[CONVERSATION] : Guerre économique, campagnes d’influence et souveraineté des données à l’approche des présidentielles : la France est-elle bien « cyber armée »? [2/2]

Il n’y a pas si longtemps, dans un monde où la mondialisation, les interdépendances et l’ultralibéralisme se pensaient garants du « doux commerce » et de la paix, la souveraineté était un terme péjoratif. Synonyme de protectionnisme, et donc de repli commercial, géopolitique, voire identitaire, les États s’appelaient encore entre eux des « alliés ». Frans Imbert-Vier, spécialiste des enjeux de cybersécurité et de souveraineté numérique, revient pour le Portail de l’IE sur cette notion de souveraineté, qui théoriquement devrait se trouver au cœur des préoccupations électorales dans un contexte de guerre économique.

Les ripostes à engager à l’échelle individuelle, politique et entrepreneuriale pour défendre notre souveraineté 

 

Portail de l’IE (PIE) : Quelles sont pour vous les leviers pour créer une culture de la souveraineté numérique ? 

Frans Imbert-Vier (FIV) : Pour créer une culture de la souveraineté numérique, il faut que le politique s’engage dans une stratégie du numérique. Si l’État ne communique pas sur cela, le peuple ne s’y intéressera pas. Dès lors que celle-ci deviendra un enjeu électoral, si tenté que cela en devienne un, le peuple s’y intéressera naturellement. Seulement, à condition que les médias de masse et les réseaux sociaux jouent le jeu en relayant la parole politique. Quelque chose de peu probable.

 

En outre, si le politique commence à s’animer autour de la souveraineté numérique et que les médias soutiennent l’action, les réseaux sociaux lanceront des campagnes de déstabilisations. 

 

Et pour cause, en s’emparant de cette notion, le politique reviendrait à crédibiliser l’idée même que les réseaux sociaux sont les faiseurs de rois de la prochaine élection. La riposte des GAFAM ne sera autre qu’une campagne de déstabilisation massive déjà préparée, à l’aide d’éléments de langages précis et d’une armée de lobbyistes capable de rendre opaque, voire grotesque tout changement d’opinion à leur encontre. 

Pour faire émerger une culture du numérique il faudrait un député, qui dans une commission des lois, légifère sur l’intérêt général qui découle de la préservation de la donnée régalienne. Une donnée de santé n’a pas l’air importante comme cela et pour autant, elle est très stratégique. C’est d’ailleurs dans l’actualité avec le dernier James Bond : en quoi mon ADN ne peut pas être communiqué à un tiers ? Car sa maîtrise et son exploitation à mon insu peut aller contre mes intérêts vitaux. De fait, il faut préserver cette information, car celle-ci peut devenir une arme de masse qu’aucune loi ne permet réellement de réguler. 

Pour que le député légifère, il faut arriver à faire comprendre l’enjeu de la donnée, à la commission des lois, au Parlement, au Sénat et au premier Ministre. Prenons la donnée d’état civil par exemple : Le nom, prénom, date et lieu de naissance, la parenté. Toute cette généalogie de chaque individu qui constitue l’identité du peuple de France fonde l’état civil et constitue l’essence même de la nation. Sans état civil, il n’y a pas de nation. C’est un enjeu essentiel. Or si demain, je confie la gestion de mon état civil à un moteur applicatif qui est détenu par une société américaine, dont la propriété intellectuelle a été produite en partie par les États-Unis, ou dans un autre État non européen, alors je suis en train de déléguer l’exploitation de cette donnée à un tiers. Ce dernier peut en faire ce qu’il veut et détient une certaine mainmise sur son sort. Je dédie par la même une partie de la souveraineté de ma nation à un état tiers. Sans action à court terme des entreprises et de l’État nous nous rendrons coupable de la dilution de cette substance immatérielle qui fonde la notion même d’État.

Au niveau juridique, les juristes opposent à cet argument le fait que les contrats permettent de protéger ce type d'ingérence. Or ils omettent de préciser que l’extraterritorialité des lois américaines torpillent toute tentative de protectionnisme et que l'intérêt de l’Empire prévaut sur toutes dispositions juridiques. 

En France, aucune loi n’a été engagée par le gouvernement depuis 2017 allant vers la protection "quoi qu’il en coûte" de la donnée citoyenne (Santé, éducation, finance…). Alors même que nous sommes en train d’inscrire la protection de l’écologie dans notre constitution, rien n’est mis en place pour sauvegarder l’intégrité souveraine en garantissant la donnée numérique en tant que bien souverain. 

Pourtant, nous avons besoin d'un bouclier d’articulations techniques permettant de protéger l’investissement financier de l’État concerné ou de l’Europe, afin d’éviter que les idées nées et subventionnées par nos territoires, ne partent à l’étranger. Autrement dit, il nous faut une immunité sur les solutions françaises et/ou européennes et sur leur donnée, prévoyant qu’aucune cession économique à un tiers ne puisse avoir lieu sans contreparties extrêmement dissuasives. Un bouclier juridique capable d’éviter la fuite d’information et de souveraineté.

Presque tous les pays du monde détiennent ces boucliers sauf la France. L’Allemagne protège son innovation numérique essentielle, les Américains le font depuis 30 ans sous Clinton, les Chinois aussi, et évidemment les Russes puisqu’ils n’exportent pas ce qu’ils innovent. En effet, les Russes sont un cas particulier puisqu’ils gardent leur technologie civile et n’exportent que militairement. Qui aujourd’hui utilise une application russe ? À part un antivirus très malhonnête… Il y a très peu d’innovation sociale de la part de ces pays, puisque évidemment, c’est nous qui la produisons. 

Ce défaut de prise de conscience face aux enjeux de la donnée, est le premier frein. Le deuxième est politique et cause une perpétuelle injonction de l’Etat à être acquis à la cause du processus américain. Prenons le cas précis des services numériques de l'État, les systèmes administratifs se digitalisent et nécessitent des technologies de pointe, et une mise en place rapide. Cela permet entre autres, la numérisation des cartes grises. Ce progrès, rapide et efficace est apprécié par les citoyens, et induit des intentions de vote. L'enjeu est ici électoraliste. Faire vite à l’aide de logiciels préexistants et étrangers pour plaire à court terme et favoriser l’élection, tout en se rendant coupable de fragiliser le processus de souveraineté. 

Pour créer une culture de la souveraineté numérique, il faut une armée de politiciens aguerris sur le sujet, des lois assermentées qui protègent nos données de masse, des sociétés que l’on porte comme des fleurons et un peuple qui tient l’effort de guerre jusque dans sa consommation. 

 

PIE : Pour construire une culture de la souveraineté, il faut des relais. Vous portez avec Ubcom le Cercle des femmes de la cybersécurité dont la mission est de faire progresser le leadership des femmes dans ces métiers. Au-delà du souci d’égalité des sexes, quelle peut être leur valeur ajoutée sur les enjeux de souveraineté numérique ?  

FIV : Ce qui constitue la souveraineté d’un État, c’est son peuple. Et le peuple est composé de moitié d’hommes et de femmes, donc on ne peut pas exclure la femme de cet enjeu-là. Sur le plan économique, tout ce qui relève de la création du logiciel, de la sensibilisation à l’exploitation numérique, la femme est forcément partie prenante. Elle constitue la moitié du tissu électoral et économique qui fait l’argent du numérique. Si on l’exclut cela veut dire que l’on vend deux fois moins de logiciels, et qu’on les conçoit dans un seul but monosexiste ce qui est inconcevable. 

Ensuite, la souveraineté est un enjeu d’éducation. Nous n’avons pas aujourd’hui de sensibilisation pour prévenir des dangers de l'exposition de la vie privée, notamment sur les réseaux sociaux. Il y a des campagnes, des associations, quelques départements et régions qui financent cette sensibilisation, mais tant qu’on n’aura pas un politicien qui verra sa fille de 14 ans se suicider pour cause de harcèlement moral sur les réseaux sociaux, il n’y aura pas de loi qui éduquera à cet enjeu. Le harcèlement social est abordé en utilisant le code pénal tel qu’il existe et non au sens numérique. En plus, comme il touche plus les femmes que les hommes, comme tous les sujets qui traitent des femmes, la société les traite en second plan. 

En ce qui concerne la sensibilisation, les moyens mis en œuvre par Jean-Michel Blanquer sur le harcèlement scolaire pour préserver les enfants sont totalement inadaptés aux enjeux numériques. Il faut bien se rappeler que les canaux du harcèlement scolaire en 2021, sont avant tout les réseaux sociaux (RS) à l'heure où l’âge médian chez l’enfant pour posséder un smartphone est de 9 ans. Si le harcèlement moral semble préoccuper les femmes politiques, l’origine est pour elles uniquement sociale et on observe une dissociation avec l’enjeu numérique. Elles n’ont pas compris, elles aussi, qu’aucune règle, loi, principe, gouvernance et application politique ne se feront sans maîtrise de l'enjeu numérique. Les femmes ont notamment une sensibilité sur l’ergonomie des interfaces homme/machine,  beaucoup plus évoluée que celle que peut produire un homme. Elles ont une sensibilité psychologique souvent plus accessible pour la formation et la sensibilisation des jeunes, car c’est elles qui sont encore majoritairement plus  au contact des enfants.

Lorsque le cercle des femmes et de la cybersécurité a été créé par Nacira Salvan à l’époque, nous avons tout de suite pris le parti de s’intégrer avec elles et à cette sensibilisation surtout au niveau académique. L'idée était d’aller voir les universités et les écoles pour produire des programmes pédagogiques attractifs pour les femmes, et casser l’image de “geek, canette de coca, burger et clavier gras”, qui caractérise le monde du développeur. 

Les femmes représentent seulement 11% de la population “cyber” mondiale aujourd’hui ce qui en fait un milieu à majorité écrasante d’hommes. L’engagement des entreprises doit être double y compris pour porter cette nouvelle culture cyber qui se doit d’être universelle.

PIE : Aujourd’hui quels sont les fleurons ou pépites numériques françaises à protéger selon vous ? Quels processus permettent de vérifier qu’elles garantissent la souveraineté des données qu’elles hébergent ?

FIV : Il existe Tixeo, la visioconférence sécurisée certifiée ANSSI. C’est un produit qui a mis du temps à devenir mature, mais qui l’est aujourd’hui. Malheureusement il n’est pas ludique, parce qu’on ne peut pas changer sa tête avec un filtre “part de pizza”, et deuxièmement il est payant. Mais comme nous l’avons dit, le gratuit, c’est une contrepartie. Par conséquent, le fait qu’il soit payant est aussi un gage que ce que vous dites dans la visioconférence reste privé. Si Teams propose aussi une plateforme de visioconférence payante et chiffrée, accessible uniquement aux entreprises. Webex invoque le même argument, mais rappelons-nous que ces produits restent américains. Choisir une solution française ou européenne, c’est aussi s’affranchir d’un usage autorisé par les Américains qui peuvent d’un simple bouton vous interdire l’usage de la solution de visioconférence. 

Il aura fallu beaucoup de luttes pour que Tixeo ne se fasse pas racheter par un gros acteur. A mon sens, les dirigeants sont à saluer, car ils n’ont pas cédé à l’appel des sirènes des Américains contrairement à Alsid ou au lyonnais Sentryo racheté par Cisco.

Il existe également Seald, une solution permettant d’échanger facilement des fichiers chiffrés entre mails sans que le destinataire ou l’expéditeur ait une infrastructure spécifique. Cela ne coûte rien et protège les correspondances qui sont la première source de collecte d’information de masse. Ils font partie des pépites qui commencent à être talonnées par les acteurs américains. Un peu financées par la BPI, il ne faut pas les laisser se faire racheter. Au contraire, il faut les classifier comme « entreprise stratégique de défense », et les imposer dans les marchés publics serait le meilleur moyen de les faire décoller et de les conserver en Europe. Seald pourrait se développer, gagner en valeur et devenir un acteur numérique prépondérant au niveau mondial.

On peut aussi s'appuyer sur Sipearl, déjà évoqué plus haut, sur les semi-conducteurs. Cette société ne s’adresse pas au grand public et vise davantage les marchés BtoB, mais sa technologie est assez déterminante. Si une partie des capitaux sont aujourd’hui américains, nous pourrions aller les récupérer puisque la majorité de la société est encore détenue par des Français. Whaller, le réseau social souverain, est aussi un produit formidable pour les sociétés, qui permet, entre autres, d’arrêter d’utiliser une page Facebook d’entreprise. A Saint-Etienne, Serenicity est également un exemple de petite boite, très performante, qui commence à être approchée par les Américains depuis un mois. Ils font des propositions parce qu’ils savent que Serenicity n’est pas aidé. C’est une technologie incroyable, sans égale dans la détection des flux toxiques et de la cyber menace qui pourrait devenir une licorne avec son potentiel d’innovation. Mais, là encore, les fonds d’investissements publics n’ont pas la compétence d’évaluer ce potentiel technologique. 

Le premier responsable de cette hémorragie, c'est bien entendu le gouvernement car ce dernier est parfaitement informé. C’est à lui d’engager la réforme des marchés publics pour arrêter que L’Union des Groupements d’Achats Publics (UGAP) fasse la pluie et le beau temps sur les achats de l’administration. Les acheteurs des institutionnels ne veulent pas appliquer les règles modifiées en 2019 des investissements publics concernant le plafonnage à un certain montant avant d’avoir recours à un appel d'offres. La réforme protégeait jusqu’à 100 000 euros, lorsqu’il s’agissait d’une entreprise française. 

Par conséquent, ces petites entreprises qui ont des innovations brillantissimes, ont toutes les chances de mourir demain, parce qu’on n’achète pas leur produit. Et pour cause, la politique d’achat du fonds public est orientée exclusivement sur les GAFAM, et ceux historiquement et sans nouveauté. Personne ne prend le risque d’adopter une boite française qui  pourrait disparaître dans deux ans. Or à jouer ce jeu-là, nous n’aurons jamais de pépites et celles qui existent disparaîtront toutes. Double peine de surcroît puisqu’en freinant ces investissements, les institutionnels font perdurer la dette technique de leur système d’information et donc la probabilité d’une attaque cyber à court ou moyen terme.

 

En Silicon Valley, 2 idées sur 3 qui deviennent mondialisées sont produites par des Français. 

 

Ce sont des ingénieurs français, formés dans les écoles françaises, qui viennent en Silicon Valley embauchés par des grands groupes, qui créent  des choses absolument fabuleuses qu’on commercialise et qui restent sous drapeau américain. Il est intéressant de rappeler que l’internet et le téléphone mobile sont français dans leur origine, or ces innovations françaises qui structurent le monde d’aujourd’hui sont aujourd’hui complètement maîtrisées par les Américains, le tout dans une suprématie sans contrepartie. 

Pour contre exemple, Clothilde Goujard révèle dans le journal Politico que GAIA-X vanté par Bruno Le Maire et son homologue Allemand Peter Altmaier est bien une illusion. En effet, les modifications des statuts du board ont permis l’intrusion extra continentale de notre “allié” outre atlantique ce qui revient désormais en déposant sa donnée dans la constellation GAIA-X, à la mettre chez Google ou Alibaba.

 

PIE : Le président de la République Emmanuel Macron présentait le 12 octobre dernier le plan d’investissement « France 2030 » et témoignait le vœu pour la France de « maîtriser des technologies numériques souveraines et sûres ». Qu’en pensez-vous ? 

FIV : Sur le schéma directeur 2030 du président Emmanuel Macron, la posture est gênante. La promesse est incohérente, car il n’y pas de législation imposée permettant de respecter la proposition faite pour 2030. Certes, il y a des investissements, mais ils peuvent toujours être dirigés sur des acteurs étrangers, au bénéfice de la politique française, sans qu’ils soient systématiquement portés sur l’innovation française ou européenne. 

Cela pose deux problèmes : d’une part, il n'y a toujours pas de souveraineté sur la donnée puisque l’on continue de s’appuyer sur des produits étrangers préexistants, ce qui conduit à freiner l’innovation locale et l’emploi. D’autre part, pour que ce programme tienne la route, il faut un changement de la législation sur les marchés publics afin que l’acteur public devienne un client de ces solutions-là, par obligation. Car tant qu’on ne lui imposera pas de le devenir, il ne le fera pas.

Bien sûr, le GAFAM est un produit attractif, bien vendu, avec des lobbies qui savent le mettre en avant et donner une impression d’insubmersibilité. A côté le produit français inquiète de par sa petite taille et sa faible notoriété. Or ce n’est pas parce qu’un acteur est petit qu’il est forcément fragile. Toutefois, pour soutenir cela, il faut opérer une modification complète du logiciel intellectuel qui doit être porté par l’administration française à cet égard et que la députation fasse son travail de réforme législative. Depuis 2017, aucune proposition de loi n’a été faite pour préserver les intérêts nationaux sur toutes les sociétés de développement. Il n’existe aucune ingénierie qui serait profitable à l’intérêt public français. Alors les Américains en profitent, car le système des lois est fait pour que l’on achète américain et non français.

 

PIE : Existe-t-il à l’international un modèle duquel l’Europe doit s’inspirer ou au contraire s’éloigner ? 

FIV : Le modèle finlandais, dont la constitution protège le droit numérique au sens régalien. C’est un pays dont la situation politique est particulière, coincé dans la guerre froide entre “le marteau et les McDo”, non-membre de l’OTAN,  présent dans l’Europe élargie au plan économique. Ils ont politiquement une totale indépendance et surtout une démocratie directe. Au regard de ces éléments, les Finlandais protègent plus que personne l’investissement national, et quand une société bénéficie du denier public, si jamais elle se vend à un tiers, elle doit de se vendre avec des niveaux de pénalités au bénéfice de l’intérêt public qui font que personne n’a envie d’acheter ces sociétés. Résultat, il existe aujourd’hui un éditeur de logiciel, F-secure, seul fournisseur d’antivirus souverain européen et mondial, sans équivalent dans le monde. C’est un fleuron, qu’ils arrivent à vendre partout sur la planète. Pays de 6 millions d’habitants, ils sont quasiment leader sur le segment des antivirus, comme quoi tout est possible grâce à la souveraineté politique et la législation.

 

PIE : Qu’en est-il de la Suisse aujourd’hui ? En effet, si la neutralité de sa constitution lui accorde la garantie de protéger le secret et le chiffrement, la confédération a récemment sélectionné en appel d’offres la société chinoise Alibaba pour héberger le cloud national. Une décision qui a abasourdi les nombreuses pépites technologiques helvétiques. 

FIV : La Confédération n’est pas dans une situation très confortable concernant ses choix récents. Pour renouveler sa défense aérienne, elle choisit après 15 ans de discussion d’acheter l'américain F-35 au détriment d’un modèle européen, ce qui lui vaut une votation en novembre pour invalider ce choix. Démonstration absolue de la force démocratique de la Suisse et de son système politique direct qui permet au peuple de faire appel. C’est extraordinaire de vivre cela, à l'opposé de l’Assemblée nationale qui vote une loi pour passer en force lorsqu’elle n’a plus la majorité ! Par ailleurs, la Suisse, en choisissant un cloud chinois va à contre sens de son propos économique. Au centre de l’Europe, hyper connectée, avec un taux de performance inégalé, elle achète pour elle-même ce qu’elle ne recommanderait pas pour ses alliés. Et pendant ce temps, des acteurs suisse comme Safe Host, Infomaniak, ou encore Green essayent de vendre leurs hébergements à toute l’Europe. En bref, on a l’impression que le politique s’est pris les pieds dans les lacets. C’est sans doute aussi la preuve, qu’en Suisse aussi, le politique n’a pas compris les enjeux de la souveraineté numérique. 

Le contre-exemple, c’est la politique agricole. En Suisse, les agriculteurs et le marché des produits locaux suisse sont très protégé n’ayant pas accès au libre échange européen. De tout bord, le politique suisse ne touchera jamais à la réforme agricole qui constitue un pilier sacré. Paradoxalement le numérique ne fait pas l’objet des mêmes traitements et aucun politique n’y prend part avec la même ferveur. Pourtant, ce sont l’École Polytechnique de Lausanne, l’Institut de recherche IDIAP, et l’Université d’Yverdon qui font partie du top 20 mondial de l’innovation numérique. Seulement, rien n’est entrepris pour préserver et dynamiser l’innovation locale et comme en France, les pépites s’en vont et deviennent américaines. Sur le plan cyber, le niveau de la Suisse est comme celui des Européens, encore proportionnel à la culture politique dans ce domaine, c’est-à-dire presque nul.

 

PIE : Le mot de la fin ? 

FIV : En France, les élections présidentielles de 2022 s’annoncent  tendues alors même que le sujet de la souveraineté anime toutes les rédactions, l’ajout du terme “numérique“ est tristement absent. Si les candidats ne se prononcent pas, une grande partie du libre-arbitre du citoyen français – son mode de vie, ses choix sociaux, son arbitrage politique – sera impacté sur les  prochaines élections. Cette échéance est la dernière avant que nous ne puissions plus rattraper le retard. Il n’y aura plus d’autres opportunités, c'est pourquoi nous sommes sur la dernière ligne droite, tout comme avec le changement climatique. En numérique les effets de bord sont presque aussi dramatiques, car ils sont à même de faire d’un pays une démocratie ou une dictature. 

Aussi orwellien que cela puisse paraître, le pass sanitaire numérique est une faille qui pourrait se révéler être un outil en dictature. Cette base de données, aujourd’hui utilisée à des fins de bonne foi, pourrait demain être retourné à des fins de traçage comme outil de contrôle de masse. L’histoire nous l’a montré tant de fois et les fictions du septième art telles que Gataca de Frank Thilliez ou Minority Report ne manquent pas. 

Utilisé à bon escient, l’enjeu numérique est un levier qui peut être un moteur démocratique au service de l’équité sociale, du savoir pour tous, du rassemblement et du progrès au sens où l'entend une société ancrée dans la transition écologique. Préserver notre souveraineté numérique, c’est choisir l’identité du monde de demain sur notre territoire. Et de nos efforts, dépendra que la dystopie ne devienne pas réalité.

 

Propos recueillis par Clémentine Balayer

Partie 1: [CONVERSATION] : Guerre économique, campagnes d’influence et souveraineté des données à l'approche des présidentielles : la France est-elle bien “cyberarmée”? [1/2] 

Pour aller plus loin :