4 Mai, 2026
Audition à l’AN de Vincent Strubel (DG ANSSI) : Vulnérabilités systémiques dans le secteur du numérique (30 avr. 2026)
Veille cyber, IA et Stratégie , , , , , , , , , , , , , ,

Synthèse exécutive

L’audition de Vincent Strubel met en évidence une idée centrale : la souveraineté numérique est avant tout une question de maîtrise des risques liés à nos dépendances, et non une opposition simpliste entre acteurs “amis” ou “ennemis”.

Elle repose sur trois piliers indissociables :

  • Cybersécurité : le numérique actuel est structurellement vulnérable (explosion des failles, complexité, dépendances mal cartographiées). La menace s’intensifie, notamment via les chaînes d’approvisionnement (prestataires, logiciels, cloud). La priorité est la généralisation des bonnes pratiques et une meilleure connaissance des systèmes.
  • Droit : les législations extraterritoriales (Cloud Act, lois chinoises…) créent des risques réels d’accès ou de contrôle sur les données et services. Il n’existe pas de solution purement technique à ces risques. Des dispositifs comme SecNumCloud permettent aujourd’hui d’apporter le meilleur niveau de protection disponible, en s’appuyant sur des opérateurs soumis au droit européen.
  • Liberté de choix technologique : l’absence d’alternatives crédibles crée des dépendances critiques. L’enjeu n’est pas l’autarcie, mais la capacité à éviter les situations de monopole et à disposer de marges de manœuvre. Cela implique une politique industrielle, mais aussi une vigilance sur la concentration du marché et les acquisitions étrangères.

Messages clés pour la décision publique

  1. Pas de solution simple ni rapide
    Les dépendances numériques sont le résultat de 30 ans de construction. Leur réduction nécessite des investissements importants, du temps et des arbitrages assumés (coût, performance, sécurité).
  2. Approche par les risques, pas par la nationalité seule
    La bonne grille de lecture est : quels leviers peuvent être utilisés contre nous ?
    La nationalité compte, mais elle doit être analysée dans toute la chaîne de valeur.
  3. Le cloud est un point critique mais non isolé
    Les garanties actuelles (SecNumCloud) permettent de limiter les risques juridiques immédiats (accès aux données, coupure de service), mais ne résolvent pas la dépendance structurelle aux technologies étrangères, notamment pour les mises à jour.
  4. Risque systémique de monoculture technologique
    La concentration autour de quelques solutions dominantes accroît la vulnérabilité globale (exemple : panne mondiale liée à une mise à jour). La diversification est un enjeu de sécurité.
  5. Capacité française et européenne réelle mais fragmentée
    L’écosystème cyber est de qualité, mais trop morcelé. Le défi est d’atteindre une taille critique sans recréer de nouveaux monopoles.
  6. L’IA est un facteur d’accélération des risques et des capacités
    Elle va faciliter la découverte et l’exploitation de vulnérabilités. À terme, elle doit être intégrée dans tout le cycle de développement logiciel, mais pose aujourd’hui un problème majeur : on ne sait pas encore certifier sa sécurité.
  7. Autonomie relative mais pas autarcie
    La France dispose d’une capacité autonome d’analyse de la menace cyber, tout en bénéficiant de coopérations internationales utiles. L’objectif n’est pas de couper ces dépendances, mais de ne pas en être tributaire.

Conclusion

La souveraineté numérique ne peut être atteinte ni par des choix purement technologiques, ni par des décisions rapides. Elle repose sur une gestion stratégique des dépendances, combinant régulation, cybersécurité, politique industrielle et coopération européenne, avec une contrainte forte : accepter des coûts et une complexité accrus pour réduire des risques systémiques.

La vidéo :

Synthèse des échanges :

Propos liminaire de Vincent Strubel

Vincent Strubel définit la souveraineté numérique autour de trois piliers : la cybersécurité, l’application de notre droit, et la liberté de choix technologique.

Sur la cybersécurité, il estime que la France fait face à un numérique construit trop vite, avec trop de vulnérabilités, trop peu de traçabilité et des dépendances mal maîtrisées. Les attaques passent de plus en plus par la chaîne d’approvisionnement : prestataires informatiques, cloud, composants logiciels, open source. Il insiste sur la nécessité de cartographier les systèmes d’information et de développer des outils comme les SBOM, sortes de “listes d’ingrédients” du logiciel.

Sur le droit, il alerte sur les risques liés aux droits extraterritoriaux, notamment américains ou chinois : accès aux données, injonctions, coupures de service ou “kill switch”. Il estime que le chiffrement ne suffit pas contre ces risques. La nationalité du fournisseur compte, mais ne suffit pas : il faut regarder toute la chaîne de valeur. SecNumCloud est présenté comme le meilleur outil disponible pour maîtriser ces risques dans le cloud.

Sur la liberté de choix, il souligne que l’absence d’alternatives crée des dépendances, y compris pour l’ANSSI elle-même lorsqu’elle enquête sur un cloud, un téléphone ou certains outils de cybersécurité. Il défend une politique industrielle permettant plus d’alternatives, sans viser l’autarcie. L’open source est utile, mais n’est pas une solution magique : il faut l’auditer, le maintenir et le financer.

Il conclut que la reconquête de souveraineté numérique est indispensable mais complexe, longue et coûteuse. Selon lui, ceux qui promettent des solutions simples sous-estiment la profondeur des dépendances accumulées depuis trente ans.

Question Latombe : dépendance aux équipements réseaux chinois ou américains

Philippe Latombe (Président de la Commission) interroge Strubel sur les réseaux, les routeurs et équipements télécoms, dans un contexte où les États-Unis veulent exclure les équipements chinois, tandis que l’Europe hésite à traiter les équipements américains de la même manière.

Strubel répond que les réseaux sont des infrastructures critiques trop souvent oubliées derrière l’IA ou le cloud. La loi française de 2019 sur la 5G n’était pas une loi anti-Huawei, mais une loi contre toute ingérence non européenne. Pour lui, la bonne grille n’est pas “amis ou ennemis”, mais “quels leviers juridiques ou techniques peuvent être utilisés contre nous ?”. Les choix réseaux engagent sur vingt ou trente ans ; il serait donc dangereux de raisonner uniquement à partir des alliances géopolitiques du moment.

Question Chatelain : objectiver les risques, outils cyber américains, acteurs politiques privés

Cyrielle Chatelain (Rapporteuse de la Commission) demande comment objectiver les risques d’ingérence, si les outils cyber de pointe sont surtout américains, et comment regarder des entreprises comme Palantir qui prennent des positions politiques.

Strubel répond qu’il faut appliquer une analyse de risque classique : identifier les risques, leur vraisemblance, les contre-mesures et leur efficacité. Cette analyse varie selon les domaines : cloud, 5G, logiciels, etc.

Il conteste l’idée que seuls les outils américains seraient à l’état de l’art. Selon lui, la France et l’Europe disposent de bonnes solutions cyber, souvent qualifiées par l’ANSSI. Il alerte en revanche sur la “monoculture” technologique : choisir tous les mêmes solutions dominantes crée un risque systémique, comme l’a montré la panne mondiale liée à une mise à jour d’un outil cyber avant les Jeux olympiques.

Sur Palantir et les grandes entreprises numériques politisées, il refuse l’analyse politique mais rappelle un principe : une entreprise n’est pas un législateur. Elle ne peut pas décider quelles règles publiques seraient applicables ou non.

Question Latombe : concentration du marché cyber et rachats étrangers

Latombe demande comment l’ANSSI regarde les acquisitions d’acteurs cyber français par des groupes étrangers, notamment américains.

Strubel répond que l’ANSSI est saisie quotidiennement dans le cadre du contrôle des investissements étrangers en France lorsqu’une entreprise cyber est concernée. Elle peut donner un avis sur les risques et s’opposer à certaines acquisitions si elles touchent des solutions critiques pour l’État, les OIV ou des fonctions régaliennes.

Il ajoute que l’ANSSI contribue aussi à identifier les “pépites” à protéger. Mais il distingue deux risques : d’un côté, éviter les monopoles ; de l’autre, permettre aux acteurs français et européens d’atteindre une taille critique. Le marché cyber français est parfois trop morcelé, ce qui rend les offres moins faciles à acheter et intégrer que celles des grands acteurs mondiaux.

Question Chatelain : SecNumCloud, chiffrement, OIV, cloud hybride et kill switch

Chatelain demande pourquoi le chiffrement ne protège pas du Cloud Act, si les OIV devraient obligatoirement utiliser SecNumCloud, et comment fonctionnent les garanties des offres dites hybrides.

Strubel explique que dans le cloud, les données peuvent être chiffrées, mais le fournisseur a souvent aussi accès aux clés nécessaires au traitement. Le “confidential computing” progresse, mais ne permet pas encore de se passer de la confiance dans l’opérateur cloud.

SecNumCloud ne protège donc pas contre l’opérateur lui-même : il impose que cet opérateur soit européen et soumis prioritairement au droit européen. Il protège contre les tiers, sous-traitants et fournisseurs technologiques.

Sur les offres hybrides, comme S3NS avec technologie Google, il explique que le fournisseur technologique n’exploite pas directement le service et n’a pas accès aux données. Le risque de kill switch direct est donc maîtrisé. En revanche, aucun acteur européen ne saurait aujourd’hui tenir indéfiniment sans mises à jour américaines ou non européennes.

Pour les OIV, il affirme clairement : si un système d’information d’importance vitale est mis dans le cloud, il doit être hébergé dans un cloud SecNumCloud.

Question Chatelain : mises à jour des clouds hybrides et accès au code

Chatelain demande comment sont traitées les mises à jour dans les partenariats franco-américains : qui les applique, qui les vérifie, et si l’entreprise française a accès au code.

Strubel répond que, dans le cas de S3NS, les équipes françaises ont la capacité d’inspecter les mises à jour, de les tester et, le cas échéant, d’accéder au code source. Il précise que cela ne garantit pas la détection de toutes les vulnérabilités, mais crée un vrai droit de regard.

Il ajoute que cette capacité à comprendre et maîtriser des technologies américaines est en soi utile : elle donne aux acteurs européens une compétence technique et une capacité d’analyse qu’ils n’auraient pas autrement.

Question Latombe : autonomie de l’ANSSI en renseignement cyber

Latombe interroge Strubel sur la dépendance de l’ANSSI aux renseignements cyber américains, dans un contexte où la stratégie cyber américaine évolue.

Strubel répond que l’ANSSI dispose de plusieurs sources : ses propres observations sur les réseaux de l’État, ses enquêtes après incident, les services de renseignement français, le secteur privé, et les partenaires étrangers.

Il reconnaît que les échanges avec les États-Unis, le Royaume-Uni et les Européens restent précieux, mais affirme que la France n’est pas dépendante de ces flux. L’ANSSI a sa propre compréhension de la menace et peut détecter en autonomie des attaques significatives.

Question Chatelain : fréquence des mises à jour, modèle allemand et notation de souveraineté

Chatelain revient sur les mises à jour cloud, puis interroge Strubel sur l’approche allemande plus granulaire de la souveraineté cloud.

Strubel explique qu’un cloud reçoit un flux permanent de mises à jour, car il fournit non seulement de l’infrastructure, mais aussi des milliers de logiciels : systèmes d’exploitation, bases de données, services applicatifs, etc. Ce flux existe pour tous les clouds, hybrides ou non.

Sur l’approche allemande, il dit que les divergences avec la France portent moins sur les critères que sur la manière de les vérifier. La France privilégie une certification lourde, SecNumCloud, qui donne une garantie forte sur certains risques. Les approches par score ou barème sont utiles pour mesurer un niveau de dépendance, mais ne suffisent pas à couvrir un risque juridique précis comme le droit extraterritorial.

Question Latombe : IA, “Mythos” et certification cyber

Latombe demande si l’ANSSI a évalué “Mythos” et si l’IA va être intégrée dans les certifications, le pentest et la recherche de failles.

Strubel répond que l’ANSSI n’a pas eu accès directement à Mythos et ne l’analyse qu’à travers les informations disponibles. Il considère que ce n’est pas une rupture absolue, mais une étape importante dans une progression rapide des capacités de l’IA.

Selon lui, l’IA va aider les attaquants à trouver des vulnérabilités et à produire du code d’exploitation. Mais il faut surtout l’utiliser en amont pour produire du logiciel plus sûr, pas seulement pour corriger plus vite des vulnérabilités après coup. Il évoque l’idée qu’un futur règlement européen puisse imposer l’analyse des produits numériques par IA avant leur mise sur le marché.

Question Chatelain : code généré par IA et politique industrielle cyber

Chatelain demande si le code généré par IA risque d’accroître les vulnérabilités, puis interroge Strubel sur France Relance et les outils de soutien à la filière cyber.

Strubel répond que l’IA pose un problème majeur d’évaluation : on ne sait pas encore certifier une IA avec le même niveau de garantie qu’un logiciel classique. On ne sait pas toujours distinguer un comportement anormal dû à une attaque d’une simple hallucination. Une IA ne se “patche” pas comme un logiciel ; il faut parfois la réentraîner.

Sur le code généré par IA, il craint des risques systémiques : les humains font des erreurs différentes, mais une IA largement utilisée peut reproduire massivement les mêmes erreurs.

Sur France Relance, il tire un bilan très positif. L’ANSSI a mobilisé environ 176 millions d’euros, dont 100 millions pour accompagner près d’un millier de petites structures publiques : collectivités, établissements de santé, établissements d’enseignement. Ces dispositifs ont renforcé leur cybersécurité et bénéficié majoritairement à des prestataires français ou européens.

Plus d’infos ?

Vous souhaitez savoir si nos services professionnels pourraient convenir à votre entreprise ?

Prenez rendez-vous avec nos experts pour une consultation de sécurité sans engagement.

Plus d’infos ? Des questions ? Contactez-nous !

Partagez cette page via :