La Cour des comptes vient de publier un rapport sur la souveraineté numérique. Dressant un tableau relativement sombre de la situation française, elle pointe les dangers de la dépendance actuelle et dresse une liste de recommandations.
Alors que l’on assiste à un nombre croissant de projets de migration vers des logiciels libres en Europe et que même la Cour pénale internationale va se débarrasser en grande partie de Microsoft, la Cour des comptes publie un rapport sur la souveraineté numérique. Sa définition en est claire : l’État doit maitriser les technologies qui lui permettent de rester autonome en toute circonstance, ce qui comprend le matériel, le logiciel et les données.
Cette définition implique ainsi de ne pas se faire dicter des choix technologiques structurants par un tiers et que soient protégées les données d’une sensibilité particulière des systèmes d’information de l’État. Dans ce domaine, la Cour note que la France a des « ambitions », mais elles sont jugées « encore insatisfaites », avec un décalage important entre la volonté affichée et la pratique.
Synthèse douloureuse
Le rapport de la Cour des comptes dresse un bilan de nombreux sujets ayant un lien avec la souveraineté. D’abord, celle-ci est directement confrontée à la position des États-Unis et d’autres puissances.
La Cour rappelle ainsi que la portée extraterritoriale de certaines lois étrangères est une grosse épine dans le pied de la souveraineté. Trois textes américains sont mis en avant, sans surprise : la section 702 du Foreign Intelligence Surveillance Act qui autorise la collecte de données sur des personnes ou entités non américaines à l’étranger à des fins de sécurité nationale, l’Executive Order 12333 qui définit les objectifs des agences de renseignement et permet notamment la collecte de masse, et le Cloud Act de 2018 qui autorise la justice à délivrer des mandats pour récupérer des données dans les clouds des entreprises américaines, dans le cadre d’enquêtes.
Selon le rapport, le risque réel est difficile à évaluer. Les procédures américaines, dans le cadre de ces trois textes, sont décrites comme « très opaques » : « Les seuls chiffres disponibles, ceux de la FISC au titre du Fisa, montrent un nombre de rejets très faible des demandes émises par les agences fédérales de renseignement ». Même chose pour le Cloud Act : « Les dernières publications en la matière (2024) de quatre grandes entreprises américaines, en l’occurrence Microsoft, Google, AWS et Salesforce, restent vagues ».
Synthèse problématique également pour les « décisions d’adéquation » européennes, à savoir le Safe Harbour de 2000, le Privacy Shield de 2016 et finalement le Data Privacy Framework de 2023. Les deux premiers sont tombés sous les coups de Maximilien Schrems de l’ONG noyb. Ces accords sont cruciaux : ils établissent une adéquation entre le niveau de protection des données personnelles entre l’Union européenne et les États-Unis. Le Data Privacy Framework est lui aussi la cible d’attaques. En France, le député Philippe Latombe a déjà tenté de le faire tomber, la CJUE ayant rejeté son recours début septembre.
Loi SREN trop timide, isolement de la France sur EUCS
La Cour des comptes continue de renverser les quilles en listant tout ce qui cloche, dont une loi SREN jugée trop « prudente sur les enjeux de souveraineté ». Le décret d’application n’a été envoyé qu’en début d’année à la Commission européenne et limite les cas où le référentiel SecNumCloud serait utilisé aux seules données sensibles, dont la violation serait « susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé ou à la vie des personnes ou à la protection de la propriété intellectuelle ».
Le rapport illustre dans son point 1.2.2 le lien complexe entre la France et la Commission européenne sur ce sujet. La qualification SecNumCloud serait ainsi souhaitable pour de nombreux services de l’État, mais elle n’est pas reconnue au niveau européen. Elle serait donc « susceptible d’écarter d’appels d’offres publics des entreprises basées dans d’autres États membres ». La position française n’a pas été suivie à ce jour, « comme en témoignent les discussions en cours autour du schéma de certification EUCS ». La Cour des comptes les décrit comme « en cours », mais elles semblent au point mort, la France et l’Allemagne ayant des positions diamétralement opposées.
Pourquoi mettre en avant SecNumCloud ? Car il aurait constitué le socle du niveau High+ dans EUCS. Il aurait été alors possible, pour les entreprises, agences étatiques et autres administrations de lancer des appels d’offres dans ce niveau. Or, SecNumCloud, dans sa version 3.2, impose la sélection de services n’étant soumis à aucun cadre juridique extraterritorial. Ce qui aurait court-circuité automatiquement tous les clouds américains.
Nombreuses limitations dans les actions françaises
Le rapport dresse un constat sombre de l’état de souveraineté en France, très loin d’être atteint. C’est particulièrement vrai sur le matériel, très peu d’industries étant présentes en Europe de manière générale. La production de semi-conducteurs se fait ainsi principalement en Asie et aux États-Unis. Même chose pour les ordinateurs, les équipements réseau, les smartphones et de nombreux composants électroniques.
Mais c’est bien dans le logiciel que les problèmes de souveraineté s’illustrent le plus clairement. La Cour des comptes note que différentes approches se heurtent, sans vraiment de cohérence. Certaines administrations et entités préfèrent ainsi développer en interne les applications dont elles ont besoin, avec des problèmes de respect des budgets alloués et de délais de réalisation. D’autres préfèrent recourir à des logiciels du marché, avec l’avantage des fonctions déjà éprouvées et de la rapidité de déploiement, mais avec un contrôle moindre sur la souveraineté.
Le risque de revirement des politiques techniques et commerciales est prégnant et est illustré, selon le rapport, par le cas Microsoft : quand l’entreprise a annoncé déporter de nombreuses applications vers le cloud, la Dinum a demandé aux ministères de ne pas souscrire à ces offres. Même au sein d’une même entité, le manque de coordination est criant, pointe la Cour. Dans l’Éducation nationale par exemple, les produits Microsoft sont très nombreux, quand des académies préfèrent migrer vers du logiciel libre.
En dépit de certains points positifs mis en avant, notamment le réseau interministériel de l’État (RIE) qui garantit la résilience des communications gouvernementales même en cas de défaillances majeures d’internet, les autres initiatives sont sujettes à critiques. C’est le cas de FranceConnect, pensé pour se prémunir contre les services d’authentification des grandes sociétés américaines. Mais s’il est aujourd’hui largement utilisé, il était assorti de problèmes de sécurité que la Dinum a pris tardivement en compte, selon la Cour, dont la dépendance aux prestataires et les risques liés aux sous-traitants.
La Cour pointe en outre les limites de la doctrine « Cloud au centre », ralentie par certains impératifs du marché unique européen (comme dans le cas de SecNumCloud), ou encore le succès limité des clouds interministériels. Pour ces derniers, elle cite Nubo (ministère des Finances) et Pi (ministère de l’Intérieur), mis à disposition des autres administrations. Cependant, à cause d’un manque de services (disponibilité, expérience utilisateur et même manque d’IA) et d’une tarification jugée « inadaptée », ces deux clouds sont « sous-utilisés ».
Et, bien sûr, le rapport de la Cour des comptes illustre les problématiques par les exemples complexes du Health Data Hub et de Virtuo. Le premier illustre toute la difficulté des questions liées à la souveraineté en ayant choisi Microsoft pour héberger des données de santé, par définition sensibles. Le second est le système d’information des ressources humaines du ministère de l’Éducation nationale, dont l’appel d’offres a finalement été remporté par une société américaine. Dans les deux cas, la qualification SecNumCloud est impossible.
Vision stratégique et recommandations
Dans une conclusion intéressante, le rapport met en garde les administrations contre une recherche trop prononcée de performances. La recherche du « plus haut niveau technologique » peut entrainer aussi bien une mise en cause de la souveraineté des données qu’une dépendance de l’administration à la politique commerciale d’un acteur dominant. En clair, les offres des multinationales américaines à l’heure de l’IA.
Face à la question du coût de la souveraineté, l’investissement de l’État est considéré comme « limité » jusqu’ici, avec un marché de l’hébergement souverain « non stabilisé ».
La Cour formule donc cinq recommandations : le déploiement d’outils bureautiques souverains, l’élaboration d’une stratégie de souveraineté chiffrée (au sens financier du terme), la convergence des clouds interministériels, une cartographie complète des données sensibles et la souveraineté de l’hébergement des données de santé, en alignant la certification HDS (Hébergeur de données de santé) sur les exigences de la qualification SecNumCloud.
Source : next.ink
