QUESTION : AUTONOMIE STRATEGIQUE
Lors de son lancement en 2015, la stratégie nationale pour la sécurité du numérique avait pour premier objectif de garantir la souveraineté nationale. Force est de constater, depuis, que cet objectif prioritaire n’a pas été atteint – nous en avons l’illustration avec l’échec à bâtir un cloud souverain en France et en Europe.
Si le cloud améliore sensiblement la cybersécurité des systèmes d’information, il est détenu très majoritairement par des fournisseurs américains, à commencer par Amazon Web Services. Cette mainmise américaine sur le cloud soulève des interrogations. Plutôt que de chercher à rattraper les retards technologiques accumulés afin d’offrir des services français ou européens comparables à ceux fournis par les acteurs américains du secteur, le choix a été fait de recourir à des solutions technologiques et juridiques telles que le visa de sécurité SecNumCloud délivré par l’Agence nationale de la sécurité des systèmes d’information.
C’est un choix rationnel : les menaces en matière de cybersécurité ne cessent d’augmenter, rendant absolument nécessaire le recours aux technologies les plus avancées. Ce n’est toutefois pas un motif pour renoncer aux investissements qui permettraient de passer de la souveraineté formelle à une souveraineté réelle. Nous avons besoin d’une puissance publique numérique. L’ampleur de notre dépendance au privé dans un secteur devenu aussi stratégique pour l’intérêt général est un problème considérable.
Au-delà des dispositifs de soutien à l’innovation visant le développement d’acteurs français de fourniture de services, quelles initiatives entendez-vous prendre pour favoriser l’émergence d’acteurs, notamment publics, français et européens, à même de garantir à échéance raisonnable l’autonomie stratégique de notre pays et du continent ?
Mme la présidente
La parole est à Mme la secrétaire d’État.
Mme Marina Ferrari, secrétaire d’État
La question du cloud souverain est au cœur de nos travaux. Nous avons, comme vous le savez, engagé des discussions avec la Commission sur ce sujet, notamment pour promouvoir notre référentiel SecNumCloud qui vise à sécuriser les données les plus sensibles et les plus critiques. Il s’agit, je le rappelais tout à l’heure, d’un spectre de données assez réduit, mais je suis convaincue, surtout vu ce qui se passe en ce moment, que nous devons garantir à nos concitoyens et à nos entreprises que ces données-là bénéficient d’une forme d’immunité.
Vous avez raison : il y a d’un côté le travail réglementaire et de négociation que nous conduisons – la France, je le redis solennellement devant vous, fait de la conservation du référentiel SecNumCloud une priorité absolue –, et de l’autre côté les conditions du marché, qui doivent fournir à nos acteurs des solutions pour sécuriser leurs données.
Nous avons lancé plusieurs appels à projets. Le dernier, dont j’ai annoncé le lancement à Strasbourg il y a quelque trois semaines, concerne les solutions de cloud souverain et vise à développer des briques technologiques qui nous manquent dans les offres françaises ou européennes. L’idée est de soutenir l’émergence d’une offre souveraine de cloud européen, et ce travail est également conduit au niveau de l’Union.
Les dispositions qui ont été prises dernièrement dans le cadre du projet de loi Sren obéissent à la même logique : l’État assume son rôle, notamment en demandant au Health Data Hub de faire migrer les données de santé vers une solution labellisée SecNumCloud. Nous avons, je crois, la responsabilité d’encadrer ce marché pour soutenir nos acteurs.