Intervention de Jean-Claude Laroche

La souveraineté numérique est, depuis plusieurs années, un sujet d'intérêt pour le Cigref. C'est une question qui fait débat au sein même du Cigref, entre ses différents membres, puisque les grandes entreprises adhérentes ont souvent une activité à l'échelle de la planète, partout dans le monde. La question de la souveraineté ne se pose donc pas de la même manière selon que nous regardons uniquement le périmètre du territoire national ou plus largement l'ensemble de la planète où nous pouvons exercer nos activités.

Pour les entreprises, être souverain signifie réussir à maîtriser ses choix et son avenir dans le domaine numérique. Cela suppose de disposer de composants numériques qui soient auditables et maîtrisés :

– auditables. Cela signifie, lorsque nous avons une relation contractuelle avec des fournisseurs de solutions, de services ou de systèmes numériques, que nous avons besoin de savoir si ces produits ou systèmes répondent à un certain niveau de sécurisation, ce qu'ils font, mais aussi parfois comment ils sont fabriqués par nos fournisseurs ou prestataires.

– maîtrisés. Cela signifie, lorsque nous faisons appel à une solution, que nous sommes très attentifs à ce que celle-ci fasse ce que nous souhaitons et ne fasse pas ce que nous ne souhaitons pas qu'elle fasse, et ce dans la durée.

Voilà comment nous définissons notre capacité à maîtriser les solutions numériques que nous utilisons.

Du point de vue des grandes entreprises et des administrations adhérentes du Cigref, la situation est aujourd'hui une situation d'extraordinaire dépendance. Nous sommes dépendants de toutes sortes d'acteurs et de solutions qui, très souvent, ne sont pas européennes. C'est vrai dans le domaine des logiciels. Typiquement, nous utilisons des systèmes d'exploitation tels que Windows, de Microsoft, et des suites bureautiques de Google ou de Microsoft comme Microsoft Office, Word, Excel, etc. Ces solutions sont américaines. Le moteur de recherche très souvent utilisé est Google. Il en va de même pour les outils de communication, comme vous le voyez bien vous-même, puisque vous utilisez pour la mission sur la souveraineté le produit Zoom. Nous disposons aussi de solutions comme Teams, BlueJeans, Verizon ou Skype, qui sont américaines. Notre dépendance est presque totale.

En ce qui concerne les matériels, la situation n'est guère plus brillante dans la mesure où, par exemple, nos data centers sont très souvent constitués de composants américains. Les routeurs dont sont munis les data centers de nombre de nos adhérents sont souvent de marque Cisco. C'est également vrai pour le matériel qui équipe les bureaux. Les ordinateurs personnels sont souvent fabriqués en Chine, avec des composants américains conçus et parfois développés en Israël.

Est-ce un problème pour notre capacité à maîtriser nos systèmes numériques ? Oui, c'est un problème notamment sur deux volets.

Le premier volet est une certaine fragilité dans la protection de nos informations. Plus nous faisons appel à des solutions tierces, notamment à des solutions développées dans des pays extra-européens et qui sont soumis à des juridictions extra-européennes, plus la protection des informations qui circulent dans ces composants techniques ou dans ces solutions représente un problème pour nous.

Le second volet concerne la supply chain. Au moment de la pandémie, par exemple, un certain nombre de nos adhérents se sont demandé s'ils réussiraient à s'approvisionner en masse en ordinateurs portables pour assurer le passage en télétravail massif des salariés de leurs organisations.

La fragilité de la supply chain et celle de la protection de l'information constituent donc deux questions majeures pour les adhérents du Cigref.

Vous pouvez me dire que ces questions concernent les entreprises, mais qu'elles ne sont pas vraiment des questions de souveraineté. Comment abordons-nous, au Cigref, la question de la souveraineté ? Pour nous, la souveraineté est avant tout un attribut des États, plus que des entreprises. La souveraineté est a priori la capacité des États à exercer leur pouvoir sur une zone géographique donnée et une population donnée mais, évidemment, l'espace numérique est un espace particulier. En effet, la notion de territorialité dans l'espace numérique est différente de celle de l'espace physique. Les notions de frontière n'existent pas, ou pas de la même manière, et je ne parle même pas des questions d'identité. La question de l'identité numérique est une question en tant que telle.

Nous nous sommes donc interrogés pour savoir ce que nous pouvions entendre par souveraineté numérique. Pour nous, la base de l'exercice de la souveraineté dans l'espace numérique est la capacité à assurer la sécurité des biens et des personnes qui fréquentent l'espace numérique, la capacité à assurer la sécurité des activités légales des entreprises et des administrations publiques. Nos adhérents, clairement, ont besoin d'être en sécurité lorsqu'ils utilisent le cyberespace. Ils ont besoin que les autorités nous assurent que nous exerçons nos activités en sécurité, c'est-à-dire que les autorités garantissent l'ordre public dans cet espace. Au fond, les grandes entreprises et les administrations adhérentes du Cigref ont besoin que le cyberespace soit un espace de droit, dans lequel on fasse respecter le droit.

De notre point de vue, il existe un déficit dans la capacité des États – de l'État en France, mais pas seulement – à assurer cette sécurité dans le cyberespace. La capacité des États à assurer une forme de souveraineté sur l'espace de leurs propres ressortissants utilisant le cyberespace est clairement en retard par rapport à la rapidité du développement des usages du numérique et l'augmentation du niveau de dépendance de nos entreprises et de nos économies à l'égard du numérique. Nous avons besoin que les pouvoirs publics développent les outils de la puissance publique pour garantir cette base qu'est la sécurité de l'exercice de nos activités dans l'espace numérique. Cela suppose évidemment une volonté politique.

Dans quelle mesure la crise sanitaire a-t-elle modifié la perception que nous avons de la notion de souveraineté et de nos besoins dans ce domaine ? La crise sanitaire a un peu bouleversé la donne sur deux sujets et d'abord celui des usages. Elle a provoqué une explosion des usages du numérique dans tous les domaines. Cette tendance concerne aussi bien les étudiants qui suivent leurs cours au moyen des outils numériques que les personnes qui ont besoin d'un ordinateur pour accéder aux services de l'administration et parfois même tout simplement pour faire des courses et se faire livrer. Nous avons aussi constaté une explosion du télétravail et il faut des outils numériques pour télétravailler. Nous avons donc besoin de faire transiter de l'information, parfois sensible, à travers des réseaux et des systèmes qui nous permettent de travailler à distance.

Sur le plan des technologies, cette évolution a mis en évidence la centralité du cloud, de l'informatique en nuage, pour pouvoir exercer son activité depuis n'importe quel terminal, depuis n'importe quel lieu, à n'importe quel moment. C'est le cloud qui le permet en termes d'infrastructures. Il s'ensuit le besoin urgent d'un cloud de confiance pour les grandes entreprises et les administrations françaises, de sorte que nous puissions travailler à distance, sur la base d'infrastructures partagées dans le cloud et en toute sécurité.

Que signifie un cloud de confiance ? Volontairement, nous ne parlons pas de cloud souverain, puisque toutes sortes de technologies peuvent se trouver dans un cloud, y compris des technologies américaines, israéliennes… Nous avons essayé de définir un cloud de confiance, d'abord comme un cloud immune au droit extra-européen. Typiquement, il ne faut pas qu'un juge d'un pays extra-européen puisse s'appuyer sur la législation de son État pour aller regarder les données hébergées dans le cloud d'une entreprise qui serait considérée comme extra-européenne et appartenant à cet État.

Deuxièmement, un tel cloud doit être sécurisé avec tout ce que cela suppose en matière de cybersécurisation.

Troisièmement, un tel cloud doit permettre d'entretenir une relation de confiance avec le prestataire du cloud, c'est-à-dire répondre à des besoins de réversibilité – la capacité à récupérer ses données et à les porter ailleurs, dans un autre cloud, pour faire jouer la concurrence – ainsi qu'offrir une véritable portabilité des données et une auditabilité de la solution.

Un tel cloud de confiance permettrait d'héberger également des solutions collaboratives de grands hyperscaleurs américains. Pour nous, le fait que le cloud ait ces caractéristiques ne signifie pas qu'il n'héberge pas de solution extra-européenne ; il pourrait héberger n'importe quel type de solution, mais en les protégeant suffisamment pour que nous soyons assurés, en utilisant ce cloud, de la relative immunité des données qui s'y trouvent.

Nous exprimons également des besoins dans d'autres domaines pour accroître une certaine forme de souveraineté, c'est-à-dire de maîtrise de l'espace numérique. L'État en France pourrait être beaucoup plus volontariste dans la promotion de l' open source. Il offre des solutions parfois tout à fait compétitives comparées aux solutions des grands éditeurs de logiciels, y compris dans le domaine des suites bureautiques. Ces solutions sont utilisées par l'administration, mais il faut en faire une véritable promotion pour que les acteurs autres que les acteurs publics s'en emparent, les utilisent, les apprécient, aident à les améliorer, y compris dans les communautés de développeurs. La promotion de l' open source constitue une des voies qui nous permettrait de limiter notre dépendance à l'égard des grands acteurs extra-européens en matière de solutions logicielles.

Je prends un exemple : nous sommes sur Zoom aujourd'hui. Comment imaginer que, avec de très grandes entreprises de services numériques comme nous en avons sur le territoire national, nous ne soyons pas capables, au niveau national ou européen, de développer une grande solution de visioconférence qui soit largement partagée et utilisée ? Cela nous interroge.

Pour les grands acteurs, la visioconférence est un outil de pénétration auprès de l'ensemble de la population. Tout le monde a besoin d'une visioconférence aujourd'hui. Pour un acteur tel que Microsoft ou Verizon, s'imposer comme ayant la solution la plus facile à utiliser, la meilleure est un vecteur de pénétration extraordinaire et, pour nous, c'est un vecteur de dépendance extraordinaire. Au même titre que l'État a fait un gros effort pour TousAntiCovid, pourquoi ne pas avoir fait l'équivalent pour la visioconférence ?

D'autres aspects nous permettraient d'améliorer notre souveraineté, comme la protection de nos pépites. Nous avons quelques entreprises qui sont de véritables pépites et qui, malheureusement, se vendent au plus offrant pour se développer. Elles se vendent souvent à des acteurs extra-européens.

Je prends deux exemples récents. J'ai été personnellement frappé de voir le rachat de l'entreprise Sentryo par Cisco. Sentryo était spécialisée dans la cybersécurisation des systèmes d'information industriels. Cisco a proposé à Sentryo en la rachetant un financement lui permettant de développer ses activités, mais celles-ci ne sont plus françaises ou européennes. Plus récemment, Alsid qui est également une vraie pépite spécialisée dans la sécurisation des annuaires, des composants sensibles de nos systèmes d'information, a été rachetée par Tenable, une société américaine. La question de la protection et du financement de nos start-up offrant des solutions innovantes touche donc pour nous à la souveraineté.

Enfin, pour reprendre un peu de maîtrise des questions matérielles dans le domaine du numérique, il faut pour nous repartir de la base : l'industrie du microprocesseur. Il faut savoir si, au niveau européen, il y a aujourd'hui matière à relancer une industrie du microprocesseur pour ne pas laisser l'exclusivité de ces domaines à Israël, aux États-Unis et à la Chine.

Si nous voulons partir à la reconquête d'une certaine forme de souveraineté dans le domaine du numérique, nous pensons qu'il nous faut un véhicule pour ce faire. Nous l'avons fait à la Libération dans le domaine du nucléaire avec le Commissariat à l'énergie atomique. Pourquoi ne pas créer un organisme porteur des enjeux de recherche et développement dans le domaine du numérique ? Il nous permettrait de déterminer dans quels domaines nous voulons investir fortement, de tirer l'ensemble de l'écosystème numérique français et européen autour d'un certain nombre de choix d'investissements lourds. Notamment, si nous voulons redevenir présents dans le domaine des microprocesseurs, cela nécessiterait un véhicule pour y réfléchir et agir.

En introduction, vous avez parlé de la cybersécurité. La sécurisation du cyberespace repose pour nous sur quatre piliers :

– la cybersécurité elle-même, pour laquelle le plan d'accélération cyber de l'État va dans la bonne direction ;

– des questions de police et de justice pour appréhender les cybercriminels, et il nous semble que les moyens de la police et de la justice dans ce domaine ne sont pas à la hauteur du niveau des attaques et des menaces ;

– la question de la lutte informatique offensive et de son articulation avec la cybersécurité, de façon à neutraliser les cybercriminels et avoir la capacité d'aller les chercher pour détruire leur activité. C'est pour nous une prérogative des États, donc un volet de la souveraineté ;

– la sécurité des produits et services commercialisés partout, alors qu'ils ne disposent parfois d'aucun label permettant de s'assurer que ces produits et systèmes ne sont pas vulnérables ou potentiellement utilisables dans le cas d'attaques cyber.

Des textes européens ont été publiés récemment, notamment le Digital Markets Act (DMA) et le Digital Services Act (DSA). Le Cigref n'a pas vraiment étudié le DSA, qui n'est pas directement dans ses préoccupations. Nous avons davantage travaillé sur le DMA.

Enfin, les besoins de formation sont criants en nombre. Pour former beaucoup plus, il faut intéresser les jeunes gens et les jeunes filles au numérique, y compris très tôt dans les écoles. Les promotions actuellement formées dans ce domaine sont extraordinairement déséquilibrées, essentiellement masculines.