Connexion Premium

Les propositions radicales de la commission de l’Assemblée sur la souveraineté numérique

À balles réelles

Les propositions radicales de la commission de l’Assemblée sur la souveraineté numérique

Illustration : Flock

Un lourd rapport a été publié ce 15 juillet, suite aux travaux de la commission lancée en février pour analyser les dépendances structurelles et les vulnérabilités systémiques dans le secteur du numérique et les risques pour l’indépendance de la France. Cette commission, présidée par Philippe Latombe avec Cyrielle Chatelain comme rapporteure, pointe six grandes catégories de failles et liste de nombreuses recommandations, dont certaines radicales.

Cet épais rapport sur la souveraineté numérique de 453 pages est le fruit d’un travail ayant réuni 26 députés issus de l’ensemble des groupes politiques. Le rapport a été adopté le 8 juillet, à l’issue de 45 auditions, 112 personnes ayant été entendues. Une semaine plus tard, le rapport est en ligne et une conférence de presse a été organisée pour en brosser les grandes lignes.

Constats amers

Dès l’avant-propos, Philippe Latombe donne le ton. Lui qui est également président de la commission chargée d’examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité situe le rapport dans la continuité d’une mission d’information qu’il avait déjà consacrée à la souveraineté numérique en 2021. Le propos se fait volontiers acide : « Mon principal regret reste sans doute qu’il ait fallu attendre l’ère MAGA pour qu’un plus grand nombre de politiques et de groupes parlementaires s’intéresse aux dépendances structurelles et aux vulnérabilités systémiques de la France dans le secteur du numérique, ainsi qu’aux risques pour l’indépendance et la souveraineté de notre pays ».

Le député dit avoir été « peu suivi » et « trop souvent cantonné au rôle de Cassandre ». À ceci près que le personnage mythologique « n’avait à alerter que sur un cheval de Troie, alors que nous devons faire face à une multitude de vulnérabilités : fournisseurs américains de cloud, systèmes d’exploitation étrangers, nombreux composants électroniques asiatiques, infrastructures internet mondiales… ».

L’introduction situe ensuite le périmètre retenu. D’une part, les administrations publiques et les entreprises d’intérêt vital, jugées prioritaires en raison de leur criticité. D’autre part une approche plus large des « dépendances systémiques », couvrant six familles de vulnérabilités. La commission indique explicitement ne pas avoir traité en détail la cybersécurité proprement dite ni les dépendances matérielles, qui font l’objet de travaux distincts.

Les six catégories de vulnérabilités sont les suivantes :

  • les failles démocratiques à travers les ingérences et la désinformation. Les algorithmes de recommandation des plateformes privées sont pointés du doigt, dont celui de X au travers des travaux menés par Germain Gauthier, directeur de recherche au CNRS : jusqu’à 15 % des électeurs indépendants peuvent changer d’opinion après une exposition aux réseaux sociaux ;
  • l’exploitation des failles techniques dans les administrations et les entreprises, et le torrent d’attaques cyber qui en découle, avec pour preuve les multiples fuites référencées ces dernières années ;
  • la quantité croissante de données à stocker et à protéger, avec les trois thématiques liées : légalité des traitements opérés (RGPD), extraterritorialité du droit (tout particulièrement américain) et captation des données ;
  • la primauté du profit sur les libertés individuelles, qui entraîne violation de la vie privée, exposition à des contenus nocifs et développement d’algorithmes addictifs ;
  • le verrouillage et la dépendance des utilisateurs, pratique jugée comme étant « au cœur des stratégies des fournisseurs de logiciels » ;
  • les vulnérabilités liées aux infrastructures et aux composants clés.

Où en sont les administrations françaises ?

C’est le chapitre le plus documenté du rapport. La méthodologie a reposé sur des questionnaires envoyés à l’ensemble des directions numériques ministérielles (annexe 2), complétés par des auditions des directeurs des systèmes d’information.

Il en est notamment ressorti que sur les 466 applications recensées dans l’administration (liste non exhaustive), les deux tiers ont été développées spécifiquement pour les besoins associés, dont 57 % par des prestataires externes. L’analyse croisée par pays d’origine montre que les fournisseurs français dominent largement les applications les plus critiques : 69 % pour la catégorie 1 (atteinte à l’ordre public, sécurité, vie des personnes) et 83 % pour la catégorie 2 (interruption d’une mission de service public essentielle), soit respectivement 81 et 228 applications. Les États-Unis arrivant en deuxième position avec 7 et 12 applications respectivement.

Il reste 73% de l'article à découvrir.

Cadenas en colère - Contenu premium

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Commentaires (4)

votre avatar
Pour le "zero microsoft" dans les écoles, je pense au école d'ingé ou "etudiant" ou l'on offre des tas de réduction ou gratuit car "l'etudiant d'aujourd'hui est le chef de projet de demain" (doctrine affiché en grand quand je travaillait dans une grande boite de logiciel du Texas), que propose le gouvernement ? un package "souverain" ? espace de stockage chiffré de bout en bout, email, depot git, des cours de programmation standard et LLM ?
votre avatar
et sinon personne n'a demandé à Marc Rees ou à l’équipe de next leur avis, vu que vous en parler quotidiennement ?
votre avatar
C'est bien gentil de chercher de la souveraineté mais sur quelle base légale ?
Le commerce est une compétence européenne, et l'Europe a décidé que les clauses sur le cloud sont exclusivement techniques. Donc hormis quelques cas critiques, nos administrations et entreprises sont à la peine pour monter des appels d'offres conformes qui imposeraient SecNumCloud.
votre avatar
Y'a pas que le logiciel. Les équipements réseaux sont aussi source de problème du genre.
Les FAIs sont des Opérateurs d'Infrastructures Vitales. Ce qui veut dire aussi : sécurité nationale. Donc l'Europe pour ces cas n'a rien à dire.