Delphine Sabattier : Bonjour à tous. Vous écoutez Politiques numériques, alias POL/N, l’émission qui pose des questions parfois corsées aux décideurs publics, comme celle-ci, pas facile : que comptez-vous faire pour améliorer la sécurité de nos données dans l’espace numérique, Madame la Députée du groupe Horizons, élue de la première circonscription du Morbihan, Anne Le Hénanff. Bienvenue.

Anne Le Hénanff : Merci. Bonjour.

Delphine Sabattier : Et merci d’avoir accepté d’affronter une telle question !
Au studio avec nous, quand même, pour traiter ce sujet, des experts, le consultant enseignant-chercheur en économie à l’INSEC [Institut des hautes études économiques et commerciales], Julien Pillot, expert ès Big Tech et business modèle dans le numérique. Bonjour Julien.

Julien Pillot : Bonjour.

Delphine Sabattier : Maître Alexandra Iteanu, avocate spécialisée en droit du numérique, également en cybersécurité et data. Bienvenue également. Et nous rejoindra normalement Jean-Noël de Galzain, un des grands représentants, finalement, un des acteurs français de la cybersécurité, s’il arrive à temps.
Anne Le Hénanff, au sein de l’Assemblée nationale vous siégez dans la commission de la Défense et des forces armées, vous êtes corapporteur, notamment, de cette mission d’information flash sur les défis de la cyberdéfense [1]. Je me disais qu’en ce moment, avec la guerre en Ukraine, ce conflit Israël-Hamas, on ne manque pas de défis en matière de cyberdéfense.

Anne Le Hénanff : Oui. Heureusement la France ne vient pas de découvrir qu’il est grand temps de s’y intéresser. On y travaille depuis longtemps, il y a eu des lois. J’ai eu affaire, en tant qu’élue locale, à des ministres qui ont vraiment fait de grandes avancées sur le sujet du numérique. Sur la protection des données, on a franchi un pas majeur, je pense notamment aux territoires, aux collectivités locales, au regard des données. La protection des données, c’est le RGPD [2], je le cite souvent comme exemple vertueux de ce que peut faire bien l’Europe. Et puis là, effectivement, il y a les conflits armés qui ont lieu sur la planète. Il y a d’autres choses, plus latentes, il y a des parties du monde qui mettent en œuvre des moyens, notamment d’influence, de désinformation vis-à-vis de la France. Il y a effectivement les conflits, les cyberattaques contre les pays comme l’Ukraine ou le conflit entre Israël et le Hamas, mais il y a aussi d’autres formes de menaces de plus en plus nombreuses. Le rapport sur le défi de la cyberdéfense [1] c’était un moment qui nous paraissait opportun pour dire « comment fait-on maintenant ? »

Delphine Sabattier : Jean-Noël de Galzain nous a rejoints. Merci. Bienvenue Jean-Noël. Je vous présentais comme un des grands représentants des acteurs français de la cybersécurité, on va être un peu plus précis, fondateur PDG du groupe Wallix [3], éditeur français de logiciels de sécurité informatique]], vous êtes président d’Hexatrust [4], et aussi vice-président de la filière « industries de sécurité », on va parler de tout cela ensemble.
Notre sujet c’est la sécurité des données, mais on va commencer par une petite introduction sur ces défis de cyberdéfense pour la France en ce moment, qui, finalement, ne peut pas être tout à fait hermétique à l’ensemble des conflits dans le monde. Jean-Noël, est-ce que ce contexte géopolitique, en ce moment, vous inquiète ?

Jean-Noël de Galzain : Le contexte géopolitique m’inquiète en ce sens qu’il n’est pas bon pour les personnes au quotidien et il n’est pas bon pour les affaires. C’est essentiellement pour cela que ça m’inquiète. Après, on collectionne les crises les unes après les autres depuis quelques années, je vous dirais que j’appartiens à une catégorie de gens qui vit avec, qui se développe et qui essaye de trouver une voie dans un monde qui est de plus en plus compliqué à vivre, où nous avons une influence. En fait, notre rôle va être de faire en sorte qu’on puisse continuer à communiquer, à vivre. On a vécu, à travers le confinement, les périodes où tout s’arrêtait, il fallait maintenir un lien et le numérique était le lien.

Delphine Sabattier : Jean-Noël, quand vous dites que ce n’est pas bon pour les affaires, en même temps dans la cybersécurité, plus on a de défis à relever mieux c’est quand même. Non ?

Jean-Noël de Galzain : On va dire que la cybersécurité n’est pas le segment de marché le plus affecté, je ne vais pas vous dire le contraire.

Delphine Sabattier : On est d’accord.

Jean-Noël de Galzain : C’est un moment dans lequel, comme on doit maintenir ce lien, cette capacité à communiquer à faire des échanges, eh bien il faut maintenir le numérique en état de fonctionnement, résilient et, ensuite, il faut garder un œil sur l’avenir et l’avenir, en matière de numérique, ce sont les données. Notre rôle, c’est donc de continuer à développer les moyens à travers nos offres, à travers nos technologies, à travers les partenariats avec différents opérateurs, acteurs de l’économie, de la vie réelle, d’impliquer, de mettre davantage de systèmes numériques de telle manière à ce que le système tienne bon.

Delphine Sabattier : Justement : est-ce qu’il faut davantage de systèmes numériques ? Est-ce qu’il faut mettre nos données dans le cloud quand on est dans des périodes comme ça d’incertitude, de difficultés de protection des données ? Est-ce que le cloud c’est plus, c’est moins sécurisé ? Julien Pillot, peut-être.

Julien Pillot : Je ne sais pas si je suis le mieux placé pour répondre à la question !

Delphine Sabattier : Il y a quand même cette volonté de l’Europe d’accélérer sur le cloud. On nous dit « on ne met pas assez nos données dans les nuages, aujourd’hui il faut qu’on aille plus vite là-dessus. » C’est un défi business, mais, en matière de sécurité, est-ce que c’est une bonne voie ?

Julien Pillot : C’est un vrai arbitrage.
Il faut déjà regarder dans quelle mesure le cloud est contrôlé par des intérêts qui sont amis, amicaux et surtout contrôlables.
Et puis, il y a la question de la résilience. Le cloud a le défaut de ses qualités, c’est-à-dire qu’il est centralisé et, étant centralisé, ça permet effectivement de concentrer des moyens pour pouvoir le sécuriser, mais ça le rend aussi vulnérable à des attaques qui sont, en fait, très facilement localisées. Je ne suis pas contre ou pro-cloud. Je dis que si on vise la résilience, la décentralisation plus forte, plus massive que celle qui est pensée actuellement sur des clouds régionalisés qui dupliquent, voire triplent les données, me paraît peut-être un arbitrage intéressant sur le plan géostratégique.

Delphine Sabattier : Et d’un point de vue juridique, qu’est-ce que ça donne de mettre ses données dans le cloud ? Ça complexifie leur protection.

Maître Alexandra Iteanu : Je pense qu’on assiste un peu à un double courant. D’un côté il y a l’État qui, avec ses propres services, incite à mettre ses données dans le cloud, on pense notamment à la politique « Cloud au centre » [5]. Et, d’un autre côté, on a un autre mouvement qui apparaît, qui est de plus en plus important, qui veut défendre une certaine souveraineté et, aujourd’hui, on sait que la plupart des acteurs cloud sont américains, étrangers, en tout cas très rarement européens, et ça pose des questions en termes de législation, de lois. On sait qu’aux États-Unis il y a notamment une législation qui est très décriée en ce moment, qui s’appelle la loi FISA, Foreign Intelligence Surveillance Act [6], on parle aussi du CLOUD Act [7]. Ce sont des lois américaines qui permettent aux autorités américaines une certaine ingérence dans nos données, dans les données des citoyens européens. Toute la question est donc, oui, il faut accéder à un cloud et c’est important aujourd’hui d’avoir recours au cloud, mais il faut trouver un moyen de sécuriser les données des citoyens européens et mettre en place des mesures législatives mais aussi des mesures techniques et organisationnelles. C’est ce qu’on va voir. En tout cas, aujourd’hui, la loi n’est pas suffisante.

Delphine Sabattier : Anne Le Hénanff, sur cette politique du « Cloud au centre » de l’État, est-ce qu’il vous semble qu’on y va suffisamment prudemment ?

Anne Le Hénanff : Il y a eu la loi dite SREN, sécuriser et réguler l’espace numérique [8]. J’étais rapporteur du titre 3 qui parlait du cloud et je peux vous dire que ça a donné lieu à des discussions en amont que ce soit avec les industriels, avec des administrations. C’était mon titre, donc autant vous dire que l’article 10 bis A [9] a été voté et je l’ai porté fortement.

Delphine Sabattier : On attend quand même toujours le retour de la navette par Bruxelles.

Anne Le Hénanff : C’est fait, nous avons reçu l’avis circonstancié de Bruxelles.

Delphine Sabattier : Qu’est-ce que ça donne sur ce point ?

Anne Le Hénanff : Sur mon titre, il y a RAS, pas de modification, parce j’ai choisi, avec Jean-Noël Barrot de vraiment coller au Data Act [10] et ce sera toujours le cas. Il faut bien qu’on comprenne, pas dans tous les secteurs, bien sûr, que l’avenir numérique, le cloud, la protection, la cybersécurité se jouent au niveau européen. On a des vrais champions en France. En tant que politiques, notre objectif c’est, finalement, d’accompagner la filière. Et quand j’ai fait passer le 10 bis A, qui était donc d’appliquer dans la loi une circulaire qui était celle de la Première ministre [11], qui s’appelle « Cloud au centre », c’était, pour moi, un premier pas vers la souveraineté numérique des administrations publiques et les GAFAM n’ont rien eu à redire là-dessus. L’avis des GAFAM, qu’ils ont d’ailleurs adressé à Bruxelles, sur la partie du cloud, dit, en gros, « on peut comprendre que les Français veuillent sauvegarder leurs données publiques, c’est-à-dire que les données collectées par les ministères, les collectivités locales et les hôpitaux soient sauvegardées dans un cloud souverain en France, voire en Europe. »

Delphine Sabattier : Mais qu’est-ce qu’on appelle un cloud souverain ? Quelles sont les conditions pour qu’il soit vraiment souverain ? Il y a débat là-dessus.

Anne Le Hénanff : Pour moi, il y a deux choses, ça choque parfois et je pense que Jean-Noël réagira peut-être.
En tant que politique et souhaitant que nous allions le plus vite possible vers le développement d’une filière française de cloud français, qui collecte, qui récupère et qui peut protéger les données de toutes les collectivités, les administrations mais pas que, les entreprises, on y va, on souhaite y aller, je veux te rassurer Jean-Noël, mais il faut y aller pas à pas, il faut être pragmatique.
À ce stade, la priorité pour nous, et l’ANSSI [Agence nationale de la sécurité des systèmes d’information] nous aide beaucoup, c’est qu’il soit avant tout sécurisé. En tant que politique, je veux d’abord que ce cloud, où sont accueillis les données des organisations et des acteurs français, soit sécurisé. Parfois on dit que ce n’est pas facile quand on veut une labellisation, une qualification SecNumCloud [12] de l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information, c’est tellement top niveau qu’une TPE, une PME n’a pas les moyens humains, financiers, ni le temps pour remplir ces fameux 700 items et je ne sais combien de dizaines et de dizaines de pages. Mais il faut qu’on y tende.
Pour moi la loi SREN, c’est une première étape sur le cloud, l’article 10 bis A, 10 bis B aussi.

Delphine Sabattier : Mais est-ce qu’elle apporte des contraintes ? Par exemple, quand on dit « il faut que ce soit sécurisé », sécurisé jusqu’à être complètement étanche aux lois américaines comme le FISA [6] ? Pour l’instant, on n’y est pas, et tout le monde n’est pas d’accord là-dessus. Par exemple sur les données de santé, ça reste aujourd’hui un point qui n’a pas été traité.

Anne Le Hénanff : Quand on parle des données de santé, je veux juste quand même préciser que le ministère de la Santé a fait un travail énorme sur la protection des données, il y a des choses qui sont faites, une agence a même été créée spécialement sur la protection des données de santé. Il ne faut surtout pas laisser faire croire aux auditeurs ou aux Français qu’on traite leurs données de santé comme n’importe quelle donnée. La donnée de santé est considérée comme une donnée stratégique, sensible, en France. Elle est sauvegardée dans des datacenters sécurisés. Ils n’ont pas la labellisation SecNumCloud [12], me semble-t-il, ils sont HDS [13], qui est quand même un très haut niveau. Mais notre objectif, mon objectif avec mes collègues sur les sujets du numérique, c’est évidemment que les données des ministères, les données publiques parce que ce sont les données des Français, en priorité, bien entendu,, il faut protéger leurs données de santé plus que n’importe quoi.
Par exemple, pour faire la migration d’un cloud extraterritorial, je n’en citerai aucun, vers un cloud sécurisé, souverain, c’est un an et demi, parfois deux ans.

Delphine Sabattier : Donc, il faut aussi laisser le temps à la filière de se renforcer, c’est cela que vous nous dites ? Jean-Noël.

Jean-Noël de Galzain : On a défini le cloud souverain comme étant un cloud à l’abri des lois extraterritoriales. C’est comme cela que ça a été défini, c’est simple.
Aujourd’hu,i on a beaucoup reproché à la filière française de ne pas être prête sur le cloud, de ne pas avoir le bon niveau technologique et surtout le bon niveau de service, ce qui est en train d’être résorbé par un certain nombre d’acteurs, que ce soit des gens comme OVHcloud [14] qui est certainement le leader européen, qui est français, il faut le dire, c’est même une entreprise familiale et cotée en bourse sur Euronext. On a des gens comme à Outscale, Docapost, Numspot maintenant, tout un tissu de PME qui sont en train de devenir des ETI et des champions dans le domaine du cloud. Effectivement, comme disait Anne, il faudra quand même un peu de temps, mais il y a le niveau, aujourd’hui, pour offrir des infrastructures cloud efficaces et sécurisées pour la plupart des projets qui en ont besoin.
Après, il faut qu’il y ait une volonté d’y aller.
On parlait, par exemple, des données de santé. Il n’y a pas d’illégalité, aujourd’hui, puisque Microsoft est HDS, à mettre les données chez Microsoft. Maintenant soyons clairs, les États-Unis ne mettraient pas les données des Américains dans un cloud français. On peut donc s’interroger sur la raison pour laquelle, en France, on n’y voit pas d’inconvénient. Je pense que c’est une erreur d’appréciation qui a été commise, non pas qu’on soit contre Microsoft mais ça n’est pas ce qu’on attend de la souveraineté des données. Il faut donc réparer cette erreur. Aujourd’hui on a une vision du cloud souverain, justement, qui est assez forte comparée à celle de la plupart de nos voisins européens.

Delphine Sabattier : C’est quand même très franco-français et ça pose un problème. En Europe, nous ne sommes pas tous alignés.

Jean-Noël de Galzain : Ce n’est pas franco-français. La France a une vision de l’Europe qui est finalement assez souveraine sur ces questions de numérique et qui est assez intéressante. Pareil sur l’armement, sur l’agriculture, sur un certain nombre de sujets, donc, il ne faut pas le critiquer, on en a besoin parce qu’on est en retard. On en a besoin, il faut le construire, il faut l’appuyer. Mais on ne peut pas héberger les données de santé des Français dans un cloud Microsoft et dire qu’on est pour un cloud souverain à l’abri des GAFAM. Là il y a une contradiction. Il va donc falloir résoudre cette contradiction d’une manière ou d’une autre. Ça n’est pas le pouvoir des industriels, c’est le pouvoir des politiques.

Delphine Sabattier : Maître Iteanu.

Maître Alexandra Iteanu : Plusieurs choses. Déjà, pour parler des données de santé et de l’hébergement, une nouvelle certification HDS va entrer normalement en application en 2024 et, pour la première fois, la question de la souveraineté est traitée dans cette nouvelle certification, qui va justement demander aux hébergeurs HDS, donc les hébergeurs de données de santé, de prouver leur étanchéité face aux lois étrangères, extraterritoriales. C’est vrai qu’aujourd’hui ça peut paraître un peu fou que des hébergeurs étrangers puissent être, d’un côté, HDS – parce qu’il y avait, avant, ce qu’on appelait le Privacy Shield [15] qui permettait de rendre les transferts légaux – et, d’un autre côté, ces hébergeurs-là, pendant très longtemps n’étaient plus considérés, en tout cas légalement, comme légitimes sur le territoire français parce qu’il n’y avait plus d’accord entre les États-Unis et l’Europe.

Delphine Sabattier : Mais ce Privacy Shield, justement, se joue au niveau européen. Aujourd’hui allons-nous pouvoir appliquer nos propres règles en France, en dépit de ce qu’on décide au niveau européen ?

Maître Alexandra Iteanu : Il y a quand même un courant général : HDS, c’est français, mais il y a l’espace européen des données de santé qui est quelque chose d’européen, global et, dans ce règlement qui va encadrer cet espace, la question de la souveraineté est aussi traitée. Il faut quand même dire qu’aujourd’hui, au niveau européen, dans la plupart des règlements et des directives, etc., il y a quand même cette volonté, ce souci de protéger les données des citoyens européens face aux règlements étasuniens.

Delphine Sabattier : Il y a le souci de la protection de nos données, parce que c’est de la donnée sensible, parce que c’est aussi notre vie privée, c’est important dans l’espace numérique de dire qu’on peut encore conserver une vie privée. Mais ces histoires de souveraineté, c’est aussi un enjeu business, Julien.

Julien Pillot : Si l’objectif c’est de me faire dire que les données ont de la valeur, oui, les données ont de la valeur et même beaucoup de valeur. D’ailleurs, il y a une économie de la donnée qu’on peut appeler bleue, celle qui est légale, celle qui est à peu près transparente, à peu près traçable. Après, il y a des marchés gris et même des black markets de la donnée.
Pour se donner une idée de ce que ça pèse, on pourrait regarder les comptes de Meta. Pourquoi Meta est-ce intéressant à regarder ? Déjà, parce que c’est une entreprise cotée, qui publie ses résultats, qui donne beaucoup d’informations, qui est assez transparente, en fait, sur la façon dont elle génère de l’argent. Meta, ce sont 120 milliards de chiffre d’affaires par an et 98,3 % de son chiffre d’affaires résulte de l’exploitation de la donnée à des fins publicitaires. On peut donc quasiment dire que Meta ne fait que de la publicité.
On peut regarder la façon dont Meta gagne de l’argent de façon différenciée en fonction du profil de l’internaute et là on se rend compte que, par exemple, entre un Nord-américain et un Européen, il y a un écart de un à cinq entre ce que Meta gagne en exploitant les données d’un Américain et les données d’un Européen. Pourquoi ? En fait, il y a deux éléments de réponse et le deuxième élément de réponse sera beaucoup plus intéressant. Néanmoins, le premier c’est une question de comportement : taux d’engagement vis-à-vis de la plateforme, on peut considérer que l’internaute américain va consulter plus de contenus, va rester plus longtemps connecté à la plateforme, va donner, finalement, plus d’attention, donc de données, et puis, derrière, va cliquer sur plus de contenus promotionnels et, éventuellement, va avoir des actes d’achat plus forts que l’Européen. Donc, quelque part, l’exposition publicitaire sur Facebook est peut-être plus intéressante lorsque vous faites une campagne de publicité aux États-Unis d’Amérique plutôt qu’en Europe.
Le deuxième élément de réponse qui est, à mon sens, beaucoup plus intéressant par rapport au sujet qui nous intéresse aujourd’hui, c’est la question de la réglementation qui est différenciée : les annonceurs américains vont avoir accès à une diversité de données et des données beaucoup plus intrusives que ce qu’on peut faire en Europe, du fait de la mise en place du RGPD [2]. Et, quelque part, cela a un impact en termes de valorisation de la donnée : si vous avez accès à moins de données, moins qualifiées, moins intrusives, quelque part vous, en tant qu’annonceur, vous êtes moins intéressé à mener des campagnes dispendieuses, sur un même espace numérique, en Europe, plutôt qu’en Amérique du Nord. Là on a vraiment un élément de réponse assez manifeste de ce que la réglementation et une innovation réglementaire peuvent avoir comme impact sur la valorisation d’une donnée sur le marché numérique.

Delphine Sabattier : Qui sont les premiers qui en pâtissent ? Les plateformes américaines ou, finalement, les sites français ou européens ?

Jean-Noël de Galzain : Excellente question. Si on ne change pas les équilibres, ce sont forcément les groupes américains qui vont en profiter et les groupes extraterritoriaux, on va dire, hors de notre territoire, puisque, aujourd’hui, leur modèle économique est axé là-dessus et nous restreignons nos propres modèles, sauf à inviter nos entreprises à aller sortir de France pour pouvoir appliquer les mêmes réglementations. C’est donc assez évident que soit on change la réglementation et on va au bout de la voie qui a été, on va dire, démarrée et qui est ouverte, notamment par Thierry Breton, un Français à Bruxelles. D’ailleurs, on va arriver à des élections européennes, j’interroge la représentation française pour aller à Bruxelles et se battre sur la vision d’une Europe un peu plus souveraine, notamment en matière de numérique, parce que si on a perdu des batailles, on n’a pas perdu celle-là. Nous sommes extrêmement puissants au niveau technologique, nous sommes très performants notamment au niveau de l’intelligence artificielle qui permet à ces grands groupes d’être, on va dire, les leaders, les plus grosses capitalisations mondiales, les plus grands groupes mondiaux, ceux qui dégagent le plus de bénéfices, il faut avoir tout cela à l’esprit. Tant qu’on ne change pas ces équilibres-là, nous sommes dans une bataille économique dans laquelle nous sommes perdants.

Delphine Sabattier : Madame la Députée, vous vouliez réagir.

Anne Le Hénanff : Oui. Je voulais dire qu’effectivement on peut accompagner, qu’il est indispensable d’aller plus vite. Je fais partie de ces députés qui pensent que nous sommes un peu frileux en France et qu’on navigue un peu.
Beaucoup de choses vont se passer à Bruxelles. La France est très présente pour les négociations, il y a effectivement monsieur Breton, l’ANSSI va négocier pour l’EUCS [European Union Cybersecurity Certification Scheme for Cloud Services] qui est le niveau de cybersécurité minimal européen. Il faut quand même noter que nous sommes assez isolés dans nos positions. Nous avons une position française, très française culturellement, c’est-à-dire la protection et la régulation, mais ce n’est pas partagé par les voisins européens. Vous avez une coalition de 13 pays qui résistent à la position française en matière de niveau de cybersécurité ; ça existe, il faut le savoir.
Après comment peut-on faire en France ? Je réponds à la question que vous avez posée tout à l’heure : est-ce qu’on peut aller plus vite, plus loin ? Oui, il y a l’Europe, il faut qu’on soit solidaires et beaucoup de choses vont se jouer en Europe, il faut qu’on joue collectif en Europe. Mais, par exemple, sur le titre 1, le titre 2 de la loi SREN, Bruxelles n’est pas d’accord. Le titre 3, sur le cloud, coup de chance, je n’ai pas de remarque.

Delphine Sabattier : Rappelez-nous, titre 1, titre 2.

Anne Le Hénanff : En résumé, le titre 1 et le titre 2 de la loi SREN, la loi sur le numérique que nous avons portée avant Noël avec Jean-Noël Barrot, c’était sur la protection des usages sur le Net : protéger les mineurs, lutte contre le harcèlement, vérification de l’âge pour les sites pornographiques, très contraignant pour les opérateurs, la lutte contre la pédopornographie. Ce sont des choses essentielles, très importantes pour nous, mais Bruxelles trouve que c’est une atteinte à la liberté, donc il y a eu une remise en cause sur le titre 1 et le titre 2. Ce que je veux dire, c’est qu’on a toujours la possibilité, en France, de faire une loi sur le numérique, 100 % française.
Ma position c’est : jouons collectif et collons au maximum aux politiques européennes, ne faisons pas de sur-transcription parce qu’on va se faire retoquer, c’est supranational. Avec Jean-Noël Barrot, je dis, s’il est renommé ministre du Numérique.

Delphine Sabattier : Parce que là, c’est vrai que nous sommes dans une période intermédiaire, on attend une confirmation.

Jean-Noël de Galzain : Il était à Las Vegas.

Anne Le Hénanff : J’y crois beaucoup et j’espère qu’il va être reconduit. Sur ces sujets-là, qui sont très importants pour la France, faisons une loi nationale sur l’accompagnement, les risques cybers ou les dérives sur le Net.

Delphine Sabattier : Anne Le Hénanff, nous sommes allés à l’Assemblée nationale écouter un peu dans les couloirs les réactions, justement, des députés sur ces questions de la sécurité des données. C’est Cécile Dard, une consœur, qui est allée les interroger.

Cécile Dard : Monsieur Bernalicis, député LFI, bonjour. Cécile Dard, journaliste pour le podcast Politiques Numériques. Que pensez-vous de la protection des données aujourd’hui en France ? Avez-vous déjà été vous-même piraté ?

Ugo Bernalicis : Je pense qu’on est à la ramasse dans ce pays ! Toutes les études le montrent chaque année, sur les mots de passe qui sont encore donnés, quatre fois « 0 », « ABCD ». Bref ! C’est assez affligeant.
D’ailleurs, j’avais été très critique avec mon groupe parlementaire, celui de la France insoumise, lors de la transcription de la directive sur le RGPD [2] ici, à l’Assemblée nationale, au début de la mandature précédente, puisque c’est à ce moment-là que ça s’est fait. On nous a proposé une transcription a minima en fait, en réalité, là on aurait pu donner des pouvoirs bien plus exorbitants à la CNIL, à l’Arcom [Autorité de régulation de la communication audiovisuelle et numérique] aujourd’hui, pour être des vrais régulateurs avec des moyens. On a préféré avoir une vision, comment je vais dire ça, on a dit « on va superviser le marché, en l’occurrence, on va obliger les entreprises privées à bien modérer leurs contenus, mais on va bien se garder de mettre les doigts dedans nous-mêmes, en tout cas d’avoir les moyens de contrôler véritablement les choses ». J’ai vu effectivement ce que cela pouvait produire par exemple à la mairie de Lille, là où je suis élu, dans ma circonscription, qui a souffert pendant plusieurs mois, qui continue de souffrir en bonne partie. Donc oui, il y a un enjeu majeur, mais quand on voit la faiblesse des moyens de l’ANSSI, on ne va pas faire de lien !

Cécile Dard : Bertrand Pancher, président du groupe LIOT [Groupe Libertés, indépendants, outre-mer et territoires].

Bertrand Pancher : Je pense que la question de la souveraineté, en termes de cloud, se pose : à quel endroit hébergeons-nous ces données ? Il vaut mieux que ce soit hébergé dans des pays démocratiques que pas démocratiques. Il vaut mieux que ce soit dans des pays européens que dans d’autres pays. Je pense que ça passe peut-être par des investissements de ce type.

Cécile Dard : Pierre Cordier, député apparenté au groupe Les Républicains.

Pierre Cordier : Il y a eu une fois où, effectivement, quelqu’un a utilisé ma photo pour créer une page en parallèle. J’ai tout de suite averti qui de droit pour faire en sorte que ça cesse. Donc il existe déjà un certain nombre de dispositifs pour justement lutter contre ce genre de choses, mais je pense qu’il faut les renforcer.

Cécile Dard : Danielle Brulebois, députée Renaissance du Jura.

Danielle Brulebois : Oui, mon compte Twitter a effectivement été piraté, mes comptes en banque ont été piratés aussi. Il faut être vraiment très vigilant et je pense qu’il faudrait qu’on se prémunisse de toutes ces escroqueries. Je pense en particulier qu’il y a quelque chose à faire sur le prélèvement SEPA. À partir du moment où on a signé un prélèvement SEPA, si des malhonnêtes s’en saisissent, ils peuvent vous prélever autant qu’ils le veulent. C’est compliqué. Je pense qu’on a quand même encore des choses à faire pour protéger nos concitoyens.

Delphine Sabattier : On sent, là, qu’il y a du vécu : « Encore beaucoup de choses à faire pour protéger nos concitoyens ».
Est-ce que vous êtes d’accord avec votre collègue LFI pour dire qu’on est à la ramasse sur la sécurité des données.

Anne Le Hénanff : Je n’utiliserais évidemment pas ce mot-là, mais je partage sa position. Je viens de faire un rapport [16] dans le cadre de la commission de la Défense, avec un de ses collègues, le député LFI de Rennes, avec qui je travaille depuis six mois, sur le sujet des défis de la cyberdéfense. On a fait un travail énorme : six défis, 35 propositions dont certaines que monsieur Bernalicis vient de citer. Il est évident qu’il faut qu’on aille beaucoup plus vite et je suis même favorable à de la contrainte dans certains cas, notamment vis-à-vis des hôpitaux, c’est une évidence, vis-à-vis des collectivités locales, c’est une évidence. Dans une des propositions que nous faisons avec mon collègue Frédéric Mathieu, je pense même que c’est dès le primaire, comme on le fait en Finlande, en Estonie, dès le CM1/CM2 qu’on éduque nos petits Français à l’hygiène numérique. C’est un bon démarrage et ça aura une autre vertu : je pense que ça donnera envie à des filles, à des jeunes filles, à des femmes, d’embrasser les carrières dans le numérique et la cybersécurité.

Delphine Sabattier : Est-ce qu’on a encore beaucoup de choses à faire pour protéger, peut-être avec des armes juridiques, les concitoyens des cybercriminels ? Maitre Iteanu.

Maitre Alexandra Iteanu. : Ce que vous dites sur la pédagogie est très intéressant, pas que pour les enfants, pour tout le monde. Avec l’entrée du RGPD [2] et le renforcement des pouvoirs de la CNIL qui se sont élargis, la CNIL fait un vrai travail de pédagogie notamment sur son site. Il y a de plus en plus de fiches, de salons sur ces questions-là. On voit aujourd’hui, en tout cas au cabinet on le ressent, qu’il y a une vraie sensibilité des citoyens sur la protection des données. De plus en plus de gens portent plainte à la CNIL. On a de plus en plus de contrôles CNIL, de gens qui viennent aussi pour demander comment se comporter.

Delphine Sabattier : Mais a-t-on les moyens vraiment de répondre à leurs requêtes ? Peut-on, aujourd’hui, aller jusqu’au bout d’une enquête pour une cyberattaque ?

Maitre Alexandra Iteanu. : C’est la question. Aujourd’hui, le problème des cyberattaques c’est déjà que c’est transfrontalier. C’’est très compliqué de retrouver les auteurs et, quand bien même on les retrouve, lorsque ce ne sont pas des auteurs français, comment va-t-on les chercher ? Comment les sanctionne-t-on ? Ça demande des jeux entre États, des coopérations judiciaires, des coopérations pénales, etc. Donc c’est très compliqué, aujourd’hui, de protéger les données des citoyens.

Delphine Sabattier : Et puis on laisse aussi traîner les données partout. C’est vrai que nous ne sommes pas forcément très prudents.

Jean-Noël de Galzain : Mais a-t-on les données ? Il y a un vrai sujet, il y a là un choix de société encore une fois. Il y a une LPM, par exemple, loi de programmation militaire qui donne maintenant plus de pouvoir notamment à l’ANSSI et à nos organes pour faire du contrôle, remonter à la source des données et essayer de résoudre les affaires criminelles, c’est quand même le but, les fraudes, les affaires criminelles, qui sont irrésolues aujourd’hui, soyons clairs, pour la plupart, c’est 90 ou 92 % des cas.

Delphine Sabattier : On voit passer maintenant, régulièrement, quelques arrestations, mais c’est vrai que ça reste marginal par rapport à la quantité de cyberarnaques.

Jean-Noël de Galzain : Mais ce n’est rien. Encore une fois, on revient à cette histoire des données et du cloud souverain : est-ce qu’on va devoir, à un moment donné, externaliser la recherche des criminels, la résolution des affaires, à des gens qui ont les données, qui les analysent et qui sont capables d’aller rechercher l’origine des crimes ?, donc on continue sur une voie « Cloud au centre » qui va de plus en plus vers les GAFAM. Ou est-ce qu’on se donne les moyens de récolter nos données pour avoir nos propres moyens d’investigation ? C’est un enjeu de société. Nos données, c’est un enjeu de notre société de demain.

Delphine Sabattier : La protection des données, c’est aussi lutter contre le traçage, contre les cookies.

Jean-Noël de Galzain : La protection des données c’est notre sécurité.

Delphine Sabattier : C’est aussi mettre en oeuvre ce règlement européen sur la protection des données. Julien.

Julien Pillot : Et c’est surtout prendre conscience que ces données, ayant de la valeur, sont de plus en plus convoitées. L’ITFC, un institut américain spécialisé dans la traque des fraudes et, surtout, des cyberattaques, a révélé qu’en 2023 il y a eu une explosion du nombre de cyberattaques, du nombre de fuites de données. Il s’occupe surtout de ce qui se passe au niveau américain, mais je pense qu’on peut le prendre comme proxy de ce qui se passe un peu au niveau mondial. Dès le mois d’octobre de l’année dernière, on avait déjà dépassé, en quantité, le nombre d’attaques et d’actes de cybermalveillance par rapport à l’année précédente, on était à plus de 3000, sachant, en plus, que tous les cas, là-bas, ne sont pas déclarés, puisqu’il n’y a pas d’obligation, aux États-Unis de déclarer les fuites de données non sollicitées, contrairement à ce que le RGPD [2] peut imposer, par exemple en Europe.
Il devient aussi extrêmement intéressant de regarder la nature des données qui sont convoitées. Évidemment, les données financières sont les données les plus convoitées, mais arrivent, de suite derrière, les données de santé, ce qui fait écho à ce dont on parlait tout à l’heure.

Delphine Sabattier : J’ai bien aimé, Maître Iteanu, l’article que vous avez publié dans Expertises des systèmes d’information : « Meta : payer ou être ciblé - qui ne dit mot consent ? ». On a quand même un vrai sujet sur le traçage des plateformes.

Maître Alexandra Iteanu : Je rebondis sur ce que vous disiez tout à l’heure. En fait, ces plateformes-là ont très bien compris le jeu du RGPD. Elles ont très bien compris aussi comment les gens réagissent face à ce jeu-là, donc aujourd’hui tout simplement, Meta donc Facebook, Instagram, etc., propose à ses utilisateurs deux options : soit d’avoir une navigation payante avec un abonnement par mois, soit d’avoir une navigation gratuite en échange de leurs données pour ciblage publicitaire.

Delphine Sabattier : Il faut quand même dire le tarif : payant, ce qui est proposé est très cher !

Maître Alexandra Iteanu : Oui. C’est 15 euros, je crois, par mois, 12 euros par mois, donc il faut être riche aujourd’hui, on peut le dire, pour avoir le luxe de protéger ses données complètement.

Delphine Sabattier : On peut même considérer que ce n’est pas un vrai choix qui est offert.

Maître Alexandra Iteanu : Complètement. Effectivement, ce n’est pas un vrai choix, ce n’est pas ce qu’on appelle un consentement libre et éclairé, ce que demande le RGPD aujourd’hui.

Delphine Sabattier : D’ailleurs, une action en justice est menée par Max Schrems [17] contre ce procédé.

Maître Alexandra Iteanu : D’ailleurs en urgence.

Delphine Sabattier : Après, toutes ces plateformes du numérique ont joué transparent. Depuis des années elles nous ont dit « attendez, la vie privée c’est terminé ! L’anonymat, ça n’existe plus ! ». Finalement, on découvre quelque chose qu’on nous a annoncé il y a plus de dix ans !

Jean-Noël de Galzain : En tous les cas, notre sujet va être de faire en sorte qu’il y ait des alternatives. C’est le sujet de l’industrie, pourquoi l’industrie est mobilisée aujourd’hui et c’est pour cela qu’on a besoin de poursuivre ce qui a été entamé avec le Gouvernement depuis quelques années maintenant, à travers le Conseil national de l’industrie, etc. On a créé des filières, une filière « industries de sécurité » [18] ; maintenant, une nouvelle filière va éclore, qui s’appelle « les solutions numériques de confiance » où, réunis autour de Michel Paulin [19], nous sommes un certain nombre à avoir mis en place un groupement d’industriels qui sont les fleurons de l’intelligence artificielle, du cloud, de la réalité virtuelle, du Quantum computing.

Delphine Sabattier : En quoi sont-ils de confiance ?

Jean-Noël de Galzain : Déjà, ce sont des acteurs industriels français, au départ, ou européens.

Delphine Sabattier : Cela suffit pour donner confiance ?

Jean-Noël de Galzain : C’est un point de départ. On appelle cela des « solutions numériques de confiance » parce qu’on a fait le choix de suivre la définition du cloud de confiance ou du cloud souverain, à savoir à l’abri des lois extraterritoriales. Et notre défi, au-delà du « Cloud au centre », c’est de créer des alternatives aux grands leaders du cloud, GAFAM, qui soient conformes, qui nous permettent de récupérer nos propres données et d’être à l’abri des lois extraterritoriales. C’est ça notre défi. Et d’être capables avec ces infrastructures, ces nouvelles usines de cloud de confiance de pouvoir héberger des intelligences artificielles, des applications à base d’intelligence artificielle pour la santé, pour tout un tas d’autres sujets, qui soient, justement, à l’abri et qui respectent nos lois ; qui soient aussi capables de préparer l’ère post-quantique avec tous les risques qui en découlent en matière de sécurité nationale. Vous parliez d’avoir la vie privée : avec l’ère post-quantique, même ce qui était privé ne l’est plus, c’est donc très important. Des acteurs du logiciel, qui vont adopter et mettre en place des solutions qui pourront ensuite être utilisées par les parlementaires que j’entendais tout à l’heure.
Il faut avoir à l’esprit une étude qui a été faite par Cybermalveillance [cybermalveillance.gouv.fr] et rendue au mois de décembre : aujourd’hui, le budget consacré à la cybersécurité dans les collectivités, par exemple, c’est moins de 2000 euros. Avec moins de 2000 euros, on fait quoi ? On ne fait pas grand-chose, c’est le prix d’un PC. Vous voyez ce que je veux dire !
Nous avons une nécessité globale d’aller vers des nouvelles plateformes qui soient plus proches de nos règles, de nos lois et dans lesquelles, quand la loi est bravée, on peut revenir vers l’origine du problème, je parlais de la LPM et des moyens mis en œuvre.

Delphine Sabattier : Avec des responsables sur le sol national.

Jean-Noël de Galzain : On part d’assez loin, mais on va faire ce travail, on doit faire ce travail avec France 2030, avec les acteurs industriels, les utilisateurs et l’État, de construire ces alternatives, cette nouvelle industrie, cette industrie d’un nouveau numérique qu’on a appelé « numérique de confiance ». C’est ça l’ambition.

Delphine Sabattier : Jean-Noël de Galzain fait référence au budget très faible de nos collectivités. Ça ne nous met pas non plus dans une ambiance de confiance avec l’arrivée des Jeux olympiques Paris 2024. Là, les signaux d’alerte sont au rouge.

Anne Le Hénanff : Je pense que s’il y a un évènement sur lequel nous sommes bien préparés au niveau cybersécurité, ce sont les JO 2024 puisque on y travaille depuis des années et à tous les échelons. Il y a un vrai écosystème. Ça va du civil au militaire. L’expertise militaire sera sollicitée, l’ANSSI est aux manettes, tout le monde est prêt, donc je tiens à rassurer pour les JO 2024 .
Notre objectif c’est de voir l’après. Il faut pérenniser l’expertise, l’anticipation que nous avons eue sur les JO 2024, la faire rayonner dans toute la société française après les JO. Il ne faut pas que ce soit un événement et que ça s’arrête là. Tout ce qui aura été acquis, civil, militaire, cet écosystème qui a travaillé, les industriels français, les politiques, le ministère de l’Intérieur, les gendarmes, les policiers ,etc., il faut le rentabiliser et le diffuser derrière. C’est ce que je demande et c’est ce qu’on a demandé dans notre rapport cyberdéfense avec Frédéric Mathieu.

Delphine Sabattier : C’est vrai que c’est un gros dispositif qui va être mis en place pour tester notre résilience, avec des exercices. Ça ne tient pas à l’année, au quotidien.

Anne Le Hénanff : Si, il le faudra, c’est une nécessité, c’est même une nécessité vitale pour la nation.

Delphine Sabattier : Là encore, vos collègues pointaient du doigt la faiblesse des moyens aujourd’hui, même la faiblesse des pouvoirs de la CNIL, de l’Arcom. C’est aussi une question de budget.

Anne Le Hénanff : On a renforcé les pouvoirs, notamment dans la loi sur le numérique, à l’Arcep [Autorité de régulation des communications électroniques, des postes et de la distribution de la presse], à l’Arcom. On l’a introduit dans tous les textes, et ça le sera de plus en plus, au niveau de l’Assemblée nationale et du Sénat, puisqu’il faut qu’on ait une approche sectorielle dans la société. Je défends l’approche sectorielle de la cybersécurité.
Depuis 2008, j’ai été élue locale au numérique à Vannes la ville d’où je viens, et où j’étais première-adjointe jusqu’à ce que je devienne députée, le budget c’était 10 %. Mais si j’investis 10 % dans la cybersécurité, dans la protection et dans le numérique, surtout la protection à la DSI [Direction des Systèmes d’Information] de la ville de Vannes, c’est au détriment d’autre chose, donc ce sont des choix politiques. Les budgets ne se multiplient pas dans une collectivité. On m’a dit : « OK pour la cybersécurité, mais à budget constant ». J’ai donc choisi la cybersécurité et j’ai arrêté de faire du développement.

Delphine Sabattier : Parce que vous faites partie de ces décideurs publics qui sont très sensibles à ce sujet, ce qui n’est pas le cas de tout le monde.

Anne Le Hénanff : Ce n’est pas le cas de tout le monde. Je voudrais juste dire à Jean-Noël : on vient de loin, mais je veux te dire, pour te rassurer, qu’on va très vite. On a un écosystème et il faut absolument embarquer le politique là-dedans. Si l’écosystème industriel, la recherche, le juridique n’embarquent pas les politiques, on va prendre du retard. NIS 2 [20] arrive, c’est une goutte d’eau sur la cyberprotection.

Delphine Sabattier : Une directive européenne qui va imposer de nouvelles obligations à tous, toutes les collectivités.

Anne Le Hénanff : Ça ne suffira pas, il va falloir aller beaucoup plus loin.

Delphine Sabattier : Julien, une réaction.

Julien Pillot : Juste un tout petit contrepoint parce que je suis un tout petit peu moins optimiste que vous sur la question, pas des JO 2024 parce que là, je pense, effectivement, qu’on a une concentration de moyens à la fois financiers et techniques assez exceptionnelle, mais il ne faudrait pas, justement, que cette exception nous masque la réalité des choses.
Ce que disait Jean-Noël est tout à fait juste et pertinent : c’est tout un écosystème qui part de l’infra, qui passe par des grandes plateformes numériques, beaucoup d’intermédiaires, et puis, à la fin, il y a des utilisateurs humains, des utilisateurs humains en entreprise, des codeurs, etc., et tout cela forme un écosystème. Le problème c’est qu’on sait que la solidité d’une chaîne se mesure à la solidité de son maillon le plus faible. Il suffit qu’il y ait une absence de moyens, une absence de vision, une absence, tout simplement, de vigilance sur un de ces maillons-là pour, finalement, fragiliser l’ensemble. C’est pour cela que, comme on part de très loin, notamment au niveau des collectivités territoriales, j’ai peur que cette course contre la montre ne soit pas gagnée d’avance.

Anne Le Hénanff : Dans mon rapport sur la cyberdéfense avec vos collègues de Rennes, il y a des préconisations sur les collectivités locales en particulier, les hôpitaux aussi, qui sont de l’ordre de la contrainte, de l’obligation.

Julien Pillot : Ça me rassure.

Delphine Sabattier : Alexandra, vous formez au ministère des Armées à ces questions de data.

Maître Alexandra Iteanu : De data, de cyber-souveraineté. Je rejoins ce que vous dites. Déjà, il y a NIS 2 [20] qui est très important, on n’en parle pas assez, on parle beaucoup du RGPD, mais on ne parle pas assez de NIS 2 : au-delà de la donnée personnelle, c’est la data en général qui est protégée. Ce que vous dites est vrai : en cybersécurité il y a souvent des chaînes de sous-traitance à outrance, on le voit au cabinet, et, souvent, la faille ne vient pas du plus gros, elle vient souvent du sous-traitant du sous-traitant que, parfois, on ne connaît même pas. Ce sont les gens-là, en fait, qu’il faut protéger, qu’il faut obliger à protéger, en tout cas il faut obliger les gros à se soucier des sous-traitants des sous-traitants des sous-traitants parce que le talon d’Achille est là, en fait.

Jean-Noël de Galzain : Alors attention quand même ! Je reviens sur les élus et, on va dire, toutes les collectivités.

Delphine Sabattier : C’est quoi ? C’est la question de la cybersécurité des PME et des TPE, en fait ?

Jean-Noël de Galzain : PME, TPE, ETI.
On a deux façons de voir NIS 2 [20] : soit comme une contrainte, soit comme une opportunité.
L’opportunité, c’est de se mettre à niveau sur les principaux sujets en matière de cyber. Je suis président du groupement Hexatrust [4], dans le groupement Hexatrust, nous sommes 130 acteurs de la cyber et du cloud. Nous sommes en train de travailler avec l’ANSSI pour rédiger une brochure sur NIS 2. On va sortir la première brochure capacité, on va dire, sur NIS 2 où on va proposer des parcours pour se mettre en conformité avec NIS 2, avec toutes les solutions. On dit souvent que la cybersécurité c’est hyper-compliqué, etc., là on va simplifier le travail. On met tous les acteurs en rang pour que quelqu’un qui veut mettre en place une mise en conformité NIS 2 dans le temps puisse le faire comme avec les petits cailloux du Petit Poucet pour arriver au bon endroit.

Delphine Sabattier : La technique des petits pas.

Jean-Noël de Galzain : On se mobilise, on va se mobiliser pour le faire et on la présentera au FIC. Anne, vous êtes invités à venir la voir au FIC, au forum INCYBER, en mars, où on la délivrera à tout le monde.
Il y a donc une grosse mobilisation sur le sujet NIS 2.
Mais, sur ce qu’on disait juste avant, je pense qu’il y a une chose qu’il faut avoir en tête et où les élus et les territoires ont énormément de responsabilités, ce sont les gestes du quotidien. OK, quand j’achète des tablettes, des téléphones mobiles, etc., je paye combien ? Tous ces équipements-là valent très cher. Quelqu’un qui continue à acheter des équipements comme ça et qui ne met pas un euro sur la cyber, ou moins de 2000 euros, est inconscient, il ne vit pas dans le monde d’aujourd’hui !
Il faut que les gens prennent conscience que la cyber est indissociable du numérique, c’est l’oxygène du numérique, on ne peut pas vivre sans oxygène. Eh bien, on ne peut pas vivre numériquement sans cyber, c’est indispensable.

Delphine Sabattier : Anne Le Hénanf.

Anne Le Hénanff : Je dirais même plus. C’est une proposition que je fais à Hexatrust : dans les collectivités locales, les hôpitaux, il y a les marchés publics. Il faut absolument aider l’acheteur public à concrétiser par écrit cette cybersécurité by design. OK, je veux acheter ce logiciel-là pour tel usage de la petite enfance, mais il doit être cybersécurisé. Les élus locaux ne savent pas écrire cela, il faut donc leur mâcher le travail et leur dire « dans un marché public, si vous voulez protéger les données que vous allez collecter sur le service petite enfance – c’est un exemple –, voilà comment vous devez rédiger votre marché public. Et là, je pense qu’on ferait un grand pas et cela n’est pas interdit. Autant on n’a pas le droit de dire « achetez français », on pourra dire « j’achète votre produit s’il est cybersécurisé. »

Jean-Noël de Galzain : Voilà une très bonne idée. On va la retenir.

Delphine Sabattier : Julien.

Julien Pillot : Juste pour compléter. Les dépenses en cybersécurité augmentent, elles augmentent même de façon extrêmement forte à l’échelle internationale, on est au-delà des 300 milliards par an, actuellement, au niveau mondial. Le problème que je perçois, que je crois percevoir, c’est que, finalement, ce sont surtout les très grosses entreprises, qui sont déjà les mieux armées sur le plan technique, sur le plan humain et sur le plan juridique aussi pour faire valoir leurs droits en cas d’actes de cybermalveillance à leur encontre, qui s’équipent de la façon la plus sérieuse. Je reviens à mon histoire de chaîne tout à l’heure, mais si, dans la chaîne de sous-traitance, il y a des failles, elles seront à aller chercher et elles seront trouvées.

Delphine Sabattier : Il y a maintenant des obligations qui vont s’imposer, justement, vis-à-vis de la sous-traitance.

Jean-Noël de Galzain : Vous avez tout à fait raison de dire cela. Pour avoir travaillé avec un certain nombre de grands groupes, sachez que la sécurisation de la chaîne de sous-traitance est une des priorités stratégiques de la plupart des grands groupes, je pense à l’aéronautique, je pense à l’automobile, les transports, l’énergie, toutes les filières sensibles, et NIS 2 va beaucoup appuyer sur cette notion du maillon le plus faible et de la chaîne de sous-traitance.

Julien Pillot : Le deuxième problème, qui vient de suite après, c’est la nature des actes de cybermalveillance, je parle de leur nature technique. Ce que j’ai retenu du rapport de l’ITFC, auquel je me réfère de nouveau, c’est la recrudescence d’attaques en mode zero-day, en fait l’exploitation de failles qu’on ne connaissait pas, que les développeurs eux-mêmes, les promoteurs des solutions de cybersécurité, ne connaissaient pas. Ça veut dire, finalement, que les personnes qui ont l’expertise technique pour nous protéger face aux actes de cybermalveillance ont un temps de retard par rapport aux hackers. Et je ne pense pas qu’on puisse changer quoi que ce soit à ça.

Delphine Sabattier : On ne peut pas terminer sur cette note si pessimiste parce qu’on a quand même des talents en matière de cyber, qui bossent aussi du bon côté de la force.

Anne Le Hénanff : On a les white hats [21], on a les blue hats [22].

Delphine Sabattier : Il faut encourager les Bugs bounty [23] aussi.

Jean-Noël de Galzain : On a créé un modèle en France, le Bug bounty avec des sociétés qui font ça.

Delphine Sabattier : Je voulais terminer sur cela : il faut encourager l’utilisation d’outils de chiffrement, partout, notamment pour les communications sensibles. Je voulais savoir, Madame Le Hénanff, si vous étiez au courant du fait que Gabriel Attal serait revenu sur la circulaire d’Élisabeth Borne qui obligeait les membres du Gouvernement à utiliser la messagerie Olvid [24]. C’est paru en entrefilet dans Le Parisien.

Anne Le Hénanff : Je ne sais pas.

Delphine Sabattier : On attend la confirmation.

Jean-Noël de Galzain : S’il a fait ça, il a eu tort, parce que la promotion des acteurs français, des start-ups françaises, fait partie intégrante de ce que promeut le Gouvernement depuis des années. Olvid apporte une vraie innovation en ce sens-là.

Delphine Sabattier : C’est un peu compliqué à utiliser, mais la sécurité passe aussi par ça, faire des efforts.

Anne Le Hénanff : Ce que j’ai quand même remarqué, suite à la circulaire de madame Borne, c’est que tous les ministres n’ont pas basculé sur Olvid le lendemain, du coup je ne communique plus en direct avec les ministres. C’est quand même un frein. Ils n’ont pas fait le choix. Les collaborateurs peut-être, les équipes, certains cabinets ont basculé, pas tous, du coup, le lien direct que j’avais avec certains ministres pour certains sujets a disparu puisqu’ils n’étaient plus là où…

Delphine Sabattier : C’est ce que je dis, ça demande un petit effort, la sécurité demande des efforts, comme installer des produits de cyber. Bon ! Ça demande un petit effort, une petite démarche.

Jean-Noël de Galzain : On aura de moins en moins besoin de faire d’efforts parce que de plus en plus de chaînes de valeur et d’applications numériques intégreront de la cyber.

Delphine Sabattier : C’est ce que demande aussi Madame la députée, c’est effectivement qu’on nous facilite le travail.

Jean-Noël de Galzain : Je suis d’accord avec ce que disait Madame la Députée : on doit travailler avec les acheteurs parce qu’on oublie trop souvent que tout cela nécessite des actes d’achat et l’achat est crucial dans notre processus.

Anne Le Hénanff : Et l’éducation.

Jean-Noël de Galzain : Et l’éducation, bien sûr.

Delphine Sabattier : Merci beaucoup. Merci Madame la Députée Anne Le Hénanff d’avoir été avec nous aujourd’hui en studio, également Maître Alexandra Iteanu, Julien Pillot et Jean-Noël de Galzain. Merci à vous. Merci à Stéphane était à la réalisation de POL/N aujourd’hui.
Bon week-end et bonne semaine à tous. Nous revenons vendredi prochain avec de nouveaux débats politiques et numériques et, pour ne rater aucun épisode, ajoutez POL/N à votre playlist de podcasts.