La part du citoyen

Défense, cyber & renseignement (ANSSI/Palantir)

Concentration, monoculture et supply chain logicielle

Sur ce sujet, le corpus est très largement porté par une voix, celle de M. Vincent Strubel, directeur général de l'Anssi (M. Vincent Strubel), complétée ponctuellement par deux auditionnés. Il ne fait donc apparaître aucun clivage frontal : les interventions se rejoignent plus qu'elles ne s'opposent, autour d'un même diagnostic de fragilité liée à la concentration et au manque de traçabilité du logiciel.

Le constat partagé : monoculture et angle mort logiciel. Selon M. Strubel (M. Vincent Strubel), la domination d'une solution américaine « par confort » entretient une « monoculture » qui est « en soi un facteur de risque ». Il l'illustre par l'épisode CrowdStrike : « une mise à jour défaillante de la solution dominante sur le marché a paralysé des millions d'ordinateurs dans le monde, la France ayant été relativement moins touchée, en partie grâce à une moindre dépendance à cette monoculture ». Il insiste sur le déficit de traçabilité de la chaîne logicielle avec une image restée saillante : « nous disposons de davantage d'informations lorsque nous achetons une saucisse […] que lorsque nous acquérons un logiciel » — argument qui sous-tend l'enjeu du SBOM (nomenclature logicielle).

Les chiffres clés. M. Strubel (M. Vincent Strubel) chiffre l'ampleur du problème : « nous sommes en train de perdre la bataille contre les vulnérabilités logicielles », leur nombre progressant « de 18 % par an en moyenne sur les cinq dernières années pour atteindre 50 000 vulnérabilités rendues publiques chaque année, un tiers d'entre elles étant exploitées dès le jour de leur publication ». Il ajoute que « l'attaquant connaît souvent mieux le système d'information de sa victime que la victime elle-même ».

Consolidation et souveraineté, un choix assumé. M. Strubel (M. Vincent Strubel) juge que « le morcellement de l'offre française et européenne est une faiblesse » et plaide pour une consolidation (capitalistique ou par coopérations) tout en évitant les monopoles ; il rappelle que des offres européennes de haut niveau existent et sont qualifiées par l'Anssi. Il assume néanmoins leur coût : « reprendre la maîtrise de ces dépendances, notamment en recourant à des fournisseurs européens, se fait rarement à coût nul ou à performance équivalente ». Sur la doctrine, il défend la neutralité de l'Anssi — « mettre la politique industrielle au service de la cybersécurité, et non l'inverse » — justifiée par l'analogie aéronautique entre régulateur de sécurité et soutien à Airbus.

Résilience et exemples concrets. M. Henri d'Agrain (M. Henri d’Agrain) propose de retenir la définition de la résilience numérique du règlement Dora (huit piliers) comme référence commune public/privé, sans étendre mécaniquement Dora à toutes les entreprises. Enfin, M. Éric Haddad (NumSpot, des fournisseurs de cloud .) illustre la dépendance concrète d'une brique souveraine : « le SOC que nous avons est celui de La Poste », le reste reposant sur de l'open source.

Qui en parle

Interventions regroupées (8 citations · 3 auditions)

Domaine : Défense, cyber & renseignement (ANSSI/Palantir) · Sujet : cybersecurite-concentration

Couverture : 8 citations · 4 positions · 3 auditions

_Slugs bruts fusionnés : monoculture-cybersecurite, consolidation-filiere-cyber, cybersecurite-concentration, vulnerabilites-logicielles, tracabilite-logicielle-sbom, resilience-numerique-dora_

Positions exprimées

  • M. Vincent Strubel (M. Vincent Strubel) : La domination d'une solution américaine par confort entretient une monoculture qui est en soi un facteur de risque ; des offres françaises et européennes de très haut niveau existent et sont qualifiées par l'Anssi. _(tranchant 4)_
  • M. Vincent Strubel (M. Vincent Strubel) : Le morcellement de l'offre française et européenne est une faiblesse ; une consolidation (capitalistique ou par coopérations) est souhaitable, tout en évitant les monopoles. _(tranchant 3)_
  • M. Vincent Strubel (M. Vincent Strubel) : Reprendre la maîtrise des dépendances via des fournisseurs européens est plus coûteux et rarement à performance équivalente, mais relève d'un choix d'investissement pertinent. _(tranchant 3)_
  • M. Henri d’Agrain (M. Henri d’Agrain) : La définition de la résilience numérique du règlement Dora (huit piliers) doit servir de référence commune public/privé, sans étendre mécaniquement Dora à toutes les entreprises. _(tranchant 2)_

Citations (verbatim, sourcées)

« Le SOC que nous avons est celui de La Poste. »

Éric Haddad — NumSpot (audite, audition de des fournisseurs de cloud ., 2026-04-21)

_Précision en réponse au président : le SOC utilisé est celui de La Poste, le reste étant open source._

« Collectivement, à l’échelle mondiale, nous sommes en train de perdre la bataille contre les vulnérabilités logicielles puisque leur nombre a progressé de 18 % par an en moyenne sur les cinq dernières années pour atteindre 50 000 vulnérabilités rendues publiques chaque année, un tiers d’entre elles étant exploitées dès le jour de leur publication, à un rythme bien trop rapide pour permettre leur correction. »

M. Vincent Strubel — Anssi (audite, audition de M. Vincent Strubel, 2026-04-30)

_Chiffre-clé sur l'ampleur du problème des vulnérabilités et l'aveu d'une bataille perdue à l'échelle mondiale._

« J’exprime souvent cette difficulté de manière imagée : nous disposons de davantage d’informations lorsque nous achetons une saucisse, dont nous pouvons retracer l’origine jusqu’au cochon, que lorsque nous acquérons un logiciel. »

M. Vincent Strubel — Anssi (audite, audition de M. Vincent Strubel, 2026-04-30)

_Image saisissante résumant le déficit de traçabilité du logiciel comparé à un produit alimentaire._

« je constate, à chaque attaque que nous traitons, que l’attaquant connaît souvent mieux le système d’information de sa victime que la victime elle-même. »

M. Vincent Strubel — Anssi (audite, audition de M. Vincent Strubel, 2026-04-30)

_Illustre le déficit de connaissance de leur propre SI par les organisations attaquées._

« une mise à jour défaillante de la solution dominante sur le marché a paralysé des millions d’ordinateurs dans le monde, la France ayant été relativement moins touchée, en partie grâce à une moindre dépendance à cette monoculture. »

M. Vincent Strubel — Anssi (audite, audition de M. Vincent Strubel, 2026-04-30)

_Utilise l'épisode CrowdStrike pré-JO pour démontrer que la monoculture est en soi un facteur de risque._

« Le principe est clair : mettre la politique industrielle au service de la cybersécurité, et non l’inverse. »

M. Vincent Strubel — Anssi (audite, audition de M. Vincent Strubel, 2026-04-30)

_Pose la doctrine de l'Anssi : la sécurité prime, elle ne plie pas ses jugements pour promouvoir des acteurs._

« Au sein de l’État, certaines administrations veillent à la sécurité des Airbus et des Boeing, tandis que d’autres soutiennent Airbus, et cette séparation répond à une logique fondée. »

M. Vincent Strubel — Anssi (audite, audition de M. Vincent Strubel, 2026-04-30)

_Analogie aéronautique justifiant la neutralité de l'Anssi entre régulateur de sécurité et soutien industriel._

« Reprendre la maîtrise de ces dépendances, notamment en recourant à des fournisseurs européens, se fait rarement à coût nul ou à performance équivalente. »

M. Vincent Strubel — Anssi (audite, audition de M. Vincent Strubel, 2026-04-30)

_Assume le coût de la souveraineté : les solutions européennes relèvent d'un choix d'investissement, pas de gratuité._