En conférence de presse à l’Élysée le 5 février 2015, François Hollande déclarait : «Le numérique sera enseigné à l’école, de l’élémentaire jusqu’en classe de terminale, avec diplômes correspondants. » On pourrait ajouter à présent « sous licence états-unienne avec un diplôme Cisco à la clef ». En effet, non content de vendre à tout vent l’industrie française, nous nous apprêtons à livrer notre jeunesse au formatage made in USA.
Un loup dans la bergerie
Manuel Valls a annoncé la signature d’un partenariat avec Cisco sous prétexte de « coopérations dans le domaine de l’éducation et de la formation professionnelle aux métiers des réseaux numériques, avec un objectif de formation de 200 000 personnes en trois ans, du financement de plusieurs chaires d’excellence, […] et de collaborations académiques et industrielles dans les domaines de la cybersécurité, des réseaux intelligents et de la ville intelligente ».
Les bras nous en tombent. Cette « coopération » est stupéfiante. Au delà du fait qu’il fait fi de nos propres compétences, cet accord, réalisé sans appel d’offres, nous lie à un système dont le monde entier a découvert les coulisses avec les pratiques de la NSA, les révélations d’Edward Snowden en 2013, et les scandales en Allemagne. Qu’est devenue la profonde réprobation qu’exprimait Hollande le 21 octobre 2014 à Obama ? Six mois plus tard, c’est open bar pour Cisco.
Souveraineté numérique et protection des données
Au même moment, la Chine interdit Cisco, Citrix et McAfee pour ses services souverains. Cisco Systems, premier équipementier de réseaux (80 % des équipements internet comportent des produits Cisco), qui, en 2012 avait 60 produits dans la liste d’agrément, n’en a plus aucun. Même situation pour Citrix, fournisseur de solutions de virtualisation de serveurs et postes de travail, ou encore de McAfee, éditeur de logiciels de sécurité informatique (récemment racheté par Intel, le géant des composants états-uniens).
Dans le domaine des smartphones, la plupart des fabricants de téléphones abandonnent les composants chinois bon marché, car ils s’avèrent être de véritables passoires au niveau de la sécurité, et ils rallient le modèle Apple, sachant qu’ Apple a complètement intégré et donc verticalisé sa production, y incluant les composants « cœur de métier ».
Où est la logique dans la décision française ? Pourquoi savonner la planche de nos entreprises et ne pas tout mettre en œuvre pour garantir la sécurité de nos données par la mise en place d’un processus de reconquête et de déploiement d’une filière industrielle prometteuse ? Un objectif plein de bon sens au moment où tout le monde s’accorde sur l’importance de la protection des données, alors que les routeurs Cisco ont aidé la NSA dans son activité d’écoute et que la cybersécurité émerge enfin au premier plan…
Ouverture des données de santé publiques françaises
Cas unique au monde, la France possède la plus grande banque mondiale de données de santé, le Système national d’information inter-régimes (SNIIRAM), qui traite chaque année plus de milliard de feuilles de soins, 500 millions d’actes médicaux et 15 millions de séjours hospitaliers, du fait de notre sécurité sociale très développée.
Le SNIIRAM va bientôt être fondu dans une autre entité, le SNDS (Système national de données de santé), regroupant toutes les bases de données, et notamment le programme de médicalisation des systèmes d’information des hôpitaux (PMSI), selon l’article 47 de la loi Santé. Il s’agit d’un bien public qui ne peut être approprié par aucun des acteurs du système, un bien censé être le point d’appui d’un nouveau système de santé, numérique, dans un discours prometteur (cf.rapport d’octobre 2015) du Conseil national du numérique : « La santé bien commun ».
L’accès à ces données a été réclamé ardemment par les associations de consommateurs, un collectif inter-associatif associé à des mutuelles et assureurs et par une société privée de traitement des données.
Le scandale du Mediator et d’autres (pilule Diane35) sont logiquement évoqués pour justifier ces démarches.
Or, derrière le flou de la notion extensive de « données de santé », il y a des informations sensibles, touchant nos libertés, dont celles couvertes par le secret médical, dont la violation en France est punissable pénalement. Le patient doit être protégé de l’abus de pouvoir et des tentations de contournement des règles de régulation collective, qu’il s’agisse de tester un médicament ou d’interdire la publicité directe aux patients.
Certes, les données seront « anonymisées », mais que pèsera cette protection corrélativement au commerce d’autres données fournies par nos cartes bancaires, nos cartes de fidélité, objets connectés et autres connaissances des GAFA (Google, Apple, Facebook, Amazon) sur nos messageries, téléphones et recherches médicales sur Internet ?
Faut-il accroître encore une hégémonie très préoccupante ?
Vers une hégémonie de la conception états-unienne de la santé ?
Si les sociétés états-uniennes envahissent ce marché, elles finiront par imposer leur point de vue économique et leur philosophie du soin, s’inquiètent certains médecins.
L’exceptionnalité française intéresse les big pharma : le LEEM (les entreprises du médicament en France) y voit une opportunité pour réaliser des études à très faible coût sur les effets des médicaments, et ces données de santé permettraient à la France de devenir une place centrale de pharmacovigilance.
On est devant un problème à la fois de protection des systèmes d’information et de l’information elle-même, dans l’intérêt général actuel et futur de notre pays.
Outre les questions de santé et d’autres aspects de la vie privée, les données publiques françaises sont identifiées comme source de valeur pour les entreprises, avec des risques de marchandisations outrancières possibles.
Dès lors, au-delà des aspects d’indépendance et de maîtrise industrielle, l’accord avec Cisco portant sur la formation elle-même est un coup de maître pour… les États-Uniens. Cette action va permettre à Cisco de structurer un comportement qui assiéra sa domination en France. Une fois formés aux règles et logiciels Cisco, quel sera le réflexe de nos jeunes fraîchement formatés : travailler avec les mêmes outils et services. Ils seront, à leur insu, les meilleurs représentants de la firme dans les lieux où ils (elles) seront embauché(e)s. En d’autres termes, formés aux outils Cisco, ils en seront également les meilleurs commerciaux, imposant leurs standards.
L’enjeu de la cybersécurité
Le système de santé et de protection sociale français représente une source
de données d’une richesse exceptionnelle qui intéresse au plus haut point les big pharma.
Le grand patronat « français » est muet, centré sur ses délocalisations fiscales, et nos PDG d’entreprises nationales (comme Thales, leader dans la sécurisation des données) regardent le train passer sans broncher. Nous le redisons avec force et en appelons à l’intervention des salariés, il faut travailler à la reconquête de filières majeures en France, pour lesquelles les compétences existent et ne sont pas ou mal exploitées, à commencer par celles des technologies de la santé (voir le projet présenté à la Défense en juin 2015 par l’UGICT-CGT) et des composants critiques.
Pour cette dernière, la question de la maîtrise des composants de transfert de données (routeurs et serveurs télécoms) est centrale, car c’est la question de la sûreté des flux d’information et du contrôle de l’accès aux cœurs des systèmes. La fiabilité des routeurs chinois, en termes de maintien de l’intégrité des données, est loin d’être garantie. Les États-Unis ont sanctuarisé leurs composants, via des groupes tels qu’Intel, qui a racheté récemment McAfee, spécialisé dans les antivirus et les logiciels de cybersécurité.
La France est très mal engagée, et pour cause, il ne reste que quelques fondeurs de type STMicroelectronics (composants spécifiques tels que Asics, FPGA…) ou Altis (composants de cryptage) en Europe. Les rapports du GAO (Cour des comptes états-unienne) sur le sujet révèlent depuis 2012 que 42 % des composants utilisés dans la défense sont contrefaits ou piratés. En France, plusieurs rapports parlementaires s’interrogent depuis 2013 sur la « confiance dans le numérique ».
La complexité mathématique de n’importe quel composant de base qui comporte plusieurs centaines de millions de portes logiques fait qu’il est impossible de faire de la rétroanalyse (vérification de sécurité ou de vulnérabilité), sauf si on en est le concepteur et le fondeur. C’est à ces seules conditions que l’on peut avoir la certitude des fonctionnalités réelles du composant.
Un commerce du vol de données
L’enjeu de l’intégrité des cœurs de routeur est fondamental si on veut parler d’intégrité des données. De même, la localisation géographique des centres de stockage des big data consacre une position dominante des États-Unis.
Les failles de sécurité y sont l’objet d’un commerce, parfois d’un chantage, car il y a des sociétés dont le travail et le profit consistent à trouver des failles dans les logiciels, ce que la loi française interdit, mais non la libre concurrence anglo-saxonne… Sans oublier qu’une simple maintenance peut permettre de dérober ou d’analyser les données, il est important de bien saisir qu’il ne s’agit pas d’un petit nuage (cloud), les données sont bien stockées dans des centres matériels, la plupart situés aux États-Unis ou en Asie.
Il est donc essentiel de revendiquer une filière souveraine de composants critiques et aussi la localisation des infrastructures en France afin de garantir la confidentialité, la maîtrise et l’indépendance des données stockées. La France a pris beaucoup de retard sur le développement des clouds . L’avenir de projets devant fournir un cloud souverain français (propriété de l’État) nous intéresse fortement, mais en même temps le récent retrait de Thales d’un des deux projets, Cloudwatt, et de la Caisse des dépôts qui le finançait, laissant Orange seul sur ce projet, a de quoi inquiéter. L’option Cisco de Manuel Valls est à l’opposé de ce qu’il faut faire.
Sylvain Delaitre, membre du Comité européen de Thales, au nom du collectif CGT Thales.
Lire l’article original