Arnaud Pessey : Aujourd’hui on reçoit Nadi Bou Hanna l’ancien dirigeant de la DINUM, la Direction interministérielle du numérique. Pour ce nouvel épisode de CTRL, le podcast pour reprendre le contrôle sur nos vies numériques.
Nadi Bou Hanna est un passionné d’Internet, passionné aussi des valeurs de l’Internet de ses débuts, c’est ce qu’il a cherché à défendre au sein même de l’État. Il s’est fait connaître notamment parce qu’il a diffusé une note au sein des ministères pour les encourager à ne plus utiliser les services de Microsoft sur le cloud. Ça a fait beaucoup de bruit, forcément ça a fait réagir Microsoft et les différentes Big Tech qu’il s’est peut-être mises à dos. On va en discuter avec lui. Il a beaucoup de choses à nous raconter, il va nous présenter ses nouveaux projets.
Bonjour Nadi Bou Hanna. Nous sommes très heureux de vous recevoir pour ce nouvel épisode de CTRL, le podcast pour reprendre le contrôle sur nos vies numériques et sur la tech. C‘était important pour nous de vous recevoir parce que vous avez été, pendant trois ans, le patron du numérique de l’État français, ce n’est pas rien, une bonne personne à interroger sur ces questions de contrôle de vos vies numériques.
Pour commencer, est-ce que vous pouvez, s’il vous plaît, nous expliquer ce qu’est la DINUM, la Direction interministérielle du numérique, et nous parler un petit peu de votre parcours, ce qui vous a amené à cette position-là jusqu’à janvier 2022 où vous avez quitté cette fonction ?
Nadi Bou Hanna : Bonjour Arnaud. Merci pour votre invitation.
La DINUM [1] c’est la Direction interministérielle du numérique. C’est le capitaine d’équipe du numérique de l’État. Chaque ministère a sa propre direction, sa propre chaîne de commandement, ses propres projets informatiques, de télécommunications. En tant que DINUM, on assure la coopération entre tous ces acteurs et on assure également la liaison avec le politique. On voit bien qu’il y a des enjeux qui portent sur le travail ensemble, qui portent sur la mutualisation des outils, qui portent également sur des enjeux de souveraineté ou d’autonomie, on aura l’occasion d’y revenir.
Je suis tombé tout petit dans le numérique puisque dès le collège j’ai commencé à manipuler les premiers micro-ordinateurs, ça remonte déjà à quelques décennies. Pendant mes études d’ingénieur, Internet a déboulé dans les campus, c’était dans les années 1991/92/93. Quand j’ai vu ça j’ai vraiment eu envie de m’y plonger, de comprendre comment ça fonctionnait et ensuite d’en faire mon métier. C’est ce que j’ai fait pendant 25 ans à peu près, moitié au sein de l’État, au Quai d’Orsay pour m’occuper des communications des ambassades et des consulats, aux douanes pour la bascule numérique des douanes, mais également comme entrepreneur puisque j’ai eu l’occasion de créer plusieurs entreprises dans le domaine du conseil, dans l’édition logicielle, également dans les services aux entrepreneurs avant de rejoindre la DINUM au sein de laquelle je suis resté trois ans. Et puis au début de cette année, en janvier, j’ai repris un peu ma liberté pour me lancer dans un nouveau projet entrepreneurial qui s’appelle Flore, qui est une communauté d’entrepreneurs.
Arnaud Pessey : Pour préciser aussi votre parcours, je crois que vous êtes quelqu’un qui, comme on dit, met les mains dans le cambouis, en tout cas vous l’avez fait à vos débuts, vous avez appris le code, vous faisiez vraiment de la tech.
Nadi Bou Hanna : C’est quelque chose qui m’a beaucoup intéressé et qui continue à m’intéresser. Je continue à développer le soir, j’ai toujours développé des jeux, des sites web, des bases de données. Oui, le code est un vrai plaisir, une vraie passion, les réseaux de télécommunications également et tout ce qui est autour, la sécurité informatique, les serveurs, l’environnement tech. Comprendre et pratiquer est vraiment quelque chose qui me paraît fondamental pour ensuite pouvoir mieux conseiller et faire.
Arnaud Pessey : Quand vous avez démarré est-ce que vous rêviez de devenir un startupeur ? Est-ce que vous aviez des projets dans la tech, dans l’entrepreneuriat et comment, finalement, vous êtes-vous retrouvé à travailler pour l’État parce que ce n’est pas un parcours habituel ? Quand on veut travailler dans la tech on ne s’imagine pas, peut-être, devenir fonctionnaire d’État.
Nadi Bou Hanna : Vous avez raison. Je me suis un peu laissé porter par le courant. Mes études m’ont porté vers l’École polytechnique et puis ça débouche un peu naturellement vers des corps d’État. J’avais envie de faire des télécoms, de l’informatique, et j’avais cette opportunité de le faire au sein de l’État. À cette époque on m’avait vanté les mérites de l’État et la possibilité de prendre très vite des responsabilités, même avec peu d’expérience, ce qui m’a effectivement assez convaincu de me lancer dans cet univers public. Il y a d’autres raisons plus personnelles. Je suis arrivé en France en provenance d’un pays en guerre. J‘ai bénéficié de tout le système éducatif français, de l’école républicaine, et j’ai eu envie, quelque part, au même titre que j’avais beaucoup reçu, de rendre du temps, de l’énergie, du savoir. C’est aussi ce qui m’a convaincu de travailler au sein de l’État.
Retour sur les projets de la Direction interministérielle du numérique
Arnaud Pessey : Vous avez eu une fonction très importante durant trois ans, diriger la DINUM. Vous avez porté différents projets notamment le programme TECH.GOUV [2] qui était très important pour le gouvernement en place alors. Est-ce que vous pouvez nous en parler et nous faire un petit bilan de ce qui a été fait et quelles sont vos plus grandes fiertés, peut-être aussi vos plus grands regrets sur cette période ?
Nadi Bou Hanna : La DINUM, comme je vous disais, c’est effectivement ce capitaine d’équipe. Je souhaitais que l’on ne se contente pas de faire travailler les différentes équipes ministérielles. On a décidé de faire, de mettre les mains dans le cambouis, de construire des outils qui doivent servir au plus grand nombre. Le programme TECH.GOUV était l’incarnation d’une méthode qui ne consistait pas simplement à dire aux autres ce qu’ils devaient faire – posture plutôt facile, je dirais –, mais à animer des équipes qui proviennent d’univers différents pour travailler ensemble, pour construire ensemble des solutions. Ce programme TECH.GOUV a effectivement donné lieu à un grand nombre de réalisations. La plus connue est probablement FranceConnect [3]. Aujourd’hui bientôt 38 millions de Français, je crois qu’on a atteint ce seuil, l’utilisent.
Arnaud Pessey : J’en fais partie. C’est vrai que c’est génial.
Nadi Bou Hanna : Il y a trois ans, trois ans et demi, il y avait moins d’un million d’utilisateurs. L’idée c’était justement d’en faire un outil très largement démocratisé, d’accès en confiance aux ressources, aux ressources publiques d’abord et puis, au fur et à mesure que les mois et les années ont passé, vers des ressources privées. On a également beaucoup travaillé, dans le cadre de TECH.GOUV, sur les enjeux de résilience numérique et ça a été particulièrement utile pendant la crise sanitaire.
Arnaud Pessey : Justement je vous arrête là-dessus, on en parle beaucoup et ça va être important dans notre échange. La résilience, en termes de numérique, qu’est-ce que ça veut dire ?
Nadi Bou Hanna : Ce qui était fondamental pour l’État c’était de pouvoir assurer la continuité du service public, faire en sorte du jour au lendemain, en mars 2020 lorsque la quasi-totalité des fonctionnaires ont été amenés à rentrer chez eux et à essayer de travailler depuis chez eux, de mettre à leur disposition les outils pour continuer à assurer ce service public. En période de crise en particulier, la résilience c’est vraiment cette continuité de fonctionnement. L’enjeu, finalement, du directeur interministériel du numérique et de son équipe c’est de prévenir les catastrophes qui pourraient survenir et de dimensionner des solutions de manière raisonnable – le tout sécurité est évidemment hors de prix –, de réfléchir à des solutions de contournement qui préservent, d’une certaine manière, l’autonomie de la France et de son service public.
Arnaud Pessey : Quelle est votre plus grande fierté de ce mandat, je ne sais pas si on peut parler de mandat, en tout cas de cette expérience que vous avez eue ?
Nadi Bou Hanna : Je ne sais pas dire si j’ai une plus grande fierté. Je peux citer plusieurs progrès qui me paraissent importants.
Le premier progrès qui me paraît vraiment fondamental c’est celui de l’amélioration du numérique pour tous. Un des risques – d’ailleurs on a vu à plusieurs reprises les sénateurs, les députés s’en émouvoir – de la bascule numérique des administrations c’est d’écarter de l’accès aux services publics une partie de la population, la moins à l’aise avec les outils ou parfois, simplement, parce qu’elle n’accède pas aux ressources et au réseau. On a beaucoup travaillé pour essayer de faire en sorte que le numérique soit de qualité, que les personnes qui arrivent à accéder aux ressources y voient un gain et n’y voient pas une régression, n’y voient pas un recul du service public. C’est quelque chose qui met du temps, qui a été un vrai combat de trois ans qui a marqué tous les ministères. On a pris les 250 démarches administratives les plus utilisées par les Français et on a essayé de faire en sorte qu’elles soient toutes numérisées et qu’elles soient toutes bien numérisées, qu’elles soient toutes accessibles par exemple en situation de handicap, qu’on développe des réflexes de l’UX [User eXperience], du design, pour faire en sorte qu’un utilisateur, en face de sa démarche administrative en ligne, comprenne ce qu’il faut faire, n’aie pas besoin d’une assistance et, dans le cas où une assistance est nécessaire, qu’il puisse y accéder. On n’a pas accompli 100 % de l’objectif de mise en qualité de ces 250 démarches, mais on est à plus de 80 % alors qu’on avait démarré, quelque part, dans une situation bien en dessous de 40 %.
Arnaud Pessey : On partait de très loin en effet.
Nadi Bou Hanna : On partait d’assez loin.
Arnaud Pessey : Vous parliez d’UX des services de l’État, c’est vrai qu’on partait de très loin, c’était compliqué.
Nadi Bou Hanna : C’est un exemple. Il y a d’autres exemples dans le domaine de la data, par exemple obtenir la maturité dans les équipes de direction des ministères pour s’intéresser au sujet de la donnée et en faire un actif. Un actif ça s’entretient, ça s’exploite, ça se protège, ça s’ouvre également avec l’open data. En faire un vrai actif au sein de l’administration a été un travail relativement long mais avec des vrais résultats. On a pu voir, en particulier sur la dernière année, l’année 2021, une appropriation par l’ensemble des ministères, l’ensemble des ministres, parce que ça a été porté aussi par le Premier ministre, par l’ensemble des strates de décision de l’État de cet enjeu de la data, de l’open data, de l’ouverture de la donnée et sa mise à disposition au public, la première place conquise par la France à l’échelle européenne est un vrai motif de satisfaction.
Arnaud Pessey : L’open data était aussi, je crois, un de vos gros chantiers. Est-ce que vous pouvez nous expliquer quel est l’objectif ? C’est quoi ? C’est mettre à disposition de la data fournie par l’État à des services tiers ?
Nadi Bou Hanna : Pour moi l’objectif principal c’était le cycle de vie de la donnée. Se saisir de la donnée pour en tirer tout son potentiel. Prendre des décisions basées sur la donnée c’est quand même plus intéressant et plus productif que prendre des décisions basées exclusivement sur son intuition ou sur son sens politique. Je dirais que c’est une culture d’ingénieur qui est quelque part mise à disposition, qui a été apportée à nos décideurs justement pour développer ce réflexe.
L’open data c’est finalement ce que l’on fait en bout de chaîne, une fois que l’on a acquis des données, qu’on les a mises en qualité, qu’on les a exploitées. Les remettre à disposition des tiers, c’est le meilleur moyen à la fois de permettre à ces tiers – la société civile, les associations, d’autres entreprises – d’exploiter ces données pour créer des services à valeur ajoutée et c’est aussi assurer une transparence de l’action publique. À l’heure des fake news généralisées on voit bien que le fait de développer une culture du reporting de la situation, donc des faits, des données, vers les citoyens est quelque chose qui nous permet, en France en tout cas, de mieux lutter contre les manipulations que dans d’autres pays.
Arnaud Pessey : Un bon moyen de l’expérimenter c’est pendant la crise du covid. On a l’exemple de Guillaume Rozier [4] qui a créé CovidTracker et ensuite Vite Ma Dose. Est-ce que c’est typiquement ça un usage d’open data ?
Nadi Bou Hanna : C’est ça et je dirais même que l’intérêt de ces outils, ce qu’a fait Guillaume Rozier et ce qu’ont fait d’autres, c’est plus que ça. Il y a le sujet d’exploiter les données, il y a aussi, quelque part, cette nouvelle culture qui consiste à dire que l’État n’a pas le monopole de l’intérêt général. On va retrouver des étudiants, on va retrouver des associations, on va retrouver des entreprises du domaine concurrentiel qui vont aussi avoir envie de se positionner sur les projets d’intérêt général. Je vous disais que c‘était un des moteurs pour l’émergence de Flore, mais je sais citer un très grand nombre d’entreprises qui contribuent à cet intérêt général, ce qui n’est pas antinomique avec une culture du développement commercial.
Arnaud Pessey : Comment fait-on pour insuffler cette culture, qui est très propre à l’univers de la tech, à des développeurs alimentés par l’idéal de ce qu’était Internet au début, de l’open source ? Comment fait-on pour insuffler ça au sein même des administrations qui, parfois, n’y comprennent rien, j’imagine ?
Nadi Bou Hanna : C’est l’enjeu numéro 1 du DINUM. L’enjeu numéro 1 du DINUM c’est d’arrêter de parler aux techs, c’est de parler aux décideurs de l’État, aux ministres, à leurs cabinets, aux secrétaires généraux, aux directeurs d’administrations centrales, à tous ceux qui sont issus de l’univers non tech, mais qui sont aux manettes des politiques publiques. L’enjeu c’est expliquer comment on utilise la tech pour faire évoluer les politiques publiques, pour les transformer, pour les moderniser, pour faire en sorte qu’elles coûtent moins cher, mais aussi pour faire en sorte qu’elles atteignent mieux les usagers, parfois même qu’elles contribuent davantage à la productivité ou à la compétitivité des entreprises françaises. C’est ce pont entre les politiques publiques et l’univers technique qui est, en fait, au cœur du métier du DINUM mais aussi au cœur des métiers des nouveaux directeurs du numérique dans l‘État. On a vu ça également dans les entreprises. Les anciens directeurs informatiques s’occupaient de la tech. Les directeurs du numérique s’occupent des enjeux marketing, des enjeux business. Ce pont qui a été fait entre l’univers de la technique et l’univers des projets, des politiques publiques ou l’univers stratégique, est, je trouve, particulièrement intéressant ces dernières années.
Arnaud Pessey : Il y a eu plusieurs chantiers majeurs que vous avez su relever, parfois avec de la réussite, d’autres qui ont dû être plus difficiles. Est-ce qu’il y a des regrets, des choses que vous n’avez pas pu accomplir comme vous auriez aimé ?
Nadi Bou Hanna : Soit j’utilise mon joker maintenant, soit j’essaie de répondre !
Évidemment les choses ne vont pas aussi vite que j’aurais aimé. Quand vous venez de l’entreprenariat et que vous vous retrouvez dans la grande machine de l’État - mais ça doit être la même chose dans les grandes entreprises privées - tout prend du temps. Il faut convaincre énormément de monde, il y a des forces en présence qui, évidemment, ne poussent pas dans le même sens ou ne tirent pas dans le bon sens, donc tout prend du temps. J’aurais aimé que ça prenne moins de temps, ça a pris trois ans et on n’a pas fini, il reste pas mal de choses à faire, donc il y a encore beaucoup de travail pour mon successeur à la tête de la DINUM quand il sera nommé.
Est-ce qu’il y a des projets sur lesquels j‘ai des regrets ? Mon regret c’est probablement StopCovid. J’ai deux regrets concernant StopCovid. Le premier c’est que les autorités ne m’aient pas confié le projet, n’aient pas confié ce projet à mon équipe. Je pense qu’on aurait pu apporter une capacité d’ingénieur, une capacité d’analyse pour faire des choix peut-être un peu différents. Un deuxième regret c’est qu’on n’a pas réussi à transformer ce projet en un outil d’alimentation de la science, plutôt qu’essayer de notifier les citoyens les uns les autres et créer potentiellement un peu de panique. Les technologies n’étaient pas prêtes pour faire un outil C to C entre citoyens. En revanche, on aurait probablement pu contribuer, de manière beaucoup plus efficace, au développement du savoir autour de la pandémie en alimentant les chercheurs, les épidémiologistes, avec des données volontaires, proposées par les citoyens qui auraient aimé entrer dans le dispositif. Hormis cela, je ne vois pas très bien. Les autres projets se sont à peu près passés comme je souhaitais que ça se passe.
Arnaud Pessey : Sur StopCovid finalement c’est quoi ? C’est Bercy qui a traité ça directement par le secrétaire général qui a fait appel à un prestataire externe ?
Nadi Bou Hanna : Je ne vais pas rentrer dans la polémique autour de cet outil. De toute façon on voit le constat avec le recul, peut-être pas de l’histoire mais de quelques années. Le pivot qui a été fait avec TousAntiCovid [5] pour en faire, finalement, un gestionnaire de fichiers a été salutaire, ça a permis effectivement de fluidifier les déplacements des Français. Toute la partie tech initiale est tombée parce qu’elle ne reposait pas vraiment sur de la science.
Souveraineté numérique, GAFAM, stratégie cloud, cybersécurité
Arnaud Pessey : On vous connaît aussi pour les prises de position que la fonction vous incombe à ce moment-là, notamment une prise de position vis-à-vis de Microsoft qui a fait beaucoup de bruit. C’était à la rentrée 2021, je crois, où vous avez envoyé une note à l’attention des directeurs du numérique dans les différents ministères, j’imagine que ça s’adressait aussi à l’ensemble de l’administration, peut-être aux collectivités, etc., un message qui s’adressait à tous, où vous les encouragiez à ne plus utiliser les services de Microsoft Office 365, uniquement ceux-là, je précise, parce que ce sont des services qui sont utilisés sur le cloud de Microsoft, le cloud Azure. J’imagine que cela implique, vous allez nous expliquer, qu’en temps réel, les échanges de données qu’il pourrait y avoir sur ces services qui sont sur le cloud, disponibles en ligne, peuvent être transférés aux États-Unis, en tout cas peuvent circuler sur des services de cloud d’entreprises privées. Est-ce que c’était ça le risque et est-ce que vous pensez que c’était une bonne décision ?
Nadi Bou Hanna : Il faut peut-être rembobiner un tout petit peu. Avant cette note qui a fuité, il y a eu une prise de position officielle de l’État sur la stratégie cloud. C’est un travail qui a duré six mois avec beaucoup de discussions, des points de vue divers qui ont été affinés, que j’ai portés au sein de l’administration, là où les ministres ont porté plutôt le volet politique. La stratégie cloud de l’État a été concrétisée dans une circulaire du Premier ministre [6]. Ce n’est quand même pas rien, ça veut dire qu’il y a une vraie prise de position officielle. Elle s’appuie sur une double approche.
D’abord une approche de l’État utilisateur de technologies, c’est ce qu’on a appelé la stratégie « cloud au centre ». La stratégie « cloud au centre », qu’on peut retrouver dans la circulaire, vise à protéger les Français, les citoyens français, les entreprises françaises et les agents publics des dérives potentielles et de l’utilisation abusive potentielle de leurs données. Mais, en même temps, elle incite les administrations à se tourner vers les technologies du cloud. Donc il fallait trouver un compromis entre arrêter de faire de l’informatique à la papa, c’est-à-dire se tourner vers les nouvelles technologies pour abaisser les coûts, pour améliorer les performances, pour augmenter la scalabilité, l’agilité des projets, etc., mais, en même temps, ne pas le faire n‘importe comment. « Cloud au centre » définit que l’État, donc les administrations mais également les établissements publics – ça ne va pas jusqu’aux collectivités locales, on n’a pas autorité sur les collectivités locales – qu’au sein de l’administration les projets qui manipulent des données sensibles doivent se reposer sur une conformité juridique et sur un agrément qui est donné par l’ANSSI [Agence nationale de la sécurité des systèmes d’information] qui s’appelle SecNumCloud [7].
À côté de ça il y a une prise de position politique qui est ce qu’on appelle le « cloud de confiance », qui consiste à dire, ça a été présenté comme cela, que des technologies d’origine étrangère, en particulier américaines, dès lors qu’elles font l’objet d’un transfert de technologies et d’opérations vers des entreprises européennes alors elles sont éligibles, ça ne veut pas dire qu’elles sont élues, elles sont éligibles à cet agrément dit « cloud de confiance ».
Il y a deux trains un peu différents. Le premier qui dit « vous voulez jouer dans la cour de l’État sur des données sensibles, vous devez être conforme au droit européen et au niveau de sécurité exigé en France qui est SecNumCloud » et puis un train politique qui dit « on incite les transferts de technologies vers les opérateurs français ».
C’est le départ, le démarrage de cette stratégie cloud. J’en suis plutôt content parce que, en tout cas sur le volet « cloud au centre », ça a donné un temps d’avance aux entreprises françaises et européennes. Toutes les entreprises qui ne s’y conformaient pas étaient exclues du jour au lendemain de la possibilité de travailler pour l’État. Quelque part, ça permettait d’équilibrer le temps d’avance marketing colossal que certains pouvaient avoir en redonnant une temporalité, en tout cas un intervalle de temps pendant lequel les entreprises françaises ou européennes de la tech pouvaient proposer leurs technologies.
La question qui s’est posée, c’est qu’est-ce qu’on fait d’Office 365 de Microsoft ? L’État dans sa très grande majorité, plus de 80 % des utilisateurs, utilisait des technologies Microsoft, Windows, la suite Office, la messagerie Exchange, c’était à peu près 80 % du potentiel. Il y avait évidemment un lobbying massif de l’éditeur pour inciter, pour ne pas dire forcer, des clients à basculer les uns après les autres sur Office 365. Ça veut dire concrètement que les données, au lieu d’être sur des serveurs dans l’administration, opérées par l’administration, se retrouvaient sur les serveurs de Microsoft donc avec les risques potentiels juridiques, techniques d’interception, d’exploitation, associés. Cette circulaire [8] que j’ai adressée à l’ensemble des directeurs du numérique visait à dire « sur la messagerie collaborative il n’y a pas lieu d’utiliser Office 365, il y a des solutions alternatives », il y a aussi des solutions qui étaient en train d’être construites au sein de l’État, en mutualisation entre les administrations. D’ailleurs plusieurs ministères avaient déjà déployé des solutions alternatives, je pense au ministère de l’Écologie, au ministère de l’Intérieur, à la Direction des impôts, la DGFiP, qui étaient les plus en avance sur des approches alternatives. Au sein même de la DINUM on travaillait sur la mise à disposition d’outils communs. J’en citerai un que je trouve assez emblématique, c’est celui de la messagerie instantanée, particulièrement utile pendant la crise sanitaire. On n’allait pas dire aux agents publics « continuez à travailler en utilisant WhatsApp ou Telegram », évidemment. On est parti d’un composant open source édité par une PME franco-anglaise [New Vector] et, à partir de cette solution open source, on a construit une messagerie instantanée qui s’appelle Tchap [9], qui a été déployée à plus de 300 000, 350 000 maintenant j’imagine, utilisateurs au sein de l’État et même au-delà de l’État.
Arnaud Pessey : Vous n’avez pas dû apprécier la petite intervention de Elliot Alderson, pseudo de Baptiste Robert [10], qui s’était installé dans un des salons du ministère en se faisant passer pour quelqu’un qui travaillait pour l’Élysée, je crois que c’est ça, avec une fausse adresse mail qui renvoyait sur son adresse mail perso. Comment réagit-on quand on est de votre côté, face à une situation pareille ?
Nadi Bou Hanna : C’est tout le propre de l’innovation. L’innovation consiste à se confronter le plus tôt possible à ses utilisateurs. Si vous attendez que tout soit sec, c’est trop tard ! Les cycles informatiques historiques, c’était : vous écrivez un cahier des charges, vous retenez un prestataire, vous développez pendant cinq ans et, une fois que l’application arrive entre les mains des utilisateurs, les besoins ont changé. Ce n’était plus le bon tempo. On a fait le contraire, on est sorti le plus vite possible avec un prototype qui avait des bugs, qui avait des failles de sécurité. Celle que vous signalez en fait ce n’est pas une faille de sécurité, c’est un incident complètement mineur qui ne permettait pas d’accéder au contenu des données. Il y a toujours des personnes qui profitent de ces évènements pour augmenter leur nombre de followers sur les réseaux sociaux, c’est une polémique qui ne m’intéresse pas vraiment. En revanche, ce qui m’intéresse c’est que les personnes qui détectent des failles contribuent à l’amélioration des outils, ce sont des outils d’intérêt général et c’est ce qu’on a fait. À côté d’un Elliot Alderson vous avez une dizaine d’autres personnes qui n’ont pas du tout fait le même bruit, le même foin médiatique, qui nous ont signalé des bugs, certains sensibles qui ont été corrigés très vite. On a d’ailleurs lancé un bug bounty justement pour ouvrir ce canal de communication avec les spécialistes de la cybersécurité.
Arnaud Pessey : Je voudrais revenir juste sur ce qu’on disait sur Microsoft parce qu’il y a aussi une nuance à apporter concernant votre note. Ce n’est pas de l’anti-Microsoft bête et méchant, vous êtes d’accord pour l’utilisation de Microsoft, ce qu’on appelle on-premise, du logiciel sur la machine. Ce qui pose problème c’est vraiment le fait que ça communique avec le cloud de manière permanente. Du coup quel est le risque concrètement ? Est-ce que vous avez des exemples ?
Nadi Bou Hanna : Je vais peut-être préciser parce que je pense que c’est important. Il n’y a pas à être pro ou anti Microsoft, ça n’a pas de sens. Quand vous êtes un responsable dans le domaine du numérique vous avez besoin de Microsoft, d’ailleurs Microsoft faisait des très bons produits. Il y a des évolutions et des positionnements stratégiques qui peuvent, ou pas, convenir à un client comme l’État qui n’est pas un client comme les autres, les grandes entreprises se posent les mêmes questions. Microsoft reste un fournisseur, doit rester un fournisseur. S’il fait des choix stratégiques qui ne conviennent pas à ses clients, c’est normal que les clients changent de crémerie. C’est quelque chose qui, je pense, n’a pas forcément été bien compris à la fois par une partie des décideurs mais aussi par les dirigeants de Microsoft France. Le remettre dans un rôle de fournisseur, même si c’est un fournisseur dominant, je pense que c’était quelque chose de salutaire.
Arnaud Pessey : On parle souvent, on entend beaucoup parler de la relation de Microsoft avec la France, on dit même, dans certains journaux, que c’est « open bar » dans les ministères, même le ministère des Armées, des enjeux quand même assez importants. Est-ce que vous n’avez pas l’impression d’avoir eu un petit peu le mauvais rôle, d’être celui qui a dû aller au charbon, aller au front, et dire ce que tout le monde devait dire mais que personne n’avait le courage de faire ?
Nadi Bou Hanna : C’était mon job ! Vous avez raison. C’est exactement pour ça qu’un directeur interministériel du numérique existe. À un moment donné il faut prendre des positions, il faut faire des choix, il faut mesurer les risques, il faut sortir du bois. C’est le rôle du DINUM de sortir du bois et ça a fait, je pense, plaisir à beaucoup de monde. Si vous saviez le nombre de messages que j’ai eus après ça disant « c’est bien ce que tu as fait ». Encore une fois ce n’est pas une approche anti-Microsoft, je pense vraiment que c’est un très bon éditeur logiciel, c’est simplement l’intérêt de l’État et c’est au-dessus de tout autre intérêt.
Arnaud Pessey : Depuis il y a un nouveau projet qui est apparu, qui porte le nom d’une couleur, ma couleur préférée, qui est aussi porté par deux très belles entreprises françaises, Orange et Capgemini [11]. C’est un projet qui s’appelle Bleu, qui commercialise différents services, notamment les services d’Office 365 qui pourront être vendus avec, je crois, l’agrément SecNumCloud, en tout cas ce label, je ne sais pas comment on doit l’appeler. Cela veut dire que de cette manière-là les services d’Office 365 peuvent à nouveau rentrer dans les administrations.
Nadi Bou Hanna : C’est la théorie. On disait ça il y a deux ans et deux ans après je n’ai pas vu grand-chose, j’ai vu des plaquettes commerciales, un communiqué de presse, mais je n’ai pas vu grand-chose pour de vrai. Le jour où ça sortira on regardera. Je pense que les acheteurs regarderont les prix, les conditions, s’assureront effectivement que le transfert d’opérations s’est fait et que les machines tournent sur des datacenters européens, opérés par une entreprise française ou une entreprise européenne, on va regarder tout ça. Le cadre, ce que je vous disais tout à l’heure, « cloud de confiance » le permet. Dans la vraie vie, pour l’instant, ça n’existe pas, et le jour où ça existera il faudra évidemment regarder de très près et voir si c’est intéressant d’y basculer.
Arnaud Pessey : Est-ce que les gens qui vous succéderont auront le courage que vous avez eu de s’y opposer aussi fermement ?
Nadi Bou Hanna : Je ne peux pas répondre, je ne sais pas. En tout cas je pense que c’est toute la différence qu’il doit y avoir entre l’administration et le politique. Le rôle de l’administration c’est de prendre des positions au long terme, de se positionner en transcendant les clivages, les alternances, etc. J’espère que mes successeurs auront effectivement à l’esprit cet intérêt au long terme pour l’État.
Arnaud Pessey : Vous êtes garant des services numériques proposés par l’État. Ça implique aussi un rôle important sur la sécurité de ces services-là. On entend beaucoup parler de ransomware aujourd’hui. Est-ce que vous pouvez nous rappeler un petit peu ce que c’est, comment ça fonctionne ?
Nadi Bou Hanna : Le mieux placé pour parler de cybersécurité c’est l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information, c’est notre monsieur cybersécurité.
Arnaud Pessey : On aimerait les recevoir, si vous pouvez nous aider à les avoir ce serait bien.
Nadi Bou Hanna : N’hésitez pas à inviter Guillaume Poupard [12] tant qu’il est en charge de cette agence. Il contribue de manière exceptionnelle à démocratiser la culture de la cybersécurité et aussi les réflexes à avoir pour se prémunir des attaques, des risques.
Le ransomware consiste effectivement, dans son approche la plus classique je dirais, à piéger les données d’un client, souvent en les chiffrant à l’insu du client, les données et les sauvegardes de ces données évidemment, parce que sinon ça ne sert à rien, et ensuite à obtenir une rançon en échange des clefs de déchiffrement. Je dirais que c’est le basique de ce qu’est un ransomware. Ce qui est compliqué c’est qu’il y a des vecteurs d’attaque innombrables et plus les structures sont faiblement outillées en compétences, je parle bien de compétences, en compétences numériques, plus elles sont exposées à ces risques. C’est comme ça que l’on a vu des municipalités, des hôpitaux assaillis par des attaquants parce qu’effectivement ils n’ont pas, ils n’avaient pas les moyens des grandes organisations publiques. C’est tout l’intérêt de la mutualisation. Lorsque vous mutualisez vous mettez à disposition des « petits », entre guillemets, les moyens des grands. C’est tout l’intérêt de pouvoir, au sein de l’État, créer ces structures de mutualisation que sont l’ANSSI, que sont la DINUM, que peuvent être certains autres opérateurs informatiques, ce qui permet justement de donner au plus grand nombre des administrations, à un coût marginal, le meilleur de ce qui peut exister.
Arnaud Pessey : Récemment on a vu un groupe qui se fait appeler, qui s’appelle Conti, un groupe de ransomwares qui a attaqué un pays, le Costa Rica, en ciblant plusieurs ministères de ce pays et il a eu accès à plusieurs systèmes critiques des ministères, notamment des finances, en ayant accès à des informations des douanes et des impôts. Il demande une rançon de 20 millions de dollars et menace même de renverser le nouveau gouvernement de Rodrigo Chaves qui a déclaré lui-même « nous sommes en guerre et je n’exagère pas ». Est-ce que les ransomwares sont aujourd’hui une arme de guerre ?
Nadi Bou Hanna : Les motivations premières sont quand même financières, en tout cas c’est ce que l’on observe. Il n’est pas exclu que ça devienne un jour des motivations stratégiques géopolitiques. Mais ce que l’on voit, ce qu’on observe, ce sont effectivement en général des pays ou des cibles qui sont faiblement protégée, faiblement défendue, qui ont souvent donné les clefs de leur numérique, de leur informatique, à des acteurs tiers sans avoir la capacité de maîtrise, qui sont ciblés et systématiquement la contrepartie c’est d’obtenir des fonds.
Arnaud Pessey : Est-ce qu’il faut les payer ?
Nadi Bou Hanna : Honnêtement je ne sais pas répondre. Il faut vraiment voir avec l’ANSSI qui dira ce qu’il est préférable de faire. Je ne sais pas dire s’il vaut mieux payer, continuer à être exposé de la même façon et recommencer six mois après ou si ce n’est pas l’occasion de faire table rase et de reconstruire un système avec de meilleures pratiques, à l’état de l’art.
Arnaud Pessey : Comment protège-t-on l’État de ces attaques ?
Nadi Bou Hanna : La première clef c’est la compétence. On a besoin d’investir dans les femmes et les hommes, d’avoir, au sein de l’État, des profils très qualifiés qui vont avoir envie à la fois de produire un service public de meilleure qualité – c’est tout l’intérêt de la digitalisation du service public –, mais aussi de protéger l’État en situation de crise. C’est vraiment la clef et on a beaucoup travaillé ces dernières années à développer l’attractivité de l’État.
Vous me demandiez de quoi je pourrais être le plus fier. En fait, en y réfléchissant, c’est probablement ça, c’est faire en sorte que l‘État soit plus attractif. On a beaucoup travaillé dans le marketing du recrutement. On a gamifié, je ne sais pas comment on dit, ludifié les procédures de recrutement. On a créé ce qu’on appelle le Commando UX [13], la Brigade d’intervention numérique [14], les startups d’État, les Entrepreneurs d’intérêt général [15], des dispositifs qui permettent d’inciter les étudiants, les salariés qui sont assez pointus, qui s’ennuient parfois dans leur entreprise, de consacrer quelques années à l’intérêt général, à rejoindre l’État et nous aider, finalement, à faire mieux.
Arnaud Pessey : Ce sont des missions qui sont assez scénarisées sur des séquences, des périodes assez courtes.
Nadi Bou Hanna : C’est ça. Ce sont des personnes que l’on recrute, certaines sur dix mois, d’autres sur douze, le plus long ça doit être trois ans, c’est relativement rare, en général c’est plutôt moins de deux ans. On recrute ces personnes-là sur des missions, elles ont une mission à accomplir et on espère qu’elles vont réussir leur mission avec leur équipe. Ça c’est évidemment la devanture. La vérité, ce qu’on aimerait, c’est qu’une partie de ces personnes ait envie de continuer au sein de l’État, d’ailleurs ça marche ! Pour fixer les idées, on a à peu près 50 % des personnes, des experts qui découvrent l’État à l’occasion de ces missions one shot qui continuent au sein de l’État, qui prennent un poste dans une administration sur un gros projet, sur un petit projet, qui participent à une cellule d’innovation. C’est un très bon attracteur de profils qui ne se seraient jamais intéressés à l’État avec peut-être, parfois, une image un peu poussiéreuse des métiers qui peuvent être proposés. On a scénarisé ces processus de recrutement et on arrive à garder une partie de ces experts qui continuent après leur première expérience.
Arnaud Pessey : J’imagine que ces talents vont chez les Big Tech. On ne peut pas s’aligner en termes de salaire, d’attractivité.
Nadi Bou Hanna : En fait c’est le contraire. On a vu arriver au sein de l’État des profils qui viennent des meilleurs cabinets de conseil, des Big Tech. Ce sont des personnes qui, à un moment donné, se disent « pourquoi je me lève le matin ? Qu’est-ce que j’ai envie de faire ? Sur quels projets j’ai envie de travailler ? ». Il y a une prise de conscience générale, je pense en particulier aux plus jeunes générations, de l’impact de son travail sur la société, sur le monde. J’ai rencontré un très grand nombre de jeunes qui n’ont aucun problème d’employabilité – ils posent leur CV sur LinkedIn, ils vont avoir le soir même une dizaine de propositions – qui se disent « j’ai envie de travailler sur un projet qui a du sens ». L’administration est capable de proposer des projets qui ont du sens, pas que l’administration, on a également des entreprises, des associations qui sont aussi capables de proposer des projets à impact. De plus en plus on voit qu’on a des profils très pointus qui basculent vers ces projets. La question de la rémunération n’est pas le premier critère, même si l’État a réussi à s’aligner sur la plupart des rémunérations on va dire de grands groupes, ce n’est pas le premier critère qui les fait basculer.
Arnaud Pessey : On se rend bien compte, c’est évident, que le numérique est sorti de nos écrans, ce qui fait vraiment notre vie aujourd’hui. On voit notamment l’impact que la guerre en Ukraine a sur notre Internet sur le plan numérique, on voit qu’il y a un rideau de fer qui se dresse de plus en plus entre deux Web différents. Est-ce que vous pensez que le retour de la guerre en Europe signe le début de la fin de l’Internet tel qu’on l’avait connu ?
Nadi Bou Hanna : Je pense que l’Internet des années 2010 n’est pas du tout l’Internet des années 90 et 2000. Avant la guerre on avait déjà basculé. On a basculé vers un univers où la donnée est captée, où la liberté est quasiment proscrite. C’est très compliqué de continuer à être anonyme sur Internet, à accéder à des applications sans fournir un tas d’informations. La bascule du monde internet dans le domaine de la marchandisation de la donnée a quand même changé profondément l’ADN de l’Internet. On a l’impression que ça continue à être gratuit mais ce n’est plus du tout la gratuité des années 90 et 2000.
Avec la guerre c’est encore autre chose qui commence à s’installer. Ce sont effectivement des écosystèmes qui existaient déjà avant la guerre, on voit bien l’écosystème d’Asie du Sud-Est. Des écosystèmes à peu près étanches s’étaient constitués avec leurs piles applicatives, leurs principaux réseaux sociaux, leurs outils, leurs jeux, etc. Ce sont des univers qui se côtoient, on continue à pouvoir y accéder, il n’est pas exclu, à un moment donné, qu’on ne puisse plus, techniquement, y accéder, c’est-à-dire qu’il y ait des vraies murailles qui s’instituent entre un Web de l’Ouest et un Web de l’Est, ou un Web d’Asie et un Web européen, peut-être que ça existera. Il y a effectivement un retour vers le protectionnisme qui s’institue dans les réseaux, mais ça ne date pas de la guerre, ça a commencé un peu plus tôt.
Arnaud Pessey : Google ou Facebook interdits en France ou en Europe, c’est quelque chose qui pourrait arriver ?
Nadi Bou Hanna : Il faudrait vraiment qu’ils fassent des conneries.
Arnaud Pessey : Ils n’en font pas déjà ?
Nadi Bou Hanna : Oui, mais pas suffisamment pour justifier une telle décision. Je ne sais pas comment les choses évolueront.
Arnaud Pessey : L’Europe va continuer à leur balancer des amendes à coups de milliards ?
Nadi Bou Hanna : Je pense que l’arme des amendes et l’arme du droit sont un outil intéressant pour développer des pratiques peut-être plus saines. Est-ce que ça fonctionne ?, je ne sais pas dire. Je pense qu’on n‘a pas le recul suffisant, aujourd’hui, pour pouvoir juger de la performance des sanctions et de ces politiques de régulation.
Arnaud Pessey : De toute manière c’est tellement pratique et on n’a pas d’alternatives. Comment pourrait-on faire sans eux ?
Nadi Bou Hanna : Je pense que le vrai sujet est là : que met-on en face et est-ce qu’on a le choix ?
J’ai été interrogé par les parlementaires sur la souveraineté numérique, ils m’ont demandé quelle est ma définition de la souveraineté. Je leur ai dit que, pour moi, la souveraineté numérique c’est être capable de choisir ses dépendances. Savoir à qui on donne les clefs et avoir la capacité de reprendre ses clefs et de les donner éventuellement à quelqu’un d’autre.
Aujourd’hui est-ce qu’on a la possibilité de se détourner du système d’exploitation Windows, Android ou iOS ? Non, clairement non. Linux n’a pas été suffisamment performant, ergonomique pour atteindre le grand public, il n’est pas présent sur les smartphones, donc aujourd’hui on a peu de choix sur le système d’exploitation et celui qui maîtrise le système d’exploitation maîtrise une très grande partie des couches au-dessus de ce système.
Est-ce que sur la bureautique on a du choix ? On a du choix, on commence à avoir du choix. Oui, on peut se défaire de l’emprise de ces éditeurs, peut-être qu’il ne faut pas s’en défaire. Tant que ça reste des produits de bonne qualité, avec une approche on-premise, c’est-à-dire qui permet aux utilisateurs de garder le contrôle sur les données, très bien. J’ai été choqué par l’arrivée de Windows 11, par exemple. Aujourd’hui avec Windows 11, pour pouvoir conserver un compte local, vous devez débrancher votre prise Ethernet ou couper le wifi. Si vous n’avez pas ce réflexe à la configuration de Windows 11 – personne n’a ce réflexe ou très peu de personnes, 1 % maximum – de couper le réseau, vous ne pouvez plus installer Windows 11 sans créer un compte en ligne chez Microsoft. Pour moi c’est le signal d’une bascule du côté obscur de la force d’un éditeur comme Microsoft quand on voit ce genre de chose.
Arnaud Pessey : Quelles pourraient être les conséquences ? Quels sont les risques ?
Nadi Bou Hanna : Les risques c’est la perte de contrôle. Je pense que le risque majeur c’est celui-là. À partir du moment où vous donnez les clefs à quelqu’un d’autre, vous êtes obligé de faire confiance à la manière dont il va utiliser les clefs. Pourquoi feriez-vous confiance à untel ou à untel ? Il n’y a aucune raison de lui faire confiance. Je pense que le risque majeur c’est le fait de ne plus avoir le choix.
Arnaud Pessey : Un exemple très intéressant c’est celui de la principauté de Monaco qui a lancé le Monaco cloud. C’est un opérateur privé, majoritairement détenu par le gouvernement monégasque, qui se revendique être le premier cloud souverain d’État opérationnel, en tout cas en Europe. Pour assurer la résidence de ce cloud ils ont cloné ce service cloud, il est relié en fibre optique directe, sans intermédiaire, au Luxembourg. Là où ça devient très intéressant c’est qu’ils ont créé ce qu’ils appellent une e-ambassy, un datacenter qui est directement au Luxembourg, ce qui leur donne la possibilité d’avoir un territoire monégasque qui n’est plus situé sur Monaco, c’est vrai que 2 km2 à peu près, je crois, c’est difficile pour gérer tous les systèmes d’information de ce pays-là. Est-ce que vous pensez que c’est un précédent qu’on va voir se développer à l’avenir ? Est-ce que ce type de méthode ne permettrait pas justement aux petits pays de développer leur influence ?
Nadi Bou Hanna : On est dans un cas très particulier. Il y a effectivement probablement un problème de mètres carrés à Monaco pour héberger un datacenter régalien. Dans la plupart des pays on n’a pas cette difficulté. On sait héberger des datacenters européens, c’est d’ailleurs un peu le sens de ce qu’on a appelé le « cloud de confiance », c’est faire transférer des savoir-faire d’entreprises étrangères vers des partenaires qui vont opérer les machines, les services, sur le territoire européen. Ce que fait Monaco en le mettant au Luxembourg ce n’est ni plus ni moins que ce qu’on pourrait faire en Europe avec ces transferts de technologies. Est-ce que ça fonctionne et est-ce qu’ils sont autonomes sur l’opération de leur datacenter, je ne sais pas.
Arnaud Pessey : Ils travaillent avec Dell, VMware et AWS.
Nadi Bou Hanna : Voilà ! Je pense qu’ils ne sont pas complètement autonomes dans l’opération de leurs services cloud, ça mériterait d’être creusé.
Arnaud Pessey : Leur argument c’est justement de dire qu’ils ne sont pas soumis au PATRIOT Act [16] ou au CLOUD Act [17]. On peut rappeler ce que c’est, ce sont des lois américaines qui autorisent à l’État américain l’accès aux données qui transitent par les entreprises américaines.
Nadi Bou Hanna : Je pense que ce sont des choses qui doivent s’analyser en profondeur. Le nombre de déclarations marketing disant que les services ne sont pas soumis au PATRIOT Act ou au CLOUD Act alors qu’en creusant un petit peu on se rend compte que, de toute façon, à partir du moment où ils sont opérés par une entreprise américaine ils sont soumis à ces réglementations. Au-delà de la plaquette et de l’affichage de principe il faut regarder la réalité des choses.
Je ne connais pas suffisamment le cas monégasque pour apporter un avis éclairé dessus.
Arnaud Pessey : Ça me donne envie de savoir ce que vous pensez de Gaia-X [18], le projet de cloud européen qui accepte l’intervention sous l’idée, assez noble en soi, de libre concurrence. Des opérateurs étrangers, que ça soit Alibaba chinois ou des Américains avec Azure ou Google Cloud, veulent participer à ce projet en disant « de toute manière on le fait en Europe, c’est basé en Europe, les données circulent entre pays européens, ne vont pas chez nous, donc on a le droit d’y participer » et, à priori, l’Europe accepte ça. Qu’en pensez-vous ?
Nadi Bou Hanna : J’étais assez enthousiaste au début, en 2019. 22 membres européens fondateurs, l’idée initiale était de construire un Airbus du cloud européen. C’est passé à je ne sais plus combien, peut-être 150 membres depuis. On a vu effectivement débouler les GAFAM, Huawei, Palantir, un certain nombre d’autres acteurs. La gouvernance me paraît compliquée, on ne comprend plus quelle est la finalité du projet alors qu’initialement c’était plutôt clair. J’ai vu Yann Lechelle, à la tête de Scaleway, quitter le consortium, d’autres se posaient les mêmes questions. Je ne suis pas particulièrement optimiste sur le fait que ça débouche sur quelque chose d’utile. Après, ça reste des lieux de rencontre potentiellement intéressants, pour certains du lobbying, pour d’autres des opportunités de partenariat. Je ne miserais pas beaucoup sur le succès de cette initiative, en tout cas personnellement, là je m’exprime à titre purement personnel évidemment.
Arnaud Pessey : Est-ce qu’un des problèmes ce n‘est pas justement la force de lobbying de ces entreprises-là ? On a vu, on l’a évoqué ensemble, ce qui s’est passé avec Microsoft, interdiction des services d’Office 365 qui reviennent sous un nouveau nom, sous une nouvelle identité, sous le nom d’une entreprise française. Là, finalement, c’est un petit peu la même chose qui est en train de se passer. Ils sentaient le vent tourner et hop !, ils interviennent dans un nouveau projet qui est censé être européen, fait par des Européens, sauf qu’ils fournissent le matériel, le logiciel.
Nadi Bou Hanna : Qu’ils fournissent le matériel et le logiciel ne me pose aucune difficulté. Ça fait longtemps qu’on ne fabrique plus beaucoup de matériels en Europe, et c’est vrai qu’il serait intéressant de fabriquer davantage de logiciels mais, sur des couches basses on va dire, on n’en fait pas beaucoup. Je n’ai pas de difficultés avec ça. Le sujet c’est effectivement comment les données sont opérées, comment on garantit la protection de ces données économiques, commerciales, qui portent sur les citoyens, comment on garantit les libertés individuelles, c’est ça l’enjeu.
Après, ces entreprises ont raison, de leur point de vue, de faire du lobbying pour essayer d’infléchir le cours des choses et de développer des opportunités de business pour leurs commanditaires, de leur point de vue c’est logique de faire ça. Après comment faut-il le faire ? Je vous citais tout à l’heure le sujet du rapport de force avec ces entreprises. Mes enfants diraient « ils ont pris trop la confiance », ils diraient un truc comme ça. Ils ont pris l’habitude de ne pas faire confiance à leurs clients, de ne pas essayer de résoudre les problèmes de leurs clients, de contourner, en particulier au sein de l’État, les besoins de leurs clients en passant par des cabinets, par le politique, en tapant sur des niveaux de décision qui ne sont pas des niveaux administratifs et opérationnels. C’est un choix qu’ils peuvent faire, ça peut marcher, ça peut moins marcher. Je pense que ça dépend beaucoup de la personnalité des futurs dirigeants du numérique de l’État.
Arnaud Pessey : Justement là-dessus. Il y a un nouveau ministère, un ministère de la Souveraineté numérique qui fait partie du ministère de l’Économie, en tout cas c’est aujourd’hui une des branches [Ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique]. Il n’y a toujours pas de secrétaire d’État, on ne sait pas s’il y en aura un plus tard, peut-être après les législatives. Qu’en pensez-vous ? Est-ce qu’il est normal que le numérique reste lié, de manière aussi directe, aux enjeux économiques ? N’y aurait-il pas fallu, peut-être, un ministère du numérique ? Certains ont fait un appel [19] là-dessus, qu’il y ait justement un ministère en tant que tel, qu’il vive par lui-même et qu’il puisse toucher toutes les branches du gouvernement.
Nadi Bou Hanna : En fait, pour bien connaître l’État, si vous créez un ministère du numérique, il arrête de servir l’État, c’est-à-dire qu’il devient autonome et il porte sa propre politique. Le vrai enjeu du numérique n’est pas là, il est, au contraire, d’impacter l’ensemble des politiques publiques.
Je pense que ça aurait été une très mauvaise nouvelle d’avoir un ministre du numérique, on peut même se poser la question de si ça vaut le coup pour un secrétaire d’État du numérique, en tout cas pour les besoins de l’État, pour l’économie numérique ; le développement de l’économie numérique est un sujet un peu différent, il peut y voir un enjeu. Le vrai sujet c’est le numérique pour transformer la manière de produire du service public. Si vous cantonnez cet enjeu dans un ministère, vous perdez la dimension interministérielle et l’impact sur l’ensemble du gouvernement et des équipes.
Je suis plutôt hostile à ce qu’on canalise le numérique dans un seul ministère. En revanche qu’il soit vraiment porté, que les décideurs comprennent les enjeux, s’en saisissent et interviennent pour promouvoir la transformation des politiques publiques grâce au numérique, oui, c’est évident et c’est fondamental.
Il sera intéressant, je pense, de s’assurer que le portage politique du numérique, à la fois vers l’État et aussi vers la société, soit endossé par quelqu’un qui a suffisamment d’influence pour intervenir, conseiller ses collègues du gouvernement à se saisir des opportunités numériques.
Arnaud Pessey : Est-ce que c’est un signe positif qu’il y ait ce nouvel intitulé « souveraineté numérique » ?
Nadi Bou Hanna : Oui, indéniablement. Il ne faut pas que ça reste de la comm’, évidemment. Il y a également un autre ministère qui a le terme « souveraineté », j’ai lu ça rapidement et j’ai trouvé que c’était intéressant. Le fait de voir apparaître le terme « souveraineté numérique » à Bercy je pense que c’est la prise de conscience que c’est un enjeu qui a probablement été faiblement adressé jusqu’à présent, qui va être mieux adressé dans le futur. C’est forcément une très bonne nouvelle.
Arnaud Pessey : À votre avis qu’est-ce qui va être fait dans les années à venir sur ce terrain-là ?
Nadi Bou Hanna : Je ne sais pas répondre. Le sujet de souveraineté économique est aussi au cœur des enjeux de Flore que je citais tout à l’heure. On l’a vu dans le domaine énergétique, on l’a vu dans le domaine sanitaire, on l’a vu dans le domaine numérique, l’Europe a besoin de porter sa propre politique en la matière avec des champions, des acteurs dans les territoires qui sont capables de comprendre, de maîtriser les technologies et de les promouvoir à une échelle au moins européenne. Si c’est ça, si l’État crée des conditions favorables à l’essor de ces entreprises françaises et européennes, super, j’applaudis, je pense que c’est vraiment le rôle de l’État de créer des conditions favorables. Après, il ne faut pas oublier que ce n’est pas l’État qui crée la richesse, ce sont les entreprises qui créent la richesse, ça peut être parfois la société civile. L’État ne peut que créer des conditions favorables ou défavorables, ne peut que rebasculer les richesses et les répartir entre les personnes, mais il ne crée pas de richesses.
Si ce ministère se focalise sur la mise à disposition d’un cadre favorable, alors je pense que l’économie va suivre.
La vision de l’Internet de Nadi Bou Hanna
Arnaud Pessey : Super. On a fait le tour de cette partie de l’interview. Aujourd’hui je vais vous inviter à participer à un format qu’on développe, qui s’appelle Internet Explorers, où on essaye de comprendre quel est l’Internet de nos invités, où ils nous partagent leurs coups de cœur, leurs petites habitudes et les recommandations qu’ils auraient. Je voudrais notamment vous demander s’il y a des créateurs sur les réseaux sociaux que vous aimez beaucoup et que vous nous recommanderiez de suivre ?
Nadi Bou Hanna : Je suis désolé de vous décevoir, mais je suis un peu hostile aux réseaux sociaux. J’utilise très peu les réseaux sociaux hormis LinkedIn qui est le réseau social professionnel de référence, sinon je suis vraiment un mauvais client de ces outils.
Arnaud Pessey : Après tout ce qu’on s’est dit c’est vrai que ce n’est pas une surprise de vous entendre dire ça. Vous avez bien, peut-être, un site internet préféré ?
Nadi Bou Hanna : Les sites qui m’intéressent en particulier sont souvent des sites de jeux, de jeux de stratégie, de jeux de société, de coopération. J’aime bien la manière dont ils sont pris justement parce qu’ils essayent de susciter, de faire comprendre le plus vite possible la valeur ajoutée du jeu. En gros, quand vous êtes sur le site, vous avez cinq secondes pour zapper, changer de site ou rester dessus. Ce sont des sites où, en cinq secondes, il faut que vous compreniez s’il faut rester ou pas et si ça va vous intéresser. Je passe pas mal de temps sur des sites de jeux de société, de jeux de stratégie, pour essayer de comprendre les mécanismes de design, d’UX qu’ils ont développé, pour essayer justement de favoriser cette perception en un coup d’œil de la valeur ajoutée.
Arnaud Pessey : Du coup vous allez sur quels sites ?
Nadi Bou Hanna : Je peux citer un vieux site que j’ai beaucoup fréquenté, qui s’appelle Hordes, qui est un site de jeux vidéos dans un univers apocalyptique, post-apocalyptique. Je trouvais que son approche était très intéressante. Je pense que le jeu a fermé depuis.
Arnaud Pessey : Vous aimez bien ces univers-là, je vous ai aussi entendu parler de votre passion pour Matrix.
Nadi Bou Hanna : J’aime beaucoup l’univers du jeu, du jeu de société, du jeu de stratégie. D’ailleurs ça fait presque partie des regrets que je peux avoir. J’aurais aimé pouvoir lancer un éditeur de jeux, je n’ai pas eu l’occasion. J’ai commencé sans m’y consacrer vraiment donc ça n’a pas pu bien se développer. C’est vrai que l’univers du jeu est un univers que j’apprécie tout particulièrement. De manière générale, je pense que l’univers du jeu, au même titre que l’univers de la culture, sont des univers qui contribuent à l’éveil, à l’éveil intellectuel. C’est d’ailleurs une des thématiques de Flore : comment faire en sorte que les gens comprennent ce qui se passe autour d’eux, ne soient pas simplement la cible de matraquage publicitaire, marketing, ne subissent pas ? Pour ne pas subir il faut comprendre et pour comprendre il faut développer des réflexes d’analyse, d’esprit critique, et je trouve que le jeu participe vraiment à ce développement de l’analyse et de l’esprit critique.
Arnaud Pessey : Quelle est l’app la plus improbable et pourtant indispensable que vous avez sur votre téléphone ?
Nadi Bou Hanna : Pour être cohérent avec ce que je viens de dire, ce sont des apps de jeux. J’en citerai deux, une app de bridge qui s’appelle Funbridge et une app qui s’appelle Conspiracy qui est un jeu de diplomatie en ligne.
Arnaud Pessey : Waouh ! Tout un programme ! Votre premier souvenir Internet ?
Nadi Bou Hanna : Ça remonte à tellement longtemps ! Je dois avouer que je ne suis pas capable de le dire. En fait j’ai découvert Internet probablement par l’univers du jeu, ça remonte aux années 90, maintenant ça commence un petit peu à dater, c’est vraiment ça qui m’a donné envie de me plonger dans cet univers.
Arnaud Pessey : Votre vidéo préférée sur Internet ?
Nadi Bou Hanna : Joker. Je suis mauvais public sur Internet.
Arnaud Pessey : Selon vous à quoi Internet ressemblera dans le futur ?
Nadi Bou Hanna : Il y a vrai sujet qui monte en ce moment, c’est du buzzword, évidemment, autour du métavers [20]. Est-ce que demain Internet ne sera-t-il pas le lieu d’interactions sociales, voire le lieu exclusif ou quasi exclusif ? On a tous en tête Ready Player One, même Matrix, des univers de cette nature où le virtuel prend complètement le pas sur le réel. Est-ce qu’Internet ressemblera à ça ? Je vais me battre pour que ça ne ressemble pas à ça. J’espère que nous serons nombreux à faire en sorte que ça ne ressemble pas à ça, même s’il y a quand même un intérêt, je le vois dans le domaine de la formation, même dans l’univers professionnel. Pouvoir se retrouver dans une salle virtuelle, parler avec son voisin et pas uniquement être sur Zoom ou sur Teams dans des lieux désincarnés, ça a quand même un intérêt en particulier pour des entreprises qui essaient de développer le full remote, les nouvelles pratiques de travail hybride.
Arnaud Pessey : Que pourrait devenir l’Internet que vous aimeriez voir ?
Nadi Bou Hanna : Ça fait un peu vieux con, mais je pense qu’on ne reviendra pas à l’Internet du début où l’anonymat était la règle, où la liberté d’accès aux ressources était courante. En revanche il faut garder ses réflexes. Il y a encore des possibilités, il y a encore des zones de non interdit, je citais l’exemple de la possibilité d’installer Windows sans créer de compte en ligne. Il y a encore ces possibilités, il faut se battre pour que subsistent l’anonymat, l’accès en VPN, le chiffrement systématique de ses données, pour la préservation de ces îlots d’autonomie personnelle.
Arnaud Pessey : Super.
Je vais reprendre le fil de notre interview avec des questions peut-être plus personnelles sur vous. On a parlé de votre aventure au sein de l’État et des questions à l’échelle de l’État, mais vous, en tant qu’expert du numérique à l’échelle personnelle, quelles sont les craintes pour votre vie en ligne ? Quels sont les moyens de se protéger que l’on peut utiliser ?
Nadi Bou Hanna : Je pense que le premier sujet c’est comprendre, comprendre les outils, là aussi c’est un réflexe basique d’ingénieur. Comprendre les machins qu’on nous met entre les mains, les terminaux, les réseaux qui sont derrière, les applications, je pense que c’est fondamental. Je trouve en particulier que les élèves, les collégiens, les lycéens, les étudiants, ne comprennent pas, en tout cas on ne leur apprend pas suffisamment ce qui se passe, ce qu’est un serveur, ce qu’est une application, ce qu’est une base de données, comment on se protège, qu’est-ce qu’on met à disposition des uns et des autres. Du coup c’est une génération qui est extrêmement à l’aise avec les outils et les services mais qui, sans doute, n’a pas développé l’esprit critique de la génération précédente et aussi une certaine forme de réserve.
Pour prendre un exemple personnel, je trouve qu’il est fondamental d’avoir des règles : le téléphone ne rentre pas dans la chambre à coucher, le téléphone n’est pas à table, lorsqu’on déjeune avec ses enfants on en profite pour en faire un évènement de partage. Ce sont des règles qui se perdent progressivement, je pense que c’est dommage. Si on veut garder la maîtrise des outils, il faut revenir à quelques basiques, quelques fondamentaux qui consistent à garder le pouvoir sur les outils et ne pas subir le pouvoir des outils. Je pense que c’est vraiment la clef pour les années à venir, faire en sorte qu’il y ait un développement, une prise de conscience dès le plus jeune âge – ça passe par les parents, ça passe par l’école – de la nécessité de maîtriser l’outil numérique, informatique et pas simplement considérer que c’est un objet magique qu’on a envie d’utiliser matin, midi et soir.
Arnaud Pessey : Ce petit objet avec un bel écran, tout noir, un petit peu magique justement où tout est fait pour ne pas être accessible, comment fait-on quand on grandit dans cet univers-là où finalement tout est fait par les constructeurs pour nous empêcher de comprendre comment ça marche ? Comment fait-on pour garder ou développer cet esprit critique qui était le propre des débuts d’Internet où finalement c’était beaucoup plus accessible ?
Nadi Bou Hanna : Ça reste possible. Sur son micro-ordinateur, son PC, c‘est de plus en plus difficile. C’est très difficile avec son smartphone parce qu’on est vraiment dans des univers complètement verrouillés, où toutes les couches sont possédées par un seul acteur. Quand vous avez un seul acteur qui maîtrise toute la chaîne, il n’est pas obligé d’ouvrir des interfaces, du coup de documenter, de rendre transparente la manière d’échanger avec son outil puisque c’est lui qui maîtrise toute la chaîne. Quand vous êtes dans des environnements plateforme, c’est-à-dire que vous ne maîtrisez pas toute la chaîne, que vous maîtrisez un bout puis vous ouvrez des API, ce qu’on appelle des interfaces informatiques vers les autres systèmes, en fait vous ouvrez aux autres et vous créez des chaînes de dépendance documentées.
Vous avez raison, il y a un vrai problème. Aujourd’hui, sur les smartphones, il n’y a pas d’écosystème ouvert qui permette à différents acteurs de rentrer, qui force, du coup, les acteurs dominants que sont Google et Apple à documenter ce qu’ils ont fait, à le rendre transparent et à nous assurer ensuite – c’est le travail des journalistes, des experts – que les promesses sont bien tenues.
Arnaud Pessey : Aujourd’hui qui a le contrôle et qui se fait contrôler ?
Nadi Bou Hanna : C’est difficile de répondre à cette question parce que c’est une chaîne. Il y a des suspicions permanentes. On sait aujourd’hui qui ne contrôle pas. On ne sait pas qui contrôle, on sait qui ne contrôle pas, l’utilisateur ne contrôle plus, le client ne contrôle plus sauf lorsqu’il garde la main sur les outils et qu’il s’assure, parce qu’il a les bonnes équipes pour ça, qu’il n’y a pas des backdoors, qu’il n’y a pas des intrusions, etc., que ses équipes sont également de confiance ; l’utilisateur perd progressivement le contrôle. Si lui le perd ceux qui l’ont sont ceux qui fournissent les solutions.
Flore, une communauté d’entrepreneurs à impact
Arnaud Pessey : Et vous, justement, avec ce nouveau projet Flore ? On a parlé de votre expérience, on a parlé de vos prises de position qui vous amènent aujourd’hui à lancer ce projet-là. Est-ce que vous pouvez nous expliquer comment il réunit, finalement, tous vos combats et vos expériences qui vous amènent jusqu’ici ?
Nadi Bou Hanna : Vous avez raison d’utiliser ce terme « réunir tous mes combats ». Flore [21] c’est vraiment ça, c’est la constitution d’un écosystème d’entrepreneurs. En fait il y a trois raisons qui nous ont amené à lancer Flore.
La première c’est celle de l’intérêt général. C’est un fil conducteur dans mon parcours. Mes deux camarades, qui ont rejoint l’aventure, ont également ce fil conducteur : soutenir des projets d’intérêt général, des projets à impact, c’est un premier élément je dirais fondamental.
Le deuxième élément c’est celui de la souveraineté économique française et européenne. Les projets que nous allons soutenir sont des projets qui contribuent à développer cette souveraineté.
Le troisième élément. Je commence à avoir un peu d’expérience maintenant, je dirais, je suis dans un état d’esprit, et c’est la même chose pour mes camarades, de transmission progressive, de passage de témoin vers les nouvelles générations d’entrepreneurs.
C’est vraiment la somme des trois qui nous a amenés à lancer ce collectif, c’est un écosystème d’entrepreneurs.
Concrètement qu’est-ce que l’on fait ? On prend par la main des entrepreneurs qui ont des idées, qui ont un début d’équipe, qui ont envie de travailler sur un projet d’intérêt général, qui ont envie de créer de la valeur en France, on les prend par la main et on les aide. On les aide à éclore, on finance une partie de leur R&D, on leur apporte du mentorat, on leur apporte des ressources mutualisées. Finalement ce que j’ai fait au sein de l’État avec la DINUM, savoir constituer cet écosystème interministériel où on travaille pour le compte de l’ensemble des ministères, quelque part c’est la même chose transposée à l’univers des petites entreprises, ce n’est plus de l’interministériel, c’est de l’interentreprises. On crée des ressources interentreprises, on mutualise des fonctions de communication, de gestion, de business-développement, donc de chasse commerciale, des ressources techniques et on les met à disposition de ces entrepreneurs pour qu’ils puissent se focaliser sur leur cœur de métier. On essaye d’avoir ce cœur de métier dans quelques thématiques qui nous intéressent tout particulièrement, celle de la transformation numérique des territoires et de l’économie ; la thématique du développement durable et de l’alimentation, on voit bien que c’est un sujet sur lequel la souveraineté est encore à approfondir ; le domaine des services aux personnes vulnérables, faire en sorte qu’on n’ait pas une partie de la population qui soit, qui ait l’impression d’être laissée pour compte et qui, ensuite, va se tourner vers des extrêmes, qu’ils soient politiques ou qu’ils soient personnels.
Le quatrième domaine c’est celui de la connaissance, c’est ce qu’on appelle l’éveil intellectuel. Sans surprise on va retrouver le jeu, la culture et l’éducation.
Tous les projets qui relèvent d’un de ces domaines, qui sont portés par un entrepreneur basé en France, qui a envie de créer de la R&D, qui a envie de créer son produit en France ou en Europe, nous pouvons potentiellement aider.
Arnaud Pessey : Super. Pourquoi ça s’appelle Flore ?
Nadi Bou Hanna : Flore quelque part c’est, comment dire, le référentiel végétal. Le référentiel végétal c’est une diversité d’espèces, elles aspirent toutes à la lumière, mais elles ont des développements qui vont être chaotiques, qui vont être différents. Elles visent toutes à rendre fertiles des espaces infertiles. Finalement cette image de la nature transposée dans l’univers de l’entreprenariat me plaisait beaucoup et j’avais effectivement vraiment envie d’aider ces petites pousses à grandir un peu partout en France et à contribuer au bien commun.
Arnaud Pessey : Ça se tient. Je savais que c’était une bonne idée de vous demander pourquoi ça s’appelle Flore, il y a toujours une idée assez profonde qui illustre très bien la raison d’être des entreprises, c’est très intéressant.
Nous avons créé CTRL parce que nous sommes dans une démarche personnelle de reprise du contrôle sur nos vies numériques. Quels outils nous conseilleriez-vous, quelles alternatives nous conseilleriez-vous à utiliser, à privilégier, nous et nos auditeurs qui sont dans la même démarche que nous pour, justement, reprendre le contrôle de nos vies numériques ?
Nadi Bou Hanna : Vous l’avez compris, ne pas créer un compte Windows 11 en ligne pour commencer.
Il y a quelques réflexes de base à avoir :
- déployer un VPN [Réseau privé virtuel] à quelques euros par mois pour protéger ses communications depuis son smartphone et son PC ;
- déployer un outil comme VeraCrypt [22] qui est un logiciel open source codé par un ingénieur extrêmement brillant qui est mis à disposition de tout le monde pour chiffrer ses données ;
- utiliser KeePass [23] pour protéger ses mots de passe et éviter d’utiliser tout le temps le même sur tous les sites parce que c’est le meilleur moyen de compromettre toute sa chaîne de confiance. Une fois qu’un mot de passe est compromis ce sont tous les autres, qui sont les mêmes, qui sont évidemment compromis ;
- ne pas mettre ses fichiers en libre accès sur des clouds publics. Concrètement je pense qu’il vaut mieux configurer un outil comme SyncBack [24] qui permet d’automatiser la réplication de ses fichiers entre son disque dur et un cloud européen qui pourrait être retenu. Là aussi c’est quelques euros par mois.
Garder le contrôle coûte quelques euros par mois. La question c’est est-ce que ça vaut le coup de le faire ? Ma conviction c’est que c’est fondamental de le faire.
Arnaud Pessey : Est-ce que ce ne serait pas ça qui serait intéressant de faire avec Flore ? Proposer une offre commune pour quelques euros où, justement, on a accès à toute cette série de services ?
Nadi Bou Hanna : Si un entrepreneur se lance avec ce rêve on l’aidera volontiers.
Arnaud Pessey : Très intéressant. OK. On a encore besoin de vos conseils, je ne vous lâche pas tout de suite. Quels seraient vos conseils de lecture, de documentaires ou de films pour mieux comprendre quels sont les enjeux aujourd’hui avec le numérique ?
Nadi Bou Hanna : Peut-être deux livres. J’ai été impacté par La Fabrique du crétin digital, ça remonte à 2019. C’est un directeur de recherche de l’Inserm dont le nom m’échappe [Michel Desmurget] qui l’a écrit, je trouve que c’était quand même assez en résonance avec ce qu’on s’est dit aujourd’hui, d’ailleurs ça faisait suite à La fabrique du crétin [Jean-Paul Brighelli], un livre qui remonte à 2005, qui montre comment l’école a un peu perdu de vue le développement ou l’éveil de l’enfant au fil des années. C’est intéressant de les lire, il faut évidemment avoir un peu d’esprit critique, mais je pense que c’est quand même intéressant d’avoir ces références en tête.
Arnaud Pessey : Est-ce qu’il y a des films qui vont ont marqué ou des documentaires ?
Nadi Bou Hanna : Je suis un fan inconditionnel de Matrix, c’est une certitude.
Arnaud Pessey : Pilule rouge ou pilule bleue ?
Nadi Bou Hanna : Je pense qu’il faut tester les deux, en fait, c’est probablement intéressant. J’aime beaucoup l’univers, je l’ai cité tout à l’heure, de Ready Player One. Ça ressemble probablement à quelque chose qui va se passer dans quelques décennies, la question c’est comment on garde le contrôle de cet univers qui se profile.
Arnaud Pessey : Très belle ouverture pour la suite. Peut-être qu’on se reverra et qui sait ! Quel est le réalisateur de Ready Player One d’ailleurs, c’est un gros.
Nadi Bou Hanna : Oui, je vais peut-être dire une bêtise mais je crois que c’est Spielberg.
Arnaud Pessey : Oui, je crois. C’est peut-être des gens comme ça qu’il faut recevoir pour parler de l’avenir d’Internet qui souvent, malheureusement, anticipent notre réalité.
En tout cas merci beaucoup Nadi Bou Hanna, c’était un super échange, je pense qu’on a appris pas mal de choses. Merci aussi de nous avoir dit quelques vérités sur votre passage à la DINUM, des choses très intéressantes à en tirer.
On vous retrouve très bientôt pour un prochain épisode avec un nouvel acteur du numérique qui lui aussi s’engage pour reprendre le contrôle de nos vies numériques.
Nadi Bou Hanna : Merci beaucoup pour votre invitation, c’était très sympa.
Arnaud Pessey : Merci. Au revoir.