La cyberdéfense française a des relations compliquées avec les géants américains de l’Internet

Google, Amazon, Facebook, Apple… Que ce soit pour faire une recherche sur Internet, écrire un article, acheter un livre ou rester en relation avec des amis éloignés, tout le monde (ou presque) utilise les services de ces géants américains du numérique, désignés par l’acronyme « GAFA ».

La personnalité et l’inventivité de leurs fondateurs, qui ont pu s’épanouir dans un environnemnt socio-économique favorable, font que ces groupes sont en position de faire la pluie et le beau temps, faute d’avoir trouvé sur leur route des concurrents à leur taille (peu de gens le savent, mais le premier micro-ordinateur, le Micral-N, a été conçu en France, en 1972… Ce qui n’a pas donné lieu à l’effervescence que provoquera l’Altaïr 8800, commercialisé trois ans plus tard aux États-Unis et qui intéressera ou inspirera des gens comme Bill Gates ou Steve Jobs).

Lors de son audition par les députés de la commission de la Défense, le général Olivier Bonnet de Paillerets, commandant de la cyberdéfense (COMCYBER), chargé de protéger les réseaux du ministère des Armées et de mener des « actions » à l’extérieur du territoire national, a été interrogé sur les relations avec les GAFA. « Sont-ils nos alliés, des adversaires ou bien sont-ils neutres », lui a-t-il été demandé.

« La réponse est dans les question : un peu des trois », a répondu le général Bonnet de Paillerets, avant d’en donner un exemple pour illustrer la complexité de la relation du COMCYBER avec les GAFA.

« Le COMCYBER, dans ses actions numériques en soutien de l’engagement militaire, par exemple au Levant, surveille la propagande des djihadistes et la combat. Quand un contenu de cette propagande, en français, va toucher un public français, je le communique au ministère de l’Intérieur et je vérifie avec les responsables de certains des GAFA qu’ils ont bien pris en compte le fait qu’il va falloir retirer ce contenu de la Toile », a commencé par raconter le général Bonnet de Paillerets.

« Nous sommes passés en quelques mois d’une situation où nous n’avions pas de réponse de leur part, à une situation où les taux de retrait sont de 50 à 80 %. J’ai donc réussi, dans le champ opérationnel, à engager un dialogue avec les GAFA et, par le biais du ministère de l’Intérieur, à les sensibiliser un peu plus sur leurs responsabilités », a continué le COMCYBER.

Cela étant, a-t-il ajouté, « nous nous trouvons ici dans un contexte d’omnipotence que nous ne pouvons que subir ; le jour où nous serons capables de rééquilibrer les choses au sein de l’Union européenne, tout le monde ne s’en portera que mieux. »

Directeur de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), Guillaume Poupard a eu droit à une question du même type, portant plus précisément sur les données personnelles, quand son tour est venu d’être écouté par les députés de la commission de la Défense.

« À titre personnel, je dirais que les GAFA et autres sont dans le paysage, et toute solution simple qui consisterait à les interdire n’aurait pas de sens. La solution, forcément complexe, passe par la sensibilisation et l’explication », a répondu le directeur de l’ANSSI.  »

Puis, a-t-il continué « il arrive d’ailleurs que j’explique les choses de manière assez brutale à certains acteurs économiques, pour leur faire comprendre leur irresponsabilité de confier tous leurs systèmes à Google – ce que certains font – mais ils ont beau jeu de me répondre que ces systèmes fonctionnent bien et ne coûtent pas cher [ce qui est vrai, ndlr]. »

« En clair, nous devons mener un dialogue et ce dialogue, parfois, se tend jusqu’à remonter aux plus hautes autorités de l’État de sorte qu’elles montrent les gros yeux pour faire plier tel ou tel acteur, étant entendu que cette méthode ne peut être réservée qu’à quelques cas et ne saurait être généralisée », a expliqué M. Poupard. « Objectivement, la situation est compliquée, notamment par manque de prise de conscience », a-t-il insisté.

En outre, pour M. Poupard, il ne faudrait pas se fier aveuglément aux bonnes intentions affichées par les GAFA. « Au-delà des attaquants bien identifiés qui représentent une menace évidente, je constate encore un manque de lucidité concernant le risque que présentent les grandes sociétés numériques, en particulier américaines, à qui l’on prête parfois une image trop bonne », a-t-il en effet avancé.

« Quoi qu’il en soit, c’est par la discussion qu’il faut procéder et l’ANSSI n’est qu’un petit maillon dans cette chaîne – raison pour laquelle je suis un peu gêné de vous répondre », a-t-il conclu.

Toutefois, et dans un autre domaine, les services de l’État ne peuvent pas faire autrement que de se tourner vers des solutions « non souveraines ». À ce titre, il est fréquent que des contrats passés avec Microsoft, par exemple, fassent l’objet de critiques. Ainsi, s’agissant de la lutte anti-terroriste, la Direction générale de la sécurité intérieure (DGSI) a confié un marché de 10 millions d’euros, en 2016, à la société américaine Palantir, qui, spécialiste du Big Data, travaille pour le renseignement américain.

« L’essentiel est de disposer d’une architecture globale qui permette d’utiliser ces logiciels de manière précautionneuse. Il va de soi qu’il faut par exemple déconnecter les logiciels Palantir, qui permettent d’effectuer des recherches dans les données, car il est hors de question que l’éditeur de Palantir ait accès aux données opérationnelles traitées par le logiciel », a fait valoir M. Poupard, avant d’admettre que cela devenait de plus en plus compliqué étant donné que les éditeurs de logiciels « dégagent leur plus-value en fournissant un système à distance, en cloud, qui, pour fonctionner, ne doit plus se trouver chez le client » mais chez eux. Et cela « soulève de nombreuses questions », a-t-il dit.

Concernant plus précisément les logiciels de Palantir, M. Poupard a indiqué qu’une « volonté globale de créer une alternative française de confiance » existe. D’ailleurs, la Direction générale de l’armement (DGA) y travaille.

Conformément à l'article 38 de la Loi 78-17 du 6 janvier 1978 modifiée, vous disposez d'un droit d'accès, de modification, de rectification et de suppression des données vous concernant. [Voir les règles de confidentialité]