Intervention de Guillaume Poupard

Il ne m'appartient pas de me prononcer sur la question de la domination de l'Internet, d'autant que la réponse est évidente pour tout le monde.

L'Internet ne constitue pas pour nos applications militaires le support naturel de nos échanges d'informations. Cela serait pourtant pratique et peu cher, mais nous utilisons des satellites et des moyens de radio « propriétaires » – dont le développement s'avère coûteux – car ils nous procurent une confiance dans nos moyens de communication que l'Internet et le GSM ne nous garantissent pas.

Nous ne souhaitons pas maîtriser la conception de l'ensemble des matériels – depuis les transistors jusqu'aux applications logicielles – et, de toute façon, nous ne le pouvons pas. Le travail d'architecture que nous menons vise à déterminer ce qu'il nous faut développer nous-mêmes – ou commander à un partenaire industriel de confiance – pour maîtriser le système que l'on utilise. Nous ne fabriquons plus de microprocesseurs, mais nous produisons des composants électroniques de sécurité et nous intégrons les algorithmes cryptographiques que nous développons dans des puces dont nous surveillons la conception et la réalisation. C'est dans ces domaines que nous concentrons nos besoins de souveraineté ; nous maîtrisons donc certains éléments et nous analysons ce qui nous échappe, afin de disposer de systèmes globalement sécurisés. En outre, ce n'est pas parce que tout n'est pas maîtrisé que le système dans son ensemble ne disposera pas d'un bon niveau de sécurité. L'opinion commune selon laquelle la sécurité d'un système équivaut à celle du plus faible de ses composants s'avère heureusement fausse.

Nous maîtrisons mieux certains logiciels que d'autres, nous ne possédons pas toujours les sources, mais nous n'en avons pas toujours besoin, car leur lecture est complexe et leur lien avec le produit final pas toujours garanti. En revanche, il faut être capable de vérifier la qualité de certaines fonctions de sécurité, ce qui nécessite des compétences et le droit d'y procéder ; le code de propriété intellectuelle n'autorise en effet la rétroconception des logiciels que pour des raisons d'interopérabilité et non de sécurité. Une évolution légale autorisant l'État à effectuer cette rétro-analyse serait ainsi utile.

Nous travaillons au renforcement des liens avec la recherche académique et nous avons déjà développé des relations étroites avec l'INRIA – nous disposons ainsi d'une convention spécifique pour des thèses en cyberdéfense. Des financements de thèses dans des laboratoires tel que celui dit de haute sécurité informatique à Nancy existent par ailleurs, notamment dans le domaine de la virologie. Cela étant, il y a beaucoup de sujets intéressants, un peu moins de chercheurs de haut niveau – car le sujet de la cyberdéfense est récent dans le monde académique – et encore moins de doctorants pouvant ensuite être habilités dans le monde de la cyberdéfense française.