La part du citoyen

Défense, cyber & renseignement (ANSSI/Palantir)

ANSSI et cyberdéfense

Sur la cyberdéfense, le corpus fait apparaître un large accord sur le diagnostic de vulnérabilité et une convergence forte autour de l'idée de souveraineté numérique, les seules véritables tensions portant sur la régulation européenne et sur la dramatisation du risque.

Constats partagés. Plusieurs intervenants pointent la fragilité de la chaîne d'approvisionnement logiciel et le risque de concentration. L'incident CrowdStrike de 2024 revient comme cas d'école : selon le général Marc Boget (Anfsi, M. Tomasz Blanc), « une mise à jour défectueuse a paralysé 8,5 millions d'ordinateurs », ce qui constituerait pour la police et la gendarmerie « une rupture grave de la protection des populations ». Christel Heydemann (Orange, Mme Christel Heydemann) y voit la preuve de « la grande vulnérabilité des systèmes économiques à quelques logiciels ». Autre constat convergent : la dépendance technologique. Heydemann reconnaît qu'Orange Cyberdefense, premier acteur européen du secteur, s'appuie sur des « technologies essentiellement américaines, et parfois israéliennes : Palo Alto Networks, Zscaler, Microsoft, Fortinet, SentinelOne… ». Le président Philippe Latombe (Mme Christel Heydemann) résume l'inquiétude souverainiste : « il est tout de même gênant de devoir s'en remettre aux Américains », à propos du rachat de Vade par Hornet puis Proofpoint.

Souveraineté et kill switch. La souveraineté est posée en principe cardinal. Le général Boget (M. Tomasz Blanc) la qualifie de « nécessité vitale pour protéger notre démocratie » et la définit par le contrôle de l'interrupteur : « Être souverain, c'est garantir que seul l'État français conserve le contrôle de l'interrupteur de ses propres SI » (illustré par l'attaque Viasat). La position de M. Tomasz Blanc (M. Tomasz Blanc) prolonge cet impératif de maîtrise interne du code source et du kill switch par le seul État. Arthur Mensch (Mistral AI, M. Arthur Mensch) applique la logique au régalien : « On ne peut pas envisager que les bases de code de l'armée française soient scannées par Mythos [Palantir]. »

Clivages. Le débat est moins frontal que nuancé. Heydemann (Mme Christel Heydemann) porte la critique la plus dissonante, visant la régulation elle-même : « l'Europe proclame sa souveraineté numérique, mais elle élabore simultanément des textes qui fragilisent les acteurs qui financent les infrastructures dont cette souveraineté dépend ». Elle reproche au Cybersecurity Act de créer, en réduisant le nombre d'équipementiers, « une dépendance plus concentrée encore » sans compensation des coûts de swap, et réclame proportionnalité. Sur la dramaturgie du risque, Arthur Mensch (M. Arthur Mensch) relativise le « marketing de la peur » d'un concurrent américain, quand d'autres insistent au contraire sur la menace.

Hygiène et chiffrage. Marie-Laure Denis (Cnil, Mme Marie-Laure Denis) apporte un chiffre concret : « 80 % de ces grosses violations de données auraient pu être évitées » par des mesures de base comme l'authentification multifacteur, justifiant l'obligation de MFA. Hela Ghariani (Health Data Hub, Mme Hela Ghariani) souligne la difficulté à chiffrer isolément le budget cybersécurité, « diffus dans tout le développement », et refuse la banalisation des attaques. Henri Verdier (M. Henri Verdier) illustre enfin le déni des dirigeants sur le risque d'hébergement chez un hyperscaler américain, via une anecdote de Guillaume Poupard : « il n'avait pas de preuves ».

Qui en parle

Interventions regroupées (13 citations · 6 auditions)

Domaine : Défense, cyber & renseignement (ANSSI/Palantir) · Sujet : cyberdefense-anssi

Couverture : 13 citations · 3 positions · 6 auditions

_Slugs bruts fusionnés : cyberdefense-anssi, cyberdefense-supply-chain, cyberdefense-mythos, defense-en-profondeur-cybersecurite, cybersecurite-mfa, cybersecurite-europeenne_

Positions exprimées

  • Mme Christel Heydemann (Mme Christel Heydemann) : Le Cybersecurity Act, en réduisant drastiquement le nombre d'équipementiers admissibles sans compensation des coûts de swap, crée une dépendance plus concentrée ; il faut un principe de proportionnalité réelle et un mécanisme de compensation. _(tranchant 4)_
  • M. Tomasz Blanc (M. Tomasz Blanc) : La fragilité de la chaîne d'approvisionnement logiciel (CrowdStrike, Viasat) et l'usage du numérique comme arme dans les conflits hybrides imposent la maîtrise interne du code source et le contrôle du kill switch par le seul État français. _(tranchant 4)_
  • M. Arthur Mensch (M. Arthur Mensch) : Le « marketing de la peur » cyber d'un concurrent américain est relativisé ; l'enjeu réel est régalien : le code de l'armée française ne peut être confié à un modèle étranger. _(tranchant 3)_

Citations (verbatim, sourcées)

« Son interlocuteur lui avait alors répondu qu'il n'avait pas de preuves. »

Henri Verdier — Fondation Inria (audite, audition de M. Henri Verdier, 2026-03-10)

_Anecdote (via Guillaume Poupard) qui résume le déni culturel des dirigeants sur le risque d'hébergement chez un hyperscaler américain._

« Nous avons également constaté que 80 % de ces grosses violations de données auraient pu être évitées, si, entre autres mesures, les organisations concernées avaient mis en place une authentification multifonctionnelle. »

Marie-Laure Denis — Cnil (audite, audition de Mme Marie-Laure Denis, 2026-04-15)

_Argument concret de politique publique : la majorité des grandes fuites relève de mesures d'hygiène de base non appliquées, ce qui justifie l'obligation de MFA imposée par la Cnil._

« l’Europe proclame sa souveraineté numérique, mais elle élabore simultanément des textes qui fragilisent les acteurs qui financent les infrastructures dont cette souveraineté dépend. »

Christel Heydemann — Orange (audite, audition de Mme Christel Heydemann, 2026-04-16)

_Formule-synthèse du paradoxe réglementaire européen : la thèse politique centrale d'Orange devant la commission._

« En voulant réduire une dépendance, on pourrait en créer une autre, plus concentrée encore, et demander aux opérateurs d’en financer seuls le coût par des swaps d’équipements massifs, sans mécanisme de compensation. Une politique de sécurité qui affaiblit financièrement les opérateurs qu’elle prétend protéger affaiblit in fine la sécurité de l’ensemble. »

Christel Heydemann — Orange (audite, audition de Mme Christel Heydemann, 2026-04-16)

_Critique du Cybersecurity Act : réduire les équipementiers admissibles crée une dépendance plus concentrée et un coût non compensé ; argument central de la demande de proportionnalité._

« Orange Cyberdefense propose à ses clients des services pour lesquels nous sommes très dépendants de technologies qui sont essentiellement américaines, et parfois israéliennes : Palo Alto Networks, Zscaler, Microsoft, Fortinet, SentinelOne… »

Christel Heydemann — Orange (audite, audition de Mme Christel Heydemann, 2026-04-16)

_Le premier acteur européen de cyberdéfense reconnaît que ses briques technologiques sont majoritairement américaines et israéliennes, faute d'alternatives européennes._

« l’épisode a montré la grande vulnérabilité des systèmes économiques à quelques logiciels. »

Christel Heydemann — Orange (audite, audition de Mme Christel Heydemann, 2026-04-16)

_Le bug CrowdStrike sert d'illustration de la fragilité systémique induite par la concentration sur quelques logiciels._

« Dans le contexte actuel, il est tout de même gênant de devoir s’en remettre aux Américains. »

Philippe Latombe (president, audition de Mme Christel Heydemann, 2026-04-16)

_Le président résume l'inquiétude souverainiste face à la concentration américaine de la cybersécurité (rachat de Vade par Hornet puis Proofpoint)._

« toutes nos dépenses liées au développement de notre plateforme et à son maintien en condition de sécurité sont pour nous des dépenses de cybersécurité, même si notre comptabilité analytique ne les étiquette pas comme telles. »

Mme Hela Ghariani — Plateforme des données de santé (Health Data Hub) (audite, audition de Mme Hela Ghariani, 2026-04-29)

_Réponse à la demande de chiffrage du budget cybersécurité : la sécurité est diffuse dans tout le développement, ce qui rend l'exercice de chiffrage isolé difficile._

« Autant l’opinion est malheureusement de plus en plus habituée aux cyberattaques, autant je pense qu’il ne faut pas s’y accoutumer. »

Mme Hela Ghariani — Plateforme des données de santé (Health Data Hub) (audite, audition de Mme Hela Ghariani, 2026-04-29)

_Refus de la banalisation des fuites de données : un enjeu de confiance vis-à-vis de l'État et d'indignation civique._

« À mon sens, la souveraineté numérique ne se négocie pas mais s’impose comme une nécessité vitale pour protéger notre démocratie. »

M. le général de corps d’armée Marc Boget — Anfsi (audite, audition de M. Tomasz Blanc, 2026-05-07)

_Cadrage maximaliste : la souveraineté numérique posée comme condition sine qua non de la continuité de l'État._

« L’incident CrowdStrike de 2024, où une mise à jour défectueuse a paralysé 8,5 millions d’ordinateurs, démontre qu’un tel accident constituerait, pour la police et la gendarmerie, une rupture grave de la protection des populations. »

M. le général de corps d’armée Marc Boget — Anfsi (audite, audition de M. Tomasz Blanc, 2026-05-07)

_Exemple concret de fragilité de la chaîne d'approvisionnement logiciel justifiant la maîtrise interne du code._

« Être souverain, c’est garantir que seul l’État français conserve le contrôle de l’interrupteur de ses propres SI. »

M. le général de corps d’armée Marc Boget — Anfsi (audite, audition de M. Tomasz Blanc, 2026-05-07)

_Définition ramassée de la souveraineté par le contrôle du kill switch, illustrée par l'attaque Viasat._

« On ne peut pas envisager que les bases de code de l’armée française soient scannées par Mythos. »

M. Arthur Mensch — Mistral AI (audite, audition de M. Arthur Mensch, 2026-05-12)

_Illustration frappante de la dépendance régalienne inacceptable : confier l'analyse du code militaire à un modèle américain crée une vulnérabilité irrémédiable._