Numérique: la France dans une "situation intenable" si les Etats-Unis lui coupent l'accès à leurs technologies

C'est un constat sans appel : "Personne aujourd'hui n'a la solution au problème d'une coupure généralisée d'accès à la technologie américaine ou chinoise, ou les deux à la fois." C'est l'alerte lancée par le directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), Vincent Strubel, qui était auditionné ce jeudi par la commission d'enquête "sur les dépendances structurelles et les vulnérabilités systémiques dans le secteur du numérique et les risques pour l’indépendance de la France".

Devant les députés, le patron de l'autorité nationale compétente en matière de cybersécurité et de cyberdéfense a dressé le panorama d'un espace numérique "pas assez sécurisé", aux "vulnérabilités omniprésentes", et dont les dépendances "complexes" ne sont ni "maîtrisées", ni "tracées".

Une "menace grave, qui peut empirer"

Selon Vincent Strubel, ces problèmes sont déjà anciens : l'ingénieur général des mines rappelle que l'architecture du paysage numérique a été construite "dans les 30 ou 40 dernières années", une époque qui correspond à une "parenthèse dorée pendant laquelle on parlait des 'dividendes de la paix'". 

"Nous avons coupé beaucoup de virages [pour aller plus vite] et ces virages aujourd'hui reviennent sous la forme de risques que nous avons du mal à maîtriser", a-t-il expliqué, précisant que cela concerne aussi bien l'Etat français que les entreprises. L'Anssi met donc en garde contre "l'omniprésence de vulnérabilités basiques", alors que les cyberattaques constituent une "menace grave, qui peut empirer". Vincent Strubel souligne d'ailleurs que la revue nationale stratégique pose un "scénario central dans lequel l'escalade géopolitique se traduirait aussi par une massification et une coordination des cyberattaques".

Un "problème énorme" en cas de coupure des technologies américaines

Dans un tel contexte, l'accès aux mises à jour de sécurité des logiciels devient en lui-même un problème de souveraineté. Et en l'espèce, la France est vulnérable : "Si demain, pendant six mois, nous sommes privés d'accès à la technologie américaine, privés de mises à jour des logiciels américains, eh bien nous aurons un problème énorme", a averti Vincent Strubel, qui parle dans une telle hypothèse de "situation intenable" pour tous les usages du numérique en France.

"Si on n'applique pas les mises à jour toutes les semaines, le niveau de sécurité se dégrade rapidement", a-t-il indiqué. Et d'insister : "Ce problème-là se pose partout, parce que partout on dépend de logiciels américains, chinois, européens", ajoutant que "dans la plupart des cas on ne sait même pas qu'on en dépend".

La "métaphore de la saucisse" : une dépendance pas forcément visible

Vincent Strubel pointe un autre problème majeur : "De manière générale, personne aujourd'hui n'a la cartographie de son environnement logiciel, pas plus l'Etat que les entreprises." Selon lui, "si on avait la liste des ingrédients de n'importe quel logiciel, on verrait qu'il y a quand même une part significative d'ingrédients qui ne sont pas européens".

Le directeur général de l'Anssi ajoute que "généralement [le cyberattaquant] connaît mieux le système d'information de sa victime que sa victime elle-même". Une réalité qui s'explique par l'absence de traçabilité des logiciels, dont les concepteurs peuvent reprendre sans le mentionner des morceaux de codes - issus d'autres logiciels - contenant des vulnérabilités. Le recours à des composants en "open source" peut aussi avoir les mêmes conséquences.

"Aujourd'hui, on a accès à beaucoup plus d'informations quand on achète une saucisse car on peut remonter jusqu'au cochon qui a donné de sa personne que quand on achète un logiciel", ironise Vincent Strubel, qui explique que "la chaîne de contamination est impossible à retracer". Une limite qui pourrait changer grâce au règlement européen sur la cyberésilience (CRA), qui doit "imposer une première forme de traçabilité".

Le problème de l'extraterritorialité du droit

La France est également vulnérable face à l'extraterritorialité des droits américains et chinois, c'est-à-dire l'extension au territoire français ou dans l'espace numérique français de règles de droit étrangères. Vincent Strubel évoque notamment le Cloud act américain, qui "peut conduire à des accès non-maîtrisés, sans voie de recours, aux données" stockées sur des serveurs hébergés aux Etats-Unis. 

Le patron de l'Anssi évoque aussi les risques de "killswitch", c'est-à-dire de "coupures de service numérique". "Ces risques ne sont pas théoriques", précise Vincent Strubel, qui estime qu'"à l'évidence" ces mesures sont déjà "utilisées contre nous". "Si des Etats ont pris la peine d'inscrire ce genre de dispositions dans leur droit, c'est pour les mettre en oeuvre", a-t-il affirmé. Pour s'en prémunir, l'Anssi met en place des référentiels comme le SecNumCloud, qui permet d'identifier des "clouds de confiance".

L'Anssi elle-même "contrainte"

"L'Anssi, comme toute administration est aussi contrainte par ces dépendances numériques dans ses propres missions", analyse enfin Vincent Strubel. Quand elle traite un incident de sécurité dans un cloud, l'agence est "dépendante du prestataire de cloud", que celui-ci soit "français ou pas, européen ou pas". "Quand nous devons investiguer un incident sur un téléphone portable, nous sommes tributaires du fabriquant de ce téléphone, il y a des choses que nous ne pouvons pas faire sans sa coopération", précise-t-il. 

Vincent Strubel juge donc nécessaire de "créer des alternatives" mais "sans viser l'autarcie", qui n'est "ni réaliste, ni justifiée". Même s'il n'existe pas de "solutions simples", la France doit donc "rentrer dans une logique d'investissement" qui aura un "coût" : "Utiliser des solutions européennes dans le numérique, vraisemblablement ça coûte plus cher, en coûts, en performance, en ressources nécessaires mais c'est un bon investissement, c'est ça qu'il faut faire", a conclut le directeur général de l'Agence nationale de la sécurité des systèmes d'information.