À balles réelles

Un lourd rapport a été publié ce 15 juillet, suite aux travaux de la commission lancée en février pour analyser les dépendances structurelles et les vulnérabilités systémiques dans le secteur du numérique et les risques pour l’indépendance de la France. Cette commission, présidée par Philippe Latombe avec Cyrielle Chatelain comme rapporteure, pointe six grandes catégories de failles et liste de nombreuses recommandations, dont certaines radicales.
Cet épais rapport sur la souveraineté numérique de 453 pages est le fruit d’un travail ayant réuni 26 députés issus de l’ensemble des groupes politiques. Le rapport a été adopté le 8 juillet, à l’issue de 45 auditions, 112 personnes ayant été entendues. Une semaine plus tard, le rapport est en ligne et une conférence de presse a été organisée pour en brosser les grandes lignes.
Constats amers
Dès l’avant-propos, Philippe Latombe donne le ton. Lui qui est également président de la commission chargée d’examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité situe le rapport dans la continuité d’une mission d’information qu’il avait déjà consacrée à la souveraineté numérique en 2021. Le propos se fait volontiers acide : « Mon principal regret reste sans doute qu’il ait fallu attendre l’ère MAGA pour qu’un plus grand nombre de politiques et de groupes parlementaires s’intéresse aux dépendances structurelles et aux vulnérabilités systémiques de la France dans le secteur du numérique, ainsi qu’aux risques pour l’indépendance et la souveraineté de notre pays ».
Le député dit avoir été « peu suivi » et « trop souvent cantonné au rôle de Cassandre ». À ceci près que le personnage mythologique « n’avait à alerter que sur un cheval de Troie, alors que nous devons faire face à une multitude de vulnérabilités : fournisseurs américains de cloud, systèmes d’exploitation étrangers, nombreux composants électroniques asiatiques, infrastructures internet mondiales… ».
L’introduction situe ensuite le périmètre retenu. D’une part, les administrations publiques et les entreprises d’intérêt vital, jugées prioritaires en raison de leur criticité. D’autre part une approche plus large des « dépendances systémiques », couvrant six familles de vulnérabilités. La commission indique explicitement ne pas avoir traité en détail la cybersécurité proprement dite ni les dépendances matérielles, qui font l’objet de travaux distincts.
Les six catégories de vulnérabilités sont les suivantes :
- les failles démocratiques à travers les ingérences et la désinformation. Les algorithmes de recommandation des plateformes privées sont pointés du doigt, dont celui de X au travers des travaux menés par Germain Gauthier, directeur de recherche au CNRS : jusqu’à 15 % des électeurs indépendants peuvent changer d’opinion après une exposition aux réseaux sociaux ;
- l’exploitation des failles techniques dans les administrations et les entreprises, et le torrent d’attaques cyber qui en découle, avec pour preuve les multiples fuites référencées ces dernières années ;
- la quantité croissante de données à stocker et à protéger, avec les trois thématiques liées : légalité des traitements opérés (RGPD), extraterritorialité du droit (tout particulièrement américain) et captation des données ;
- la primauté du profit sur les libertés individuelles, qui entraîne violation de la vie privée, exposition à des contenus nocifs et développement d’algorithmes addictifs ;
- le verrouillage et la dépendance des utilisateurs, pratique jugée comme étant « au cœur des stratégies des fournisseurs de logiciels » ;
- les vulnérabilités liées aux infrastructures et aux composants clés.
Où en sont les administrations françaises ?
C’est le chapitre le plus documenté du rapport. La méthodologie a reposé sur des questionnaires envoyés à l’ensemble des directions numériques ministérielles (annexe 2), complétés par des auditions des directeurs des systèmes d’information.
Il en est notamment ressorti que sur les 466 applications métiers recensées dans l’administration (liste non exhaustive), les deux tiers ont été développées spécifiquement pour les besoins associés, dont 57 % par des prestataires externes. L’analyse croisée par pays d’origine montre que les fournisseurs français dominent largement les applications les plus critiques : 69 % pour la catégorie 1 (atteinte à l’ordre public, sécurité, vie des personnes) et 83 % pour la catégorie 2 (interruption d’une mission de service public essentielle), soit respectivement 81 et 228 applications. Les États-Unis arrivant en deuxième position avec 7 et 12 applications respectivement.






