>> Cette interview est extraite de l’Insight « Résilience numérique : l’indispensable prise de conscience ». Pour le recevoir l’intégralité de l’insight rendez-vous sur la page dédiée

L’Agence du numérique de Défense (AND) est un organisme transverse au ministère des Armées, intervenant sur les projets numériques complexes ou à fort enjeu, dont les trois missions sont la conduite des projets sur l’ensemble du cycle de vie, le conseil aux directions métier et la mise en œuvre de la politique industrielle dans le domaine des technologies numériques des systèmes d’information. Dominique Luzeaux, qui en a pris la tête à sa création en avril 2021, est dans ce cadre bien familier avec les enjeux de résilience numérique des organisations.

Comment définiriez-vous la « résilience numérique » ?

La résilience est la capacité à retrouver l’équilibre après une perturbation. Il ne s’agit pas nécessairement de revenir à la situation initiale, mais à un niveau de performance acceptable opérationnellement. Par voie de conséquence, cela implique une capacité à pouvoir fonctionner en mode dégradé le temps de revenir à un nouvel équilibre.

L’Agence du numérique de défense mène des « projets numériques complexes » : de quoi s’agit-il ?

La complexité revêt plusieurs aspects potentiels : des parties prenantes nombreuses avec des besoins éventuellement contradictoires, des utilisateurs nombreux avec des profils différents, une complexité technique liée à la présence de divers réseaux (Internet, Diffusion restreinte, Secret, ndlr) compartimentés par définition, une complexité contractuelle avec plusieurs contrats et maîtres d’œuvres industriels et donc des clauses de propriété variables et des transferts éventuels de responsabilité.

A lire aussi : De la résilience à l’industrialisation : les entreprises doivent passer à la vitesse supérieure

Un exemple de projet numérique complexe est le SIA, le système d’information des armées, qui inclut un socle technique avec des services communs, de type gestion d’accès, messageries, outils collaboratifs… déployé sur les sites en métropole, en outremer, en opérations extérieures, couplé avec des applications métier pour le commandement, le renseignement, mais aussi la vie quotidienne, comme la paie, le soutien logistique, etc. Cette complexité n’est source de fragilité que si elle n’est ni reconnue, ni maîtrisée.

Dans ce contexte, quels sont pour vous les principaux composants de la résilience ?

La résilience se décline à tous les niveaux permettant à un système numérique de fonctionner : les matériels, les réseaux, les systèmes d’exploitation, les logiciels métier. Un des projets numériques de l’AND est par exemple le programme Descartes, qui déploie le réseau résilient du ministère, avec sa propre infrastructure physique, fibres optiques, routeurs, chiffreurs… à très haute disponibilité et capacité à faire passer les flux y compris les plus confidentiels. Dans ce cas-là, on parle de résilience par rapport à un certain nombre de crises majeures, environnementales ou géopolitiques.

A quel point un changement de gouvernance a un impact sur cette résilience ?

La résilience concerne aussi l’organisation générale et sa gouvernance. Le numérique au ministère des armées se réorganise avec d’une part la mise en place d’un certain nombre d’autorités métier avec leur DSI, focalisées sur l’expression de besoin sur tout le cycle de vie et les arbitrages physico-financiers, d’autre part 3 acteurs clés : la DGNUM pour la définition des orientations en termes de politiques du numérique, l’AND pour la conduite de projets, la DIRISI comme l’opérateur de référence du ministère. En d’autres termes, l’orientation stratégique, le BUILD, le RUN.

Bleu, le partenariat Thales-Google, Gaia-X… Quel regard portez-vous sur les annonces récentes en matière de cloud de confiance, voire de « souveraineté numérique » ?

Cela pose déjà deux questions préalables. Qu’est-ce que la souveraineté ? Qu’est-ce que la confiance ? Ce sont pour moi deux aspects très différents. Si l’on revient à la définition de Louis Le Fur, juriste français né en 1870, « la souveraineté est la qualité de l’État de n’être obligé ou déterminé que par sa propre volonté ». Il s’agit donc de choisir et de maîtriser nos dépendances, et par conséquent nos indépendances, qu’elles soient au niveau technologique, au niveau de la production, au niveau de la distribution.

« Qu’est-ce que la souveraineté ? Qu’est-ce que la confiance ? Ce sont pour moi deux aspects très différents. » Cliquez pour tweeter

Affirmer notre souveraineté numérique suppose d’avoir le choix entre différentes solutions technologiques viables industriellement et commercialement, au niveau national, pour pouvoir compter ensuite au niveau européen. En effet, l’autonomie stratégique entraîne la nécessaire complémentarité des stratégies nationales et européennes, la dimension européenne venant en complément et non en concurrence du niveau national. Encore faut-il avoir analysé et fait ses propres choix capacitaires, s’approprier, pérenniser, renforcer certaines compétences de savoir et de savoir-faire.

Et la confiance numérique ?

La confiance, et en particulier telle qu’elle est définie par la politique interministérielle du cloud de confiance, est liée à une exigence de sécurité informatique élevée, mais bien en dessous des

niveaux de diffusion restreinte et secret, une transparence des règles juridiques applicables et des dépendances potentielles pour en informer le client, et la recherche d’une immunité aux lois extra-européennes en particulier pour prévenir les risques d’extraction des données d’utilisateurs européens du fait de l’extraterritorialité de certaines réglementations extra-européennes.

En ce qui concerne le ministère des armées, nos besoins actuels sont essentiellement des clouds de niveaux diffusion restreinte et secret, donc des niveaux de confidentialité qui sont au-dessus des initiatives que vous mentionnez. Par contre pour ce qui est des données non sensibles, nous utiliserons les clouds de confiance, dans leur configuration du moment.

La vraie question de la souveraineté numérique du cloud au niveau national et/ou dans une optique européenne, est par contre une question que ne résolvent pas toutes ces initiatives.

C’est un des sujets qui devrait être abordé par le Ginum (le groupement des intervenants du numérique dans les domaines de la défense, de la sécurité intérieure et des enjeux d’importance vitale, ndlr) qui a été créé cet été autour de Orange, CS, Mentor Consultants avec d’autres membres, PME-ETI-grands groupes, et qui a annoncé en septembre dernier à l’occasion de son lancement officiel la publication d’un livre bleu d’ici le tout début de l’année prochaine. J’observe donc avec grand intérêt cette initiative industrielle et associative, pour nous aider à mieux comprendre les enjeux et répondre à ces questions !

A quel point renforcer la résilience numérique d’une organisation passe par une évolution culturelle et d’état d’esprit en interne, dans votre expérience ?

La résilience d’une organisation ne peut en effet pas se concevoir sans une culture adaptée. Ce n’est pas qu’une question technique, mais bien de compétence des personnels et de processus bien définis au sein de l’organisation. D’où l’importance d’une gouvernance bien définie, ainsi que de responsabilités clairement établies entre chaque acteur. Ceci contribue à la résilience collective.

Mais cela va évidemment de pair avec des compétences individuelles maintenues dans le temps, d’où l’importance d’une politique de formation continue.