Delphine Sabattier : Le grand invité de Smart Tech aujourd’hui s’appelle Guillaume Poupard. Bonjour, Guillaume.
Guillaume Poupard : Bonjour.
Delphine Sabattier : Vous êtes le directeur général adjoint de Docaposte [1], filiale numérique du groupe La Poste, qui a l’ambition de devenir ce grand référent sur les services de confiance et de sécurité numérique en France et en Europe. Vous êtes aussi l’ancien directeur général de l’ANSSI, l’Agence nationale de sécurité des systèmes d’information. Vous êtes aussi pour moi, à ce titre, le maître d’œuvre du SecNumCloud [2] qui doit apporter, pour le coup, la confiance dans le domaine du cloud, confiance qui repose sur des critères notamment de souveraineté, de maîtrise technologique au niveau national et ces critères ne sont pas forcément tous repris dans la version européenne. Vous avez dénoncé une certification européenne pour ces services cloud, qui s’appelle l’EUCS [European Cybersecurity Certification Scheme for Cloud Services], pour faire court, porteuse de vassalité numérique. Vous avez annoncé des jours plus sombres pour l’Europe numérique. Est-ce que c’est toujours, aujourd’hui, votre point de vue, Guillaume ?
Guillaume Poupard : Les mots sont forts, mais, en même temps, les enjeux le sont également. On a absolument besoin, pour des usages qui nécessitent vraiment une protection maximale des données et des process,je ne parle pas pour tout, surtout pas, mais pour les données très sensibles, les données de santé, les données bancaires, des choses comme ça, on a besoin d’avoir de vraies assurances sur le niveau de sécurité de ces données. Pour ce niveau d’assurance, il faut de la sécurité technique notamment dans le cloud, il faut que ce soit bien fait, à tous points de vue, au niveau technique, au niveau opérationnel, mais également au niveau juridique.
Les offres américaines ont plein de vertus, mais, d’un point de vue juridique – et ça n’a rien à voir avec l’élection américaine, c’est vraiment comme cela que fonctionnent les États-Unis –, le droit américain est très intrusif, ce qui fait que si vos données sont stockées sur un cloud américain, il y a des tas de gens qui peuvent y accéder. Peut-être que ce n’est pas grave dans 90 % des cas, mais, pour les 10 % restant, il faut être capable de faire autrement. Et, pour être capable d’attester le niveau de sécurité, eh bien il faut des labels. En tant que client, je ne sais pas vérifier si untel ou untel est soumis ou pas au droit américain, s’il fait bien la sécurité.
Delphine Sabattier : C’est contractuel. Un peu contractualisé.
Guillaume Poupard : Oui. Déjà, il faut lire les contrats, il faut les comprendre, et puis, souvent, on subit les contrats dans le domaine du cloud, parce qu’il y a une disproportion entre la taille des clients et la taille des offreurs. Il faut des labels. SecNumCloud est un label français qui visait, justement, à dire : on veut le meilleur niveau de sécurité technique, opérationnelle et juridique.
EUCS, c’est une démarche de la Commission européenne et la France, depuis le départ, est pour, il ne faudrait pas que mes mots soient mal interprétés, mais on considère qu’il y a différents niveaux de sécurité et, au niveau le plus élevé, il faut que la sécurité juridique soit intégrée. Certains parlent de critères de souveraineté, je parle plutôt de critères de sécurité juridique, l’idée étant que des données dans un cloud doivent être protégées au plus haut niveau, au sens où seul le droit européen doit pouvoir s’appliquer.
Delphine Sabattier : Est-ce que ça veut dire que ça menace, finalement, la survie ou l’utilité même du SecNumCloud si l’EUCS est adoptée telle qu’elle est aujourd’hui ?
Guillaume Poupard : C’est un débat. La priorité reste au fait de pouvoir disposer d’un niveau de certification de niveau élevé – EUCS +, on l’appelle comme on veut –, qui intègre la sécurité juridique. Si ce n’est pas le cas, malheureusement, si l’Europe n’arrive pas à se mettre d’accord là-dessus, on ne sait pas, je ne veux pas du tout anticiper sur l’issue, parce que ce n’est pas du tout joué et peut-être que l’élection américaine va voir un petit impact. Je ne sais pas. Ça va avoir un impact, mais dans quel sens, je ne sais pas dire, c’est compliqué. Mais de fait, si jamais il n’y a pas ce niveau de protection maximal à l’échelle européenne, est-ce que l’on garde ou pas, SecNumCloud en France ? Ce n’est pas une bonne nouvelle.
Delphine Sabattier : Sachant que ça représente des investissements colossaux. J’ai reçu pas mal d’entreprises, d’opérateurs de cloud français, qui m’ont parlé de deux ans d’investissement ! C’est beaucoup de temps, beaucoup d’argent, beaucoup de compétences.
Guillaume Poupard : Oui, ça représente, peut-être, des millions pour certains là où l’investissement dans le cloud, côté américain, se compte en milliards, pour relativiser, c’est vraiment un sujet très complexe. Mais de fait, si jamais l’EUCS n’atteint pas le niveau de sécurité qu’on souhaite, est-ce que l’on garde, ou pas, SecNumCloud, c’est un débat que je ne vais pas faire ici, je n’en ai pas le pouvoir.
Ce que prévoit le droit européen, de manière très légitime, c’est que quand il y a un schéma de certification européen comparable à un schéma national, le schéma national doit disparaître, parce que, autrement, ça ne sert à rien de faire des trucs au niveau européen.
Maintenant, s’il n’est pas du même niveau, pourquoi le faire disparaître ?
J’insiste sur le fait que ce n’est pas une bonne nouvelle, parce que ça veut dire qu’on va continuer à faire des choses en franco-français avec un périmètre qui n’est pas le périmètre européen, ça a moins de sens économique, ça sera plus compliqué, pour les acteurs industriels, de faire ça, ce sera moins rentable, soyons clairs. Donc, c’est un peu dommage. Il faut se battre !
Delphine Sabattier : Il faut continuer à se bagarrer sur ce critère.
Là où je suis peut-être un petit peu moins optimiste, c’est que j’ai lu la petite déclaration d’Ursula von der Leyen quand elle a appris la victoire de Donald Trump. Elle a rappelé que l’Union européenne et les États-Unis sont plus que de simples alliés. Elle demande à ce qu’on travaille ensemble sur un programme transatlantique fort. On se dit que là elle essaie plutôt de resserrer les rangs entre l’Europe et les États-Unis. Ce n’est pas votre interprétation.
Guillaume Poupard : Ce sont des alliés très forts. On a absolument besoin des Américains et je ne veux pas sortir de mon champ, mais, dans le secteur de la défense, dans plein de domaines, on a besoin de cette entente avec les Américains. Et pour autant, être allié ça ne veut pas forcément dire être vassal. C’est là où il y a un véritable équilibre à trouver et l’Europe en a conscience, je n’ai aucun doute là-dessus. Ce qui est important, c’est de bien comprendre que le sujet de la donnée, le sujet du numérique, c’est également un sujet de pouvoir, c’est un sujet de force. Si l’Europe se dit « je vais plutôt privilégier l’énergie, plutôt privilégier la défense, plutôt privilégier l’automobile – je dis n’importe quoi –, le champagne » en se disant finalement, ce numérique, c’est un peu flou, ce serait une très grosse erreur. Ce n’est pas parce que c’est potentiellement plus compliqué d’accès, notamment pour des acteurs politiques, qu’il faut dé-prioriser ces questions numériques. Au contraire, je pense que la puissance de demain s’appuiera énormément sur la capacité à être autonomes dans le domaine du numérique.
Delphine Sabattier : Est-ce qu’on a des offres cloud françaises, même européennes, du niveau ?
Guillaume Poupard : Oui. La réponse est oui.
Delphine Sabattier : Elle n’a pas toujours été oui, quand même, Guillaume Poupard.
Guillaume Poupard : La réponse est oui et je vais nuancer derrière.
Aujourd’hui, les utilisateurs du cloud, les clients, qui sont dans une logique de « je choisis un prestataire, je lui file tout et je fais ça pendant dix ans » déchantent pour des raisons évidentes : une relation disproportionnée s’installe et, si vous faites ça, comme par hasard, tous les trois ans, vous avez une augmentation de la facture qui est monstrueuse et quelles que soient les bonnes intentions et les bons discours, c’est impossible à empêcher.
Donc, pour des raisons financières, pas des questions de sécurité ou de souveraineté, il faut avoir aujourd’hui une stratégie multi-cloud. Il faut prendre plusieurs fournisseurs, il faut faire jouer la concurrence. Les clients – publics ou privés d’ailleurs, c’est très vrai dans le privé – sont condamnés, quelque part, à devoir gérer plusieurs prestataires. Et quitte à gérer plusieurs prestataires, autant ajouter des clouders français, européens et, dans ces clouds-là, mettre les données qui sont particulièrement sensibles. La stratégie, qu’on qualifie parfois d’hybride, est obligatoire aujourd’hui pour des raisons financières, profitons-en pour en faire également une stratégie de sécurité.
Delphine Sabattier : Vous dites ça parce qu’il y a NumSpot [3] dans le scop de Docaposte aujourd’hui ?
Guillaume Poupard : Il y a NumSpot, Outscale [4], OVHcloud [5], Scaleway [6], Cloud Temple [7], je peux vous en citer pas mal. Il y a dix ans, je n’aurais pas dit ça, parce que ça aurait été plus compliqué, objectivement. Aujourd’hui, il y a de vraies offres, qui sont des offres de qualité, qui sont des offres différentes, complémentaires. Ce ne sont pas des offres qui ont pour vocation de virer les hyperscalers, ce serait complètement absurde et ce serait même dangereux, probablement, d’un point de vue économique. Dans une logique de complémentarité, ça demande un petit effort d’architecture, mais ça se fait très bien. Je vais mettre mes données financières sur du NumSpot. Je vais mettre mes données de santé sur NumSpot, ou sur d’autres, mais, évidemment, j’ai un petit biais pour du NumSpot. Par contre, sur d’autres sujets, je vais les mettre sur les clouds Azure, Amazon, Google, ce n’est pas grave. Ce qu’il faut c’est assumer une vraie stratégie, avoir une vraie stratégie et se remettre en position de maîtriser les choses. Et si on fait ça, objectivement tout le monde est content. C’est une petite partie dont on parle. C’est 5 %, c’est 10 % peut-être, des grosses miettes, mais ça reste des miettes. Je pense que notre sécurité est à ce prix-là.
Delphine Sabattier : Vous avez évoqué, par exemple, les données de santé en disant que c’était des données stratégiques, sensibles, qu’on doit savoir bien protéger. Aujourd’hui, le Health Data Hub [8] reste encore sous un cloud américain et à l’époque je crois que vous en parliez très clairement, vous disiez « on n’a pas d’offre équivalente. Aujourd’hui, on n’est pas capable de répondre à cette demande ». Aujourd’hui, on le serait ?
Guillaume Poupard : Oui. Des études ont été faites encore récemment par des services de l’État. Des gens sont allés voir dans le détail et disent qu’il y a encore des petits trucs à développer, qu’il reste les derniers mètres à faire, qui ont été faits depuis, très probablement.
Delphine Sabattier : Le dossier a été révisé, mais il n’y a pas eu de nouvelle décision prise !
Guillaume Poupard : Oui. C’est intéressant de lire dans le détail, l’avis de la CNIL [9] mérite d’être lu. C’est assez étonnant, c’est rare de voir une autorisation avec aussi peu d’entrain, mais parce que c’est très bien justifié derrière, c’est très bien expliqué. Je pense qu’à un moment il faut vraiment se dire « OK, est-ce qu’on est prêt, ou pas, à faire ce portage ? ». La vraie question qui est derrière, ce n’est pas tant le portage. Aujourd’hui, la portabilité d’un cloud à l’autre, c’est une arnaque. Porter un système comme le Health Data Hub, ça revient à le redévelopper et, surtout dans le contexte budgétaire actuel, je comprends qu’il y ait évidemment une certaine réticence à redévelopper des choses alors que ça fonctionne, au moins en théorie aujourd’hui.
Delphine Sabattier : Et puis, on n’a pas besoin du label SecNumCloud pour héberger les données de santé aujourd’hui.
Guillaume Poupard : Non, mais c’est quand même une bonne pratique. À terme, ce sera une bonne pratique. C’est vrai qu’il y a un autre référentiel.
Delphine Sabattier : Chez NumSpot, en tout cas, on milite pour ne plus faire que du HDS [10] , vraiment de l’hébergement de données de santé, mais vraiment imposer un label SecNumCloud.
Guillaume Poupard : Il y a les deux, mais on pense que le label chapeau est dur à atteindre, je ne veux pas dire le contraire. Mais, une fois qu’on l’a atteint, il coûte pas un peu plus cher à faire tourner, mais pas tant que ça. Donc autant harmoniser par le haut, ce qui fait vraiment sens une fois que les solutions sont prêtes. Les données de santé iraient très bien là-dedans, les données de l’éducation, c’est un autre exemple.
Delphine Sabattier : Est-ce que les données de l’éducation sont des données sensibles ?
Guillaume Poupard : On pense que oui. Je suis juge et partie parce que, chez nous, on a Pronote, que beaucoup de gens connaissent. Quand on est parent, on voit la sensibilité de ces données. Ce qui est dans Pronote, c’est quand même très personnel, c’est très intime. Comme on opère Pronote, on s’est dit qu’on n’allait pas aller mettre ça sur un cloud d’un hyperscaler, peut-être que ce ça nous coûterait moins cher à faire tourner, et encore ! Nous avons donc développé notre propre cloud dédié pour Pronote qui est qualifié SecNumCloud aujourd’hui, qui a le meilleur niveau de sécurité, il n’y a que Pronote qui tourne dessus, donc, vraiment, on assure une totale isolation et ça fonctionne. Je ne sais pas si les gens sont contents ou pas.
Delphine Sabattier : Pronote et EDT aussi, le logiciel d’emplois du temps ?
Guillaume Poupard : Exactement. Qui est moins connu parce que c’est un logiciel qui est utilisé par les établissements scolaires. EDT est très apprécié par les chefs d’établissement parce que c’est ce qui fait qu’ils ne passent pas leur mois d’août à faire les emplois du temps. C’est fait de manière automatique, par de l’IA, de manière très évidente quelque part, et c’est protégé, évidemment, par du SecNumCloud.
On pense que cette démarche SecNumCloud, qui a parfois été vue comme étant trop complexe, c’est, en fait, vraiment l’avenir proche et de plus en plus, on voit que beaucoup de gens y vont, d’où cette déception si ça ne passe pas à l’échelle européenne, parce que ce qui marche en France doit marcher en Europe, fondamentalement.
Delphine Sabattier : Je voulais vous parler aussi des nouvelles menaces. Vous venez de l’ANSSI où vous avez passé quand même de nombreuses années. Quelles sont, selon vous, les principales nouvelles menaces aujourd’hui ? Je sais que du côté de Docaposte vous avez sorti une offre dédiée aux PME [11]. Est-ce que c’est là, aujourd’hui, vraiment le gros maillon faible, selon vous, en matière de cybersécurité, par exemple ?
Guillaume Poupard : La menace au sens technique, opérationnel, n’évolue pas si vite que ça. On a de l’espionnage, ça continue, les États s’espionnent entre eux, c’est comme ça. On a des risques de niveau quasi militaire. Aujourd’hui, les gens font la guerre dans l’espace numérique, c’est moins visuel, ça fait moins d’images que la guerre classique avec des bombes et des trucs horribles, mais c’est vraiment ça aujourd’hui ; dans tous les conflits, il y a un pendant numérique qui est très fort. Et puis, il y a ce risque criminel qui peut toucher les gros comme les petits – les gros, c’est péjoratif. Les grandes entreprises, les grandes administrations se sont adaptées, se protègent aujourd’hui. On parle beaucoup moins de rançongiciels chez des grandes victimes, parce que, simplement, les gens sont mis à se protéger. Pour les plus petits, c’est beaucoup plus complexe parce qu’ils ne sont pas experts, ils ont du mal à mettre les moyens. Et les petits ce sont des PME, ce sont des collectivités locales, ce sont des établissements de santé.
Delphine Sabattier : Quel est leur problème ? Ce ne sont pas tellement les offres disponibles sur le marché, c’est le budget à y consacrer.
Guillaume Poupard : Non, ce sont les offres, parce que c’est très compliqué d’acheter de la cyber aujourd’hui. Essayez. Allez voir l’offre. Elle n’est plus théorique, c’est génial, mais c’est impossible de s’y retrouver quand on n’est pas expert. Ce qu’on fait – d’ailleurs nous ne sommes pas les seuls à le faire –, on prend la techno, on va l’assembler, l’intégrer, on va cacher toute la technique, tout ce qui est expertise, et on va dire aux gens « voilà, vous voulez vous sécuriser, vous allez consommer de la sécurité – c’est très moche comme terme, mais c’est vraiment ça l’idée –, vous vous abonnez, vous payez, et pour tant d’euros par mois et par poste, vous avez de la sauvegarde, vous avez de l’identification, vous avez du filtrage de mails », tout ce qu’il faut pour faire une belle sécurité, sans avoir à comprendre comment marche la sauvegarde, comment marche un EDR [Endpoint Detection and Response]. On laisse tout ce jargon technique de côté, et quelqu’un qui ne veut pas aller voir les rapports, même ne pas savoir s’il a été attaqué ou pas, s’il y a eu des tentatives d’attaque ou pas, il n’est pas obligé d’aller voir.
Il faut, il faut cibler ce segment-là, parce que c’est là où aujourd’hui, massivement, on a énormément de victimes, avec des conséquences qui peuvent être dramatiques.
Delphine Sabattier : Et les fuites de données ? On a encore l’exemple de fuites de données chez Free. On se demande comment on peut faire pour arrêter, stopper cette hémorragie. Il y a des moyens ? Il y a des outils ?
Guillaume Poupard : Il y a deux choses essentielles.
D’abord, il faut que les gens qui détiennent les données soient encore plus sérieux dans la protection de ces données, parce que qui dit fuite dit, quelque part, qu’il y a eu des erreurs faites. C’est trop facile de tirer sur l’ambulance, ce n’est certainement pas ce que je ferais, j’ai plutôt beaucoup de compassion pour les équipes sécurité des boîtes qui sont touchées comme ça. Nonobstant, la cible a pas été atteinte en termes d’objectifs. C’est la première chose et, de l’autre, il faut former les gens. Est-ce que c’est grave d’avoir son adresse, son téléphone, son mail, son IBAN dans la nature ?
Delphine Sabattier : Ça commence à faire beaucoup !
Guillaume Poupard : Ça commence à faire beaucoup et, statistiquement aujourd’hui, dans leur immense majorité, les Français ont toutes ces données dans la nature, sans le savoir. Ce sont des données qui sont quasi publiques, on pourrait discuter, mais quasi publiques. Le problème, c’est qu’un attaquant, qui connaît tout ça de vous, peut monter des escroqueries qui sont extrêmement efficaces. Je vous appelle, je me fais passer pour votre banquier, je connais votre IBAN, je connais votre nom, je connais votre adresse, je connais…, vous allez finir par penser que je suis vraiment votre banquier et peut-être que vous allez faire l’action que je vais vous demander de faire. Donc, il faut former : « Attention, ce n’est pas normal ! Votre banquier qui vous appelle comme ça, ça ne devrait pas se produire. »
Delphine Sabattier : Sensibiliser.
Guillaume Poupard : Exactement, c’est la base et il faut apprendre cette hygiène numérique. On n’y est pas encore.
Delphine Sabattier : On va passer à l’interview express. Je vais vous poser des questions très binaires, est-ce que vous pourriez répondre très rapidement, qu’on arrive au bout.
Oui ou non, vous espériez justement un ministre de la cyber dans le gouvernement Barnier pour sensibiliser, pour porter aujourd’hui ces sujets majeurs qui sont discutés en Europe ?
Guillaume Poupard : Je n’ai pas d’avis sur l’architecture gouvernementale. Par contre, il faut qu’un ministre se sente concerné par le sujet cyber. Je pense que c’est le cas.
Delphine Sabattier : Ah ! Qui ?
Guillaume Poupard : Clara Chappaz.
Delphine Sabattier : Vrai ou faux, les offres cloud françaises ne rattraperont jamais celle des hyperscalers ?
Guillaume Poupard : Elles seront complémentaires, durablement complémentaires et intéressantes à ce point-là.
Delphine Sabattier : Pour ou contre, il faut revoir l’attribution de l’hébergement du Health Data Hub, dont on a parlé, avec un critère de sélection d’offreur national.
Guillaume Poupard : Oui.
Delphine Sabattier : Grave ou pas, le regard politique que l’on prend sur la transposition de la directive NIS 2 [Network and Information Systems Directive] [12], qui doit élever ce niveau global en matière de cybersécurité ?
Guillaume Poupard : La transposition va se faire, elle va bien se faire malgré la complexité parlementaire actuelle. Je suis plutôt très confiant sur les travaux qui ont déjà été faits, sur toute la préparation qui est excellente et sur le fait que ce soit un sujet de consensus qui dépasse les clivages politiques.
Delphine Sabattier : J’y crois ou je n’y crois pas à la survie du SecNumCloud français, justement face à cette certification européenne, l’EUCS ?
Guillaume Poupard : Je souhaite qu’elle disparaisse au profit d’une certification de même niveau à l’échelle européenne.
Delphine Sabattier : On peut, ou pas, mettre fin à l’hémorragie des fuites de données personnelles.
Guillaume Poupard : Il faut. Ce n’est pas qu’on peut ou pas, c’est qu’il faut ! On n’a pas le choix !
Delphine Sabattier : Est-ce un rêve ou un cauchemar, l’IA générative en matière de cybersécurité ?
Guillaume Poupard : Rêve, évidemment, ça va servir aux deux, mais il faut que ce soit les gentils qui gagnent à la fin !
Delphine Sabattier : Merci beaucoup, Guillaume Poupard, d’avoir été dans Smart Tech avec moi aujourd’hui. C’était mon grand invité, le directeur général adjoint de Docaposte. Merci.