Actualités, Espace, défense et cyber quelle souveraineté ? (N°41), N°41

Cybercloud et défense nationale : focus sur les composants, Sylvain Delaitre*

La maîtrise des couches informatiques intermédiaires et basses ainsi que des composants est essentielle. Quel que soit le degré de sécurité développé au niveau des logiciels, sans une production des composants sécurisée l’indépendance et la souveraineté de chaque État, en particulier de la France, dans le cyberespace ne peuvent pas être assurées.

*Sylvain Delaitre est ingénieur-chercheur, membre du Conseil supérieur de la réserve Militaire

La cybersécurité et la cyber défense représentent le sommet de la pyramide du numérique. Pour la cybersécurité d’un système – ou d’un système de systèmes –, ou encore pour opérer la cyberdéfense d’un État, il est essentiel de s’inquiéter des couches intermédiaires (production des logiciels et des systèmes d’exploitation), et surtout de la couche basse, c’est-à-dire les matériels : routeurs, mémoires, processeurs et microprocesseurs.

Si on traduit cela dans le langage de la loi de programmation militaire, une question s’impose : pourquoi dépenser 10 milliards d’euros en cyber sur cinq ans si on ne maîtrise ni la production de logiciels ni la fabrication de composants électroniques?

LA PROBLÉMATIQUE DE LA SÉCURITÉ

Pourquoi la cyber n’est pas sécurisée « par nature », alors que le numérique est, « par nature », formaté et normé?

Certes, il y a des délinquants et des ennemis, mais ce n’est pas le principal problème, car si le numérique était strictement formaté et normé, sans aucune exception, il n’y aurait pas de possibilité de fraude ou de malveillance. En effet, si la fabrication des composants était complètement maîtrisée, comme dans l’ingénierie de l’avionique, où les normes de certifications sont les plus sûres, et si la production de logiciels était réalisée suivant les recommandations de l’Académie des sciences – nombreux avis dans ce sens ont été publiés depuis le tout début du siècle –, la question de la cybersécurité ne se poserait pas.

En 2011 le GAO, le Government Accountability Office des États-Unis (analogue à notre Cour des comptes), déclarait qu’au niveau mondial 41 % des composants de la défense et de l’Aerospace sont contrefaits (copie) ou compromis (possibilités de malveillances). Le chiffre de 2021 serait d’environ 31 %, ce qui reste encore important.

Si le numérique était strictement formaté et normé, sans aucune exception, il n’y aurait pas de possibilité de fraude ou de malveillance.

Or la pression commerciale des grands développeurs de logiciels et de systèmes d’exploitation, à commencer par les GAFAM, pousse à produire au plus vite, afin d’être le premier sur le marché, quitte à rajouter ensuite de très nombreux « patchs de correction » afin de limiter les risques! C’est comme si on montait dans un avion dont les principaux systèmes n’étaient pas certifiés, ni même vérifiés.

Chaque nouvelle faille, détectée puis revendue à prix d’or sur le darknet, est appelée « vulnérabilité 0-day », car connue avant le patch de correction, auquel elle doit conduire. Ces failles sont le moteur, le pétrole de la cybermalveillance.

Donc, tout le système numérique peut-être corrompu :

  • au niveau du matériel, par des composants compromis, notamment ceux qui abritent des portes dérobées et des mouchards, très souvent au profit des États et des puissances;
  • au niveau des logiciels par de nouveaux logiciels incomplets et non garantis, qui pullulent de vulnérabilités.

ALORS, QUE FAIRE?

Il faut un Commissariat au plan repensé, la relance des logiciels libres, une indépendance par rapport aux GAFAM et le développement de la recherche.

Dans le cadre de la loi de programmation militaire, le Conseil national de l’industrie, démocratisé et rénové, pourrait se coordonner avec un véritable Commissariat au plan pour de grands programmes par filières industrielles, en commençant par relancer une filière de composants électroniques, en France et en Europe, sur les bases des pôles industriels encore disponibles (comme STMicroelectronics avec les Italiens, le fabricant de substrats Soitec, le CEA, l’INRIA, les « académiques »…), afin de se redonner une vraie maîtrise des microprocesseurs – même s’ils ne sont pas de la dernière technologie… – et des composants électroniques de base : sans cela ni cybersécurité ni cyberdéfense crédibles.

À terme, c’est tout l’écosystème industriel du numérique qu’il faut reconstituer en Europe et en France, et relancer :

  • les fondeurs, car ils sont actuellement sous contrôle de capitaux états-uniens;
  • les fabricants de masques, pour les personnels travaillant à la production de circuits intégrés et des nano- et micropuces;
  • les systèmes de fabrications à base de salles blanches (40 Md€ ont été investis pour une nouvelle usine du taïwanais TSMC);
  • les laboratoires de conception et de vérification;
  • les systèmes de test…

Bref, il faut sortir de la situation actuelle où 90 % des filières de haute technologie sont concentrés dans les unités de production de TSMC, selon un rapport du syndicat des industriels états-unien de l’électronique de 2021.

Pour ce qui concerne les ressources budgétaires, il faut un fonds d’investissement et anti-OPA – avec pour mission d’empêcher la prédation de nos pépites et licornes technologiques : quelques milliards d’euros suffisent (à comparer aux 34 milliards d’euros de BPI France) – ainsi qu’une structure démocratique de pilotage, de contrôle et de cofinancement de ces filières, afin d’empêcher que les grands groupes capitalistiques continuent de ne servir que les intérêts des actionnaires privés : créer un pôle public des filières stratégiques.

Par ailleurs, une relance des logiciels libres, la recherche de toutes les alternatives possibles aux plates-formes des GAFAM (il y en a!) et l’imposition de véritables normes sécurisées de production de logiciels fiables s’avèrent indispensables. À cette fin, il est nécessaire de redonner des possibilités budgétaires, car par nature les logiciels libres coûtent beaucoup moins cher que les abonnements aux GAFAM.

Un autre élément important est la reconstruction, avec les « académiques » (tels que Thierry Poibeau de l’ENS, Frédéric Meunier, et autres experts), d’une indépendance sur les moteurs de recherche (alternative à Google) et le développement des applications industrielles à l’IA qui soient complètement indépendantes des GAFAM et autres BATX. Idem pour trouver une alternative à Palantir, l’états-unien spécialisé dans le big data… et trop proche de la NSA.

En outre, il est possible et nécessaire de développer les recherches sur des alternatives moins consommatrices en énergies et plus efficaces, comme les circuits neuromorphiques (CNRS-Thales), notamment pour les applications en IA ou en simulations (jumeaux numériques).

Dans le domaine militaire, et plus précisément du nucléaire militaire, sachant que toute la crédibilité repose sur des simulations passées, on peut à juste titre s’interroger sur cette dite crédibilité si on ne dispose que des composants états-uniens (processeurs Nividia, essentiellement…). Donc, est-ce judicieux de dépenser autant dans la mise à jour du nucléaire militaire? Pour quelle crédibilité si la cybersécurité a toujours les failles habituelles?

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.