La part du citoyen

30 avril 2026 · réunion n°35

Audition, ouverte à la presse, de M. Vincent Strubel, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi)

VSVincent Strubel

Qui est auditionné

Audition sous serment, ouverte à la presse, de Vincent Strubel, directeur général de l'Anssi (Agence nationale de la sécurité des systèmes d'information), devant la commission d'enquête sur les dépendances et vulnérabilités du numérique (AN, 17e lég.), présidée par Philippe Latombe, rapporteure Cyrielle Chatelain. Strubel parle en régulateur technique de la cybersécurité de l'État : son angle n'est pas celui de la souveraineté au sens large — il « professe régulièrement de [s]e méfier de ce terme » et précise que l'Anssi « n'est pas, à proprement parler, en charge de la souveraineté numérique, même si elle y contribue ».

La substance

Sa thèse organise la souveraineté numérique en trois déterminants : la cybersécurité (ne pas être « une victime facile »), le droit (appliquer nos règles et ne pas subir le droit extraterritorial), et la liberté de choix des technologies critiques de l'État. Le critère seul européen/non-européen n'est pas le plus significatif : ce qui compte est la maîtrise des dépendances et l'objectivation des « leviers susceptibles d'être utilisés contre nous ».

Constat brutal, chiffré : « nous sommes en train de perdre la bataille contre les vulnérabilités logicielles », dont le nombre progresse de « 18 % par an » sur cinq ans pour atteindre « 50 000 vulnérabilités rendues publiques chaque année, un tiers d'entre elles étant exploitées dès le jour de leur publication ». Les attaques passent de plus en plus par la chaîne d'approvisionnement (prestataires, infogérance, cloud) et par les composants logiciels eux-mêmes (briques open source Axios et LightLLM piégées). Le déficit de traçabilité est résumé par sa formule : « nous disposons de davantage d'informations lorsque nous achetons une saucisse [...] que lorsque nous acquérons un logiciel » ; le règlement européen CRA imposera un premier SBOM, à étendre à l'IA au G7.

Sur le cloud, il démonte les arguments techniques de vente : « le chiffrement ne protège pas du Cloud Act et encore moins d'un kill switch » (la clé de déchiffrement doit être présente auprès des données ; le confidential computing n'est pas généralisable). D'où SecNumCloud — « 1 200 points de contrôle », nationalité, capitalisation, gouvernance — qui « offre aujourd'hui le niveau de garantie le plus élevé face aux effets du droit extraterritorial » et doit être obligatoire pour tout SI critique d'OIV hébergé dans le cloud. La logique de protection est « nécessairement binaire », ce qui exclut qu'une notation graduelle (approche allemande, Cloud Sovereignty Framework) s'y substitue. La notion d'« hybride » est trompeuse : toutes les offres reposent sur des briques non européennes ; dans le modèle SecNumCloud, l'opérateur européen maîtrisant l'exploitation, « le scénario de kill switch ne s'applique pas ». Ironie relevée : chez S3NS (Thales sur technologies Google), « les mises à jour de Google [...] font l'objet d'un contrôle bien plus attentif que celles de Microsoft, déployées quasi automatiquement ».

Autres points : la loi 5G de 2019 « n'est pas dirigée contre Huawei » mais affirme la souveraineté des réseaux ; la monoculture est « en elle-même un facteur de risque » (épisode CrowdStrike avant les JO, France moins touchée). Sur l'IA offensive et Mythos (Anthropic), auquel l'Anssi n'a pas accès : « moins une rupture qu'une étape marquante », l'IA outille un attaquant humain « sans » conduire une attaque autonome de bout en bout. Aveu de fond : « aucune méthode ne permet aujourd'hui d'apporter à ces systèmes [d'IA] des garanties de sécurité comparables à celles [...] d'un logiciel classique » (correction par réentraînement, non par correctif ; priorité de l'Inesia avec l'Inria). Enfin, France Relance : « 176 millions d'euros engagés, 100 millions [...] consacrés aux parcours de cybersécurité », près d'un millier de structures accompagnées, « certains hôpitaux ont évité des cyberattaques ».

Les enjeux et les confrontations

L'audition est coopérative, sans affrontement : Strubel est un allié technique de la thèse de la commission. Les moments saillants sont des questions serrées de la rapporteure Chatelain — sur le kill switch, la vérification concrète du code des mises à jour, la tension entre mises à jour quotidiennes et « un délai de six mois pour qualifier une nouvelle offre », et surtout sur les acteurs qui « prennent des positions politiques », visant nommément le manifeste de Palantir. Réponse la plus tranchée de l'audition : « le fonctionnement de notre démocratie suppose de ne pas dépendre de fournisseurs qui, par leurs prises de position, en viendraient à contester les règles fixées par le législateur » ; l'argument d'inapplicabilité d'une loi « peut [...] traduire avant tout une incompatibilité avec leur modèle économique, ce qui ne constitue pas un motif recevable ». Le président Latombe pousse sur les réseaux (loi 5G, comparaison alliés/adversaires), la concentration capitalistique (coopération Sisse, capacité d'opposition aux cessions), l'autonomie du renseignement cyber face aux coupes américaines — Strubel affirme une « véritable autonomie d'appréciation de la menace » — et sur Mythos, contextualisé par la convocation des banquiers par le président de la Fed. Pas d'esquive marquée ; seule prudence explicite : il refuse de commenter les capacités offensives françaises, hors de son périmètre.

Ce que l'audition apporte

L'Anssi fournit à la commission la doctrine technique de référence : la souveraineté comme maîtrise objectivée des leviers d'ingérence, indépendante des intentions présentes (« des choix technologiques qui engagent sur 20 ou 30 ans ne peuvent reposer sur la seule configuration actuelle des alliances »). Elle tranche des débats en cours — SecNumCloud contre les notations graduelles, protection « par » l'opérateur et non « contre » lui, hybride qualifié mieux contrôlé que la dépendance banalisée à Microsoft — et pointe des angles morts responsabilisants : traçabilité logicielle absente, monoculture subie « par confort » via le Magic Quadrant de Gartner, et surtout l'impossibilité actuelle de certifier la sécurité des systèmes d'IA. Elle assume enfin le coût de la souveraineté : « Reprendre la maîtrise de ces dépendances [...] se fait rarement à coût nul », mais relève d'« un choix d'investissement pertinent », avec pour principe « mettre la politique industrielle au service de la cybersécurité, et non l'inverse ».