Concentration, monoculture et supply chain logicielle
Sur ce sujet, le corpus est très largement porté par une voix, celle de M. Vincent Strubel, directeur général de l'Anssi (M. Vincent Strubel), complétée ponctuellement par deux auditionnés. Il ne fait donc apparaître aucun clivage frontal : les interventions se rejoignent plus qu'elles ne s'opposent, autour d'un même diagnostic de fragilité liée à la concentration et au manque de traçabilité du logiciel.
Le constat partagé : monoculture et angle mort logiciel. Selon M. Strubel (M. Vincent Strubel), la domination d'une solution américaine « par confort » entretient une « monoculture » qui est « en soi un facteur de risque ». Il l'illustre par l'épisode CrowdStrike : « une mise à jour défaillante de la solution dominante sur le marché a paralysé des millions d'ordinateurs dans le monde, la France ayant été relativement moins touchée, en partie grâce à une moindre dépendance à cette monoculture ». Il insiste sur le déficit de traçabilité de la chaîne logicielle avec une image restée saillante : « nous disposons de davantage d'informations lorsque nous achetons une saucisse […] que lorsque nous acquérons un logiciel » — argument qui sous-tend l'enjeu du SBOM (nomenclature logicielle).
Les chiffres clés. M. Strubel (M. Vincent Strubel) chiffre l'ampleur du problème : « nous sommes en train de perdre la bataille contre les vulnérabilités logicielles », leur nombre progressant « de 18 % par an en moyenne sur les cinq dernières années pour atteindre 50 000 vulnérabilités rendues publiques chaque année, un tiers d'entre elles étant exploitées dès le jour de leur publication ». Il ajoute que « l'attaquant connaît souvent mieux le système d'information de sa victime que la victime elle-même ».
Consolidation et souveraineté, un choix assumé. M. Strubel (M. Vincent Strubel) juge que « le morcellement de l'offre française et européenne est une faiblesse » et plaide pour une consolidation (capitalistique ou par coopérations) tout en évitant les monopoles ; il rappelle que des offres européennes de haut niveau existent et sont qualifiées par l'Anssi. Il assume néanmoins leur coût : « reprendre la maîtrise de ces dépendances, notamment en recourant à des fournisseurs européens, se fait rarement à coût nul ou à performance équivalente ». Sur la doctrine, il défend la neutralité de l'Anssi — « mettre la politique industrielle au service de la cybersécurité, et non l'inverse » — justifiée par l'analogie aéronautique entre régulateur de sécurité et soutien à Airbus.
Résilience et exemples concrets. M. Henri d'Agrain (M. Henri d’Agrain) propose de retenir la définition de la résilience numérique du règlement Dora (huit piliers) comme référence commune public/privé, sans étendre mécaniquement Dora à toutes les entreprises. Enfin, M. Éric Haddad (NumSpot, des fournisseurs de cloud .) illustre la dépendance concrète d'une brique souveraine : « le SOC que nous avons est celui de La Poste », le reste reposant sur de l'open source.
Qui en parle
- M. Vincent Strubel — Anssi (M. Vincent Strubel) : voix centrale du sujet ; la monoculture est un facteur de risque, la bataille des vulnérabilités logicielles est en train d'être perdue (50 000/an, +18 %/an) ; consolidation de l'offre européenne souhaitable sans monopole ; souveraineté = choix d'investissement coûteux ; neutralité de l'Anssi (« la politique industrielle au service de la cybersécurité »).
- M. Henri d'Agrain (M. Henri d’Agrain) : la définition de résilience numérique de Dora (huit piliers) comme référence commune, sans étendre Dora à toutes les entreprises.
- M. Éric Haddad — NumSpot (des fournisseurs de cloud .) : dépendance concrète d'une offre souveraine — « le SOC que nous avons est celui de La Poste », le reste en open source.