Delphine Sabattier : C’est « Le grand Debrief » de Smart Tech. On parle de l’actu tech aujourd’hui avec, autour de la table, Jean-Baptiste Kempf. Bonjour Jean-Baptiste.

Jean-Baptiste Kempf : Bonjour.

Delphine Sabattier : Fondateur du génial VLC [1], bien évidemment, et actuel directeur de l’innovation et des technologies chez Scaleway [2]. Bienvenue Jean-Baptiste.
À côté de vous Jean-Noël de Galzain, PDG fondateur de Wallix [3], et également président d’Hexatrust [4], l’équipe de France de la cyber. C’est ça ?

Jean-Noël de Galzain : Pas tout seul, mais une bonne partie, les meilleurs.

Delphine Sabattier : Et enfin, avec nous, Éric Le Quellenec, bonjour.

Éric Le Quellenec : Bonjour.

Delphine Sabattier : Bonjour maître, avocat, spécialiste en droit du numérique associé au Cabinet Flichy Grangé.
Bienvenue à tous les trois. Nous allons confronter nos points de vue sur plusieurs sujets, notamment cette menace cyber russe qui est là, nous dit le président Emmanuel Macron. On va voir si l’Union européenne est plus vulnérable, aujourd’hui, dans ce contexte géopolitique nouveau avec, surtout, cette nouvelle approche américaine de la question. On va parler aussi du projet de loi résilience des infrastructures critiques et renforcement de la cybersécurité. Mais on commence avec la vérification de l’âge. Deux sites X se refusent à mettre en application ce nouveau dispositif de vérification qui est désormais imposé à tous les sites de l’Union européenne. Pour lancer la discussion, nous sommes connectés avec Henri Grelet. Bonjour Henri.

Henri Grelet : Bonjour.

Delphine Sabattier : Vous êtes directeur des opérations du groupe Dorcel [5]. On ne va pas vous faire tout de suite commenter la décision de vos concurrents, je voulais déjà connaître votre propre regard sur cet arrêté interministériel, sur cette nouvelle obligation qu’ont les sites pornographiques de vérifier l’âge, moyennant des dispositifs qui ont été vraiment très précisés dans le texte et qui imposent un double anonymat.

Henri Grelet : Exactement. En fait, c’est un peu ça la nouveauté, puisque l’obligation de protéger les mineurs à l’accès aux sites pornos existe depuis plus longtemps que ça. Une première version de la loi SREN [visant à sécuriser et réguler l’espace numérique] en 2020, si je ne me trompe pas, nous imposait déjà ça.
De notre côté, nous n’avons aucun problème avec ça. Nous sommes vraiment pour la liberté des adultes à accéder à notre contenu, mais, en contrepartie à protéger les mineurs. Nous estimons que c’est notre responsabilité, c’est la responsabilité des entreprises qui font commerce de ce genre d’activité de porter cette protection par rapport à nos contenus qui, en effet, ne doivent pas être accessibles à tout le monde.

Delphine Sabattier : Quels choix technologiques avez-vous fait ?

Henri Grelet : On en a fait plusieurs. Il y a une différence de fait, par le marché, qui est que nous ne diffusons que du contenu payant. Si nous nous comparons à des tubes – ce qu’on appelle des tubes ce sont les sites auxquels on peut accéder à du contenu gratuitement –, par le fait de payer, nous estimons qu’il y a déjà une protection qui se met en place, puisque c’est très limitatif, on va dire, en termes de public qui accède à notre contenu : aucun contenu porno n’est accessible avant de payer, c’est déjà une première étape.

Delphine Sabattier : Les mineurs ont aussi des cartes bancaires !

Henri Grelet : En l’occurrence. Nous nous sommes rapprochés de nos PSP [Prestataires de services de paiement] pour couper les cartes prépayées, justement pour éviter une partie encore. Je vous confirme, il va rester quelques trous dans la raquette, mais on limite au maximum, on va dire.
Deuxième chose, on a mis depuis longtemps un service, Yoti [6] pour ne pas le citer, qui est un des gros du marché, qui fait de l’estimation d’âge avec le visage, avec la prise d’une image du visage.

Delphine Sabattier : Reconnaissance faciale ?

Henri Grelet : Oui, exactement. On utilise donc aussi ça pour certaines de nos opérations. Yoti est déjà en place sur une partie de nos sites.

Delphine Sabattier : Là, ce qui est un peu différent, c’est que ces obligations s’imposaient aux sites français et aux sites en dehors de l’UE. Désormais, même les sites au sein de l’UE y sont confrontés. On a donc le groupe Aylo, derrière lequel on retrouve les grands sites que tout le monde connaît, YouPorn et Pornhub, qui disent que ces solutions, qui sont imposées aujourd’hui par la France, sont « inefficaces » et « dangereuses ». Dangereuses, nous disent-ils, pour la vie privée, mais aussi même pour la sécurité. Je voulais faire réagir les invités en plateau, déjà, sur ce point de vue. Monsieur cybersécurité, Jean-Noël de Galzain.

Jean-Noël de Galzain : En fait, les systèmes de protection existent déjà dans le jeu en ligne, ils existent dans la banque, il y a plein de choses qui existent. J’ai envie de dire, au moins comme c’est dit là, que c’est bien que l’industrie qui est concernée se saisisse du sujet. Aujourd’hui, on a tout un arsenal réglementaire pour regarder s’il y a bien une protection des données, si les systèmes sont en place. On est en train de mettre en place des réglementations pour amener les entreprises à s’équiper avec des produits. L’arsenal existe, les solutions existent.

Delphine Sabattier : Oui, mais ce qui est vrai, c’est qu’on va collecter quand même beaucoup plus de données personnelles.

Jean-Noël de Galzain : Oui, justement. Je pense que la dimension supplémentaire à mettre en place – et si les autorités préconisent quelque chose, elles doivent préconiser cela –, c’est d’utiliser des solutions qui sont des solutions européennes, qui sont par essence, par design, certifiées, on va dire créées, designées, selon nos règles, avec nos lois et avec une attention particulière sur les données. C’est-à-dire, pourquoi pas, des clouds européens, des clouds SecNumCloud [7], des clouds sécurisés, des clouds peut-être AI+ demain lorsque les réglementations européennes seront passées en ce sens. Bref ! Si on veut protéger les plus jeunes et protéger ces données-là, la réglementation la plus pointue au monde et les solutions les plus pointues au monde, ce sont les solutions européennes. Les solutions existent. Il n’y a qu’à aller voir chez Hexatrust, chez nos équivalents européens. Il y a plein de solutions industrielles pour ce faire.

Delphine Sabattier : Oui, mais il y a plein d’attaques aussi, on est dans un monde de grande insécurité. Ces groupes disent aussi que le plus efficace c’est, finalement, de faire la vérification directement depuis l’appareil. En fait, c’est le contrôle parental. Jean-Baptiste ?

Jean-Baptiste Kempf : On revient aux parents. Je suis un peu d’accord, en fait, sur le fait que le meilleur ce sont quand même les parents, mais je pense que tout cela est assez inefficace parce que le contenu se déplace. En fait, le contenu s’est déjà déplacé. On ne parle pas de Dorsel. Dorsel, effectivement, c’est du premium, il y a la partie carte bancaire et il y aura des trous, mais, grosso modo, ce n’est pas là où il y a maintenant la masse. La masse est sur les tubes et, en fait, elle s’est déjà déplacée. La bataille sur les tubes, désolé, c’est la bataille d’il y a 5-10 ans. Maintenant, il y en a beaucoup et surtout blog OnlyFans, qui n’est pas officiellement du contenu adulte, puisque c’est juste pour être fan, mais, en fait, 99 % du contenu sur OnlyFans c’est du contenu adulte, quand on continue, maintenant ce sont les chaînes Telegram. Qu’allez-vous faire ? Vous allez regarder les chaînes Telegram ?

Delphine Sabattier : Il y a des projets de loi pour ça aussi !

Jean-Baptiste Kempf : Bien sûr. Donc, qu’est-ce qu’on va faire ? Plus ça va, plus vous arrivez sur des endroits qui sont fringes, de plus en plus bizarres et, dans ces endroits de plus en plus bizarres, il y a du contenu de plus en plus, je vais dire, agressif. C’est cela qui me gêne plus. Il y a des solutions techniques, on légifère énormément. Je suis ravi que vous conseillez d’utiliser Scaleway et d’autres clouds.

Delphine Sabattier : Par exemple.

Jean-Baptiste Kempf : Par exemple et des solutions qui sont vraiment RGPD [Règlement général sur la protection des données], même s’il n’y a pas vraiment de vrais contrôles RGPD, mais c’est ce que vous conseillez. Aujourd’hui, c’est très difficile de se faire certifier, il n’y a pas une vraie certification. Aujourd’hui, pour moi, on n’y est pas au niveau sécurité. Il y a des solutions, mais elles sont très chères, surtout sur un business modèle, et c’est surtout inefficace parce que le contenu va se déplacer, il s’est déjà déplacé et, à chaque fois, ce sont des législations qui sont en retard. Plus ça va, plus on va arriver sur des endroits Zero Trust [8], full chiffrés et là, que faites-vous ?

Delphine Sabattier : Finalement, ça crée une concurrence déloyale d’avoir davantage d’obligations ? Vous le percevez comme ça ?

Henri Grelet : En soi, la concurrence existe depuis l’arrivée des tubes. Historiquement, le marché était régi par des services payants, du coup, tout le monde, encore une fois par nature du fait d’être payants, protégeait les mineurs. Les tubes ont vraiment renversé ce marché-là, comme le disait à l’instant Jean-Baptiste. Cette concurrence était déjà là. Nous allons continuer à faire les efforts, nous les faisons déjà depuis un bon moment. On va continuer à avancer avec ce qui nous est demandé aujourd’hui. En effet, on a un avis sur certaines dispositions qui sont mises en place dans ce référentiel technique [9] qui nous est proposé aujourd’hui. On ne peut pas être en accord avec tout, n’empêche qu’on va le faire et on va le mettre en place. En soi, on se bat plus par rapport à notre contenu. Notre contenu fait que c’est comme cela qu’on travaille la concurrence avec les moyens techniques pour arriver à notre contenu : quelqu’un qui ne veut pas payer déjà par nature, ce sera compliqué de l’avoir. Par contre, quelqu’un qui accepte de payer, de s’abonner pour accéder à nos services, là, en effet, des protections des mineurs seront mises en place et ce sera très bien comme ça.

Delphine Sabattier : Déjà, le groupe Aylo a-t-il une chance d’aboutir avec sa procédure contre l’arrêté interministériel qui impose ces dispositifs qu’il juge inefficaces ?

Éric Le Quellenec : Oui et non. Le meilleur argument à sa disposition, finalement, c’est ce qui s’était déjà passé avec l’avis circonstancié émis par la Commission européenne l’an dernier du fait, précisément, qu’on était sur un référentiel purement national qui portait atteinte, venait morceler le marché unique européen ; c’est au niveau de l’Arcom [Autorité de régulation de la communication audiovisuelle et numérique] que ce référentiel a été publié. Et là, on touche au totem de ce qu’est l’Union européenne. C’est donc, à mon avis, sur cet aspect-là, la distorsion de la concurrence entre les différents États de l’Union européenne, qu’il y a un vrai point de droit structurant. D’ailleurs on ne l’a pas dit, mais c’est par un arrêté que ces dernières mesures viennent d’être publiées.

Delphine Sabattier : Je l’ai dit, mais ce n’est pas grave !

Éric Le Quellenec : Je le redis plus précisément pour ceux qui ne l’auraient pas entendu. C’est vrai qu’à ce niveau-là, on peut s’étonner que ce ne soit pas passé par une loi, peut-être pour être moins visible.

Delphine Sabattier : Peut-être pour ne pas être en frontal avec l’Europe, justement, et les lois européennes.

Éric Le Quellenec : Tout à fait. On peut se le demander. Plus précisément, normalement toute mesure qui introduit des restrictions, justement, au sein du marché unique, devrait être notifiée à Bruxelles. Ce n’est pas vraiment ce qu’il en a été ici précisément. En tous les cas, on voit que c’est le vrai argument, sachant quand même, j’alerte tous les acteurs sur le marché français, que s’ils ne devaient pas respecter ces mesures, la sanction est déjà dans cette loi SREN, elle est terrible, c’est un an de prison, 250 000 euros d’amende et effectivement, sur qui ? Les hébergeurs qui n’auraient pas déréférencé, à la demande de l’Arcom, les sites ne respectant pas ces nouvelles prescriptions.

Delphine Sabattier : Ça crée quand même une distorsion de concurrence si ce texte ne s’applique qu’aux sites français ou extra-européens et pas au sein de l’Union européenne, quand même !

Henri Grelet : Oui, exactement. Mais, encore une fois, dans tous les cas, ça fait déjà partie de notre process. On va dire qu’on a déjà accepté cette mise en concurrence, on s’en est déjà fait, entre guillemets, « une raison », et on a fait en sorte d’en faire une force. On va essayer de continuer ce process-là. Encore une fois, c’est plus une question par rapport aux tubes sur lesquels là, en effet, il va y avoir des vraies disparités, parce qu’entre ceux qui vont peu agir et ceux qui ne vont pas agir, eux sont vraiment sur une concurrence beaucoup plus féroce par rapport spécifiquement à ce sujet-là.

Delphine Sabattier : Vous n’avez pas le même positionnement.

Henri Grelet : Exactement. Pour nous Dorsec, notre équipe, le fait qu’on soit payant et ainsi de suite fait qu’on l’a déjà acceptée. On sait que cette concurrence existe déjà par le fait qu’elle est gratuite. Donc, à partir de cet élément-là, ce n’est pas la concurrence qui nous gêne le plus.

Delphine Sabattier : Super. Bonne nouvelle.

Jean-Baptiste Kempf : En tout cas, le bon business aujourd’hui, ce sont les VPN [Réseau privé virtuel]. Je pense que NordVPN est ravie de ce genre de législation, parce que c’est très facile d’avoir des VPN. Ça va être contourné soit en ayant des contenus dans d’autres endroits, soit en utilisant des VPN qui vont sortir en extra-européen. C’est déjà ce qui se passe dans les pays où la pornographie est interdite, qui sont énormément consommateurs, justement, de contenus adultes et la consommation de VPN est énorme !

Éric Le Quellenec : Quant à nos jeunes, il faut les former : éducation sexuelle, éducation aux enjeux du numérique, ça reste une constante.

Delphine Sabattier : Absolument. Vous vouliez dire un mot de conclusion très rapidement ?

Henri Grelet : Oui. Juste pour dire qu’au final c’est le client qui va décider, c’est le visiteur qui va décider aussi quels sont les moyens qui vont être plébiscités. On peut mettre beaucoup de choses en place. En effet, nous allons avoir des contraintes techniques, probablement de coûts qui vont être liées à ça. Donc, finalement, ce n’est pas une histoire de concurrence, ce sont plus des coûts supplémentaires et des contraintes supplémentaires techniquement, mais au final, c’est le client qui va décider. Est-ce que ce sont les VPN ? Est-ce que ce sont des solutions plus simples que celles, en bout, d’anonymat ? À la fin, c’est le client qui décide et on est sur un marché global, c’est donc le client qui va décider.

Delphine Sabattier : Merci beaucoup, Henri Grelet, d’avoir commenté avec nous cette actualité. Je rappelle que vous êtes directeur des opérations du groupe Dorcel. Merci encore.

Henri Grelet : Merci à vous de m’avoir invité.

Delphine Sabattier : Nous continuons avec nos autres sujets.
Je voulais vous faire réagir sur l’administration américaine qui aurait décidé de suspendre des opérations cyber contre la Russie, contre les acteurs russes. Il y aurait eu une décision du secrétaire d’État américain à la Défense. C’est une info sortie par The Record, qui n’a pas été confirmée, d’ailleurs il y a même eu un démenti disant que la CISA [Cybersecurity and Infrastructure Security Agency], l’équivalent de l’ANSSI [Agence nationale de la sécurité des systèmes d’information] en France, restait engagée sur ces sujets de surveillance cyber contre la Russie, mais on voit bien, quand même, qu’il y a un déplacement, du point de vue des États-Unis, de la menace de la Russie vers, plutôt, la Chine, l’Iran. L’Europe dans tout ça ? La France dans tout ça ? Est-ce que c’est déstabilisant, quand on voit ce type d’information arriver pour la protection cyber ? Jean-Noël ?

Jean-Noël de Galzain : Je ne pense pas. Je pense que la diplomatie américaine est simplement plus rapide aujourd’hui, plus agile et c’est cela que Trump veut montrer. Il veut peser sur les conflits, il a dit « je veux arrêter les conflits », il arrive au pouvoir et il le fait. Donc déjà, première chose.

Delphine Sabattier : Heu ! Il le fait ! Il l’annonce.

Jean-Noël de Galzain : En tout les cas, il essaye, par tous les moyens et, on va dire, d’une manière peu conventionnelle, à laquelle on n’est pas habitué, en tous les cas dans nos pays où les choses se font souvent très lentement, disons-le. Je pense que ce n’est pas une question de cybersécurité, c’est, plus largement, une question de tactique diplomatique et de diplomatie de la part des Américains. En revanche, ça pose des questions. Par ailleurs, les tensions existent, la menace cyber est élevée, elle s’est élevée sur un pic lorsqu’il y a eu les JO, en 2024, et là, maintenant, elle n’est pas tellement retombée, c’est-à-dire qu’il y a une pression forte, il y a des risques de déstabilisation quand on est dans une période de pré-guerre ou de préparation à la guerre dans laquelle on est rentré, c’est quand même ça l’actualité. Il va donc falloir s’habituer à ce genre de situation de tensions ou de rapports de force. Après, le rapport de force se fait maintenant dans le cyber. C’est intéressant. Je me souviens qu’en son temps, le ministre Le Drian disait : « Le cyber, c’est la quatrième arme ». Donc ça y est, on rentre effectivement dans un monde où, d’un seul coup, la cyberdéfense va prendre une importance, le renseignement, la manière dont on peut s’en servir comme une arme offensive et défensive, le défensif étant indispensable pour nous tous.
Après, je pense que cela pose la question de notre position en tant que commentateur, client, utilisateur de produits américains numériques ou alors notre autonomie. C’est donc, finalement, une question de fond. Ce que fait Trump et les décisions qui sont prises aux États-Unis mettent en évidence notre manque d’autonomie européenne sur ces sujets. Je crois que le sujet de fond est là et que ça doit nous encourager. Dans la période actuelle, on va passer nos PIB à des PIB de guerre dans lesquels on va investir sur des moyens de défense. Les moyens de défense, ce n’est pas que des armes. Les moyens de défense c’est aussi la santé, ce sont les transports, c’est l’énergie, ce sont nos moyens de communication, ce sont beaucoup de choses. Je pense donc qu’il faut profiter de cet effort de préparation à la guerre et des investissements qui vont avoir lieu avec de vraies stratégies industrielles pour reprendre une forme d’autonomie numérique.

Delphine Sabattier : Si je regarde le panorama de la menace cyber publié par l’ANSSI [10], l’Agence nationale de sécurité et des systèmes d’information, elle dit que là où elle a été le plus mobilisée c’est sur des attaques de type espionnage, principalement liées à la Russie. J’entends bien l’argument de l’indépendance technologique, on voit maintenant comment l’Europe se mobilise et prend conscience de sa forte dépendance américaine, mais même les acteurs français, aujourd’hui, sont confrontés à des attaques, au risque d’espionnage, etc. Comment, aujourd’hui, fait-on face à cette menace dont le président Emmanuel Macron nous dit qu’« elle est là » et que « ne rien faire serait de la folie » ?

Jean-Baptiste Kempf : En fait, je suis un peu d’accord. Le problème, c’est que les Européens, globalement, sont d’une naïveté assez hallucinante et ça a été global. D’ailleurs, ce n’est pas juste sur la tech et le cyberespionnage, c’est global. Et là, on le voit, ça nous arrive en pleine tête parce qu’on a une accélération de l’histoire en, allez, deux mois. On parle d’économie de pré-guerre. On est sur un plateau de télé, on parle d’économie de pré-guerre, ce sont quand même des mots très forts et, en fait, c’est ce qui va nous arriver. Il faut se le dire. Le président Macron est arrivé, en a parlé, c’était la première fois et, tout d’un coup, il a dit « il faut mettre cinq points de PIB là-dedans », on n’est pas prêts. Il y a beaucoup de cyberattaques et il y a beaucoup de cyberattaques qui sont douces. Et là, il y a un vrai problème : ce n’est pas dans le mandat de l’ANSSI d’être contre les bots russes, parce que, en fait, il y a des armées russes de désinformation, on l’a vu depuis les élections d’Obama, puis de Trump la première fois, Cambridge Analytica [11], etc., en Europe, on a vu ce qui s’est passé en Roumanie, etc.

Delphine Sabattier : On a quand même VIGINUM [12], en France, qui travaille dessus.

Jean-Baptiste Kempf : Mais qui n’a pas la puissance de l’ANSSI, ce qui pose problème. Le panorama de l’ANSSI c’est de s’occuper de piratage, de DDoS, mais la partie vraiment désinformation n’est pas son scope, c’est peut-être le scope de l’Arcom ou peut-être celui de l’Arcep [Autorité de régulation des communications électroniques, des postes et de la distribution de la presse], ce n’est pas très clair. Et en tout cas, nous sommes d’une naïveté ! Il faut vraiment se muscler et il va falloir utiliser, selon moi, aussi de l’offensive là-dessus, c’est-à-dire de la contre-propagande et on n’y est vraiment pas prêts, malheureusement. Il faut faire du fact-checking de masse sur les réseaux sociaux notamment, sur Facebook, sur Twitter/X, c’est vraiment important et ça sort du côté classique de la sécurité : les entreprises de sécurité, c’est du pentest, c’est de l’anti-DDoS, etc., mais là, on est un peu, j’ai envie de dire, sur de la cybersécurité molle, c’est-à-dire que c’est moins clair. Et c’est là où on est vraiment pas prêts.

Jean-Noël de Galzain : C’est de la surveillance.

Delphine Sabattier : Et l’ANSSI a d’ailleurs volontairement décidé de ne pas s’emparer de ce sujet-là, avec la création de VIGINUM pour s’emparer de ce sujet. Donc vous, vous nous dites qu’il faudrait…

Jean-Noël de Galzain : On a quand même la DGSI [Direction Générale de la Sécurité Intérieure], qui utilise d’ailleurs des technologies qui ne sont pas toujours très européennes, puisqu’on a dit que le choix, à un moment donné, avait été fait de partir sur Palantir, donc on utilise les mêmes outils. On vient de voir qu’il y a quand même eu un projet de loi sur le cyberespionnage, où on a expliqué qu’il fallait ouvrir des backdoors pour aller regarder. Donc non ! Je pense qu’il faut faire très attention à ce que veut dire naïveté. S’il s’agit, de l’autre côté, de permettre de tout ouvrir par des gens, comme on le fait ailleurs, est-ce que c’est réellement la société que nous voulons ? Je n’en sais rien.

Delphine Sabattier : Pour être claire, c’est-à-dire que si on est trop parano, on risque de faire passer des lois liberticides. C’est ça ?

Jean-Baptiste Kempf : Complètement.

Jean-Noël de Galzain : Clairement. Des lois liberticides sur des sujets technologiques. Je reviens là-dessus, nous sommes des challengers technologiques. Il n’y a pas si longtemps que ça sur une chaîne concurrente, comme on dit, Nicolas Dufourcq [Directeur général de Bpifrance] a expliqué, je vous encourage à aller voir la vidéo sur Internet, c’est extraordinaire quand même, il a dit : « Nous ne possédons plus notre numérique. » Ça veut dire que soit on est condamné à commenter ou à pondre des lois défensives sur tous les sujets et c’est là où je vous rejoins. Pour moi, l’offensive, c’est aussi investir. Contrairement, justement, à ce que disait Nicolas Dufourcq, « il faut qu’on abandonne l’investissement sur le cloud », moi je pense qu’il faut mettre le paquet sur le cloud. Il faut mettre le paquet sur les nouvelles technologies et il faut reprendre nos avantages là où on peut les reprendre.

Delphine Sabattier : Il faut arrêter de dire que c’est une bataille perdue.

Jean-Noël de Galzain : Exactement.

Jean-Baptiste Kempf : Il faut faire preuve de patriotisme économique, qui est un gros mot. Patriotisme, au secours !, ça ne doit pas être un gros mot. Ça veut dire qu’il faut arrêter de sortir le PIB français pour l’exporter. Il faut le réinjecter dans l’économie française. L’État français et les grandes boîtes françaises du CAC 40 sont les premières à être biberonnées aux technologies américaines ou chinoises parce que ça coûte moins cher, sauf que le risque arrive, là.

Delphine Sabattier : Le risque, c’est de dépendre de leurs décisions géopolitiques.

Jean-Baptiste Kempf : Mais, surtout, ça va coûter plus cher ! Quand on aura des catastrophes majeures, ça va nous coûter très cher.

Jean-Noël de Galzain : On va revenir sur le sujet, parce qu’on n’a pas parlé des droits de douane, s’il y a demain des droits de douane ! Nicolas Dufourcq a aussi dit « les services digitaux américains, c’est 120 milliards par an. » Vous prenez Uber, vous ajoutez tout ça, 120 milliards. Je voudrais aussi connaître un chiffre qu’on ne connaît pas : sur ces 120 milliards, combien y a-t-il de prestations sociales ? Combien paye-t-on pour les retraites ? Combien paye-t-on pour l’assurance chômage ? Combien paye-t-on pour le système social de manière générale ? Si on continue cette gabegie et cette dépendance, comment va-t-on préserver ?, donc nos lois, etc., et comment est-ce qu’on permettra, on vous permettra de nous défendre [Se tournant vers Éric Le Quellenec, NdT] ? Est-ce qu’on va continuer uniquement à investir dans le droit à se défendre et à laisser partir tout cet argent ? Je crois qu’il faut qu’on sorte de la naïveté.

Delphine Sabattier : Parce qu’aujourd’hui, effectivement, l’arme principale, c’est le droit.

Éric Le Quellenec : Oui. La nature de la menace, la guerre hybride pratiquée par la Russie, franchement ça fait des années. Avant même le Covid, nous avions déjà un texte européen, le Cyber Solidarity Act, qui est venu mettre en place, justement, un réseau de cyberdéfense avec à sa tête l’ENISA [Agence de l’Union européenne pour la cybersécurité]. On pourrait regretter que l’ENISA ne soit pas une entité fédérale, ce qui m’amène, finalement, sur le sujet de fond : est-ce qu’on veut avoir une Europe puissance ? On voit, ces toutes dernières semaines, qu’il y aurait un changement de paradigme sur la défense européenne, ça prend forcément du temps et il faut aussi une adhésion démocratique, mais je pense qu’on y vient. En tous les cas, on a déjà un cadre qui existe, qui va être renforcé aussi avec le Cyber Resilience Act et également tous les autres textes dont on doit aussi parler, qui fait qu’on va être prêts. Il s’agit, finalement, d’avoir cette impulsion politique et, surtout, de mettre les moyens,

Delphine Sabattier : Ça, des textes, on en a ! On a même un texte en cours sur la résilience des infrastructures et le renforcement de la cybersécurité, qui est, en fait, une transposition de trois autres textes, NIS 2 [Network and Information Security], DORA [Digital Operational Resilience Act] et REC [Résilience des entités critiques]. Est-ce que c’est une bonne arme ? Estimez-vous que c’est une bonne arme, aujourd’hui, dans le contexte qu’on vient de décrire ?

Éric Le Quellenec : Ce sont des touches juridiques successives pour renforcer la responsabilité de tous les acteurs, à tous les niveaux. On parlait aussi des attaques par chaîne d’approvisionnement. On a évidemment la nécessité qu’enfin les prestataires prennent, à tout point de vue, leurs responsabilités. Je pense notamment à DORA, il y a une responsabilité du third party provider, comme on le dit dans ce texte, et, à partir de là, le client doit aussi auditer ses prestataires, ce qui est encore trop peu souvent fait.

Delphine Sabattier : Dans NIS 2 aussi, il y a cette notion de responsabilité.

Éric Le Quellenec : Dans NIS 2 et DORA, absolument, mais les sanctions sont quand même beaucoup plus fortes et sous le contrôle de régulateurs financiers dans DORA, ce qui fait que là, franchement, tout le monde – les banques, assurances, sociétés de gestion et j’en passe – s’est mis en ordre de bataille. Sur NIS 2, c’est poussif, on est en retard, malheureusement, ça n’est encore qu’une directive, contrairement à DORA qui est un règlement, donc d’application immédiate. Et typiquement, je suis un peu moins optimiste, on va dire, sur la mise en œuvre de NIS 2, qui prendra plus de temps.

Delphine Sabattier : En même temps, ça fait quand même beaucoup de poids sur les épaules des entreprises que vous appelez à grandir, à nous donner cette souveraineté, cette indépendance !

Jean-Baptiste Kempf : Pas forcément si vous l’avez bien fait. Par exemple, chez Scaleway, notre objectif, c’est de faire un vrai cloud provider. On le fait dans une approche que j’appelle vraiment souveraine, c’est-à-dire pas le but d’avoir le SecNumCloud, etc., c’est : je contrôle tout le code que je compile. Chez nous, on recompile tout. C’est-à-dire que je n’ai que de l’open source ou que du code développé in house. Je n’ai aucune solution, je n’ai pas de VMware, je n’ai pas de Broadcom, je n’ai pas de Qualcomm, je recompile tout chez moi en sécurité. À ce moment-là, je peux donc faire un audit complet de toute ma supply chain et c’est la bonne façon de faire. Malheureusement, enfin heureusement pour moi, mes concurrents, même européens, ne sont pas allés vraiment au bout du sujet comme nous.

Delphine Sabattier : En fait, l’open source, c’est la solution reine, aujourd’hui, pour avoir cette indépendance, quand on a une transparence totale sur tout ce qui se passe, sur les flux des données ?

Jean-Baptiste Kempf : En tant qu’éditeur, c’est nécessaire de contrôler tout le code, ça c’est sûr. En interne, ça ne veut pas dire forcément que c’est open source vis-à-vis de l’extérieur. Ça veut dire que vous ne pouvez pas, maintenant, arriver en disant « je prends du code extérieur et je fais confiance. » Il y a notamment quelques cloud providers qui se lancent en Europe, qui sont, grosso modo, soit de l’AWS, soit du GCP [Google Cloud Platform], soit de l’Azure, déployé parce que c’est sur un datacenter français. C’est une gabegie totale, parce que, évidemment, vous n’avez aucune idée de ce qui se passe dans le code.

Jean-Noël de Galzain : C’est la stratégie « Cloud au centre ».

Jean-Baptiste Kempf : Bien sûr. C’est une stratégie qui ne va pas fonctionner. D’abord, vous n’aurez pas accès à tout le code, il y en a tellement qui arrive !, et surtout, vous ne pourrez jamais auditer ce qui se passe et maintenir.

Delphine Sabattier : Maintenir. On est dépendant des mises à jour.

Jean-Baptiste Kempf : Oui, les mises à jour, mais vous ne pouvez pas à éditer des millions et des millions de lignes de code.

Jean-Noël de Galzain : Le run, à force, c’est ce qu’il y a de plus cher industriellement.

Jean-Baptiste Kempf : Bien sûr. Ça, c’est sûr. Les gens oublient, en fait. C’est d’ailleurs pour ça qu’il y a eu un vrai move to cloud qui a mis 25 ans. En fait, on s’est rendu compte que ce qui coûtait, finalement, ce n’était pas trop l’achat de machines, c’était juste de faire tourner. C’est-à-dire que l’investissement, le capex de machines, de serveurs, coûte de l’argent, mais, en fait, c’est relativement moins cher que c’était il y a 40 ans et c’est pour cela que tout le monde est parti dans le cloud. Le run, les opex sont beaucoup plus importantes dès 4 ou 5 ans et les gens oublient ça. Maintenant, quand vous avez des mises à jour monstrueuses, vous n’allez pas pouvoir les auditer et ça va vous coûter très cher. Donc, qu’allez-vous faire ? Vous n’allez pas le faire !

Delphine Sabattier : Eh bien voilà. Merci beaucoup. Mot de la fin. Je suis désolée, on arrive à la fin de ce debrief.
Jean-Baptiste Kempf, de Scaleway, était avec nous, Jean-Noël de Galzain de Wallix et Éric Le Quellenec de Flichy Grangé. Merci beaucoup.