« La Russie organise des attaques numériques, tente de manipuler nos opinions avec des mensonges diffusées sur les réseaux sociaux », affirmait il y a quelques jours Emmanuel Macron. Plus récemment, c’était au tour de Vincent Strubel, le patron de l’ANSSI, de déclarer que la Russie était une « menace particulière dans le cyberespace ». Dans ce contexte extrêmement tendu, comment mesurer l’ampleur du danger ?
Catégorie
🗞
NewsTranscription
00:00Et voilà, c'est le grand débrief de Smartech, on parle de l'ActuTech aujourd'hui avec autour de la table Jean-Baptiste Kempf.
00:09Bonjour Jean-Baptiste, fondateur du génial VLC bien évidemment, mais actuel directeur de l'innovation et des technologies chez Scaleway.
00:18Bienvenue Jean-Baptiste, à côté de vous Jean-Noël Degalzin, PDG fondateur de Wallix, et puis également président d'ExaTrust, l'équipe de France de la cyber.
00:28Pas tout seul, mais une bonne partie, les meilleurs.
00:31Et enfin avec nous, Eric Lequelenec, bonjour. Bonjour.
00:34Bonjour maître, avocat, spécialiste en droit du numérique associé au cabinet, flitchy, grand G, bienvenue à tous les trois.
00:42Donc on va confronter nos points de vue sur plusieurs sujets, notamment cette menace cyber russe qui est là, nous dit le président Emmanuel Macron.
00:50Alors on va voir, est-ce que l'Union Européenne est plus vulnérable aujourd'hui dans ce contexte géopolitique nouveau ?
00:56Et cette nouvelle approche, surtout américaine, de la question.
00:59On va parler aussi du projet de loi résilience et renforcement de la cybersécurité, mais on commence avec la vérification de l'âge.
01:07Et deux sites X qui se refusent à mettre en application ce nouveau dispositif de vérification qui est imposé désormais à tous les sites de l'Union Européenne.
01:18Pour lancer la discussion, on est connecté avec Henri Grelet. Bonjour Henri.
01:23Bonjour.
01:24Vous êtes directeur des opérations du groupe Dorcel. Déjà, parce qu'on ne va pas vous faire tout de suite commenter la décision de vos concurrents,
01:31moi je voulais déjà connaître, vous, votre propre regard sur cette arrêtée interministérielle, sur cette nouvelle obligation qu'ont les sites pornographiques de vérifier l'âge,
01:41moyennant des dispositifs qui ont été vraiment très précisés dans le texte et qui imposent un double anonymat.
01:51Exactement. En fait, c'est un peu ça la nouveauté, puisque l'obligation de protéger les mineurs à l'accès aux sites pornos existe depuis plus longtemps que ça.
02:01Il y avait une première version de la loi SREN en 2020, si je ne me trompe pas, et qui déjà nous imposait ça.
02:06Nous, de notre côté, on n'a aucun problème avec ça. On est vraiment pro la liberté des adultes à accéder à notre contenu, mais en contrepartie à protéger les mineurs.
02:19On estime que c'est notre responsabilité, c'est la responsabilité des entreprises qui font commerce de ce genre d'activité, de porter cette protection par rapport à notre contenu qui, en effet, ne doit pas être accessible à tout le monde.
02:32Mais vous avez fait quel choix technologique alors ?
02:34On en a plusieurs, puisqu'il y a une différence de fait par le marché, qui est que nous ne diffusons que du contenu payant.
02:44Ce qui fait que, déjà, si on compare par rapport à des tubes, ce qu'on appelle des tubes, qui sont donc les sites sur lesquels on peut accéder à du contenu gratuitement.
02:54Donc nous, par le fait de payer, on estime déjà qu'il y a une protection qui se met en place, puisque c'est déjà très limitatif, on va dire, en termes de public qui accède à notre contenu.
03:06Donc il n'y a aucun contenu porno qui est accessible avant de payer. Donc déjà, ça, c'est une première étape. Deuxième étape...
03:13Après, les mineurs ont des cartes bancaires aussi.
03:16En l'occurrence, on s'est rapproché de nos PSP pour couper les cartes prépayées, pour justement éviter une partie encore.
03:25Je vous confirme, il va rester quelques trous dans la raquette, mais on limite au maximum, on va dire.
03:31Deuxième chose, on a mis depuis longtemps un service d'IoT, pour ne pas citer, qui est un des gros du marché,
03:39qui fait de l'estimation d'âge avec le visage, avec une prise d'image du visage.
03:46— Reconnaissance faciale ? — Oui, exactement. Et donc on utilise ça pour certaines de nos opérations aussi. On a ça en place sur déjà une partie de nos sites.
03:58— Alors là, ce qui est un peu différent, c'est que ces obligations, elles s'imposaient aux sites français, s'imposaient aux sites en dehors de l'UE.
04:05Désormais, même les sites au sein de l'UE y sont confrontés. Et donc on a le groupe ILO, derrière qui on retrouve les grands sites que tout le monde connaît,
04:16YouPorn et Pornhub, qui disent que ces solutions qui sont imposées aujourd'hui par la France, elles sont inefficaces et dangereuses.
04:26Dangereuses, nous disent-ils, pour la vie privée, mais aussi même pour la sécurité. Je voulais faire réagir avant de vous faire réagir,
04:31mais en plateau, déjà, sur ce point de vue. M. Cybersécurité, Jean-Noël Dugasin.
04:37— En fait, les systèmes de protection, ils existent déjà dans le jeu en ligne. Ils existent dans la banque. Enfin il y a plein de choses qui existent.
04:45Donc aujourd'hui, j'ai envie de dire... Bon, c'est bien de... Au moins, comme c'est dit là, que l'industrie qui est concernée saisisse du sujet.
04:55— Et aujourd'hui, on a tout un arsenal réglementaire pour regarder s'il y a bien une protection des données, si les systèmes sont en place.
05:01On est en train de mettre en place des réglementations pour amener les entreprises à s'équiper avec des produits.
05:07Enfin je veux dire, l'arsenal existe, les solutions existent. Et moi, je conseillerais...
05:11— Oui, mais ce qui est vrai, c'est qu'on va collecter quand même beaucoup plus de données personnelles. — Oui, justement. Justement.
05:15C'est là où je pense que la dimension supplémentaire à mettre en place... Et je pense que les autorités, si elles préconisent quelque chose,
05:23elles doivent préconiser ça. C'est d'utiliser des solutions qui sont des solutions européennes, qui sont par essence, par design, certifiées,
05:33on va dire créées, designées selon nos règles, avec nos lois, et particulièrement une attention particulière sur les données. Voilà.
05:44C'est-à-dire des clouds. Pourquoi pas des clouds européens, des clouds Secnum Cloud, des clouds sécurisés, des clouds peut-être AI+...
05:52lorsque les réglementations européennes seront passées en ce sens. Bref, il faut que si on veut protéger les plus jeunes et protéger ces données-là,
06:02la réglementation la plus pointue au monde et les solutions les plus pointues au monde, ce sont les solutions européennes. Voilà.
06:09Après, les solutions, elles existent. Il n'y a qu'à aller voir chez Exatreuse, chez nos équivalents européens. Il y a plein de solutions industrielles pour ce faire.
06:17Oui, mais il y a plein d'attaques aussi. Enfin, on est dans un monde de grande insécurité. Ce que disent aussi ces groupes, c'est le plus efficace,
06:25c'est finalement de faire la vérification directement depuis l'appareil. En fait, c'est le contrôle parental, quoi. Jean-Baptiste ?
06:31On revient aux parents. Oui. Alors, moi, je suis un peu d'accord, en fait, sur la partie le meilleur, quand même. Le meilleur, c'est quand même les parents.
06:38Mais moi, je pense que tout ça, c'est assez inefficace parce qu'en fait, le contenu, il se déplace. Et donc, le contenu, en fait, il s'est déjà déplacé.
06:47C'est-à-dire qu'on ne parle pas de dorsel parce que dorsel, effectivement, c'est du premium. Il y a la partie de la carte bleue. Et il y aura des trous.
06:56Mais grosso modo, ce n'est pas là où il y a maintenant la masse. La masse, elle est sur les tubes. Et en fait, elle s'est déjà déplacée.
07:02La bataille sur les tubes, c'était... Désolé, mais c'est la bataille il y a 5-10 ans. Maintenant, en fait, il y en a beaucoup et surtout post-only fans qui n'aient pas du contenu adulte, officiellement,
07:13puisque c'est juste pour être fan. Mais en fait, 99 % du contenu sur LeanFans, c'est du contenu adulte. Quand on continue, en fait... Mais non, c'est des tchents-telegrammes.
07:21Vous allez faire quoi ? Vous allez regarder les tchents-telegrammes ? Mais non, mais ça va être... Ah oui, on va faire attention...
07:25Il y a des projets de loi pour ça aussi. Mais bien sûr. Mais donc, qu'est-ce qu'on va faire ? Et donc, en fait, à un moment, plus ça va, plus vous arrivez sur des endroits
07:32qui sont fringes et de plus en plus bizarres. Et dans ces endroits de plus en plus bizarres, il y a du contenu de plus en plus, je vais t'en dire, agressif.
07:41Donc moi, c'est ça qui me gêne plus. C'est qu'en fait, on légifère... Il y a des solutions techniques, mais on légifère énormément. Je suis ravi que vous conseillez d'utiliser Scaleway et d'autres...
07:52Par exemple.
07:53Par exemple. Et des solutions qui sont vraiment RGPD, même s'il n'y a pas vraiment de vrais contrôles RGPD, mais c'est ce que vous conseillez. Aujourd'hui, c'est très difficile de se faire certifier.
08:03Il n'y a pas une vraie certification. Mais aujourd'hui, pour moi, on n'y est pas au niveau sécurité. Il y a des solutions, mais elles sont très très chères, surtout sur un business model.
08:13Mais surtout, pour moi, c'est inefficace parce que le contenu, il va se déplacer. Il s'est déjà déplacé. Et à chaque fois, c'est des législations qui sont en retard.
08:20Et donc, plus on va aller sur des endroits, on va arriver sur des endroits zéro trust, full chiffré. Et là, vous faites quoi ?
08:26Et finalement, ça crée une concurrence déloyale d'avoir davantage d'obligations ? Vous le percevez comme ça ?
08:33En soi, la concurrence, elle existe depuis l'arrivée des tubes. Historiquement, le marché était régi par des services payants. Du coup, tout le monde, encore une fois, par nature du fait d'être payant, protégeait les mineurs.
08:47Les tubes ont vraiment renversé ce marché-là. Comme le disait à l'instant... Je suis désolé, j'ai oublié son nom.
08:51— Jean-Baptiste. — Excusez-moi. Du coup, cette concurrence, elle est déjà là. Et nous, on va continuer à faire les efforts. On les fait déjà depuis un bon moment.
09:04On va continuer à avancer avec aujourd'hui ce qui nous est demandé. En effet, on a un avis sur certaines dispositions qui sont mises en place dans ce référencier technique qu'on a aujourd'hui proposé.
09:13On ne peut pas être en accord avec tout. Mais n'empêche qu'on va le faire et on va le mettre en place. En soi, on se bat plus par rapport à notre contenu.
09:24Notre contenu fait que la concurrence, c'est comme ça qu'on la travaille. Les moyens techniques pour arriver à notre contenu, quelqu'un qui ne veut pas payer déjà par nature,
09:35ce sera compliqué pour nous de l'avoir. Par contre, quelqu'un qui accepte de payer, de s'abonner pour accéder à notre service, là, en effet, on aura des protections des mineurs
09:45qui seront mises en place. Et ce sera très bien comme ça. — Est-ce qu'ils ont une chance d'aboutir avec leur procédure, déjà, le groupe AIO, contre l'arrivée interministérielle
09:56qui leur impose ces dispositifs qu'ils jugent inefficaces et non valables ? — Le meilleur argument, finalement, à leur disposition, c'est ce qui s'était déjà passé
10:02avec l'avis circonstancié émis par la Commission européenne l'an dernier du fait précisément qu'on était sur un référentiel purement national qui portait atteinte...
10:12Donc c'est au niveau de l'ARCOM, en fait, que ce référentiel a été publié et que, finalement, ça vient morceler le marché unique européen. Et là, on touche au totem
10:22de ce qu'est quand même l'UE. Donc c'est à mon avis, sur cet aspect-là, la distorsion de la concurrence, finalement, entre différents États de l'UE,
10:30qu'il y a un vrai point de droit structurant. Et d'ailleurs, on l'a pas dit, mais c'est par un arrêté, là, que ces dernières mesures viennent d'être publiées.
10:37— Je l'ai dit, hein, mais c'est pas grave. — Alors je le redis plus précisément pour ceux qui ne l'auraient pas entendu. Mais c'est vrai qu'à ce niveau-là,
10:44on peut s'étonner que ce soit pas passé par une loi, peut-être pour être moins visible. Voilà. — Pour pas être en frontale avec l'Europe, justement, les lois européennes.
10:52— Tout à fait. Plus précisément, on peut se demander. Alors normalement, toute mesure qui introduit des restrictions, justement, au sein du marché unique,
10:58devrait être notifiée à Bruxelles. Je sais pas vraiment ce qu'il en a été ici précisément. Mais on voit qu'en tous les cas, c'est le vrai argument,
11:05sachant quand même que j'alerte tous les acteurs sur le marché français que s'ils ne devaient pas respecter ces mesures, la sanction est déjà
11:12justement dans cette loi SREN. Elle est terrible. C'est 1 an de prison, 250 000 € d'amende. Et effectivement, sur qui ? Les hébergeurs qui n'auraient pas
11:21déréférencé à la demande de l'ARCOM les sites ne respectant pas ces nouvelles prescriptions. — Voilà. Ça pose quand même une distorsion de concurrence
11:28si ce texte ne s'applique qu'aux sites français ou extra-européens et pas au sein de l'UE, quand même. — Oui, exactement. Mais encore une fois,
11:41l'accès... Enfin comment dire ça ? Dans tous les cas, nous, ça fait partie déjà de notre process. Donc on va dire que cette mise en concurrence,
11:48on l'a déjà acceptée, on s'en est déjà fait entre guillemets une raison et on a déjà fait ensemble en faire une force. Donc on va essayer de juste
11:56continuer ce process-là. Encore une fois, c'est plus une question par rapport aux tubes sur lesquels là, en effet, il va y avoir des vraies disparités,
12:04parce qu'entre ceux qui vont, eux, agir et ceux qui vont pas agir, eux, ils sont vraiment sur une concurrence beaucoup plus féroce par rapport
12:13spécifiquement à ce sujet-là. Pour nous, dans le Seine... — Ouais, vous n'avez pas le même positionnement.
12:21— Voilà. Notre positionnement, exactement, et le fait qu'on soit payant et ainsi de suite fait qu'on l'a déjà acceptée, finalement. On sait que cette concurrence
12:29existe par le fait déjà qu'elle est gratuite. Donc à partir de là, cet élément-là n'est pas... C'est pas la concurrence qui nous gêne le plus dans ce...
12:39— Bon, bah super. Bonne nouvelle. — En tout cas, le bon business aujourd'hui, c'est les VPN. Moi, je pense que NordVPN est ravi de ce genre de législation,
12:48parce que c'est très très facile d'avoir des VPN. Et ça va être contourné soit en ayant du contenu dans d'autres endroits, soit en disant des VPN qui vont sortir
12:56en extra-européens. C'est déjà ce qui se passe dans les pays où la pornographie est interdite, qui sont énormément consommateurs, justement,
13:03de contenu adulte. Et la consommation de VPN est énorme. — Voilà. — Quant à nos jeunes, il faut les former. Éducation sexuelle, éducation aux enjeux du numérique,
13:11ça reste une constante. — Absolument. Vous vouliez un mot de conclusion très rapidement ? — Oui, exactement. C'est juste pour dire aussi, au final,
13:18c'est le client qui va décider, c'est le visiteur qui va décider aussi quels sont les moyens qui vont être plébiscités. On peut mettre beaucoup de choses
13:23en place. En effet, on va avoir, nous, des contraintes techniques, probablement de coûts qui vont être liés à ça. Donc finalement, c'est pas une histoire
13:30de concurrence. C'est plus des coûts supplémentaires et des contraintes supplémentaires techniquement. Mais au final, c'est le client qui va décider.
13:38Donc est-ce que c'est les VPN ? Est-ce que ce sont des solutions plus simples que celles en bout d'anonymat ? Est-ce que ce sont... Enfin c'est le client qui décide
13:46à la fin. Et on est sur un marché global. Donc c'est le client qui va décider aussi. — Merci beaucoup, Henri Grellet, d'avoir commenté avec nous
13:51cette actualité. Je rappelle que vous êtes directeur des opérations du groupe d'Orsel. Merci encore. Nous, on continue avec nos autres sujets.
13:59Alors je voulais vous faire réagir sur l'administration américaine qui aurait décidé de suspendre des opérations cyber contre la Russie, contre les acteurs russes.
14:09Il y aurait eu une décision du secrétaire d'État à la Défense américain. C'était une info sortie par The Record, mais qui n'a pas été confirmée.
14:18Il y a même eu d'ailleurs un démenti en disant que la CISA, qui est l'équivalent de l'Annecy en France, restait engagée sur ces sujets de surveillance cyber contre la Russie.
14:30Mais on voit bien quand même qu'il y a un déplacement du point de vue des États-Unis de la menace, de la Russie vers plutôt la Chine, l'Iran, l'Europe dans tout ça,
14:38la France dans tout ça. Est-ce que c'est déstabilisant quand on voit ce type d'informations arriver pour la protection cyber ? Jean-Noël.
14:47— Moi, je pense pas. Je pense que la diplomatie américaine, elle est simplement plus rapide aujourd'hui, plus agile. Et c'est ça que Trump veut montrer.
14:57Il veut peser sur les conflits. Et il a dit « je veux arrêter les conflits ». Et il arrive au pouvoir. Il le fait. Donc déjà, la première chose...
15:05— Enfin il le fait. Oui. Il annonce... — Enfin il essaye, en tous les cas, par tous les moyens, et on va dire d'une manière peu conventionnelle,
15:13à laquelle on n'est pas habitué, en tous les cas dans nos pays, où les choses se font souvent très lentement, disons. Donc ça, déjà, je pense que c'est pas une question,
15:22en fait, de cybersécurité. C'est une question plus largement de tactique diplomatique et de diplomatie de la part des Américains. Voilà.
15:31Donc après, ce que ça pose en revanche comme question... Alors par ailleurs, les tensions, elles existent. La menace cyber, elle est élevée.
15:39Elle s'est élevée sur un pic lorsqu'il y a eu les JO de 2024. Et là, maintenant, elle n'est pas tellement retombée, finalement. C'est-à-dire qu'il y a une pression forte.
15:49Il y a des risques de déstabilisation quand on est dans une période pré-guerre ou de préparation à la guerre dans laquelle on est rentrés, quand même.
15:55C'est ça, l'actualité. Et donc il va falloir s'habituer à ce genre de situation ou de tensions ou de rapports de force.
16:07Après, le rapport de force, maintenant, il se fait dans le cyber. Ça, c'est intéressant. Alors je me rappelle en son temps, c'est le ministre Le Drian qui disait
16:15« Le cyber, c'est la quatrième arme ». Donc effectivement, ça y est, on rentre dans un monde où d'un seul coup, la cyberdéfense va prendre une importance,
16:23le renseignement, la manière dont on peut s'en servir comme une arme offensive et défensive, le défensif étant indispensable pour nous tous.
16:32Après, je pense que ce que pose cette question-là, c'est notre question en tant que commentateur, client, utilisateur de produits américains, numériques, ou alors notre autonomie.
16:48Voilà. Donc la question, c'est finalement une question de fond. Ce que fait Trump et les décisions qui sont prises aux États-Unis mettent en évidence notre manque d'autonomie européenne sur ces sujets.
17:00Donc moi, je crois que le sujet de fond, il est là et que ça doit nous encourager. Dans la période actuelle, on va passer nos PIB à des PIB de guerre
17:10dans lesquels on va investir sur des moyens de défense. Les moyens de défense, c'est pas que des armes. Les moyens de défense, c'est aussi la santé, c'est les transports,
17:19c'est l'énergie, c'est nos moyens de communication, c'est beaucoup de choses. Et donc je pense qu'il faut profiter de cet effort de préparation à la guerre
17:28et des investissements qui vont avoir lieu avec de vraies stratégies industrielles pour reprendre une forme d'autonomie numérique.
17:37— Si je regarde le panorama de la menace cyber publiée par l'Annecy, donc l'Agence nationale de sécurité et des systèmes d'information,
17:45elle nous dit que là où elle a été le plus mobilisée, c'est sur des attaques de type espionnage, principalement liées à la Russie.
17:53Alors moi, j'entends bien l'argument de l'indépendance technologique, etc. On voit maintenant comment l'Europe se mobilise et prend conscience
17:59de sa forte dépendance américaine. Mais même les acteurs français, aujourd'hui, sont confrontés à des attaques, voilà, au risque d'espionnage, etc.
18:10Comment, aujourd'hui, on fait face à cette menace dont le président Emmanuel Macron nous dit elle est là ? Et ne rien faire, ce serait de la folie.
18:19— En fait, je suis un peu d'accord. Mais le problème, c'est que les Européens, globalement, sont d'une naïveté assez hallucinante.
18:28Et ça, ça a été global. C'est pas juste, d'ailleurs, sur la tech et le cyberespionnage. Là, c'est global. Et là, on le voit.
18:37Il nous arrive en pleine tête, parce qu'on a une accélération de l'histoire en, allez, 2 mois. On parle d'économie pré-guerre.
18:45On est sur un plateau de télé. On parle d'économie pré-guerre. Là, c'est quand même des mots très forts. Et en fait, c'est ce qui va nous arriver.
18:51Il faut se dire... Et donc le président Macron est arrivé. On m'a parlé. Mais c'était la première fois. Et puis il a dit tout d'un coup
18:58qu'il faut mettre 5 points de PIB là-dedans. On n'est pas prêts. Il y a beaucoup de cyberattaques. Et il y a beaucoup, beaucoup, beaucoup de cyberattaques
19:06qui sont douces. Et là, il y a un vrai problème. C'est que c'est pas dans le mandat de l'Annecy d'être contre les bottes russes,
19:15parce qu'en fait, il y a des armées de désinformation russe. On l'a vu depuis les élections d'Obama, puis de Trump la première fois, etc.,
19:25Cambridge Analytica, etc. En Europe, on a vu ce qui s'est passé en Roumanie, etc. Mais qui n'a pas la puissance de l'Annecy.
19:35Moi, ce qui me pose problème, c'est le panorama de l'Annecy. Ils s'occupent de piratage, des hausses. Mais la partie vraiment désinformation,
19:45ça n'est pas son scope. C'est peut-être le scope de l'ARCOM ou peut-être celui de l'ARCEP. C'est pas très clair. Et en tout cas, on est d'une naïveté.
19:51Il faut vraiment se muscler. Et il va falloir utiliser, selon moi, aussi de l'offensive là-dessus, c'est-à-dire de la contre-propagande.
20:00Et ça, on n'est vraiment, vraiment, vraiment pas prêts. Mais malheureusement, il faut faire du face-checking de masse. Et ça, et sur les réseaux notamment,
20:08parce que là, sur les réseaux sociaux, sur Facebook, sur Twitter, sur X, c'est vraiment important. Et ça, ça sort du côté classique de la sécurité,
20:19c'est-à-dire que les entreprises de sécurité, c'est du pentest, c'est de l'antidose, etc. Mais là, on est sur un truc qui est un peu, j'ai envie de dire,
20:25de la cybersécurité molle. C'est-à-dire que c'est moins clair. Et c'est là la surveillance. Et c'est là où on est vraiment pas prêts.
20:34— Et l'AMSI a volontairement d'ailleurs décidé de ne pas s'emparer de ce sujet-là, avec la création de Viginium, pour s'emparer de ce sujet. Donc vous, vous nous dites qu'il faudrait...
20:42— Oui. Enfin on a la DGSI. On a quand même la DGSI, qui utilise d'ailleurs des technologies qui sont pas toujours très européennes, puisqu'on l'a dit à un moment donné
20:49que le choix avait été fait de partir sur Palantir. Donc on utilise les mêmes outils. On vient de voir sur le... Il y a quand même eu un projet de loi, là, sur le cyberespionnage,
20:58où on a expliqué qu'il fallait ouvrir des bacs d'or pour aller regarder. Donc non, je pense que la naïveté, il faut faire très attention à ce que ça veut dire.
21:07Parce que s'il s'agit de l'autre côté de permettre de tout ouvrir par des gens comme on le fait ailleurs, est-ce que c'est réellement la société que nous voulons ?
21:17— Je n'en sais rien. Mais en tous les cas, là où vous avez raison, c'est qu'aujourd'hui, il y a quand même...
21:24— Pour être clair, c'est-à-dire si on est trop parado, on risque de faire passer des lois liberticides, quoi. C'est ça.
21:29— Clairement. Et des lois liberticides sur des sujets technologiques, je reviens là-dessus. Nous sommes des challengers technologiques.
21:36Il n'y a pas si longtemps que ça sur une chaîne concurrente, comme on dit. Nicolas Dufour a expliqué, il l'a dit tel quel. Je vous encourage à aller voir la vidéo sur Internet.
21:46C'est extraordinaire, quand même. Il a dit « Nous ne possédons plus notre numérique ». Voilà. Donc voilà ce qu'il a dit.
21:54Donc ça veut dire que soit on est condamné à commenter ou à pondre des lois défensives sur tous les sujets. Et c'est là où je vous rejoins.
22:03C'est que pour moi, l'offensive, c'est aussi investir contrairement justement à ce que disait Nicolas Dufour, qui dit qu'il faut qu'on abandonne l'investissement sur le cloud.
22:14Moi, je pense qu'il faut mettre le paquet sur le cloud. Il faut mettre le paquet sur les nouvelles technologies. Et il faut reprendre nos avantages là où on peut les reprendre.
22:23— Arrêtez de dire que c'est une bataille perdue. — Mais exactement. — Il faut faire preuve de patriotisme économique, qui est un mot que...
22:28— Un gros mot. — « Patriotisme au secours », ça ne doit pas être un gros mot. Et ça veut dire qu'il faut arrêter de sortir le PIB français pour l'exporter.
22:37Il faut le réinventer dans l'économie française. Et l'État français et les grandes boîtes du CAC 40 françaises sont les premières à être biberonnées aux technologies américaines ou chinoises
22:46parce que ça coûte moins cher, sauf que le risque, il arrive là. — Le risque, c'est de dépendre de leur décision géopolitique.
22:53— Mais surtout, ça va la coûter plus cher. C'est-à-dire que quand on aura une catastrophe majeure, ça va nous coûter très cher.
22:59— On va y revenir au sujet, parce qu'on n'a pas parlé des droits de douane. Mais s'il y a demain des droits de douane...
23:04Combien ? Nicolas Dufour a aussi dit c'est 120 milliards par an, les services digitaux américains. OK, vous prenez Uber, hop, vous ajoutez tout ça, 120 milliards.
23:12120 milliards, moi, je voudrais aussi savoir un chiffre qu'on ne connaît pas. Sur ces 120 milliards, combien y a-t-il de prestations sociales ?
23:20Combien paye-t-on pour les retraites ? Combien paye-t-on pour l'assurance chômage ? Combien paye-t-on pour le système social de manière générale ?
23:26Donc si on continue cette gabegie et cette dépendance, comment est-ce qu'on va préserver nos lois, etc.?
23:33Et comment est-ce qu'on vous permettra de nous défendre ? Est-ce qu'on va continuer à uniquement investir dans le droit à se défendre
23:42et à laisser partir tout cet argent ? Je crois qu'il faut qu'on ressort de l'annexe. — Parce qu'aujourd'hui, effectivement, l'arme principale, c'est le droit.
23:48— Oui. La nature de la menace, la guerre hybride pratiquée par la Russie, franchement, ça fait des années. Et avant même le Covid,
23:55nous avions déjà un texte européen, « Cyber Solidarity Act », qui est venu mettre en place un réseau, justement, de cyberdéfense avec à sa tête l'ENISA.
24:04On pourrait regretter que l'ENISA ne soit pas une entité fédérale. Et ce qui m'amène finalement sur le sujet de fond, est-ce qu'on veut avoir une Europe puissance ?
24:12On voit ces toutes dernières semaines sur la défense européenne qu'il y aurait un changement de paradigme. Forcément, ça prend du temps.
24:19Et il faut aussi une adhésion démocratique. Mais je pense qu'on y vient. En tous les cas, on a déjà un cadre qui existe, qui va être renforcé aussi
24:25avec le « Cyber Resilience Act » et également tous les autres textes dont on doit aussi parler, qui fait qu'on va être prêts.
24:32Il s'agit finalement d'avoir cette impulsion politique et de mettre les moyens, surtout. — Ça, des textes, on en a. Alors des textes, on en a.
24:38Donc on a même un texte en cours sur la résilience des infrastructures et le renforcement de la cybersécurité, qui est en fait
24:46une transposition de trois autres textes, Nice 2, Dora et Rec. Est-ce que ça, c'est une bonne arme ? Vous estimez que c'est une bonne arme aujourd'hui
24:56dans le contexte qu'on vient de décrire ? — Alors sont des touches juridiques successives pour renforcer la responsabilité de tous les acteurs
25:04à tous les niveaux ? On parlait aussi des attaques par chaîne d'approvisionnement. On a évidemment la nécessité qu'enfin, les prestataires prennent
25:11à tout point de vue leur responsabilité. Et c'est là-dessus que ces textes... Alors je pense notamment à Dora. Il y a une responsabilité du third-party provider,
25:20comme on le dit dans ce texte, et qu'à partir de là, en effet, le client doit aussi auditer ses prestataires, ce qui est encore trop peu souvent fait.
25:29— Et dans Nice 2 aussi, il y a cette notion de responsabilité. — Dans Nice 2 aussi. Dora, Nice 2, ce sont les secteurs qui...
25:33— Absolument. Mais les sanctions sont quand même beaucoup plus fortes et sous le contrôle de régulateurs financiers dans Dora, ce qui fait que là,
25:39franchement, tout le monde s'est mis... Et les banques, assurances, sociétés de gestion et j'en passe se sont mis en ordre de bataille.
25:44Sur Nice 2, c'est poussif. On est en retard. Malheureusement, ça n'est encore qu'une directive, contrairement à Dora, qui est un règlement
25:50donc d'application immédiate. Et typiquement, je suis un peu moins optimiste, on va dire, sur la mise en œuvre de Nice 2, qui prendra plus de temps.
25:58— En même temps, ça, ça fait quand même beaucoup de poids sur les épaules des entreprises que vous appelez à grandir, à nous donner cette souveraineté,
26:06cette indépendance. — Forcément. Si vous l'avez bien fait, par exemple, chez Scaleway, notre objectif, c'est de faire un vrai cloud provider.
26:11Et on fait dans une approche que j'appelle vraiment souveraine. C'est-à-dire pas le but d'avoir ces économies cloud, etc., c'est je contrôle tout le code
26:18que je compile. C'est-à-dire que chez nous, on recompile tout. C'est-à-dire que j'ai que de l'open source ou que du code développé in-house.
26:24J'ai aucune solution. J'ai pas de VMware, j'ai pas de Broadcom, j'ai pas de Qualcomm. Je recompile tout chez moi en sécurité. Et donc à ce moment-là,
26:31je peux faire un audit complet de toute ma supply chain. Et c'est la bonne façon de faire. Et malheureusement... Enfin heureusement pour moi,
26:38mais mes concurrents, même européens, ne sont pas allés vraiment au bout du sujet comme nous. — C'est-à-dire en fait que l'open source, c'est la solution reine ?
26:46Aujourd'hui, pour avoir cette indépendance, on a une transparence totale sur tout ce qui se passe, sur les flux des données ?
26:51— En tant qu'éditeur, c'est nécessaire de contrôler tout le code. Ça, c'est sûr. En interne, ça veut pas dire forcément que c'est open source
26:57via de l'extérieur. Mais ça veut dire que vous pouvez pas maintenant arriver en disant « Je prends du code extérieur et je fais confiance ».
27:04Il y a notamment quelques cloud providers qui se lancent en Europe, qui sont grosso modo soit de la WS, soit du GCP, soit de l'Azure déployée
27:12parce que c'est sur un datacenter français. C'est une gabegie totale, parce qu'évidemment, vous n'avez aucune idée de ce qui se passe dans le code.
27:18— C'est la stratégie cloud au centre. — Bien sûr. C'est une stratégie qui ne va pas fonctionner, parce que d'abord, vous n'aurez pas accès à tout le code.
27:24Il y en a tellement qui arrivent. Et surtout, vous ne pourrez jamais auditer ce qui se passe. — Et maintenir. — Et maintenir.
27:29— Et maintenir. On est dépendant des mises à jour. — Mais oui. Et les mises à jour, vous n'avez pas à éditer des millions et des millions de lignes de code.
27:35— Le run, à force, c'est ce qui est le plus cher. — Bien sûr. Ça, c'est sûr. Les gens oublient, en fait.
27:39Et c'est d'ailleurs pour ça qu'il y a eu un vrai chip vers le cloud qui a mis 25 ans. En fait, c'est qu'on s'est rendu compte que ce qui coûtait,
27:45finalement, c'était pas trop d'achats de machines. C'était juste de faire tourner. C'est-à-dire que l'investissement de CAPEX, de machines, de serveurs, coûte de l'argent.
27:50Mais en fait, c'est relativement moins cher que c'était il y a 40 ans. Et c'est pour ça que tout le monde est parti sur le cloud. C'est que le run, les OPEX,
27:58sont beaucoup plus importantes dès 4 ou 5 ans. Et donc c'est pour ça, en fait... Et donc les gens oublient ça. Et maintenant, quand vous avez des mises à jour
28:06monstrueuses, vous n'allez pas pouvoir les auditer. Et ça va vous coûter très cher. Donc ce que vous allez faire, vous n'allez pas le faire.
28:11Et bien voilà. Merci beaucoup. Mot de la fin, je suis désolée, on arrive à la fin de ce débrief.
28:16Jean-Baptiste Kempe était avec nous, de Skelwes, Jean-Noël Degasin de Wallix et Éric Lequelennec de Flitschig-Ranger. Merci beaucoup.