NIS 2, DORA, SecNumCloud, peut-on construire une souveraineté numérique sans moyens ?
📩 Pour nous contacter: redaction@frenchweb.fr
Il y a deux mois, Vincent Strubel, directeur général de l’ANSSI, était auditionné par la Commission des affaires étrangères de l’Assemblée nationale. Et à cette occasion, il a dressé un panorama sans équivoque de l’état de la menace cyber, tout en exposant la doctrine française et les instruments réglementaires en cours de déploiement. A l’issue de la lecture de cette audition, une question nous reste à l’esprit, les outils suffisent-ils, lorsque les moyens opérationnels ne suivent pas ?
Une architecture juridique solide.
Sur le plan réglementaire, la France coche toutes les cases. Le projet de loi dit « Résilience », en discussion à l’Assemblée, transpose trois textes européens structurants :
- NIS 2, qui étend les obligations de sécurité à plus de 10 000 entités publiques et privées considérées comme essentielles ou importantes
- DORA, qui impose une résilience opérationnelle numérique au secteur financier
- et la directive REC, relative à la protection des entités critiques
En parallèle, l’ANSSI déploie le référentiel SecNumCloud, censé garantir l’hébergement des données sensibles sous souveraineté juridique européenne. Ce référentiel est désormais requis pour de nombreux usages publics stratégiques, notamment dans les ministères, les collectivités et les établissements de santé.
Le cadre juridique est donc en train de se stabiliser et il est même perçu comme un levier pour renforcer un écosystème français et européen de cybersécurité, notamment en matière de services managés, d’hébergement et d’audit.
Mais une exécution à deux vitesses
Ainsi l’audition du directeur général de l’ANSSI révèle un autre visage, celui d’une administration consciente de l’écart croissant entre les obligations réglementaires et les capacités réelles des acteurs à y répondre.
Si les grands opérateurs régaliens sont protégés (les ministères bénéficient d’une supervision centralisée via le Réseau Interministériel de l’État (RIE), au-delà du noyau stratégique, l’essentiel du tissu économique et territorial reste à nu. PME, intercommunalités, établissements de santé ou de recherche subissent régulièrement des attaques paralysantes. L’exemple de l’Université Paris-Saclay, victime en août 2024 d’un rançongiciel ayant désorganisé ses systèmes pendant plusieurs jours, est cité comme symptomatique d’un sous-investissement chronique.
L’ANSSI parle d’un objectif de “passage à l’échelle”, autrement dit, élargir la culture de cybersécurité bien au-delà des 500 entités prioritaires vers les dizaines de milliers d’acteurs désormais concernés par NIS 2. Or ce basculement nécessite des moyens humains, financiers, techniques, qui ne sont pas actuellement au rendez-vous.
Des outils, mais pas d’infrastructures
Vincent Strubel rappelle que si la France possède un savoir-faire cryptographique reconnu, un référentiel cloud souverain (SecNumCloud), un réseau de CSIRT régionaux en voie de structuration, et un tissu de prestataires qualifiés, sur le terrain, les contradictions s’accumulent. Ainsi Le cloud souverain reste marginal, faute d’incitations budgétaires claires dans les appels d’offres publics, les données de santé sont encore largement hébergées sur des infrastructures américaines, et les appels à projets financés par le plan France Relance n’ont pas suffi à créer une dynamique durable.
Même constat sur le référentiel SecNumCloud, bien qu’il garantisse une protection juridique contre l’extraterritorialité, il est jugé très complexe à implémenter, coûteux, et encore largement optionnel. L’exécutif multiplie les dérogations discrètes, à titre d’exemple, certaines administrations utilisent des services Microsoft pour des traitements critiques, en s’appuyant sur des “clouds de confiance” sans certification formelle.
Un risque d’ineffectivité
Le risque est celui d’une souveraineté d’affichage, sans aucune traduction opérationnelle. En multipliant les référentiels, les obligations et les textes, la France s’expose à un effet miroir avec des exigences en hausse, mais une exécution déléguée à des acteurs qui n’ont ni les moyens, ni la compétence, ni les ressources humaines pour y répondre.
L’ANSSI elle-même, si elle bénéficie d’une légitimité technique incontestée, reste contrainte par des effectifs limités et une charge croissante. Les audits, les accompagnements, les plans de migration vers la cryptographie post-quantique, la supervision interministérielle, l’appui aux collectivités, tout cela s’additionne sans multiplication de moyens équivalents. A titre de comparaison avec nos voisins allemands, le BSI (Bundesamt für Sicherheit in der Informationstechnik) est doté d’un budget que l’on estime au moins au double de celui de l’ANSSI.
Vincent Strubel l’admet à demi-mot, la réussite des JO 2024 (aucune attaque majeure malgré 12 fois plus de tentatives qu’à Tokyo) a été possible parce que l’État avait massivement concentré ses moyens sur un nombre limité de cibles. Ce qui nous fait comprendre que ce modèle n’est pas généralisable sans changement d’échelle.
Souveraineté sans budget, ni investissement = illusion opérationnelle
Si la France dispose d’une doctrine claire, d’un corpus réglementaire solide, et d’une agence technique respectée, sans accélération massive de l’investissement, notamment dans l’implémentation locale (collectivités, prestataires labellisés, cloud souverain, formation de terrain), la mise en œuvre de NIS 2 et des autres textes risque de rester théorique.
La cybersécurité est devenue un enjeu systémique qui ne peut plus reposer uniquement sur des normes et une poignée d’experts. Elle suppose une mobilisation industrielle, budgétaire, et humaine bien plus importante que celle mise en oeuvre actuellement, sans cela, la souveraineté numérique restera un slogan.
