Intervention de Guillaume Poupard

Réunion du vendredi 15 octobre 2021 à 9h00
Mission d'information sur la résilience nationale

Guillaume Poupard, directeur général de l'agence nationale de sécurité des systèmes d'information (ANSSI) :

Commençons par énoncer un principe évident : ne pas refuser l'évolution technologique. La sécurité serait effectivement plus facile à assurer sans cette dernière. Il faut plutôt accompagner les progrès technologiques en y associant une sûreté de fonctionnement qui se place au niveau des enjeux. Cela est valable même pour les secteurs critiques des grands opérateurs.

Je ne suis pas forcément le meilleur expert pour aborder les questions d'autonomie. J'ai le sentiment que pour certaines fonctions critiques, on gagnerait, en France et en Europe, à développer certaines technologies comme les DNS, sorte d'annuaires qui effectuent la transcription entre les adresses IP et les noms de domaines. Dans les pannes récentes, les DNS sont souvent impliqués. La criticité de ce genre d'équipement apparaît donc clairement, et le fait de disposer « en local » de répliques de ces équipements me paraîtrait extrêmement simple à mettre en œuvre. Si vous demandez à un DNS l'adresse IP d'un site connu pour être malveillant, géré par des attaquants, celui-ci vous aidera néanmoins à vous connecter à un tel site. Or il existe des contre-mesures assez simples qui consistent à retirer ces sites malveillants de l'annuaire. Je travaille actuellement à la création d'un tel DNS pour l'administration. Mais réaliser ce travail à l'échelle nationale pourrait constituer un très beau projet, avec une teneur politique qui ferait vraiment sens. Il ne s'agirait pas d'un pied de nez à nos amis américains, mais simplement de prendre nos responsabilités. Il n'est écrit nulle part que tout devait être centralisé aux États-Unis.

Je ne suis pas sûr qu'il faille penser internet à l'échelle européenne. Le web reste finalement une affaire de « tuyaux » qui appartiennent aux GAFAM. Cette dépendance à ces derniers sur des sujets qui ne sont pas historiquement les leurs m'inquiète quelque peu et doit constituer un motif de surveillance accrue. Il faudrait en effet éviter une sorte de privatisation de l'internet. Mais je ne maîtrise pas suffisamment le sujet pour m'avancer davantage.

Aujourd'hui se joue un débat à propos du cloud souverain. Sommes-nous condamnés à être dépendant des clouds américains et demain chinois, ou bien décidons-nous de devenir souverains en la matière et de développer nos propres solutions ? Cette question est paradoxalement beaucoup plus facile à aborder que le sujet d'internet qui, en tant que système de communication, par définition, se doit d'être partagé. Nos clouds, y compris chez nos OIV, consomment massivement des offres standard américaines qui sont probablement très fiables sur le plan de la sécurité technique mais qui, en termes de sécurité juridique, sont catastrophiques. Ces offres, sont soumises à la réglementation américaine, donnant accès à toute l'administration – juges, services de renseignement, etc.– aux données contenues dans les clouds. Le droit américain utilise sa domination technologique pour en tirer des bénéfices, et ce de façon remarquable. L'enjeu est de savoir comment faire pour nous assurer que nos systèmes et données critiques ne sont pas en risque vis-à-vis de ce droit américain et vis-à-vis du droit chinois demain. Deux pistes s'ouvrent alors : la première est de disposer de nos propres solutions, ce qui est beaucoup plus facile dans ce domaine que dans celui d'internet, les acteurs européens en la matière étant par ailleurs juridiquement sûrs. La seconde serait de continuer de bénéficier de la technologie américaine, qui en soi n'est pas dangereuse. Cela peut s'effectuer à travers la mise en place de projets, l'un avec Microsoft, Capgemini et Orange, qui consiste à faire opérer la technologie Microsoft par un acteur qui n'est pas soumis au droit américain, l'autre avec Thalès et Google, basé sur un principe identique.

Cette piste a peut-être un sens au niveau national, mais j'en doute. Elle prend en revanche tout son sens au niveau européen. Aujourd'hui, je suis inquiet de constater qu'à l'échelle européenne, il existe une différence de culture et de sensibilité sur ces problématiques. Il s'agit d'un sujet politique au sens le plus fondamental du terme : l'Europe est-elle capable d'assumer le fait que ses systèmes et données critiques doivent être uniquement soumis au droit européen ?

Aucun commentaire n'a encore été formulé sur cette intervention.

Cette législature étant désormais achevée, les commentaires sont désactivés.
Vous pouvez commenter les travaux des nouveaux députés sur le NosDéputés.fr de la législature en cours.