Intervention de Guillaume Vassault-Houlière

Je vous répondrai par l'affirmative. Ceci dit, votre remarque ne s'applique-t-elle pas aussi aux téléphones ? Beaucoup, par méconnaissance ou pour gagner du temps, installent sur leurs appareils des applications qu'ils ne maîtrisent pas. Il me paraît important de démystifier les questions de sécurité. Nous devons creuser sous la surface, loin de nous fier aux apparences.

L'anticipation de menaces ou de soucis techniques n'est jamais simple.

L'incendie d'OVH a impacté notre activité. Nous étions toutefois préparés à une telle éventualité, vu que la construction d'infrastructures indestructibles relève des préoccupations de notre métier. J'ai la chance de disposer d'équipes techniques performantes, qui ont résolu rapidement les problèmes.

Les achats, aujourd'hui facilités, ne s'effectuent plus dans les mêmes conditions qu'avant. Le métier de la haute disponibilité souffre d'une méconnaissance. Pour l'anecdote, j'ai mis en place des infrastructures destinées à la presse et aux citoyens, en vue de l'annonce des résultats d'élections, voici dix ans. La haute disponibilité n'est pas un sujet simple à aborder, surtout si l'on y inclut les risques d'attaques. Je ne jette la pierre à personne. Les PRA et PCA ont un coût. La question des compétences dans le numérique ne concerne pas que la cybersécurité mais aussi les infrastructures.

Indépendamment du recours au cloud, il existe de bonnes pratiques, entre autres d'achat. Il convient de se poser les bonnes questions. Selon moi, il appartient aux établissements de formation de revenir aux bases. Quand on construit une infrastructure, il faut penser à sa résilience, à l'analyse des risques, ce que l'on faisait à l'époque où l'on avait affaire à des serveurs physiques. La virtualisation liée à l'usage du cloud rend ces risques moins palpables, or en tant qu'êtres humains, nous éprouvons le besoin de toucher du doigt les menaces pour nous les représenter. Au final, on ignore où sont stockées les sauvegardes, ni même si elles existent. Ces questions relèvent d'une problématique de transparence. Tout est lié. La situation ne s'améliorera pas d'elle-même. Il nous appartient à nous, acheteurs, de poser les bonnes questions.

Il a beaucoup été question de réversibilité à propos du RGPD, toutefois, ce concept s'est quelque peu égaré dans les méandres de l'histoire des infrastructures. Nous devons nous demander où sont stockées nos données. Il nous revient à nous, acheteurs, de changer les habitudes liées à l'usage des plateformes software as a service (SaaS). La transparence engendrera la confiance. Ensemble, elles constituent les meilleures alliées du marketing.

Il n'en faut pas moins garder à l'esprit que toute une catégorie d'acteurs comme les collectivités territoriales, dont la cybersécurité n'est pas le cœur de métier, n'ont pas les moyens de se pencher sur ces questions, ce qui les oblige à s'en remettre à leurs fournisseurs. Ces acteurs accordent leur confiance aux experts qu'ils ont mandatés. Il faudrait peut-être revenir aux requests for proposal (RFP), c'est-à-dire aux appels d'offres tels qu'ils étaient rédigés voici quinze ans. Leurs exigences d'alors sont depuis passées à la trappe, car il est plus facile de passer une commande en quelques clics. Il ne faut toutefois jamais perdre de vue les principes fondamentaux de construction d'une architecture, tels que la disponibilité ou la résilience.