Infrastructures critiques et chaîne d'approvisionnement
Sur ce sujet, le corpus rassemble onze citations issues de quatre auditions (Odap, ancien de l'Agence du numérique de défense, Caisse des dépôts, Anssi). Aucune position formalisée n'y est enregistrée : les interventions dessinent des constats convergents et quelques nuances plutôt que des clivages tranchés.
Le premier constat partagé est celui de la criticité du numérique comme socle de l'action publique. Selon M. Dominique Luzeaux (M. Dominique Luzeaux), « le numérique n'est pas un secteur parmi d'autres : c'est une condition d'existence de la puissance publique, de la continuité de l'État et de la liberté d'action nationale ». Il en tire une lecture opérationnelle : « la rupture d'un maillon du flux numérique – depuis les capteurs jusqu'aux effecteurs – ne dégrade pas seulement la manœuvre, elle l'annule ». Cette criticité s'étend aux collectivités et à l'IoT/Scada, avec un exemple concret de propagation latérale : il est possible, dit-il, « de pénétrer dans le système d'information d'une mairie après avoir pris le contrôle d'un feu de circulation ».
Deuxième constat : bâtir en interne ou en France ne suffit pas à échapper aux dépendances. Selon Mme Soizic Pénicaud (Odap, Mme Soizic Pénicaud), « développer des systèmes en interne, en France, ne prémunit pas contre certains risques, en raison du stockage des données qui requiert de recourir à des prestataires de cloud, notamment Microsoft Azure ». Elle insiste sur la dimension latente du risque, logé dans les infrastructures elles-mêmes, « susceptibles d'ouvrir la porte à de potentielles dérives », et rappelle que le choix des prestataires « n'est pas neutre du point de vue des modèles économiques et des politiques industrielles ».
Un point de nuance apparaît autour de l'open source. Pour M. Arnaud Martin (Caisse des dépôts, Mme Catherine Mayenobe), il « constitue une forte composante de notre résilience par rapport aux solutions américaines en mode SaaS ». M. Luzeaux le relativise : « l'open source est à la fois une réponse et une vulnérabilité », soulignant qu'il peut aussi servir d'angle d'attaque. Les deux intervenants convergent toutefois sur une limite : l'asymétrie persiste sur les socles techniques.
Troisième axe : la souveraineté matérielle ne vaut rien sans compétences ni connaissance de ses propres systèmes. M. Luzeaux note qu'« un data center sans documentation et sans compétences de supervision ou d'opération est une coquille vide ». M. Vincent Strubel (Anssi, M. Vincent Strubel) prolonge ce diagnostic : « à chaque attaque que nous traitons, l'attaquant connaît souvent mieux le système d'information de sa victime que la victime elle-même ».
Enfin, un chiffre-clé est avancé par Mme Catherine Mayenobe (Caisse des dépôts, Mme Catherine Mayenobe) : pour l'établissement public « cette part est de 54 % », part de solutions souveraines qui la place, selon elle, « dans une situation de départ nettement plus favorable que la moyenne ».
Qui en parle
- Dominique Luzeaux (Otan ACT / ancien Agence du numérique de défense, M. Dominique Luzeaux) — le numérique comme condition d'existence de l'État ; criticité opérationnelle, vulnérabilité IoT/Scada, open source à double tranchant, primauté des compétences sur le matériel.
- Soizic Pénicaud (Observatoire des algorithmes publics – Odap, Mme Soizic Pénicaud) — « développer en France » ne suffit pas ; dépendance au cloud (Azure), risque latent des infrastructures, choix des prestataires comme enjeu de politique industrielle.
- Arnaud Martin (Caisse des dépôts, Mme Catherine Mayenobe) — l'open source comme composante de résilience face aux solutions américaines SaaS, malgré l'asymétrie sur les socles.
- Catherine Mayenobe (Caisse des dépôts, Mme Catherine Mayenobe) — 54 % de solutions souveraines à la CDC, position de départ jugée favorable.
- Vincent Strubel (Anssi, M. Vincent Strubel) — déficit de connaissance des organisations sur leur propre système d'information.