Je vais vous répondre en trois temps, en expliquant d'abord pourquoi nous ne faisons actuellement pas de souveraineté numérique, ensuite comment il est difficile de se protéger dans le magma actuel des solutions proposées et enfin en détaillant les difficultés que nous rencontrons en essayant de faire de la souveraineté numérique.
CLESSE conçoit et fabrique depuis trente-cinq ans des équipements électroniques industriels et, depuis l'année dernière, un ordinateur 100 % français. Je tiens à m'excuser par avance pour les raccourcis que je devrai faire : le sujet très vaste et je serai donc succinct sur certains points.
Pourquoi s'intéresser à la souveraineté numérique ? Bernard Benhamou, secrétaire général de l'Institut de la souveraineté numérique, écrit : « Nous devenons vulnérables parce que nous sommes obligés d'avoir recours à du code que nous n'avons pas créé. Ce code est porteur de valeurs et de principes qui ne sont pas les nôtres, tant en termes de protection des données personnelles qu'en termes d'organisation du dialogue social ou d'évolution de nos sociétés. » Le tableau est posé et la situation paraît très grave. Je note en particulier dans cette phrase les termes « vulnérables » et « obligés ». Il semblerait donc que notre vulnérabilité provienne d'une obligation, que nous n'ayons aucun moyen d'action.
Je prends quelques exemples concrets. Lise Charmel, société lyonnaise qui confectionne de la lingerie féminine, est aujourd'hui en redressement judiciaire à la suite d'une attaque par rançongiciel. Du fait que nous ne sommes pas souverains, cette société utilise un outil, en l'occurrence des ordinateurs, qui sont manifestement critiques pour son fonctionnement puisque c'est à la suite du rançongiciel qu'elle s'est retrouvée en redressement judiciaire. Ces outils ont été conçus par des gens qui n'ont pas les mêmes intérêts que nous. Si nous considérons n'avoir aucune solution alternative, les sociétés françaises sont condamnées, comme Lise Charmel, à être vulnérables aux rançongiciels. C'est un constat qui pose problème puisque cela commence à impacter nos sociétés. La confection, donc la mode, touche la société de manière générale et notre propre vision de l'avenir, de la vie et de la façon de vivre en France.
Mon deuxième exemple est le cas de la société Saint-Gobain qui a été un jour attaquée par un rançongiciel. Selon leurs publications, cela leur aurait coûté 250 millions d'euros. C'est un très gros chiffre que je veux mettre en rapport avec une étude universitaire selon laquelle réaliser un système d'exploitation (OS, operating system ) coûterait environ 800 millions d'euros. Trois attaques de Saint-Gobain permettraient en gros de payer un système d'exploitation français donc souverain. Je ne suis pas vraiment d'accord avec le calcul qui suit dans l'étude universitaire, indiquant que cela coûterait 12 euros par Français et ne serait donc économiquement pas rentable. Il faut savoir que les coûts informatiques dans une entreprise, en prenant tout en compte, sont de 2 000 à 5 000 euros par poste et par an. L'universitaire ajoute que le gouvernement français aurait des ambitions de souveraineté en matière de système d'exploitation, que ce n'est pas bien et que l'Agence nationale de la sécurité des systèmes d'information (ANSSI) n'est heureusement pas d'accord.
Les grandes entreprises changent actuellement en moyenne un quart de leur parc informatique chaque année, de façon à le renouveler entièrement tous les quatre ans pour suivre l'évolution du matériel et des systèmes d'exploitation. En matière d'obsolescence programmée, je pense que ce domaine est quand même un peu sur le podium, surtout que nous savons aujourd'hui qu'il n'est pas nécessaire de faire évoluer ainsi les systèmes d'exploitation dans les entreprises.
Je passe à un autre exemple : dans une conférence disponible sur le site du Club de la sécurité des systèmes d'information régional (CLUSIR), un club de directeurs des systèmes d'information (DSI) lyonnais, présentée en partie par une représentante de la caisse primaire d'assurance maladie (CPAM), se trouve une liste non exhaustive des difficultés rencontrées par le service informatique de la CPAM, dont l'évolution non souhaitée des systèmes d'exploitation. L'un des exemples présentés est le fait qu'il est demandé à un certain nombre d'agents de venir un samedi pour rattraper un retard dans le traitement des dossiers occasionné par une surcharge de travail. Lorsqu'ils arrivent le samedi, le système d'exploitation se met à jour ce qui leur fait déjà perdre vingt minutes et, ensuite, l'outil logiciel qu'ils devaient utiliser n'est plus disponible après la mise à jour du système d'exploitation. Ce sont des coûts dont on parle rarement, beaucoup moins que des rançongiciels qui sont des accidents. Cet exemple n'est pas un accident, c'est un coût récurrent qui impacte les administrations et pas seulement. De ce fait, les entreprises ne peuvent pas atteindre le meilleur de leur performance. Les coûts entraînés par un tel phénomène, qui engendrent de plus des coûts de maintenance, sont liés uniquement à une évolution du matériel, et même ici uniquement du système d'exploitation, qui n'est pas souhaitée.
J'ai un dernier exemple très concret, celui de mon boulanger qui m'a dit ne détenir absolument aucune information confidentielle ou stratégique. Un jour, il passe par mail à son fournisseur de farine des commandes plus importantes que celles qu'il fait d'habitude pour une raison quelconque qui fait qu'il a vendu plus de pain que d'habitude. Il se trouve que tous les boulangers en Europe ont vendu plus que d'habitude et donc rachètent plus de farine. Ils envoient tous par mail des commandes à leurs fournisseurs. Nous voyons alors l'expression concrète du big data : il existe des sociétés dont le métier est de récupérer des informations anonymisées, de les traiter, d'en tirer des tendances et d'acheter des actions sur les marchés pour faire des gains financiers avant même que le travail ait été fait par le fournisseur et l'acheteur. Cette capacité à intervenir sur le marché du blé en l'occurrence et donc à en tirer des profits sur notre dos avant même que le travail ait été fait est un préjudice difficile à apprécier mais qui est réel quotidiennement, aujourd'hui, tant que nous n'avons pas la capacité de protéger la totalité de nos données, y compris celles de mon boulanger.
Voilà pourquoi il est nécessaire d'être souverain sur la totalité des données. La perte de souveraineté constitue du piratage et du sabotage d'entreprises. Le rançongiciel est du piratage lorsqu'il se contente de demander de l'argent et devient du sabotage lorsque nous ne parvenons pas à avoir les codes de déchiffrement. De plus, si le chiffrement était dormant depuis six mois, même les sauvegardes sont corrompues d'où des problèmes pour les entreprises. C'est même parfois un assassinat lorsque les gens impactés se suicident. Ce n'est pas moi qui le dis mais une source de la gendarmerie nationale l'explique très clairement et ce n'est pas anecdotique. C'est donc très grave.
Comment se fait-il que, après cinquante ans d'informatique, nous en soyons toujours à avoir des problèmes de ce type ? Il est tout de même étonnant que nous ne parvenions pas à sécuriser les ordinateurs que nous utilisons. Il faut bien comprendre que, dans un ordinateur, tout passe par le système d'exploitation. Aucun logiciel ne peut fonctionner sans que les entrées et sorties de ce logiciel passent par le système d'exploitation : le clavier, l'ethernet donc internet, la souris, l'écran… Le code secret que vous tapez pour chiffrer un fichier que vous voulez sécuriser passe par le clavier donc par l'OS qui prend le code pour le donner à votre logiciel de chiffrement. Même lorsque vous installez un logiciel, c'est en fait le système d'exploitation qui installe le logiciel comme il a envie de l'installer.
Le problème est que les OS contiennent des portes dérobées – back doors – et des failles. Nous en découvrons régulièrement dans tous les OS. Vous devez donc avoir une entière confiance dans celui qui a fait l'OS et dans l'OS lui-même.
Or, aujourd'hui, ceux qui ont fait les OS n'ont pas les mêmes intérêts que nous. Ils défendent leur propre pouvoir d'achat, le pouvoir d'achat de leur pays, leur culture et tout le reste. Parfois, certains disent que les emplois qui en découlent nous permettent de travailler. Le problème est que ce sont des emplois précaires, pauvres, parce qu'ils dépendent de modifications non souhaitées qui provoquent des coûts de maintenance chez nous. Ces coûts de maintenance sont totalement dépendants du bon vouloir de ceux qui font les modifications des systèmes d'exploitation. Les entreprises françaises ont ainsi décidé de changer un quart de leur parc informatique chaque année et nous voyons bien le coût que représente le fait de changer un quart du parc alors qu'il n'y en a pas besoin fondamentalement.
Il existera donc toujours un différentiel de productivité entre les concepteurs des systèmes d'exploitation et ceux qui se contentent de les utiliser. Ce différentiel de productivité nous met toujours en difficulté commercialement.
Lorsque les amortisseurs d'une voiture sont fatigués, que faut-il faire ? Changer toutes les routes de France, les élargir, mettre des barrières pour que cette voiture puisse rouler ? Vaut-il mieux changer les amortisseurs de la voiture ? Aujourd'hui, la meilleure solution serait d'avoir un ordinateur de confiance qui permettrait d'éviter toute cette charge.
Actuellement, environ 60 000 personnes travaillent dans la cybersécurité en France. Ces 60 000 personnes dans la cybersécurité ne produisent rien, c'est une charge pour les entreprises, pour toutes les entreprises françaises et européennes. Pourtant, lorsque nous posons la question à un directeur des services informatiques (DSI), il répond qu'il n'existe pas d'alternative. Il a raison, il n'existe pas d'alternative et nous retrouvons ce que dit Bernard Benhamou : « nous sommes obligés ».
Nous avons proposé une alternative. Nous sommes français et nous avons les mêmes intérêts que tous les Français. Nous avons conçu un « hardware », un OS et des logiciels. Nous avons vendu le tout à des industriels de la région lyonnaise pour démontrer la faisabilité. En effet, lorsque nous avons dit que nous pouvions le faire voici six ans, personne ne nous a crus, en particulier pas la Banque publique d'investissement (BPI). Nous avons donc décidé d'investir sur fonds propres en comprenant que, tant que nous n'aurions pas démontré la faisabilité, il serait impossible d'en parler. Il existe ainsi aujourd'hui des entreprises qui fonctionnent quotidiennement avec des systèmes 100 % français.
Nous avons proposé le Business Computer à des DSI de grandes entreprises et à des administrations, dans le but de faire baisser le coût de la facture informatique de façon générale. Nous avons alors rencontré ce que nous appelons le « syndrome du DSI ». De quoi s'agit-il ?
Lorsqu'un directeur général (DG) d'une entreprise parle à son directeur commercial, il utilise des termes tels que « marge », « part de marché » que tout le monde connaît ce qui leur permet de se comprendre. Lorsqu'un DG parle à un DSI, le problème est qu'ils ne parlent pas du tout la même langue. Le DSI parle de machine virtuelle, d'architecture trois tiers, de VPN, d'agrégateur de liens, de noyau… et le DG, ne comprenant même pas la langue, donne à son DSI l'entière responsabilité de la gestion informatique de l'entreprise. Comme le DSI est responsable de tout du fait que personne ne comprend ce qu'il fait, il choisit des solutions standard pour que, en cas de problème, il ne lui soit pas reproché d'avoir utilisé autre chose, tout en connaissant parfaitement les risques encourus.
Lorsque nous nous adressons à un DSI pour lui proposer un système de confiance français, la phrase que nous entendons systématiquement est : « Je ne peux pas introduire dans mon entreprise un matériel atypique car, au moindre problème, je prendrais le risque de me faire licencier. » Les choix en matière de souveraineté numérique ne sont donc pas guidés par les intérêts des entreprises mais par un problème d'habitude, peut-être parfois un manque de compétences compréhensible car l'informatique est un domaine très compliqué.
Si les directeurs généraux étaient conscients des risques, toute une part de la numérisation des entreprises ne se ferait pas. Par exemple, nous voyons aujourd'hui dans les entreprises des broyeurs de documents ; toute l'information est dans le cloud ce qui est une incohérence totale, donne un faux sentiment de sécurité aux gens et rend encore plus dangereuse l'utilisation de l'informatique dans certains cas de figure.
Nous en avons conclu que c'était aux institutions que revenait la charge d'aider les différentes composantes de la société à jouer collectif sur le sujet, à cautionner des solutions informatiques françaises comme le gouvernement américain l'a fait pour IBM, Facebook, Google et Amazon. C'est tous ensemble que nous pouvons renverser la tendance.
Nous avons donc contacté un ministère pour proposer notre Business Computer. Nous avons été mis en relation avec le responsable informatique du ministère qui m'a répondu ne pas pouvoir acheter un système français pour équiper son ministère s'il n'est pas certifié par l'ANSSI. Nous retombons donc sur le syndrome du DSI qui veut du matériel standard, certifié et ne le fait sinon pas rentrer dans l'entreprise. Nous ne pouvons donc pas créer en France une solution informatique innovante puisque l'ANSSI demande de faire un gros chiffre d'affaires pour accepter d'ouvrir un dossier de certification et que, pour faire un gros chiffre d'affaires, il faut être certifié. Il n'est pas possible d'entrer dans le système.
J'ai évoqué auprès de ce fonctionnaire du ministère le décret n° 2018-1225 qui permet à l'administration d'acheter une start-up hors cadre des marchés publics pour réaliser une preuve de concept. Ce décret tombe à pic ; il est très bien fait et permet de lever une barrière technique qui a sa justification puisque le code des marchés publics est très utile également. Le responsable informatique du ministère m'a répondu : « Ce n'est pas mon problème ! » Si ce n'est pas le problème de celui qui décide sous la tutelle du veto de l'ANSSI, il n'est pas possible aujourd'hui, en France, de proposer une véritable souveraineté numérique, du fait des institutions.
Il est clair que l'informaticien et l'ANSSI ne doivent pas détenir un pouvoir de veto sur le déploiement de solutions innovantes, françaises et, en définitive, favoriser en creux le déploiement de solutions étrangères qui ne sont pas plus certifiées et pas certifiables. C'était le sens du décret, décret que personne ne met en œuvre. Le simple fait que la solution soit française devrait au minimum susciter de l'intérêt et ce n'est pas le cas.
Nous n'en sommes pas restés là. Nous avons un client dans le secteur de la dissuasion nucléaire. Je vous rappelle qu'il s'agit de bombes atomiques et de missiles. Ce client est audité régulièrement par l'ANSSI. Nous lui avons proposé notre matériel. Il nous a répondu, selon le même syndrome du DSI, qu'il ne peut pas proposer nos produits à sa direction ni à ses clients parce qu'il a peur que l'ANSSI ne certifie pas leur système s'il contient nos solutions. Cela signifie que, aujourd'hui, en France, nous utilisons pour la dissuasion nucléaire française des systèmes étrangers, pas certifiables du tout puisque nous n'avons pas accès aux sources des programmes, et que, pour faire de la bureautique dans les ministères, un système français qui pourtant serait certifiable n'est pas accepté. Je vous laisse seuls juges.
La doctrine de l'ANSSI n'est actuellement pas compatible avec le déploiement de solutions innovantes de sécurité françaises. L'ANSSI dispose d'un pouvoir de décision sur des choix de marchés stratégiques sur lesquels la France doit concentrer ses efforts. Or, ce type de choix ne fait pas partie des compétences des informaticiens. Ils ne sont pas formés pour. La doctrine de l'ANSSI consistant à dire que les Américains ont trop d'avance et donc que c'est peine perdue d'essayer de prendre des parts de marché dans le secteur des ordinateurs souverains est une erreur stratégique grave pour la France et l'Europe. Vous ne pouvez pas dire aux Français et à des chefs d'entreprise que nous abandonnons avant même d'avoir essayé la conquête d'un marché européen de 200 à 300 milliards d'euros. C'est tout simplement inaudible.
Tout ceci contraste avec la volonté manifeste de souveraineté du Président de la République dans pratiquement tous ses discours. Cela contraste également avec les injonctions de Bruno Le Maire envers les entreprises auxquelles il demande en substance de faire comme les grandes entreprises étrangères qui rencontrent un grand succès. Comment faire, puisque toutes les entreprises françaises partent avec un handicap que l'ANSSI, par idéologie, ne cherche pas à combler ?
Il faut comprendre que le système d'exploitation et le « hardware » sont la clé de voûte de toute la filière. Beaucoup de chefs d'entreprise en France l'ont très bien compris. Le Collectif des 200 qui s'est créé le crie haut et fort. La suprématie américaine s'est créée par exemple parce que les fabricants d'OS ont choisi des puces électroniques américaines pour équiper les ordinateurs américains. Si nous créons demain en France une véritable filière d'informatique souveraine, nous pourrons choisir par exemple des composants de STMicroelectronics ce qui lui permettra de faire beaucoup plus de chiffre d'affaires. Grâce à ce chiffre d'affaires, peut-être STMicroelectronics auraient-il pu avoir les moyens de racheter ARM, ce qui n'a pas été le cas. C'est ainsi que fonctionne une filière. En partant de l'ordinateur et de l'OS, nous finançons toute la filière.
En concevant vous-même un OS, vous avez six mois d'avance sur tous les autres développeurs qui l'utilisent. C'est ce qui a permis aux Américains de proposer dans des solutions standards du marché des fonctionnalités avec six mois d'avance sur tous les autres. Dans le monde de l'informatique, cet avantage de six mois est fondamental.
Celui qui fait l'OS, par la force des choses, choisit également par exemple la langue dans laquelle la documentation d'utilisation du système d'exploitation est écrite. Que ce soit clair, aujourd'hui, pour les jeunes Français, l'anglais est du chinois donc ils sont forcément pénalisés en faisant face à deux problèmes différents, l'informatique et la langue, deux pédagogies différentes, deux temps différents. Disposer d'une documentation en français pour apprendre à coder permettrait d'être beaucoup plus productif dans les entreprises et, par effet différentiel, d'autres le seraient moins. Il faut jouer collectif, travailler ensemble comme le font très bien les Allemands et les Américains. Ce n'est pas le cas en France.
J'ajoute que des économistes disent souvent à la radio que, à chaque bouleversement technologique, il y a toujours des gagnants et des perdants mais que, cette fois, nous n'avons pas vu les gagnants. Ils sont étonnés que la croissance soit absente. En fait, ils ne regardent pas bien. Aux États-Unis, la filière informatique représente 1 000 milliards de dollars de chiffre d'affaires et un million d'emplois directs.
La marge financière des entreprises françaises est aujourd'hui siphonnée par les coûts des solutions informatiques étrangères. Ce sont des coûts totalement prohibitifs et non justifiés. Nous sommes dans un piège et il est nécessaire de retourner la situation tout de suite. Les systèmes informatiques sont beaucoup trop sensibles et font courir un risque systémique grave à toutes nos entreprises et à notre société.
Il est urgent de changer d'objectif, de passer d'un objectif de toujours plus à un objectif de résilience de nos systèmes. Il est donc nécessaire de disposer d'un hardware et d'un OS conçus pour défendre nos intérêts économiques, respecter nos valeurs européennes, notre vision de l'avenir, notre indépendance, en bref, notre souveraineté.