Intervention de Guillaume Poupard

Je vous remercie pour ces questions très complètes.

S'agissant de la dépendance à l'égard des logiciels et des matériels, il n'est plus raisonnable d'imaginer que nous sommes capables de les fabriquer en France avec des industriels de confiance ; nous en avons fait notre deuil depuis très longtemps, y compris pour des applications très sensibles dans le domaine de l'armement et de la défense.

Il nous faut donc répondre à la question suivante : comment peut-on aboutir à des systèmes sûrs sans pour autant en maîtriser tous les constituants ? Lorsque l'exercice est mal fait, le résultat est catastrophique, c'est évident, et on se retrouve dépendants, à la merci de ceux qui nous fournissent les systèmes. Vous avez cité Cisco, mais ce n'est malheureusement qu'un exemple. Quand ce n'est pas américain, cela vient d'autres pays.

Comment peut-on, malgré cela, construire des systèmes qui vont être globalement sûrs, en battant en brèche l'idée encore répandue selon laquelle la sécurité d'un système est la sécurité du maillon le plus faible – ce n'est heureusement pas le cas – ? Nous préconisons une démarche par l'architecture. Il est important d'intégrer les contraintes liées à la cybersécurité dans la conception même des produits – un avion, un bateau ou n'importe quel système d'arme. Ensuite, le travail consiste à assembler des briques dans lesquelles on ne peut pas forcément placer notre confiance – il est très difficile de les développer dans des conditions économiques viables –, des briques qui doivent être fabriquées par des personnes un peu plus dignes de confiance – des industriels européens, voire français – et des briques tellement sensibles qu'on ne veut pas les confier à un industriel, mais les conserver à un niveau étatique afin d'avoir la main dessus – je pense notamment aux algorithmes cryptographiques qui sont intégralement conçus pour les besoins de la défense nationale par la DGA dans le centre de Bruz et qui sont évalués par le laboratoire de cryptographie de l'ANSSI ; à aucun moment, il n'est fait appel à quelqu'un d'extérieur à ce très petit cercle afin de garantir une confiance absolue ; nous sommes extrêmement vigilants sur les personnes et sur la sécurité qui les entoure.

C'est ce chemin très étroit que nous devons suivre : être capable de développer les briques « souveraines » et de les assembler avec des briques moins maîtrisées de manière à ce que l'ensemble du système devienne maîtrisé. J'ai la prétention de penser que c'est le cas aujourd'hui – les systèmes d'arme sont plutôt de bons exemples. Il en va de même pour les réseaux informatiques plus classiques, le travail bien fait assure une maîtrise qui permet de se protéger contre les risques identifiés.

Ma principale crainte concerne ce que l'on appelle les systèmes industriels. Je pense à l'informatique enfouie dans les entreprises et les industries et au numérique qui n'a pas été pensé en imaginant des attaques un jour. Il faut donc effectuer un travail de rattrapage. Nous le faisons notamment avec les équipementiers de manière à intégrer de la sécurité dans leurs systèmes et à vérifier cette sécurité. Nous évaluons et nous qualifions aujourd'hui des automates industriels – les premiers l'ont été il y a six mois – afin de pouvoir s'appuyer sur des briques de confiance qui pourront ensuite être intégrées dans des architectures capables de se protéger.

Tel est le chemin, je ne dis pas qu'il est confortable. Nous avons encore la prétention de penser que nous pouvons trouver un compromis – on n'aime pas ce terme dans le domaine de la sécurité – pour nous prémunir contre les risques en utilisant des systèmes à un coût acceptable.

Je me méfie toujours des débats un peu rapides. Sur la question des systèmes d'exploitation souverains, quand bien même nous disposerions d'un tel système – ce que nous n'avons pas forcément en France aujourd'hui ou pas facilement disponible –, la question du matériel et des logiciels qui l'entourent resterait posée. Si on se polarise sur une brique, cela ne fonctionne pas ; il faut une démarche d'ensemble sur l'architecture et le système.

Concernant les PME, les solutions qui marchent pour les grands groupes ne sont pas celles qui marchent pour les PME. C'est une trivialité que de le dire. L'article 22 de la loi de programmation militaire, qui impose aux opérateurs d'importance vitale de renforcer la sécurité de leurs systèmes d'information, vise très clairement les grandes structures, organisées, avec des moyens – même si elles se plaignent de leur insuffisance –, qui possèdent un service informatique, des responsables de la sécurité et une gouvernance adaptée. Pour les PME, cela ne fonctionne pas. Je suis convaincu que, pour la très grande majorité des PME, la sécurité doit être quasiment transparente. Le cloud computing, c'est le sens de l'histoire. Profitons de cette fenêtre de tir un peu étroite qu'offre le cloud computing même s'il a été beaucoup décrié pour ses failles au regard de la sécurité. Il s'agit de confier ses données, ses ordinateurs à des tiers qu'on connaît mal finalement. Mais, si le cloud computing est géré par des prestataires qui sont dignes de confiance et qui mettent en place des règles de sécurité, on peut espérer que les PME, en même temps qu'elles vont sous-traiter leur informatique, vont sous-traiter leur sécurité informatique. Cela me paraît être la seule voie possible. Les PME ont déjà du mal à gérer l'informatique – on connaît le cas du dirigeant de PME qui s'occupe de l'informatique le week-end quand il lui reste deux heures –, ce n'est pas raisonnable de leur demander de prendre en charge la cybersécurité. Par contre, si l'abonnement informatique inclut la sécurité de manière quasiment automatique, peut-être pour un petit supplément financier qui doit être acceptable, c'est viable. Il nous reste donc deux choses à faire : d'abord, s'assurer que les prestataires de cloud computing sont des prestataires de confiance. Pour ce faire, nous avons développé un programme d'évaluation et de qualification de ces derniers – les premiers sont en train d'être labellisés en ce moment. Nous pourrons dire aux PME mais aussi aux grands groupes : si vous travaillez avec ces prestataires labellisés, nous vous garantissons, au nom du Premier ministre – ce ne sont pas des certificats en l'air –, après un vrai travail d'évaluation que le niveau de sécurité et la confiance sont suffisants.