La part du citoyen

Matériel, réseaux & infrastructures physiques (hors datacenters)

Infrastructures critiques et chaîne d'approvisionnement

Sur ce sujet, le corpus rassemble onze citations issues de quatre auditions (Odap, ancien de l'Agence du numérique de défense, Caisse des dépôts, Anssi). Aucune position formalisée n'y est enregistrée : les interventions dessinent des constats convergents et quelques nuances plutôt que des clivages tranchés.

Le premier constat partagé est celui de la criticité du numérique comme socle de l'action publique. Selon M. Dominique Luzeaux (M. Dominique Luzeaux), « le numérique n'est pas un secteur parmi d'autres : c'est une condition d'existence de la puissance publique, de la continuité de l'État et de la liberté d'action nationale ». Il en tire une lecture opérationnelle : « la rupture d'un maillon du flux numérique – depuis les capteurs jusqu'aux effecteurs – ne dégrade pas seulement la manœuvre, elle l'annule ». Cette criticité s'étend aux collectivités et à l'IoT/Scada, avec un exemple concret de propagation latérale : il est possible, dit-il, « de pénétrer dans le système d'information d'une mairie après avoir pris le contrôle d'un feu de circulation ».

Deuxième constat : bâtir en interne ou en France ne suffit pas à échapper aux dépendances. Selon Mme Soizic Pénicaud (Odap, Mme Soizic Pénicaud), « développer des systèmes en interne, en France, ne prémunit pas contre certains risques, en raison du stockage des données qui requiert de recourir à des prestataires de cloud, notamment Microsoft Azure ». Elle insiste sur la dimension latente du risque, logé dans les infrastructures elles-mêmes, « susceptibles d'ouvrir la porte à de potentielles dérives », et rappelle que le choix des prestataires « n'est pas neutre du point de vue des modèles économiques et des politiques industrielles ».

Un point de nuance apparaît autour de l'open source. Pour M. Arnaud Martin (Caisse des dépôts, Mme Catherine Mayenobe), il « constitue une forte composante de notre résilience par rapport aux solutions américaines en mode SaaS ». M. Luzeaux le relativise : « l'open source est à la fois une réponse et une vulnérabilité », soulignant qu'il peut aussi servir d'angle d'attaque. Les deux intervenants convergent toutefois sur une limite : l'asymétrie persiste sur les socles techniques.

Troisième axe : la souveraineté matérielle ne vaut rien sans compétences ni connaissance de ses propres systèmes. M. Luzeaux note qu'« un data center sans documentation et sans compétences de supervision ou d'opération est une coquille vide ». M. Vincent Strubel (Anssi, M. Vincent Strubel) prolonge ce diagnostic : « à chaque attaque que nous traitons, l'attaquant connaît souvent mieux le système d'information de sa victime que la victime elle-même ».

Enfin, un chiffre-clé est avancé par Mme Catherine Mayenobe (Caisse des dépôts, Mme Catherine Mayenobe) : pour l'établissement public « cette part est de 54 % », part de solutions souveraines qui la place, selon elle, « dans une situation de départ nettement plus favorable que la moyenne ».

Qui en parle

Interventions regroupées (11 citations · 4 auditions)

Domaine : Matériel, réseaux & infrastructures physiques (hors datacenters) · Sujet : infrastructures-critiques

Couverture : 11 citations · 0 positions · 4 auditions

_Slugs bruts fusionnés : infrastructures-critiques-vulnerabilite, couches-cyberespace-dependance, dependance-infrastructures, chaine-approvisionnement, chaines-sous-traitance_

Citations (verbatim, sourcées)

« le choix des partenaires économiques avec lesquels l’État et l’administration choisissent de collaborer n’est pas neutre du point de vue des modèles économiques et des politiques industrielles. »

Mme Soizic Pénicaud — Observatoire des algorithmes publics (Odap) (audite, audition de Mme Soizic Pénicaud, 2026-03-17)

_Relie le choix des prestataires à un enjeu de politique industrielle, pas seulement technique._

« Développer des systèmes en interne, en France, ne prémunit pas contre certains risques, en raison du stockage des données qui requiert de recourir à des prestataires de cloud, notamment Microsoft Azure. »

Mme Soizic Pénicaud — Observatoire des algorithmes publics (Odap) (audite, audition de Mme Soizic Pénicaud, 2026-03-17)

_Nuance l’idée que « développer en France » suffit : le stockage cloud recrée une dépendance._

« il importe d’être particulièrement attentif aux infrastructures que l’on bâtit, parce qu’elles sont susceptibles d’ouvrir la porte à de potentielles dérives. »

Mme Soizic Pénicaud — Observatoire des algorithmes publics (Odap) (audite, audition de Mme Soizic Pénicaud, 2026-03-17)

_Argument central : le risque n’est pas seulement présent mais latent dans les infrastructures elles-mêmes._

« Le numérique n’est pas un secteur parmi d’autres : c’est une condition d’existence de la puissance publique, de la continuité de l’État et de la liberté d’action nationale. »

M. Dominique Luzeaux — Otan (ACT) / ancien Agence du numérique de défense (audite, audition de M. Dominique Luzeaux, 2026-03-18)

_Élève le numérique au rang de condition d'existence de l'État, justifiant un traitement d'exception (comparable à la dissuasion)._

« la rupture d’un maillon du flux numérique – depuis les capteurs jusqu’aux effecteurs – ne dégrade pas seulement la manœuvre, elle l’annule. »

M. Dominique Luzeaux — Otan (ACT) / ancien Agence du numérique de défense (audite, audition de M. Dominique Luzeaux, 2026-03-18)

_Formule frappante sur la criticité opérationnelle : le numérique n'est plus un soutien mais un point de défaillance qui annule l'action militaire._

« l’ open source est à la fois une réponse et une vulnérabilité. »

M. Dominique Luzeaux — Otan (ACT) / ancien Agence du numérique de défense (audite, audition de M. Dominique Luzeaux, 2026-03-18)

_Nuance importante : l'open source, souvent présenté comme un levier de souveraineté, est aussi un angle d'attaque (exemple Yandex/GitHub)._

« Il est ainsi tout à fait possible, par déplacement latéral, de pénétrer dans le système d’information d’une mairie après avoir pris le contrôle d’un feu de circulation. »

M. Dominique Luzeaux — Otan (ACT) / ancien Agence du numérique de défense (audite, audition de M. Dominique Luzeaux, 2026-03-18)

_Image concrète et parlante de la vulnérabilité IoT/Scada des collectivités._

« un data center sans documentation et sans compétences de supervision ou d’opération est une coquille vide. »

M. Dominique Luzeaux — Otan (ACT) / ancien Agence du numérique de défense (audite, audition de M. Dominique Luzeaux, 2026-03-18)

_Rappelle que la souveraineté matérielle ne vaut rien sans compétences humaines pour opérer les infrastructures._

« l’ open source constitue une forte composante de notre résilience par rapport aux solutions américaines en mode SaaS »

Arnaud Martin — Caisse des dépôts (audite, audition de Mme Catherine Mayenobe, 2026-03-18)

_Constat interne : l'open source protege des solutions americaines SaaS, mais l'asymetrie persiste sur les socles techniques._

« Pour l’établissement public Caisse des dépôts stricto sensu, cette part est de 54 %, ce qui nous place dans une situation de départ nettement plus favorable que la moyenne. »

Catherine Mayenobe — Caisse des dépôts (audite, audition de Mme Catherine Mayenobe, 2026-03-18)

_Chiffre-cle de la position de la CDC : 54 % de solutions souveraines contre 17 % en moyenne europeenne._

« je constate, à chaque attaque que nous traitons, que l’attaquant connaît souvent mieux le système d’information de sa victime que la victime elle-même. »

M. Vincent Strubel — Anssi (audite, audition de M. Vincent Strubel, 2026-04-30)

_Illustre le déficit de connaissance de leur propre SI par les organisations attaquées._