Auditionné le 30 avril devant la commission d’enquête de l’Assemblée nationale sur les vulnérabilités du numérique, Vincent Strubel, directeur général de l’ANSSI, a détaillé une position on ne peut plus claire sur les dépendances technologiques. Son intervention insiste sur les limites des réponses purement techniques et sur la réalité des contraintes juridiques et industrielles.
Le chiffrement ne protège pas contre le droit étranger
C’est l’un des points les plus commentés de l’audition. Vincent Strubel a rappelé devant les députés que le chiffrement ne constitue pas une réponse suffisante face aux législations extraterritoriales.
Dans son intervention, visible sur le site de l’Assemblée nationale, il explique que des dispositifs comme le Cloud Act ou la FISA permettent à des autorités étrangères d’exiger l’accès à des données, indépendamment des mécanismes techniques mis en place. La protection des données ne repose pas uniquement sur des outils cryptographiques, mais aussi sur le cadre juridique dans lequel opèrent les fournisseurs. Un point qui vient contrarier une idée encore répandue dans certains discours industriels.
Un risque de coupure de service désormais assumé
L’autre élément marquant concerne le risque de rupture d’accès à des services numériques. Vincent Strubel évoque explicitement la possibilité qu’un fournisseur non européen soit contraint d’interrompre ses services sous pression de son État d’origine. Ce scénario n’est pas présenté comme hypothétique. Il s’appuie sur des précédents observés dans le cadre de sanctions internationales, où certains services ont été limités ou suspendus. L’ANSSI considère désormais ce risque comme crédible, ce qui introduit une dimension opérationnelle dans la réflexion sur les dépendances.
SecNumCloud comme levier, pas comme réponse globale
Face à ces constats, le directeur général de l’ANSSI a rappelé le rôle du référentiel SecNumCloud et en précise la portée. Son but est de réduire certains risques liés à l’extraterritorialité et à la dépendance, en imposant des exigences strictes sur l’opérateur et sa gouvernance. Par ailleurs, il en souligne les limites. Ce cadre ne règle pas la question plus large de l’autonomie technologique ; il constitue un outil parmi d’autres, pas une solution complète.
Une dépendance installée dans le temps
Sur le fond, l’intervention s’inscrit dans un diagnostic déjà connu mais rarement formulé de manière aussi explicite. Les dépendances actuelles sont le résultat d’une construction progressive du numérique sur plusieurs décennies. Dans le résumé qu’il a lui-même publié sur LinkedIn, Vincent Strubel insiste sur l’absence de solution rapide. La situation ne peut pas être corrigée à court terme, et les réponses simplifiées ne correspondent pas à la réalité des systèmes en place.
L’audition ne propose pas de mesures immédiates mais fixe plutôt un cadre de lecture. Les risques identifiés relèvent à la fois du technique, du juridique et de l’industriel. Les outils comme SecNumCloud apportent des réponses partielles, mais ne remplacent pas des choix plus structurants. Ce positionnement tranche avec certaines attentes autour de la souveraineté numérique et renvoie à une gestion progressive des risques plutôt qu’à une rupture rapide.
