La part du citoyen
VS

Vincent Strubel

Role dans la commission : Personne auditionnee

Biographie

Vincent Strubel, ne le 14 septembre 1980, est un ingenieur general des mines francais, directeur general de l'Agence nationale de la securite des systemes d'information (ANSSI) depuis le 4 janvier 2023.

Il entre en 2000 a l'Ecole polytechnique, puis a Telecom Paris, et integre le corps des mines. Il rejoint des 2005 la Direction centrale de la securite des systemes d'information (DCSSI), qui devient l'ANSSI en 2009. Au sein de l'agence, il est chef du laboratoire architectures materielles et logicielles de 2009 a 2012 (il presente notamment le systeme d'exploitation securise CLIP OS au symposium SSTIC en 2015), puis sous-directeur responsable des expertises de 2014 a 2020.

De 2020 a 2022, il est le premier directeur de l'Operateur des systemes d'information interministeriels classifies (OSIIC), service a competence nationale cree par decret du 21 avril 2020 au sein du Secretariat general de la Defense et de la Securite nationale (SGDSN). Il prend la tete de l'ANSSI le 5 janvier 2023, succedant a Guillaume Poupard apres quinze ans passes au sein de l'agence. Il est nomme chevalier de la Legion d'honneur le 11 juillet 2025.

L'ANSSI, autorite nationale en matiere de cybersecurite rattachee au SGDSN (services du Premier ministre), n'est pas en charge de la souverainete numerique en tant que telle : Vincent Strubel s'exprime donc comme haut fonctionnaire technique de la cyberdefense de l'Etat, sans mandat politique ni affiliation partisane.

Dans la commission

Audite le 22 mai 2025 (M. Vincent Strubel), Vincent Strubel structure son propos autour de trois determinants de la souverainete numerique — cybersecurite, droit, liberte de choix des technologies critiques — en soulignant que le critere europeen/non-europeen n'est pas le plus significatif : ce qui compte est la maitrise des dependances (M. Vincent Strubel).

Sa these centrale est que le risque extraterritorial est reel et irreductible par la seule technique : « Aucune reponse purement technologique ne permet de faire face a ces risques puisque le chiffrement ne protege pas du Cloud Act et encore moins d'un kill switch » (M. Vincent Strubel). Il en tire une position tranchee : la protection contre le droit extraterritorial « ne peut etre graduelle et est necessairement binaire » (M. Vincent Strubel). De la, sa defense de la qualification SecNumCloud, qui « offre aujourd'hui le niveau de garantie le plus eleve face aux effets du droit extraterritorial » et « impose que [l'operateur] soit europeen » (M. Vincent Strubel).

Il alerte sur la perte de la bataille contre les vulnerabilites logicielles — « 50 000 vulnerabilites rendues publiques chaque annee, un tiers d'entre elles etant exploitees des le jour de leur publication » (M. Vincent Strubel) — et milite pour la tracabilite (SBOM) avec une image devenue saillante : « nous disposons de davantage d'informations lorsque nous achetons une saucisse [...] que lorsque nous acquerons un logiciel » (M. Vincent Strubel). Il note aussi que « l'attaquant connait souvent mieux le systeme d'information de sa victime que la victime elle-meme » (M. Vincent Strubel).

Sur les reseaux 5G, il defend la loi de 2019 : elle « n'est pas dirigee contre Huawei, mais vise a affirmer la souverainete de nos reseaux numeriques face a toute ingerence non europeenne » (M. Vincent Strubel), et rappelle que « des choix technologiques qui engagent sur 20 ou 30 ans ne peuvent reposer sur la seule configuration actuelle des alliances » (M. Vincent Strubel). Il denonce la monoculture (l'incident CrowdStrike ayant moins touche la France « grace a une moindre dependance a cette monoculture », M. Vincent Strubel) et, au sujet des acteurs comme Palantir, pose que « le fonctionnement de notre democratie suppose de ne pas dependre de fournisseurs qui [...] en viendraient a contester les regles fixees par le legislateur » (M. Vincent Strubel), l'argument d'inapplicabilite d'une loi traduisant souvent « une incompatibilite avec leur modele economique, ce qui ne constitue pas un motif recevable » (M. Vincent Strubel).

Sur l'IA appliquee a la cyber, il tempere : a propos d'Anthropic, « c'est moins une rupture qu'une etape marquante dans une trajectoire deja engagee » (M. Vincent Strubel) ; un modele avance peut outiller un attaquant humain sans encore « conduire de maniere autonome une cyberattaque de bout en bout » (M. Vincent Strubel). Il souligne surtout que la securite des systemes d'IA n'est pas certifiable comme un logiciel classique — « leur certification n'est pas maitrisee » — et qu'« une IA peut systematiser un meme defaut, creant ainsi un risque de vulnerabilites a grande echelle » (M. Vincent Strubel).

Enfin, sur la filiere, il pose le principe « mettre la politique industrielle au service de la cybersecurite, et non l'inverse » (M. Vincent Strubel), plaide pour une consolidation sans monopole, rappelle que l'ANSSI « figure parmi les principales administrations productrices de logiciels libres » (M. Vincent Strubel), et dresse un bilan positif du volet cyber de France Relance (« 176 millions d'euros engages, 100 millions [...] consacres aux parcours de cybersecurite », M. Vincent Strubel), tout en reconnaissant que reprendre la maitrise des dependances via des fournisseurs europeens « se fait rarement a cout nul ou a performance equivalente » (M. Vincent Strubel).

Sources