Cybersécurité : les candidats à l'Élysée déclarent l'État d'urgence

Le Forum International de la Cybersécurité et inCyber ont souhaité connaître les positions et propositions en matière de cybersécurité des 12 candidats à la Présidentielle 2022.

Pour retrouver l’intégralité du document de synthèse des réponses fournies, complétées pour certains par l’analyse des programmes publics des candidats : https://incyber.org//presidentielle-2022-cybersecurite-une-priorite-enfin-au-coeur-programmes-candidats/

Sécurité et souveraineté numériques, questions cruciales pour les entreprises de toutes tailles, les collectivités et l’ensemble des citoyens, alimentent désormais les débats des challengers du Président de la République. Alors qu’Emmanuel Macron compte poursuivre sa feuille de route autour du label « cloud de confiance », et d’accords de licences, les autres candidats prônent davantage d’indépendance en matière de stockage des données, jusqu’à promettre la souveraineté numérique de la France.

Organisation de la défense nationale dans un contexte de guerre numérique, telle celle touchant les entreprises travaillant pour les infrastructures ukrainiennes, identité digitale, données de santé, préparation contre des cyberattaques de leurs dispositifs de campagne électorale… Neuf des prétendants à la plus haute fonction de l’État – Nathalie Arthaud, Marine Le Pen, Valérie Pécresse, Anne Hidalgo, Yannick Jadot, Eric Zemmour, Jean-Luc Mélenchon, Nicolas Dupont-Aignan et Fabien Roussel – ont répondu au questionnaire que le Forum International de la Cybersécurité leur a adressé le 4 février dernier. Autant d’idées que nous confrontons ici aux quelques mesures dédiées du programme officiel de l’actuel Président de la République, bien que celui-ci ne nous ait pas fait parvenir sa contribution.

Après la fracture numérique – matérielle en 2002 (un ordinateur par foyer), territoriale en 2007 (le haut-débit pour tous) – les « e-thèmes » ont traversé sans éclat les dernières élections présidentielles. Mais cette année, le numérique fait son retour sur le perron de l’Élysée, avec un enjeu de taille et qui parle à tous, du citoyen à l’entrepreneur, en passant par le fonctionnaire : la cybersécurité.

Sensibilisation et éducation, renforcement des forces de l’ordre « numériques », création d’un parquet spécialisé… À l’exception de Nathalie Arthaud (Lutte ouvrière), tous les candidats souhaitent intensifier les moyens dédiés à la lutte anti-cybercriminalité, mais s’accordent sur un pré-requis : la souveraineté. Idée presque neuve pour une grande partie des électeurs, c’est pourtant bien une arlésienne dans les couloirs des ministères et des entreprises du numérique : le premier programme de « cloud souverain » remonte à 2009 et au Gouvernement Fillon. Près de 230 millions d’euros plus tard (dont environ 160 d’investissements publics), la majorité des candidats à la présidentielle s’accroche au projet de développer, à plus ou moins brève échéance, une offre de cloud computing souverain localisant et traitant en France les données sensibles, notamment publiques.

Regain d’intérêt pour un cloud français

Yannick Jadot (Europe Écologie Les Verts – EELV) propose de « créer une filière industrielle européenne du cloud, interdire d’héberger les données hors de l’Europe dans le cadre des marchés publics et mettre en œuvre des datacenters publics souverains pour les données essentielles nationales ». Jean-Luc Mélenchon (La France insoumise – LFI) partage cette dernière proposition de « vrais parcs de datas centers français » et en fait même sa priorité. Il plaide pour une « France indépendante et non alignée » en matière numérique et veut non seulement des parcs « français, de droit français et localisés en France, pour garantir que l’hébergement des données des services publics français et des entreprises essentielles », mais aussi « une fonderie de microprocesseurs ».

Fabien Roussel (Parti communiste français – PCF) tient à écarter les Gafam de la commande publique, et Anne Hidalgo (Parti socialiste – PS) veut mettre fin au règne sans partage des multinationales américaines, non seulement étrangères mais surtout extra-européennes : « Nous souhaitons développer un cloud français, main dans la main avec nos collectivités territoriales par la fondation d’un SRADDET du numérique [Schéma régional d’aménagement, de développement durable et d’égalité des territoires], qui imposera le stockage des données les plus sensibles au sein de Data center français, tout en exigeant une plus grande transparence aux logiciels sur les lieux d’hébergement de leurs données ».

Valérie Pécresse (Les Républicains – LR) s’engage sur une échéance, en se prononçant « en faveur d’un cloud souverain français d’ici 2030 », son chantier prioritaire si elle est élue. Elle estime que « nous devons prendre conscience qu’il n’y a pas de souveraineté économique ou militaire sans souveraineté numérique, et donc en finir avec la naïveté et le renoncement ». Pour Marine Le Pen (Rassemblement national – RN), pas de souveraineté sans « l’autonomie, c’est-à-dire l’établissement d’un système informatique, tant matériel que logiciel, exempt de toute porte dérobée ou infrastructure étrangère qui en compromettent l’intégrité ». Nicolas Dupont-Aignan (Debout la France) souligne l’absolue nécessité « de faire émerger des partenariats avec les startups du cloud et plus particulièrement de l’intelligence artificielle afin de garantir l’intégrité et la souveraineté de nos compatriotes, et ainsi faire émerger des GAFAM français et européens ». La souveraineté est non négociable pour Eric Zemmour (Reconquête !) : « Comme vous l’avez compris, la souveraineté numérique de la France et son indépendance vis-à-vis des puissances étrangères est ma priorité, de surcroît dans le secteur de la cybersécurité ».

Il y a peu, cet enthousiasme pour un cloud français, Emmanuel Macron (La République En Marche – LREM) ne le partageait pas forcément sur le court terme : « Est-ce que nous aurons un cloud totalement souverain à cinq ans ? Je crois que ce n’est pas vrai parce qu’on a pris beaucoup de retard et parce que la différence d’investissement entre les plaques européenne et américaine est d’un facteur 10 aujourd’hui chez les acteurs privés », avait prévenu le Président de la République sortant, lors du lancement en octobre 2021 du plan « France 2030 » (30 milliards d’euros sur cinq ans dans les secteurs d’avenir). Et de trancher, avec pragmatisme : « Il nous faut […] investir sur les éléments les plus souverains en vue de sécuriser nos écosystèmes. Pourquoi ? Parce que nous sommes en train de créer des ouvertures et des dépendances partout ».

L’urgence d’encadrer la commande publique

Sur la question des autres moyens à mobiliser pour faire progresser notre souveraineté, la plupart des prétendants à l’Élysée s’accordent sur le besoin de flécher la commande publique vers des acteurs français et de modifier les règles des marchés publics, à la suite de l’affaire du Health Data Hub. Les services numériques des plus hautes administrations de l’État ont pour obligation, selon la doctrine « Cloud au centre », d’être hébergés sur l’un des deux clouds interministériels ou sur des offres certifiées, ce qui n’est pas le cas pour les collectivités et pour bon nombre d’autres services publics. L’État a commencé à remédier timidement au problème, en recommandant – sans obligation – aux services publics non stratégiques et aux collectivités de se fier à ses labels SecNumCloud (2019), puis Cloud de confiance (2021), pour l’achat de solutions numériques. Une urgence que les candidats ont bien en tête, alertés notamment par une tentative d’amélioration avortée, en février dernier, à l’occasion du vote de la proposition de loi sénatoriale « Cyberscore ». En effet, dans sa toute première version, celle-ci ajoutait, à l’attention des services publics non stratégiques et des collectivités, les impératifs de cybersécurité aux critères des procédures d’appels d’offres pour les marchés publics. Mais ces contraintes ont dû être abandonnées en cours de rédaction pour des raisons juridiques et de calendrier.

Des nuances significatives apparaissent ensuite entre les impétrants, qui proposent des leviers variés pour tendre vers notre souveraineté numérique. L’avenir de celle-ci passe par le logiciel libre, pour Nicolas Dupont-Aignan et pour Jean-Luc Mélenchon, ce dernier préconisant également l’extension aux collectivités territoriales de la doctrine » Cloud au centre » de l’État, le renforcement du maillage des nœuds internet régionaux, les hébergements de proximité, le développement du maillage territorial des centres de calcul et la maîtrise des routes et câbles sous-marins (retour d’Alcatel Submarine Network dans le giron français).

Valérie Pécresse souhaite l’acquisition d’un « nouveau supercalculateur à très haute performance d’architecture française » et la fixation d’un quota « de 50 % d’achats français et européens pour les commandes publiques à l’horizon 2027 […] dans le cadre d’un Buy European Act ». Pour Eric Zemmour, il s’agit de promulguer une loi pour que les données publiques et privées sensibles au titre de la protection du secret de défense ou des données personnelles, soient hébergées et sécurisées par des solutions souveraines, et de lancer des appels d’offres pour remplacer dans les administrations publiques les logiciels étrangers traitant ces données.

Les candidats émettent des positions différentes quant au périmètre de cette souveraineté. Même s’il indique que les coopérations européennes en matière de cybersécurité et de numérique doivent être renforcées, Eric Zemmour a une vision exclusivement nationale de la souveraineté numérique : « lorsque je parle de souveraineté numérique, contrairement au gouvernement en place, cela signifie pour moi une souveraineté nationale française et non européenne ». Sa concurrente Marine Le Pen ne rejette plus quant à elle la collaboration avec nos voisins, et promet d’engager « une coopération forte avec d’autres pays amis et alliés, d’abord européens, pour maîtriser le calcul quantique – l’une des clés de la cybersécurité future, qui exige des moyens gigantesques que l’UE permet de rassembler. […], évincer les Gafam de notre continent, et construire une industrie numérique capable de pourvoir aux besoins des Européens […] ». Valérie Pécresse articule également les souverainetés nationales et européennes, mais entend d’abord restaurer la compétitivité des entreprises françaises : « Je veux une industrie française du numérique forte dans une Europe puissante dans le numérique ! ». Yannick Jadot propose, lui, de favoriser l’émergence de « groupements d’employeurs nationaux et internationaux pour mutualiser les missions de cybersécurité de responsables de la sécurité des systèmes d’information (RSSI) ».

Identité numérique : stop ou encore

Autre enjeu d’importance pour les électeurs, alors que la majorité d’entre eux a déclaré une allergie à l’application TousAntiCovid : l’identité numérique. Fabien Roussel et Marine Le Pen sont les deux seuls candidats à rejeter l’identifiant numérique unique. Pour le communiste, « représentant l’humain, [l’identité] ne peut être l’objet d’une totale dématérialisation : le lien humain entre le citoyen et ses services publics reste la meilleure garantie de sécurité pour cette information ». La candidate du Rassemblement national (RN) juge que « l’identifiant numérique unique est dangereux » et se positionne en faveur de « solutions décentralisées, à l’exemple d’un portefeuille d’identifiants ou d’une interopérabilité des authentifications ».

Les autres prétendants à la plus haute fonction de l’État entérinent le principe de l’identité digitale mais exigent de solides garde-fous : sans surprise, la souveraineté numérique des solutions est un pré-requis pour la plupart d’entre eux, à commencer par Nicolas Dupont-Aignan, qui veut de surcroît « compartimenter les données d’identité de chaque Français, les rendre hermétiques à l’extérieur ». Une « absence de volonté politique jusqu’à présent » est déplorée par Eric Zemmour : « nous sommes des leaders mondiaux en matière d’identité numérique, […] et pourtant la France est un cordonnier bien mal chaussé ». Yannick Jadot appelle à « renforcer le programme national sur l’identité numérique, le coordonner avec la réglementation européenne (Digital Service Act) et l’entourer de toutes les garanties de protection de la vie privée », tout en précisant qu’il exclut de « réserver l’accès à Internet et aux réseaux sociaux à des usagers identifiés ».

« Ne pas généraliser un contrôle d’identité numérique dans chaque pan de l’Internet (contre-productif et même liberticide) », prévient également le candidat de La France insoumise, qui propose « une solution d’identité numérique souveraine et décentralisée, interopérable et indépendante des intérêts privés » s’appuyant sur l’expertise de l’État, ainsi que sur des acteurs du service public comme la Poste, mais « sans obligation d’adoption » et en limitant « le champ des « contrôles d’identité numérique » aux situations où cela est véritablement pertinent ». Pour Valérie Pécresse, la souveraineté, à condition qu’elle soit globale, offrira la possibilité « d’avancer vers une identité numérique pour chaque citoyen, qui permettra une simplification administrative radicale […], celles et ceux qui ont des difficultés avec le numérique devant toujours pouvoir avoir un contact avec un agent ».

Filière cybersécurité : commande publique et baisse d’impôts

L’actuel locataire de l’Élysée comme ses challengers ont bien saisi que pour prétendre à la souveraineté numérique et à un haut niveau de cybersécurité, la France doit disposer de technologies de pointe et d’infrastructures autonomes sur le territoire. À sa « Stratégie nationale de cybersécurité » (annoncée en février 2021, 1 Md €, dont 720 M€ de financements public) et son plan « France 2030 » (octobre 2021, 30 Mds € sur cinq ans dans les secteurs d’avenir), Emmanuel Macron renchérit avec une proposition « Recherche et innovation » : il souhaite « mettre les moyens nécessaires pour faire de la France un pays en tête [de diverses industries dont] le cyber. 25 milliards d’euros d’investissement sur dix ans pour la recherche fondamentale et appliquée sur deux grands leviers : la poursuite de la réforme de l’autonomie des universités et le positionnement des centres de recherche sur des sujets stratégiques ». Il fait également partie des candidats qui espèrent faire profiter le secteur d’une suppression de la cotisation sur la valeur ajoutée des entreprises (CVAE, 7 Mds € tous domaines confondus). Valérie Pécresse compte également actionner le levier des baisses d’impôts : « Pour développer les filières du numérique et de la cybersécurité, j’entends d’abord restaurer votre compétitivité, notamment avec la baisse des impôts de production », répond la candidate LR à notre questionnaire.

Si Jean-Luc Mélenchon entend lui aussi « faire fortement profiter les TPE/PME du secteur de la refonte de notre fiscalité, avec notamment la progressivité de l’impôt sur les sociétés en fonction des bénéfices et de la part des ces derniers consacrée à l’investissement ou aux dividendes », il n’est pas tant intéressé par les questions de compétitivité : « notre objectif est de répondre aux besoins de cybersécurité pour garantir la souveraineté nationale, la sécurité économique et des personnes, plutôt que la conquête de l’international. L’industrie française du numérique et de la cybersécurité bénéficiera d’abord […] de la hausse de la commande publique, qui sera fléchée vers des entreprises locales grâce à nos mesures de protectionnisme ». Quant au candidat du parti Reconquête !, il veut libérer l’investissement et la fiscalité, en permettant « aux français d’investir sans aucune fiscalité dans les startups et entreprises innovantes en créant un Livret Innovation ». Nathalie Arthaud, elle, balaye la question : « Que l’on demande à déverser des fonds publics pour financer la cyberguerre que les capitalistes se mènent entre eux, c’est exactement comme financer l’augmentation de l’armement de l’État français, c’est encore et toujours faire les poches aux travailleurs contre leurs intérêts ».

Codage pour tous ?

La Commission européenne évoque, d’ici 2025, 500 000 emplois non pourvus dans le domaine numérique en général, en particulier dans la cybersécurité. Pour que la boucle soit bouclée et que les futurs géants français du cloud et de la sécurité numérique ne souffrent plus d’une pénurie de matière grise, les postulants fourmillent d’idées afin de démultiplier les talents en urgence, parmi lesquelles : créer des parcours cybersécurité académiques dans le supérieur pour doubler à horizon 2025 le nombre d’emploi dans la filière (37 000 à 75 000) et développer des masters spécialisés supplémentaires pour Eric Zemmour ; élaborer également des formations de cyber défenseurs pour les demandeurs d’emplois diplômés à partir de Bac +2 (durée 6 mois) pendant les trois prochaines années, pour le candidat écologiste ; à nouveau, mobiliser les chômeurs, mais aussi toutes les personnes en reconversion, y compris les indépendants, et bâtir ainsi une nouvelle « Alliance des talents numériques » autour de parcours de formations opérationnelles, pour Valérie Pécresse. La Présidente de la Région Ile-de-France prône une approche proactive, avec un test national annuel sur le « potentiel numérique » pour tous les élèves de seconde – sorte de TOEIC ou TOEFL numérique, également préconisé par le FIC dans son livre blanc – et la création d’une Ecole nationale du numérique pour former les cadres de l’État à tous les niveaux et reconvertir 50 000 fonctionnaires en cinq ans. Quant à la candidate socialiste, elle lance notamment l’idée d’un service civique dans les campus numériques en cours de déploiement, pour les étudiants disposant de compétences numériques.

Pour mieux armer les consommateurs français qui, selon les estimations, perdent un milliard d’euros par an dans les arnaques sur Internet, les prétendants à l’Élysée misent sur la formation et la sensibilisation, ainsi que sur des services publics d’assistance renforcés. Fabien Roussel tient à souligner que « ce sont encore les citoyens en état de précarité qui forment le gros des victimes des délinquants, sur le Net comme en ville », tout comme Jean-Luc Mélenchon rappelle le « rôle de protecteur de la population à assumer par l’État, la cybersécurité n’étant pas réductible à une simple responsabilité individuelle ». Il entend « renforcer les droits des citoyens à sécuriser leurs échanges en ligne en mettant en place un droit constitutionnel au chiffrement des communications » et, bien qu’il ne nie pas leur utilité, « dépasser des gadgets comme le cyberscore ou un quelconque filtre » anti-arnaque » ». Ce dernier outil, qu’un opérateur privé propose déjà, figure d’ailleurs dans la brochure publiée par Emmanuel Macron, qui inclut aussi « un numéro joignable en permanence pour être conseillé et accompagné, 20 000 accompagnateurs pour aider les Français [dans] leurs démarches quotidiennes, et la généralisation de l’enseignement du code informatique et des usages numériques à partir de la 5ème ». Anne Hidalgo, Eric Zemmour et Nicolas Dupont-Aignan insistent à leur tour sur l’éducation au numérique dès l’enseignement secondaire, le candidat de Debout la France avertissant de la nécessité de « sanctuarisation » sans digital » à l’école élémentaire, mais » d’excellence numérique » dès le collège ».

Le développement des capacités de résilience au sein des entreprises et des collectivités, sans oublier les hôpitaux, est une autre attente forte de l’électorat, alerté par les attaques de centres hospitaliers comme celui de Dax et de Villefranche-sur-Saône, ou encore de la ville de Saumur il y a seulement quelques jours. La plupart des candidats s’accordent sur la nécessité d’amplifier le rôle de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) dans la détection et la réponse à incident et de renforcer ses moyens, à commencer par une force d’intervention opérationnelle plus consistante pour intervenir en urgence auprès des PME comme des mairies.

Valérie Pécresse appelle à redéfinir la politique de dotation en équipements des administrations et à appuyer la multiplication d’acteurs souverains « en pointe pour lutter contre le cyber-espionnage et les cyber-sabotages, comme l’entreprise Tehtris ». Autres armes dégainées par les candidats : un plan de continuité d’activité en cas de défaillance informatique majeure et la capacité d’assurer leur mission sans informatique pour Jean-Luc Mélenchon, qui s’engage sur une augmentation globale de 5 % par an du budget de l’hôpital. Yannick Jadot invoque la création de deux équipes nationales de surveillance et d’alerte (CERT – Computer Emergency Response Team), spécialisées dans les systèmes d’information d’hôpitaux, d’une part, et les SI des services publics numérisés d’autre part, quand Eric Zemmour entend accélérer le programme France relance sur le volet cyberprotection des centres hospitaliers et former tous les élus au risque cyber. Pour Fabien Roussel, la qualité de la formation des agents, employés et professionnels constitue aussi le premier et meilleur rempart aux tentatives de piratage. Quant à Marine Le Pen, si elle propose, avec le pré-requis de solutions souveraines, de faire passer les collectivités et les services publics sur les équipements sécurisés de l’État, elle brandit avant tout l’artillerie régalienne.

Institutions : de la cybersécurité à tous les étages

«Primauté de l’État de droit , avec une égale importance des criminalités physique et numérique […]. Il n’est question que d’atteindre les auteurs de tels faits et de les identifier […], le droit pénal sanctionnant déjà efficacement les fraudes, y compris commises en ligne », martèle Marine Le Pen. « La sanction passera par l’interpellation du coupable, s’il est français, ou par sa mise en inculpation à l’étranger conformément à des accords réciproques sur la cybercriminalité, s’il est étranger. », ajoute la candidate du RN. Elle promet de créer des « commandos numériques » – son chantier prioritaire, Yannick Jadot, de renforcer le rôle d’enquêteur de la gendarmerie nationale, le président sortant, de recruter 1 500 cyberpatrouilleurs, le candidat de LFI, de doubler les effectifs de la police technique et scientifique ainsi que ceux de PHAROS et « d’augmenter les moyens de notre justice, qui a été clochardisée ». La plupart des candidats jugent en effet urgent de renforcer considérablement les moyens de la justice, mais aussi de simplifier le dépôt de plainte, voire de le dématérialiser en totalité, et de créer un parquet de lutte contre la cybercriminalité. Ce nouveau tribunal serait englobé dans une « loi » Souveraineté et Responsabilité numérique » dans la première année du quinquennat », pour Valérie Pécresse. Fabien Roussel se démarque avec une approche exclusivement fiscale : selon lui, « les moyens, instruments et services affectés à la lutte contre la fraude fiscale seront utilisés dans la lutte contre la cybercriminalité qui participe aussi, par nature, à la fraude fiscale ».

Toujours du côté des institutions, certains prétendants à l’Élysée comptent sur le renforcement des services de l’État dans les territoires, avec « des équipes de réponse aux incidents dans les Régions et [l’inclusion de] la cybersécurité dans les schémas régionaux de développement économique, d’internationalisation et d’innovation (SRDEII), afin de sensibiliser les collectivités locales » pour la candidate socialiste, ou « un établissement public/pôle national de coordination des CERT régionaux et des services publics locaux d’urgence mutualisés en matière de cybersécurité » pour Yannick Jadot. Si l’on remonte dans les arcanes de l’État, outre le déploiement de l’ANSSI, le candidat d’Europe Écologie Les Verts juge nécessaires « trois pôles nationaux : l’ANSSI (défense de la société), le pôle cyber de la défense nationale (attaque militaire) et [en priorité] une nouvelle structure nationale de renseignement non militaire sur la cybersécurité pour anticiper les menaces. »

La candidate LR prévoit « dès l’élection, de nommer un Chief Technology Officer de l’État, équivalent du coordinateur du renseignement, pour mieux coordonner l’action publique, et mettre en place un briefing hebdomadaire au Président de la République sur les questions technologiques ». Et tout au sommet de l’État, à la question de la nécessité ou pas de créer un ministère du Numérique à part entière, quatre impétrants appellent de leurs vœux « un ministère de plein exercice » (Nicolas Dupont-Aignan), « un ministère du Numérique puissant, autonome puisque détaché du Ministère de la cohésion territoriale, et au caractère transversal » (Anne Hidalgo), ou même « un secrétariat d’Etat à la Cybersécurité » (Eric Zemmour), « un ministère du Numérique, possiblement associé à un secrétariat d’État à la Cybersécurité » (Marine Le Pen), quand Fabien Roussel souhaite hisser la sécurité numérique jusqu’à Matignon pour « coordonner les efforts au niveau du Premier ministre ». Cyber, la République et la sécurité des Français seront, ou ne seront pas !