ANSSI et cyberdéfense
Sur la cyberdéfense, le corpus fait apparaître un large accord sur le diagnostic de vulnérabilité et une convergence forte autour de l'idée de souveraineté numérique, les seules véritables tensions portant sur la régulation européenne et sur la dramatisation du risque.
Constats partagés. Plusieurs intervenants pointent la fragilité de la chaîne d'approvisionnement logiciel et le risque de concentration. L'incident CrowdStrike de 2024 revient comme cas d'école : selon le général Marc Boget (Anfsi, M. Tomasz Blanc), « une mise à jour défectueuse a paralysé 8,5 millions d'ordinateurs », ce qui constituerait pour la police et la gendarmerie « une rupture grave de la protection des populations ». Christel Heydemann (Orange, Mme Christel Heydemann) y voit la preuve de « la grande vulnérabilité des systèmes économiques à quelques logiciels ». Autre constat convergent : la dépendance technologique. Heydemann reconnaît qu'Orange Cyberdefense, premier acteur européen du secteur, s'appuie sur des « technologies essentiellement américaines, et parfois israéliennes : Palo Alto Networks, Zscaler, Microsoft, Fortinet, SentinelOne… ». Le président Philippe Latombe (Mme Christel Heydemann) résume l'inquiétude souverainiste : « il est tout de même gênant de devoir s'en remettre aux Américains », à propos du rachat de Vade par Hornet puis Proofpoint.
Souveraineté et kill switch. La souveraineté est posée en principe cardinal. Le général Boget (M. Tomasz Blanc) la qualifie de « nécessité vitale pour protéger notre démocratie » et la définit par le contrôle de l'interrupteur : « Être souverain, c'est garantir que seul l'État français conserve le contrôle de l'interrupteur de ses propres SI » (illustré par l'attaque Viasat). La position de M. Tomasz Blanc (M. Tomasz Blanc) prolonge cet impératif de maîtrise interne du code source et du kill switch par le seul État. Arthur Mensch (Mistral AI, M. Arthur Mensch) applique la logique au régalien : « On ne peut pas envisager que les bases de code de l'armée française soient scannées par Mythos [Palantir]. »
Clivages. Le débat est moins frontal que nuancé. Heydemann (Mme Christel Heydemann) porte la critique la plus dissonante, visant la régulation elle-même : « l'Europe proclame sa souveraineté numérique, mais elle élabore simultanément des textes qui fragilisent les acteurs qui financent les infrastructures dont cette souveraineté dépend ». Elle reproche au Cybersecurity Act de créer, en réduisant le nombre d'équipementiers, « une dépendance plus concentrée encore » sans compensation des coûts de swap, et réclame proportionnalité. Sur la dramaturgie du risque, Arthur Mensch (M. Arthur Mensch) relativise le « marketing de la peur » d'un concurrent américain, quand d'autres insistent au contraire sur la menace.
Hygiène et chiffrage. Marie-Laure Denis (Cnil, Mme Marie-Laure Denis) apporte un chiffre concret : « 80 % de ces grosses violations de données auraient pu être évitées » par des mesures de base comme l'authentification multifacteur, justifiant l'obligation de MFA. Hela Ghariani (Health Data Hub, Mme Hela Ghariani) souligne la difficulté à chiffrer isolément le budget cybersécurité, « diffus dans tout le développement », et refuse la banalisation des attaques. Henri Verdier (M. Henri Verdier) illustre enfin le déni des dirigeants sur le risque d'hébergement chez un hyperscaler américain, via une anecdote de Guillaume Poupard : « il n'avait pas de preuves ».
Qui en parle
- Christel Heydemann (Orange, Mme Christel Heydemann) — dépendance d'Orange Cyberdefense aux technos américaines/israéliennes ; critique du Cybersecurity Act et plaidoyer pour proportionnalité et compensation.
- Général Marc Boget (Anfsi, M. Tomasz Blanc) — souveraineté « nécessité vitale », contrôle du kill switch par le seul État, exemples CrowdStrike (8,5 M d'ordinateurs) et Viasat.
- Arthur Mensch (Mistral AI, M. Arthur Mensch) — enjeu régalien du code militaire (refus du scan par Mythos/Palantir) ; relativise le « marketing de la peur » cyber.
- M. Tomasz Blanc (M. Tomasz Blanc) — maîtrise interne du code source et du kill switch par le seul État face aux conflits hybrides.
- Philippe Latombe (président, Mme Christel Heydemann) — inquiétude sur la concentration américaine de la cybersécurité (Vade/Proofpoint).
- Marie-Laure Denis (Cnil, Mme Marie-Laure Denis) — 80 % des grandes fuites évitables, obligation de MFA.
- Hela Ghariani (Health Data Hub, Mme Hela Ghariani) — sécurité diffuse difficile à chiffrer, refus de la banalisation des cyberattaques.
- Henri Verdier (Inria, M. Henri Verdier) — déni culturel des dirigeants sur le risque hyperscaler (anecdote via Guillaume Poupard).