Le quatrième défi est le défi capacitaire. Un premier ensemble d'enjeux a trait à notre souveraineté numérique.
Vous n'êtes pas sans ignorer les risques que fait peser le recours à des logiciels étrangers dans nos systèmes d'information et nos systèmes d'armes, et singulièrement eu égard aux règles d'extraterritorialité du droit américain – mais pas que – ou encore des dispositions législatives adoptées par des États comme les États-Unis ou la Chine pour collecter, en toute légalité, nos données. À ce jour, le ministère des Armées n'exclut pas le recours à des solutions étrangères, y compris sur étagère, et ce tant pour ses systèmes d'armes que pour ses systèmes d'information, dès lors qu'elle estime que le risque est maîtrisé. En ce qui nous concerne, nous pensons qu'il est absolument indispensable de limiter au strict nécessaire le recours aux solutions étrangères dans nos systèmes d'armes. La présence de portes dérobées dans des solutions étrangères permettant à l'État fournisseur d'espionner l'État client n'est un secret pour personne. Les mesures prises pour réduire les risques sont salutaires. Mais cela suppose d'être en mesure de détecter les éventuelles portes dérobées installées sur les solutions étrangères. Or, comme nous avons pu l'entendre en audition, si on estime qu'il n'y a pas de cyberattaque, cela peut vouloir dire deux choses : soit il n'y en a effectivement pas, et tout va bien ! soit il y en a une que nous ne détectons pas, et c'est beaucoup plus gênant … !
Nous pensons donc qu'il est nécessaire de limiter autant que possible le recours à des solutions étrangères.
Cette ambition va de pair avec l'élaboration d'une feuille de route pour réduire l'empreinte des GAFAM au sein du ministère des Armées. Nous nous sommes particulièrement intéressés au recours par celui-ci du système d'exploitation Windows. Nous sommes parvenus à la conclusion que le ministère des Armées est aujourd'hui piégé : aucune alternative crédible n'existe à ce système d'exploitation, et le recours aux logiciels libres présente de nombreuses limites, même si l'exploration d'un recours plus accru à Linux nous semble souhaitable.
En outre, compte tenu de l'incapacité actuelle du ministère des Armées à assumer, seul, le maintien en condition de sécurité d'un système d'exploitation alternatif, il est directement tributaire de Microsoft. Ce qui signifie qu'elle est dépendante pour la correction des vulnérabilités informatiques potentiellement exploitées par des acteurs malveillants. Cette dépendance sera d'autant plus grave si, demain, cette entreprise décidait de fournir ses services sur le mode dit de « logiciels en tant que services » ( Software as a Service (SaaS)).
Ce risque est une véritable épée de Damoclès qui pèse sur la protection des données des services de l'État mais surtout sur notre souveraineté. Cela est dû au fait que le modèle émergent consiste au seul achat de droits d'utilisation de solutions hébergées à l'étranger. D'ailleurs, Microsoft a indiqué que d'ici 2030, voire 2027, il n'y aura plus que des logiciels sous forme de SaaS.
Le ministère des Armées, compte tenu de ses exigences en matière de sécurité et de souveraineté, ne peut accepter cette situation, et aujourd'hui, il est difficile d'estimer l'ampleur des risques…
En outre, la feuille de route du ministère des Armées en matière de défense en profondeur des systèmes d'information doit être poursuivie. Comme entendu en audition, si le ministère a bâti des forteresses, il s'agit désormais de bâtir des villes. Aujourd'hui, il y a un périmètre de sécurité fort autour de l'ensemble des systèmes d'information du ministère.
L'enjeu est d'empêcher que, demain, quelqu'un qui a réussi à pénétrer la forteresse puisse avoir accès à tout. Ce qu'on appelle « la défense en profondeur », dont l'objectif est d'affiner les portes d'entrée. Cela implique de mieux les sécuriser afin d'empêcher que n'importe quelle personne ait tous les droits d'accès. En fonction, par exemple, de l'identifiant et du lieu de connexion, attribués selon les fonctions occupées au ministère, une personne donnée ne pourra pas avoir accès à l'ensemble des informations qu'elle souhaite, y compris sur la durée, ce qui n'est pas le cas aujourd'hui. Pour cela, il faudrait mettre en œuvre un processus de transition important afin de changer l'architecture numérique du ministère, ce qui ne sera a priori pas le cas avant 2031. Ce que nous regrettons…