« Les gens qui prétendent avoir une solution simple à nos dépendances numériques mentent » : jeudi 30 avril, Vincent Strubel, le directeur général de l’Anssi, était interrogé par la commission d’enquête « sur les dépendances structurelles et les vulnérabilités systémiques dans le secteur du numérique et les risques pour l’indépendance de la France ». Et pour l’homme à la tête du gendarme de la cybersécurité français, « on ne va pas renverser trente ans ans de construction un peu biaisée du numérique en quelques mois ».
Car dans tous les secteurs, « on dépend de logiciels américains, chinois, européens ». Et aujourd’hui, « personne n’a la solution au problème d’une coupure généralisée d’accès à la technologie américaine, ou chinoise, ou les deux à la fois » – une situation désignée en anglais par le terme « kill switch ».
Les risques de coupures « ne sont pas théoriques »
Ce risque de coupure inquiète particulièrement les Européens depuis le retour de Donald Trump à la Maison-Blanche. Le « kill switch » pourrait, par exemple, être décidé par l’administration Trump, pour faire pression sur la Commission européenne, après une amende émise à l’encontre d’un géant américain se trouvant en violation d’une règlementation sur le numérique, des lois régulièrement fustigées par le président américain.
À lire aussi : « L’Europe a été conçue pour nous entuber » : la menace de guerre commerciale de Trump se précise
Pour le directeur général de l’Agence nationale de la sécurité des systèmes d’information, les risques de coupures de ces services numériques américains, dont nous sommes si dépendants, « ne sont pas théoriques. Parfois, on entend des discours très apaisants qui disent : “Tout ça, c’est de la théorie, évidemment ça ne sera pas utilisé contre nous” ». « À l’évidence, si ces États ont pris la peine d’inscrire ce genre de dispositions dans leurs lois, ce n’est pas pour des capacités théoriques, c’est pour les mettre en œuvre », a-t-il insisté.
Or, « si demain, pendant six mois, nous sommes privés d’accès à la technologie américaine, de mises à jour des logiciels américains », « dans le cloud, dans tous nos autres usages du numérique, nous aurons une situation intenable ». « Nous aurons un problème énorme, mais partout », a-t-il martelé devant la commission parlementaire présidée par l’élu du Modem Philippe Latombe.
Car sans mises à jour qui peuvent être quotidiennes, « le niveau de sécurité se dégrade rapidement. Ça ne veut pas dire que le service (numérique NDLR) arrête de fonctionner, ça veut dire que sa vulnérabilité s’accroît ». Comprenez : les pirates informatiques pourront plus facilement lancer des cyberattaques, avec à la clé des fuites de données, des accès à des informations stratégiques sensibles et régaliennes, des vols d’informations confidentielles, etc. « Ce problème-là se pose partout. C’est une réalité. Et personne, aujourd’hui, n’est capable en autarcie de maintenir à jour et en capacité de fonctionnement l’ensemble de son parc logiciel », a déclaré Vincent Strubel.
À lire aussi : Frédéric Pierucci, ex-dirigeant d’Alstom : « réfléchissez à deux fois avant d’utiliser des outils numériques américains »
« Le chiffrement, ça n’a jamais empêché d’interdire d’éteindre un ordinateur »
Face à ces risques, « il n’y a pas de solution purement technologique. Je le martèle régulièrement. Ce n’est pas avec du chiffrement qu’on va se protéger du Cloud Act ou de la loi FISA ». Ces législations extraterritoriales américaines imposent aux entreprises et ressortissants américains de partager des données, y compris provenant d’Européens, avec l’administration locale. Et « ce n’est pas (non plus) avec du chiffrement, à plus forte raison, qu’on va se protéger du kill switch. Le chiffrement, ça n’a jamais empêché d’interdire d’éteindre un ordinateur ».
À lire aussi : Aux États-Unis, la loi qui permet d’espionner les Européens est en cours de renouvellement
Cet argumentaire est pourtant régulièrement tenu par les géants américains du numérique, indique le dirigeant de l’Anssi. Leur discours est de dire, qu’importe le Cloud Act, puisque vos données chez nous sont chiffrées.
« Or dans le cloud, les données peuvent (en effet) être chiffrées (…). Mais le prestataire de cloud qui a accès aux données uniquement chiffrées a aussi accès à la clé qui permet de transformer les données chiffrées en données déchiffrées », souligne l’ingénieur général des Mines.
Pour le spécialiste de cybersécurité, ces questions amènent « à nous préoccuper de la nationalité du fournisseur (de solutions numériques NDLR), parce que cette dernière (la nationalité NDLR) n’est pas neutre ». Mais il ne faut pas non plus en faire « une lecture binaire parce que nationalité du fournisseur ne veut pas tout dire, il faut regarder toute la chaîne de valeur », poursuit-il.
De qui dépend-on ? La métaphore de la saucisse
Pour chaque logiciel, chaque service digital, « dans la plupart des cas, on ne sait même pas qu’on dépend » de briques américaines, chinoises ou européennes, soutient-il. Dans le numérique, « on a cet énorme problème de traçabilité (…). Aujourd’hui, c’est une réalité, on a accès à beaucoup plus d’informations quand on achète une saucisse. On peut remonter jusqu’au cochon qui a donné de sa personne pour faire la saucisse ». Mais lorsqu’on achète un logiciel, « on n’a pas la liste des ingrédients, on n’a pas la traçabilité alimentaire du logiciel », expose-t-il.
De quoi constituer un véritable problème quand on parle de souveraineté ou d’attaque informatique. Car « la chaîne de contamination, elle est rigoureusement impossible à retracer aujourd’hui. De manière générale, personne n’a la cartographie de son environnement logiciel, pas plus l’État que les entreprises. Mais si on avait la liste des ingrédients de n’importe quel logiciel, on verrait qu’il y a quand même une part significative (d’éléments NDLR) qui ne sont pas européens », explique-t-il.
Il existe pourtant des solutions, égrenées au fil de l’audition qui aura duré un peu plus d’une heure et demie. Pour cet expert, « la maîtrise des risques » passe, à court terme, par des dispositifs comme le SecNumCloud. Le patron de l’Anssi a longuement défendu le label de cybersécurité le plus élevé de l’État français, après les polémiques qui ont vu ce Graal octroyé à S3NS . Cette solution dite « hybride » implique l’Américain Google et le Français Thalès.
Pour ce dernier, une solution de cloud opérée par un fournisseur européen, qui remplit tous les critères techniques du SecNumCloud, peu importe l’origine de la technologie, « apporte une bonne garantie sur le fait qu’il n’y ait pas d’accès extraterritorial aux données et sur le fait que le service ne puisse pas être coupé à la demande par des autorités étrangères. Mais ça ne protège pas » de l’arrêt des « mises à jour de l’ensemble des composants logiciels venus des États-Unis, de Chine ou de n’importe où ailleurs qu’en Europe ». Le label ne protège pas du fait « qu’à long terme, on aura des problèmes ».
À lire aussi : « On est tous en passe de devenir des chauffeurs Deliveroo », estime l’ancien ambassadeur du Numérique pour la France
Investir dans les solutions européennes et l’open source
Sur le long terme, il faut d’ailleurs « rentrer dans une logique d’investissement » avec « des enjeux de politique industrielle, pour multiplier les alternatives » aux logiciels et cloud non européens, a-t-il plaidé. Et si « utiliser des solutions européennes dans le numérique ou utiliser des solutions plus européennes » peut être un choix plus onéreux, « en coût, en performance, en ressources nécessaires », a-t-il reconnu, « c’est un bon investissement. C’est ça qu’il faut faire », a-t-il insisté.
Vincent Strubel a également noté le défaut actuel de l’offre européenne et française de cybersécurité, et plus généralement de numérique, décrite comme « fortement morcelée ». « Un peu de consolidation serait utile ou apporterait un plus », bien qu’il ne s’agisse pas de « remplacer un monopole (américain) par un autre », a-t-il indiqué.
À lire aussi : « Les Américains créent des univers, l’Europe vend des solutions », le patron du Campus Cyber a un plan pour la cybersécurité française
Pour l’homme à la tête du gendarme français de cybersécurité, les directeurs des systèmes d’information doivent « sortir de cette logique de confort », « de monoculture » qui peut pousser ces derniers à opter pour Microsoft ou d’autres fournisseurs américains. Et s’il faut aussi miser sur « l’open source, un levier essentiel pour développer notre maîtrise du numérique », le directeur général explique « se méfier de la tendance à y voir une panacée ».
« Ce n’est pas parce que vous utilisez du code open source que vous êtes en maîtrise », a-t-il avancé. Maîtriser du code open source, cela signifie « regarder comment il fonctionne, se préoccuper de sa pérennité, potentiellement le financer, parce que ce n’est pas magique ».
« On a toujours cette image d’Épinal de l’open source développée par un étudiant dans sa chambre », poursuit-il. Si l’image est « très limitante, parfois, elle est vraie. Or, quand on crée toutes nos stratégies de maîtrise nationale ou de souveraineté sur la bonne volonté d’un étudiant quelque part dans sa chambre qui ne restera pas toute sa vie étudiant, et qui fera surement autre chose un jour… on n’est pas en maîtrise ».
À lire aussi : Jean-Baptiste Kempf – VideoLan (VLC) : « s’il n’y avait pas de logiciel libre, Microsoft ferait du racket standardisé »
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
Vidéo de l’audition de Vincent Strubel, directeur général de l’ANSSI, du jeudi 30 avril 2026.