Actualités

La sécurité informatique dépasse le simple cadre de la "Cyber"

  • 26 août 2025
NIS2

Le projet de loi de transposition de la directive européenne NIS 2, actuellement en débat au Parlement, constitue une avancée indispensable pour rehausser le niveau de sécurité de nos infrastructures critiques. En élargissant le périmètre des entités concernées et en renforçant leurs obligations, il répond à une nécessité opérationnelle. Pourtant, en l'état, ce texte passe à côté de l'essentiel en abordant la sécurité par le seul prisme de la "cyber" traditionnelle : la défense contre des menaces opérationnelles externes (rançongiciels, phishing, attaques zero-day, virus, etc.).

Cette vision est aujourd'hui insuffisante. Elle ignore les menaces endogènes et structurelles, bien plus insidieuses, que sont notre dépendance technologique et la perte progressive de notre autonomie stratégique.

D'une menace opérationnelle à une vulnérabilité stratégique

Il est temps d'en prendre pleinement conscience: le risque le plus critique pour nos infrastructures numériques n'est pas seulement la faille logicielle inopinée ; il est devenu protéiforme et stratégique. Il s'agit notamment de :

  • La dépendance technologique à un fournisseur unique : Pour certaines briques technologiques critiques, l'enfermement propriétaire (vendor lock-in) crée une vulnérabilité majeure. Un fournisseur peut abandonner son produit, cesser d'assurer sa sécurité, ou décider unilatéralement de multiplier ses prix par dix, laissant l'opérateur sans alternative immédiate et viable.
  • Le recours à des "boîtes noires" logicielles : L'utilisation de solutions dont le code source est inauditable rend impossible toute vérification indépendante de l'absence de portes dérobées ou de failles dissimulées. C'est un acte de foi incompatible avec le niveau de confiance requis pour nos services essentiels.
  • La soumission à des législations extraterritoriales : Le recours à des services opérés par des entités soumises à des lois comme le Cloud Act américain transforme une solution technique en une vulnérabilité juridique. Nos données, même hébergées en Europe, peuvent être légalement accessibles à des autorités étrangères, court-circuitant nos propres protections. Comme on l'a vu récemment avec la Cour Pénale International, et plus récemment avec les dernières menaces de l'administration Trump/Vance, l'administration américaines peut décider de manière unilatérale de faire couper l'accès à certains services cloud (en l'occurrence, de Microsoft) dans des pays tiers.
  • L'hémorragie économique et la perte de souveraineté industrielle : La menace est aussi économique. Une étude récente du du cabinet Asterès pour le Cigref a chiffré cette dépendance : 80% des dépenses européennes en logiciels et services cloud professionnels, soit 265 milliards d'euros par an, vont vers des acteurs américains. Cette fuite massive de valeur représente non seulement un manque à gagner colossal pour notre économie, mais aussi l'exportation de près de deux millions d'emplois. Continuer sur cette voie, c'est financer les champions américains d'aujourd'hui au détriment de notre capacité à bâtir les nôtres.

Ces dépendances, qu'elles soient techniques, commerciales ou juridiques, constituent une vulnérabilité de premier ordre. Un État qui ne maîtrise pas les briques logicielles fondamentales qui animent ses services essentiels n'est pas pleinement souverain. La résilience, qui est la capacité à continuer de fonctionner en situation dégradée, est structurellement affaiblie par l'enfermement propriétaire.

Faire de la loi un levier pour la résilience et l'autonomie stratégique

La directive NIS 2, dans ses "considérants", a identifié cet enjeu en alertant sur "l'influence injustifiée d'un pays tiers sur des fournisseurs" et en promouvant les solutions en "sources ouvertes" pour leur "processus de vérification plus transparent". La transposition française doit être à la hauteur de cette ambition stratégique.

C'est pourquoi le CNLL, avec d'autres acteurs de l'écosystème, a proposé aux parlementaires concernés de déposer une série d'amendements visant à intégrer cette dimension au cœur de la loi :

  1. Au niveau opérationnel (Article 14) : Nous proposons d'intégrer des critères de choix technologiques fondés sur la maîtrise et la résilience. Les entités essentielles et importantes devront évaluer leurs solutions au regard de leur auditabilité, de leur transparence, de leur interopérabilité et de la réversibilité qu'elles garantissent. Nous poussons également une logique pragmatique de "préférence pour l'ouvert" (comply or explain), qui n'interdit pas les solutions propriétaires mais exige que leur choix soit justifié par une analyse de risque documentée.
  2. Au niveau doctrinal (Article 5 bis) : Nous demandons d'inscrire le logiciel libre et les standards ouverts comme des piliers de notre Stratégie Nationale de Cybersécurité. Cette inscription donnerait un fondement légal solide à l'action de l'État (via l'ANSSI, la DINUM, ou une agence spécifique dédiée à l'autonomie stratégique numérique de l'administration française) et à la commande publique pour favoriser activement un écosystème numérique souverain, performant, diversifié et résilient.

Ces propositions relèvent d'une saine gestion des risques à l'échelle nationale. Elles visent à traduire en droit l'ambition stratégique déjà présente dans l'esprit de la directive européenne.

Appel à la mobilisation

La fenêtre d'opportunité législative est étroite. Ce projet de loi est notre chance d'opérer un sursaut stratégique et de faire de la cybersécurité un véritable levier pour notre autonomie. Il s'agit de décider si la France veut se contenter de consommer des technologies de sécurité, ou si elle entend les maîtriser, les auditer et contribuer à les développer.

Nous appelons donc l'ensemble de l'écosystème du logiciel libre et du numérique ouvert à se mobiliser et à porter ce message auprès de nos élus et du gouvernement. La sécurité de demain ne se construira pas sur des fondations opaques, mais sur la transparence, la maîtrise et la collaboration qui sont au cœur du modèle Open Source.

Restons connectés : Twitter Newsletter (mensuelle)