Je commencerai par répondre à la question relative aux prestataires qualifiés. Aujourd'hui, l'ANSSI invente – c'est son rôle – certains métiers autour de l'audit, de la réaction aux incidents informatiques et de leur détection. Nous inventons des processus, parce qu'il n'existe aucun manuel ancien expliquant comment faire ces métiers. En revanche, nous sommes incapables d'exercer ces métiers auprès de l'ensemble des victimes à protéger. Même en se cantonnant aux victimes les plus sensibles, en commençant par les opérateurs d'importance vitale, l'ANSSI n'a pas les moyens de protéger tout le monde – et ne les aura pas, car ce ne serait pas une bonne chose. Nous avons choisi un modèle consistant à développer des compétences, à assurer leur maîtrise en interne, et à encourager des prestataires privés de confiance à développer les mêmes métiers.
C'est là qu'intervient la question de la qualification, qui est un acte d'évaluation fondé sur un référentiel public auquel des entreprises se soumettent volontairement pour, le cas échéant, obtenir in fine une qualification que je délivre au nom du Premier ministre dans les métiers d'audit, de détection et de réaction aux incidents – étant entendu que nous allons continuer d'enrichir la palette des métiers. Il en résulte à l'évidence un effet de levier. Incidemment, le problème du financement est en partie résolu, ces métiers de l'audit et de la détection de haut niveau ayant un coût ; ils relèvent en l'occurrence du domaine des contrats privés. Je n'impose jamais à un quelconque opérateur d'importance vitale ou autre de travailler avec tel ou tel partenaire ; il appartient à chacun d'entre eux de choisir le prestataire qualifié – c'est-à-dire fiable et compétent – qui convient à la mission recherchée.
L'ANSSI peut ainsi, avec ses moyens propres qui, quoique non négligeables, sont clairement bornés, se concentrer sur les cas les plus sensibles dans lesquels il n'est pas souhaitable de recourir à un prestataire privé – je pense à certains cas étatiques – et sur des cas nouveaux qu'il faut défricher pour inventer de nouveaux métiers. Les auditeurs de l'ANSSI, par exemple, qui savent faire le travail des attaquants et sont donc capables de tester la vulnérabilité des systèmes, effectuent des inspections ministérielles – un champ que nous préférons maintenir au niveau étatique – ou examinent des systèmes atypiques dont nul ne sait encore vraiment comment vérifier le niveau de sécurité. Une fois la connaissance acquise, ils la transfèrent aux prestataires privés qualifiés.
En matière de puissance de calcul, il existe une asymétrie totale entre les attaquants et les défenseurs. Les attaquants n'ont pas besoin – du moins pas encore – de puissance de calcul : une attaque ne nécessite que des moyens très simples et ne coûte presque rien. Pour se défendre, en revanche, nous avons un besoin croissant de puissance de calcul – ainsi que pour les actions de cryptanalyse, qui relèvent pour l'essentiel de la DGSE. De même, l'ordinateur quantique servira principalement à déchiffrer des communications.
L'ANSSI qui, étant un service du Premier ministre, n'est pas directement concernée par le volet programmatique de la LPM, achève actuellement la construction d'un centre de données de très grande taille pour anticiper la transformation de notre métier. Nous allons en effet devoir traiter et conserver un volume croissant de données techniques, ou métadonnées, en provenance notamment des sondes placées dans les ministères. La conservation des données n'est pas un but en soi et ne répond pas un objectif de renseignement ; elle sert simplement à pouvoir remonter dans le temps. Or, la conservation de téraoctets de données et la capacité à les fouiller pour vérifier si une menace nouvelle est déjà apparue dans le passé ont un coût et nécessitent de véritables capacités de calcul. Cela étant, je ne peux pas vous dire si la LPM est adaptée de ce point de vue.
Le débat sur la souveraineté des logiciels est récurrent. Soyons clairs : il n'est heureusement pas nécessaire, pour bâtir un système souverain, que tous ses composants soient souverains eux aussi – chose que nous n'avons jamais su et ne saurons jamais faire. Il faut donc accepter que des microprocesseurs, des ordinateurs ou des logiciels ne soient pas totalement maîtrisés – dans le cas contraire, le coût serait délirant. Dans certains cas – je me fonde en l'occurrence sur mon expérience à la direction générale de l'armement – nous identifions des briques, qu'il s'agisse de logiciels ou de matériels, qui doivent impérativement être maîtrisés : mieux vaut par exemple ne pas acheter un composant de chiffrement dans un chiffreur gouvernemental ailleurs que chez un industriel en qui nous avons une totale confiance, voire, en pratique, le fabriquer en étroite coopération avec l'industriel en question.
Puis se pose la question de l'assemblage et de l'intégration des briques maîtrisées avec d'autres briques qui ne le sont pas ou peu afin de bâtir un système globalement sûr. Contrairement à une idée simple mais courante, la sécurité d'un système ne se réduit pas à la sécurité de son maillon le plus faible, car un système complexe ne se réduit pas à une simple chaîne. En jouant sur l'architecture et la conception même des systèmes, il est possible d'intégrer des composants qui ne sont pas maîtrisés en toute confiance – encore faut-il être capable d'effectuer ce travail architectural. De ce point de vue, de nombreux industriels de l'armement vivent une révolution depuis quelques années : ils étaient jusqu'à récemment d'avis que la partie logicielle ne les concernait pas, et voilà qu'ils se transforment de plus en plus souvent en éditeurs logiciels. Hervé Guillou aime à dire qu'un bateau est désormais constitué de 50 % de logiciels et de 50 % de chaudronnerie, la seconde part étant destinée à poursuivre sa diminution au profit de la première. Or, tous les logiciels d'un bateau ne peuvent pas être maîtrisés.
On peut certes s'interroger sur certains logiciels comme ceux de Palantir ; de même, l'ombre de la suite Microsoft plane à chaque fois que l'on parle de logiciels souverains. L'essentiel est de disposer d'une architecture globale qui permette d'utiliser ces logiciels de manière précautionneuse. Il va de soi qu'il faut par exemple déconnecter les logiciels Palantir, qui permettent d'effectuer des recherches dans les données, car il est hors de question que l'éditeur de Palantir ait accès aux données opérationnelles traitées par le logiciel. Or, c'est de plus en plus compliqué : de nombreux éditeurs logiciels, en effet, dégagent leur plus-value en fournissant non plus un simple CD-ROM comme autrefois mais un système à distance, en cloud, qui, pour fonctionner, ne doit plus se trouver chez le client mais chez l'éditeur, ce qui soulève de nombreuses questions. S'agissant de Palantir, il existe une volonté globale de créer une alternative française de confiance, et la DGA y travaille. Quant au programme d'études amont (PEA) ARTEMIS, l'ANSSI y consacre une part substantielle de ses moyens et entretient à cet égard des liens de confiance étroits avec la DGA.
Je conclurai néanmoins par une note quelque peu pessimiste : en toute objectivité, le développement logiciel n'est pas le point fort de la France et ne l'a jamais été. C'est ce qui justifie l'idée que nous avons eue, en commun avec la DGA et la direction générale des entreprises de Bercy, de nous concentrer sur les sujets critiques plutôt que de chercher à redévelopper en France tous les types de logiciels, ce que nous ne parviendrions pas à faire.
J'en viens à la sécurité des sondes des opérateurs. Avant même de songer à installer de nouvelles sondes, il faut exploiter celles dont ils disposent. En réalité, les opérateurs sont déjà très actifs pour détecter les menaces qui les visent, car ils sont obsédés par la protection de leur système central, leur backbone. Les opérateurs d'importance vitale ont non seulement le droit mais l'obligation de se doter de systèmes de détection qualifiés et de haut niveau pour se protéger eux-mêmes. Disons, en guise d'analogie, qu'il s'agit de rendre les tuyaux complètement étanches afin qu'ils ne polluent surtout pas l'opérateur lui-même bien qu'ils transportent n'importe quoi, la qualité de l'eau ainsi transportée n'étant pas contrôlée. C'est précisément la qualité de l'eau que nous voulons désormais examiner. Encore une fois, les réseaux propres des opérateurs, eux, sont normalement déjà couverts ; nous travaillons avec eux depuis longtemps et procédons à des inspections pour vérifier la sécurisation de leurs backbones, par crainte d'une attaque qui provoquerait l'effondrement de leurs systèmes, ce qui produirait des effets en cascade dramatiques – raison pour laquelle je place les opérateurs de communications électroniques sur le même plan que l'énergie et les transports en ce qui concerne le caractère prioritaire de la prise en compte de la menace car, quoique moins spectaculaire, la perte des télécoms et d'internet aurait des effets terribles.
Je ne suis pas entré dans le débat relatif aux métadonnées.