanna : Les motivations premières sont quand même financières, en tout cas c’est ce que l’on observe. Il n’est pas exclu que ça devienne un jour des motivations stratégiques géopolitiques. Mais ce que l’on voit, ce qu’on observe, ce sont effectivement en général des pays ou des cibles qui sont faiblement protégées, faiblement défendues, qui ont souvent donné les clefs de leur numérique, de leur informatique, à des acteurs tiers sans avoir la capacité de maîtrise, qui sont ciblées et systématiquement la contrepartie c’est d’obtenir des fonds.

Arnaud Pessey : Est-ce qu’il faut les payer ?

Nadi Bou Hanna : Je ne sais pas répondre. Honnêtement je ne sais pas répondre. Il faut vraiment voir avec l’ANSSI qui dira ce qu’il est préférable de faire. Je ne sais pas dire s’il faut mieux payer, continuer à être exposé de la même façon et recommencer six mois après ou si ce n’est pas l’occasion de faire table rase et de reconstruire un système avec de meilleures pratiques, à l’état de l’art.

Arnaud Pessey : Comment protège-t-on l’État de ces attaques ?

Nadi Bou Hanna : La première clef c’est la compétence. On a besoin d’investir dans les femmes et les hommes, d’avoir des profils très qualifiés au sein de l’État qui vont avoir envie à la fois de produire un service public de meilleure qualité – c’est tout l’intérêt de la digitalisation du service public –, mais aussi de protéger l’État en situation de crise. C’est vraiment la clef et on a beaucoup travaillé ces dernières années à développer l’attractivité de l’État.
Vous me demandiez de quoi je pourrais être le plus fier. En fait, en y réfléchissant, c’est probablement ça, c’est faire en sorte que l‘État soit plus attractif. On a beaucoup travaillé dans le marketing du recrutement. On a gamifié, je ne sais pas comment on dit, ludifié les procédures de recrutement. On a créé ce qu’on appelle le Commando UX, la Brigade d’intervention numérique, les startups d’État, les Entrepreneurs d’intérêt général, des dispositifs qui permettent d’inciter les étudiants, les salariés qui sont assez pointus, qui s’ennuient parfois dans leur entreprise, de consacrer quelques années à l’intérêt général, à rejoindre l’État et nous aider finalement à faire mieux.

Arnaud Pessey : Ce sont des missions qui sont assez scénarisées sur des séquences, des périodes assez courtes.

Nadi Bou Hanna : C’est ça. Ce sont des personnes que l’on recrute, certaines sur dix mois, d’autres sur douze, le plus long ça doit être trois ans, c’est relativement rare, en général c’est plutôt moins de deux ans. On recrute ces personnes-là sur des missions, elles ont une mission à accomplir et on espère qu’elles vont réussir leur mission avec leur équipe. Ça c’est évidemment la devanture. La vérité, ce qu’on aimerait, c’est qu’une partie de ces personnes ait envie de continuer au sein de l’État, d’ailleurs ça marche ! Pour fixer les idées, on a à peu près 50 % des personnes, des experts qui découvrent l’État à l’occasion de ces missions one shot qui continuent au sein de l’État, qui prennent un poste dans une administration sur un gros projet, sur un petit projet, qui participent à une cellule d’innovation. C’est un très bon attracteur de profils qui ne se seraient jamais intéressés à l’État avec peut-être, parfois, une image un peu poussiéreuse des métiers qui peuvent être proposés. On a scénarisé ces processus de recrutement et on arrive à garder une partie de ces experts qui continuent après leur première expérience.

Arnaud Pessey : J’imagine que ces talents vont chez les Big Tech. On ne peut pas s’aligner en termes de salaire, d’attractivité.

Nadi Bou Hanna : Eh bien non. En fait c’est le contraire. On a vu arriver au sein de l’État ds profils qui viennent des meilleurs cabinets de conseil, des Big Tech. Ce sont des personnes qui, à un moment donné, se disent « pourquoi je me lève le matin ? Qu’est-ce que j’ai envie de faire ? Sur quels projets j’ai envie de travailler ? ». Il y a une prise de conscience générale, je pense en particulier aux plus jeunes générations, de l’impact de son travail sur la société, sur le monde. J’ai rencontré un très grand nombre de jeunes qui n’ont aucun problème d’employabilité – ils posent leur CV sur LinkedIn, ils vont avoir le soir même une dizaine de propositions – qui se disent « j’ai envie de travailler sur un projet qui a du sens ». L’administration est capable de proposer des projets qui ont du sens, pas que l’administration, on a également des entreprises, des associations qui sont aussi capables de proposer des projets à impact. De plus en plus on voit qu’on a des profils très pointus qui basculent vers ces projets. La question de la rémunération n’est pas le premier critère, même si l’État a réussi à s’aligner sur la plupart des rémunérations on va dire de grands groupes, ce n’est pas le premier critère qui les fait basculer.

Arnaud Pessey : On se rend bien compte, c’est évident, que le numérique est sorti de nos écrans, ce qui fait vraiment notre vie aujourd’hui. On voit notamment l’impact que la guerre en Ukraine a sur notre Internet sur le plan numérique, on voit qu’il y a un rideau de fer qui se dresse de plus en plus entre deux Web différents. Est-ce que vous pensez que le retour de la guerre en Europe signe le début de la fin de l’Internet tel qu’on l’avait connu ?

Nadi Bou Hanna : Je pense que l’Internet des années 2010 n’est pas du tout l’Internet des années 90 et 2000. Avant la guerre on avait déjà basculé. On a basculé vers un univers où la donnée est captée, où la liberté est quasiment proscrite. C’est très compliqué de continuer à être anonyme sur Internet, à accéder à des applications sans fournir un tas d’informations. La bascule du monde internet dans le domaine de la marchandisation de la donnée a quand même changé profondément l’ADN de l’Internet. On a l’impression que ça continue à être gratuit mais ce n’est plus du tout la gratuité des années 90 et 2000.
Avec la guerre c’est encore autre chose qui commence à s’installer. Ce sont effectivement des écosystèmes qui existaient déjà avant la guerre, on voit bien l’écosystème d’Asie du Sud-Est. Des écosystèmes à peu près étanches s’étaient constitués avec leurs piles applicatives, leurs principaux réseaux sociaux, leurs outils, leurs jeux, etc. Ce sont des univers qui se côtoient, on continue à pouvoir y accéder, il n’est pas exclu, à un moment donné, qu’on ne puisse plus techniquement à y accéder, c’est-à-dire qu’il y ait des vraies murailles qui s’instituent entre un Web de l’Ouest et un Web de l’Est, ou un Web d’Asie et un Web européen, peut-être que ça existera. Il y a effectivement un retour vers le protectionnisme qui s’institue dans les réseaux, mais ça ne date pas de la guerre, ça a commencé un peu plus tôt.

Arnaud Pessey : Google ou Facebook interdits en France ou Europe, c’est quelque chose qui pourrait arriver ?

Nadi Bou Hanna : Il faudrait vraiment qu’ils fassent des conneries.

Arnaud Pessey : Ils n’en font pas déjà ?

Nadi Bou Hanna : Oui, mais pas suffisamment pour justifier une telle décision. Je ne sais pas comment les choses évolueront.

Arnaud Pessey : L’Europe va continuer à leur balancer des amendes à coups de milliards ?

Nadi Bou Hanna : Je pense que l’arme des amendes et l’arme du droit sont un outil intéressant pour développer des pratiques peut-être plus saines. Est-ce que ça fonctionne ? Je ne sais pas dire. Je pense qu’on n‘a pas le recul suffisant, aujourd’hui, pour pouvoir juger de la performance des sanctions et de ces politiques de régulation .

Arnaud Pessey : De toute manière c’est tellement pratique et on n’a pas d’alternatives. Comment pourrait-on faire sans eux ?

Nadi Bou Hanna : Je pense que le vrai sujet est là : que met-on en face et est-ce qu’on a le choix ?
J’ai été interrogé par les parlementaires sur la souveraineté numérique, ils m’ont demandé quelle est ma définition de la souveraineté. Je leur ai dit que, pour moi, la souveraineté numérique c’est être capable de choisir ses dépendances. Savoir à qui on donne les clefs et avoir la capacité de reprendre ses clefs et de les donner éventuellement à quelqu’un d’autre.
Aujourd’hui est-ce qu’on a la possibilité de se détourner du système d’exploitation Windows, Android ou iOS ? Non, clairement non. Linux n’a pas été suffisamment performant, ergonomique pour atteindre le grand public, il n’est pas présent sur les smartphones, donc aujourd’hui on a peu de choix sur le système d’exploitation et celui qui maîtrise le système d’exploitation maîtrise une très grande partie des couches au-dessus de ce système.
Est-ce que sur la bureautique on a du choix ? On a du choix, on commence à avoir du choix. Oui, on peut se défaire de l’emprise de ces éditeurs, peut-être qu’il ne faut pas s’en défaire. Tant que ça reste des produits de bonne qualité, avec une approche on-primise, c’est-à-dire qui permet aux utilisateurs de garder le contrôle sur les données, très bien. J’ai été choqué par l’arrivée de Windows 11, par exemple. Aujourd’hui avec Windows 11, pour pouvoir conserver un compte local, vous devez débrancher votre prise Ethernet ou couper le wifi. Si vous n’avez pas ce réflexe à la configuration de Windows 11 – personne n’a ce réflexe ou très peu de personnes, 1 % maximum – de couper le réseau, vous ne pouvez plus installer Windows 11 sans créer un compte en ligne chez Microsoft. Pour moi c’est le signal d’une bascule du côté obscur de la force d’un éditeur comme Microsoft qui envoie ce genre de chose.

Arnaud Pessey : Quelles pourraient être les conséquences ? Quels sont les risques ?

Nadi Bou Hanna : Les risques c’est la perte de contrôle. Je pense que le risque majeur c’est celui-là. À partir du moment où vous donnez les clefs à quelqu’un d’autre, vous êtes obligé de faire confiance à la manière dont il va utiliser les clefs. Pourquoi feriez-vous confiance à untel ou à untel ? Il n’y a aucune raison de lui faire confiance, de lui faire de cadeau. Je pense que le risque majeur c’est le fait de ne plus avoir le choix.

42’ 33

Arnaud Pessey : Un exemple très intéressant