À l’usage des cadres de l’administration française.

L’écosystème numérique de l’État, et par extension celui des opérateurs d’importance vitale (OIV), est un ensemble d’actifs stratégiques. Son bon fonctionnement est vital pour la bonne marche de la nation. Il est donc nécessaire pour l’administration de prendre les mesures nécessaires afin que chaque système d’information qui le compose reste sous le contrôle de son autorité d’exploitation légitime.

Le hic, c’est que la grande majorité des logiciels et matériels informatiques utilisés est produite par des entreprises étrangères. Comment garder le contrôle dans de telles conditions ? Cette question légitime a entrainé des tentatives de réponse dans l’administration et le tissu économique hexagonal. Malheureusement, dès que ce sujet est évoqué, le bullshitomètre s’affole.

La faute va à la méconnaissance de la nature profonde des problèmes par les décideurs de l’administration et aux discours commerciaux peu scrupuleux qui en profitent.

Cela fait trois ans que j’aide diverses administrations publiques à sécuriser leur systèmes d’information et une mise au point me parait nécessaire.

Définitions

Commençons d’abord par définir certains termes trop souvent utilisé de manière dévoyée.

• La sécurité numérique est un ensemble de moyens mis en oeuvre afin de réduire les probabilités d’atteintes illégitimes à un ou plusieurs systèmes d’information.
• La souveraineté numérique est l’application du principe de souveraineté, c’est à dire de contrôle exclusif par un pouvoir, aux systèmes d’information. Dans l’administration française, on parle évidement de la souveraineté nationale.
• La confiance est un niveau, plus ou moins élevé, de certitude qu’un acteur est bienveillant. La confiance est une notion contextuelle.
• La transparence, dans l’industrie numérique, est un ensemble de mesures mises en places par un acteur pour prouver à un tiers que le comportement de cet acteur est bien celui qu’il prétend être.

Relations entre les concepts

Les définitions étant posées, voyons quelles sont les relations entre ces différents concepts.

• La souveraineté nécessite un certain niveau de sécurité.
• La sécurité ne peut être obtenue sans confiance.
• La confiance n’induit pas la sécurité.
• La confiance peut être accordée selon une variété de critère. La transparence peut être l’un d’entre eux.
• L’affirmation d’une intention bienveillante couplée à une garantie de transparence induit la confiance.

Venons-en aux faits

Maintenant que le cadre conceptuel est clair, venons en à la réalité de ce qu’est l’informatique.

• Les systèmes d’information sont composés de milliers de briques. Ces briques peuvent être matérielles ou logicielles. Elles sont conçues et produites séparément les unes des autres. Seule une faible minorité du processus global de production est susceptible de tomber sous le contrôle de l’État français.
• Ce n’est pas parce qu’une entreprise est française qu’elle est obligatoirement digne de confiance. Ce n’est pas parce qu’une entreprise n’est pas Française qu’elle est obligatoirement indigne de confiance. Cela peut sembler évident mais je vous assure que ça ne l’est pas pour tout le monde.
• À l’exception des composants de sécurité (cartes à puces, cryptoprocesseurs, diodes, ect.), la très grande majorité des produits dits souverains se basent sur des technologies produites à l’étranger pour fonctionner. Ne croyez-pas qu’un “pare-feu souverain” est 100 % made in France ; c’est faux.
• La notion de “produit souverain”ne correspond à aucune réalité technique précisément définie. L’emplois de cette notion n’offre donc aucune garantie technique.
• Des mesures de transparence sont en place dans de nombreux projets logiciels. Les plus notables sont la publication du code source et la compilation déterministe. Il existe des écosystèmes logiciels complets appliquant ces mesures, comme le projet Debian.

Conclusion

La notion de produit souverain est un artifice commercial. La seule manière réellement crédible de batir un système d’information avec un degré raisonnable de souveraineté est d’utiliser des logiciels open source issus de projets sérieux et d’en maitriser la mise en oeuvre. La sécurité doit impérativement être prise en compte à tous les niveaux des projets et des moyens spécifiques doivent lui êtres dédiés. Les poids important dans les décisions doit être accepté.

L’État encourage par ailleurs l’utilisation d’un série de logiciels libres jugés sérieux. Cette liste est le socle interministériel des logiciels libre.