Devant les sénateurs, l'Anssi souligne le coût de la migration vers des solutions souveraines
Vincent Strubel a été auditionné le 28 mai 2025 par la commission d'enquête du Sénat sur la commande publique. L'occasion pour le directeur général de l'Agence nationale de la sécurité des systèmes d'information de souligner que la souveraineté numérique dans le secteur public était envisageable à condition d'en accepter le coût.
© Capture vidéo Sénat/ Audition de Vincent Strubel directeur général de l'ANSSI
Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi), était auditionné par les sénateurs de la commission d'enquête sur les achats publics, soucieuse de déterminer les moyens pour faire des administrations des locomotives en matière d'achat de solutions numériques tricolores. Un objectif ambitieux tant la dépendance des administrations aux solutions extraeuropéennes est avérée (notre article du 10 avril 2025). En préambule, Vincent Strubel a rappelé que l'Anssi "ne dispose pas, sauf cas particulier, d'un pouvoir de contrainte et joue avant tout un rôle de conseil". En l'occurrence, sur la souveraineté, l'action de l'agence se limite à la création de référentiels, avec pour seul objectif de renforcer la sécurité des systèmes d'information.
Label SecNumCloud et lois extraterritoriales
C'est dans cet esprit qu'a été créé le label SecNumCloud, exigé par la doctrine Cloud au centre de l'État pour l'hébergement de données sensibles. Celui-ci prévoit "des exigences techniques […] organisationnelle […] et sur le droit applicable aux données, qui ne peut être que le droit de l'Union européenne" a rappelé l'expert qui insiste sur la cohérence de ces exigences, estimant impossible "de séparer les exigences techniques des exigences liées au droit applicable". Et d'enfoncer le clou en déclarant qu'"il n'existe pas, selon nous, de contre-mesures techniques permettant de se protéger du droit à portée extraterritoriale". En clair, la labellisation SecNumCloud d'acteurs américains est à ce stade inenvisageable quel que soit le mode d'intégration de ces acteurs à des fournisseurs de cloud.
Coût de migration vers des solutions souveraines
Interrogé sur le cas emblématique de l'hébergement des données du Health Data Hub chez Microsoft Azure, le directeur note "qu'il aurait effectivement été envisageable de recourir exclusivement à des acteurs français, mais avec un coût beaucoup plus élevé et un délai beaucoup plus long". Quant à la migration des administrations vers des solutions souveraines, il estime que c'est "tout à fait réalisable, mais entraînerait des coûts" et" un à deux ans de travail". Vincent Strubel met en garde contre les "discours simplistes en matière de réversibilité et de portabilité", indiquant que les solutions ne se ressemblent pas. Il met cependant en garde contre l'attentisme consistant à vouloir migrer "seulement quand [les solutions souveraines feront] exactement la même chose que le cloud de Microsoft [...] avec le même coût'" ce qui reviendrait à la reporter "à quand les poules auront des dents" alors que l'écosystème numérique européen est selon lui désormais "mature".
Faire de NIS 2 une opportunité
Interrogé sur l'opportunité de la mise en œuvre de NIS 2 pour renforcer l'adoption de solutions souveraines dans les collectivités, Vincent Strubel a souligné que, dans le cadre des parcours cyber du plan de relance (notre article du 5 mai 2025), l'Anssi avait poussé des prestataires et des solutions "à 80% françaises" auprès des 950 acteurs publics accompagnés. Il a également indiqué que l'Anssi mettait à disposition des clauses types de cybersécurité pour les marchés publics informatiques. Ces clauses sont cependant activées par moins de 15% des appels d'offres numériques publics selon l'Observatoire des achats responsables, les sénateurs incitant l'agence à davantage communiquer sur ce levier.
