Sébastien Garnault est notamment le fondateur de la CyberTaskForce.

1/ Vous revenez de Washington où vous avez accompagné une délégation de parlementaires et de hauts-fonctionnaires. Dans quel but vous êtes-vous rendu là-bas et l'avez-vous atteint ? De quels enseignements pourriez-vous nous réserver la primeur ?

Il y avait aussi des industriels français car sans eux, l’équipe ne serait pas complète J. Leur présence est clef car ils détiennent l’expertise technique.

Ce voyage a été décidé en 2020, lors de mes échanges avec le CISA (ndrl : Cybersecurity and Infrastructure Security Agency, l’ANSSI américaine) et reporté plusieurs fois compte tenu de la crise sanitaire. L’idée était de rencontrer nos homologues pour mieux comprendre leur état d’esprit, les écouter mais aussi partager, dans un dialogue franc et ouvert, notre vision des défis auxquels nous faisons face. Ces voyages permettent également de montrer que nous sommes ensemble car, en Europe comme aux USA, une délégation française public-privé, c’est du jamais vu.

Pourquoi aller au contact ? Car il ne suffit pas d’avoir un discours pour être entendu, il faut également le porter. S’il est vrai que nous n’avons pas les mêmes forces que nos alliés, il n’en reste pas moins que la France défend une certaine vision du cyberespace et des valeurs qu’elle projette tant au niveau de ses doctrines, dans son action internationale que dans les solutions de son industrie.  De ce point de vue, au vu de la mobilisation des états-majors outre-Atlantique, je peux affirmer que nous avons été pris au sérieux. Notre vision des données a été mieux comprise, même s’il reste énormément de travail à faire. Par exemple, j’ai ressenti la même intensité dans l’inquiétude des USA face au Digital Market Act (DMA) que celles des européens face au Cloud Act, pour des raisons différentes. Notre capacité à proposer des règlementations européennes ambitieuses est clairement l’un de nos atouts, dont il faut poursuivre l’usage. C’est un contre-pied à l’intuition générale qui consiste à affirmer que seuls les USA ont cette capacité. Il semble bien que non. Beaucoup le savent déjà, mais il est toujours bon de le rappeler.

Je retiens trois points centraux :
1 - Les entreprises US ne font pas de politique. C’est très marquant, leur discours est avant tout business et la question de la régulation n’est lue qu’à l’aune des affaires qu’elle génère ou qu’elle empêche. La Sécurité nationale ou la Défense n’est jamais abordée par les entreprises. Nous avons tout de même entendu « Le RGPD a permis à cette entreprise de faire des millions ». Qui l’aurait cru … Il nous faut nous aussi développer un discours économique en complément de la vision politique. Aujourd’hui, il est absent ;
2 - Face à la menace, la coopération entre États et entre secteur public-privé est centrale. Cette coopération est envisagée en interne (les USA viennent de mettre en place la Joint Cyber Defence Collaborative, que je vous invite à regarder de près) mais aussi en externe avec les Alliés et l’Occident. D’ailleurs, la crise en Ukraine qui est devenue une guerre pendant notre séjour était l’un des « cas d’usages » de cette coopération entre États. Chez nous, c’est le Campus cyber qui intrigue car il va exactement dans le sens de cette coopération public-privée, ce qui est donc un point d’accord ;
3 - Tous pensent « monde » par défaut. Lorsque nous avons rencontré Insight Partners, 4e fond mondial doté de 20 milliards, nous avons compris que parler de la France et de la législation française n’avait aucun sens pour cette entreprise qui échange avec 20 pays par jour. En revanche, n’avoir que des sites internet en français lorsque l’on vise au-delà du marché national pose question, et elle nous a été posée. Il y a là un point qui me semble important pour notre industrie si l’on veut qu’elle s’exporte.

2/ Est-il imaginable qu'aux Etats-Unis, par exemple, une entreprise française héberge les données de santé de tous les Américains, finance la première agence de presse ou mette en place un datalake pour l'industrie nucléaire ?

Il y a le principe et puis la réalité. Il m’est difficile d’être péremptoire sur cette question mais il y a quelques éléments de réponses.

Premièrement, nous avons des Français à la Maison Blanche, dans les Institutions américaines mais pas seulement. La question de la nationalité n’est pas tant présente chez nos alliés. Cela doit relever de la culture américaine qui s’est construite ainsi. Je dirais donc que la nationalité n’est pas le premier critère. Le premier critère, c’est le risque pour le pays, sa sécurité et les compétences nécessaires pour s’en prémunir. Sur cette thématique, il ne faut d’ailleurs pas être naïf.
Deuxièmement, lorsqu’il s’agit de la Sécurité nationale, les USA sont intransigeants. Nous l’avons vu avec TikTok notamment. Mais j’ai également vu qu’IDEMIA, basée à Courbevoie, assurait le contrôle des identités aux frontières américaines, autre point d’intransigeance. La question me semble donc plutôt se porter sur le contrôle de la solution par les autorités que sur leur « nationalité ».

Je pense donc que oui, il est tout à fait possible qu’une entreprise française opère un service stratégique aux USA. Ce qu’il faudra regarder, ce sont les conditions dans lesquelles ce service sera apporté et sous quel contrôle par l’Administration américaine. Elles sont là les clefs de souveraineté. Le sujet est le même pour nous : en tant qu’État, quels sont les services pour lesquels j’exclus tout prestataire étranger et quels sont ceux pour lesquels je souhaite exercer un contrôle total ou partiel ? Pour le reste, cela ne relève plus du rôle de l’État. Il s’agit d’une classification des risques finalement.

3/ Il se dit que les Américains seraient agacés par la recrudescence du recours aux notions de souveraineté en Europe. Mais les États-Unis ne sont-ils pas paradoxalement, en la matière, un parfait exemple à suivre ?

Ce point est très intéressant car nous avons entendu les deux. Il y a deux sujets : l’impératif de Sécurité nationale porté par les autorités publiques et les parts de marchés chassées par les entreprises.

Pour les autorités, la souveraineté telle qu’elle est perçue s’apparente selon nos interlocuteurs à du protectionnisme. Nous prendrions des législations pour protéger nos entreprises. Concrètement, le DMA est vécu comme un acte visant spécifiquement 5 entreprises américaines et ils ne le comprennent pas. C’est à ce moment que nous avons partagé nos réserves sur le cloud act d’ailleurs. La question des données était vraiment très présente sur l’ensemble des rendez-vous et on ressent l’enjeu fort pour le secteur privé, notamment en termes de business.

Dans le même temps, la Sécurité nationale des États-Unis justifie des régulations, des exclusions, etc. Ils font d’ailleurs une énorme différence entre une entreprise US et une entreprise chinoise, l’une valant mieux que l’autre bien évidement. Cela se comprend et cela se respecte. L’argument est clair, et il est régalien. Là encore, peut-être qu’un discours « sécurité nationale » serait plus lisible pour eux lorsque l’on prend des régulations européennes. Mais l’UE n’est pas un État donc …

Ici, l’on voit bien que l’on se place sur deux terrains différents : celui du régalien et celui du commerce. Ce mélange permet à la fois de disqualifier l’approche européenne et de justifier la position américaine. Est-ce alors un exemple à suivre ? Je crois préférer la vision française et européenne du Monde. Les USA ne sont pas un exemple à suivre aveuglément, c’est un allié avec qui il faut travailler. La question, c’est comment le faire en conservant le bon équilibre. À ce titre, la situation en Ukraine nous rappelle brutalement les lignes de force.

4/ Dans quel domaine technologique pensez-vous qu'une nouvelle entreprise européenne puisse, demain, devenir absolument incontournable dans le monde ?

Pas dans le cloud vraisemblablement. Je crois beaucoup aux batailles à venir, comme le quantique, le chiffrement post-quantique ou le spatial. Nous sommes de plus en plus distancés sur la question du cloud et de l’IA mais nous avons beaucoup de forces à faire valoir.

Il faut surtout un sursaut sur la donnée car le cœur du sujet est là. En maitrisant la donnée, son extraction, sa valorisation, ses usages et son stockage, nous conserverons notre indépendance en créant un point de contrôle incontournable. Il parait qu’il s’agit du nouvel or noir, mais nous n’avons pas de raffineries. Il nous faut donc nous concentrer sur sa valeur intrinsèque. La question des outils du cloud doit être menée en parallèle mais il s’agira de rattrapage et pas d’anticipation. Or il nous faut trouver notre saut technologique, et vite. Je pense que nous pouvons le faire sur celle que je viens d’évoquer.

5/ La CyberTaskForce dit travailler à l'édification d'une société de la confiance : confiance dans les réseaux, confiance dans les usages, confiance dans les services. Comprenez-vous que l'on puisse encore se méfier de beaucoup d'entreprises américaines et chinoises ?

Bien sûr, et je la partage sur certains aspects. J’ai beaucoup écrit sur ce thème mais je fais la différence entre méfiance et défiance. Nous savons depuis bien longtemps que le droit international est un droit d’arrière-pensées et que les États n’ont que des intérêts. Nous sommes donc dans un rapport de force permanent. Nous sommes aussi dans des interdépendances et un contexte mondial qui doit être pris en compte lorsque l’on entre dans l’arène. Je ne vois pas comment nous pourrions, seuls, renverser la table et faire fi de la réalité mondiale. Ce n’est pas raisonnable.

Le dialogue, d’abord. La seule question qui devrait se poser est celle de savoir comment gérer le rapport de force. On peut bien sûr refuser toute discussion, tout contact mais aucun rapport de force n’avance ni ne se règle ainsi. Je crois d’ailleurs que l’actualité éclaire spécifiquement ce point. La France porte une vision de la diplomatie et du dialogue qu’elle projette également dans le cyberespace, notamment avec l’Appel de Paris qui était à l’ordre du jour de notre entretien à la Maison Blanche. C‘est une valeur clef comme celle des communs numériques dont notre Ambassadeur Henri Verdier fait la promotion partout. C’est cela que nous devons faire aussi avec les géants mondiaux. Nous avons donc besoin de nous comprendre et de faire valoir nos arguments de part et d’autre pour établir et construire cette confiance. Je rappelle d’ailleurs que nous ne sommes pas en désaccord sur tout, tout le temps, avec les USA. Ce qui nous rassemble reste majoritaire et en cas de conflits majeurs, chacun se le rappellera comme nous le voyons avec certains dirigeants européens face à la guerre en Ukraine. Le dialogue permet donc d’identifier nos points d’accords et les axes à travailler.

Ensuite par la transparence. Plus l’on montre, moins le doute peut s’immiscer. Or cette transparence doit trouver des vecteurs d’expressions. Si un jour vous avez une question pour un géant de la Tech, je vous invite à venir la poser lors de Paris Cyber Summit. La parole est libre justement car la contradiction ne doit pas effrayer celui qui est à l’aise avec ses actes. Nous aussi devons porter notre vision, dégager des moyens pour le faire et aller au front des idées et des arguments.

Enfin, par la désintermédiation. Entendre directement l’information est toujours plus instructif que de la lire via des intermédiaires qui, par nature, éditorialisent cette information en la retranscrivant. Peu d’acteurs ont une information directe qui permet de se faire une idée précise de ce qui est dit, sans l’avis des nombreux neo-souverainistes du cyberespace qui utilisent ce vrai sujet pour exister ou pour vendre. L’usage commercial qui est fait de la souveraineté est inacceptable à mes yeux. Je suis d’autant plus à l’aise à le dire que je ne vends pas de cyber.

Si l’on veut vraiment exister dans le 21e siècle, il faut au préalable une industrie innovante qui conquiert des marchés. Nous avons également besoin de savoir ce qui est avancé par nos partenaires, comment ils le font et ce qui est utilisé pour justifier ou expliquer. On appelle cela une stratégie, et nous sommes loin d’en avoir une pour la France tant les groupuscules naissent sur ce sujet, au lieu de se rassembler. À la française oserai-je dire…

Ce que je constate, c’est que nous avons déserté le terrain du discours économique pour amener les discussions sur le terrain politique. Je ne pense pas que cela soit la bonne méthode pour les entreprises qui devraient plutôt engager leur temps dans l’innovation et la conquête de marchés. Elles sont là les clefs de notre souveraineté. Si l‘on veut que la France soit réellement indépendante, elle doit exprimer sa vision, avec ses mots, avec ses forces et avec tout le monde. Mais elle a aussi besoin d’une industrie conquérante, et non quémandante.

6/ Entre une Europe des nations, plurielle, agile, holacratique (empruntons le vocabulaire des startups) et une Europe fédérale, verticale et homogénéisée : s'il vous fallait choisir ?

L’Europe girondine face à la colbertiste en somme, sans nuance ? Je ne porte pas cette vision et je crois intimement que l’absence de nuance empêche de regarder les choses tels qu’elles sont. Je ne me retrouve pas dans le résumé « pour ou contre », qui fonctionne très bien en presse.

Je regarde le sujet très différemment. La France est petite dans le Monde mais elle est grande en Europe. L’Europe est donc un outil de la puissance française, comme pourrait l’être la francophonie d’ailleurs. Notre leadership mondial pourrait se trouver amplifiée par l’Union européenne si nous acceptions aussi de porter les intérêts de nos voisins. L’exemple russe est une fois encore éclairant car, lorsqu’une armée est à 200 km de votre capitale, comme pour l’Estonie, vous n’envisagez pas le problème comme celui dont la frontière est à 4 000 km. En nous intéressant aux problèmes de l’Estonie, on l’incite à s’intéresser aux nôtres. C’est ce qui a amené l’Estonie à être les premiers à nous rejoindre au Sahel, en intégrant Takuba. Il faut le faire avec tous.

Par ailleurs, l’Europe est la seule échelle pertinente pour le marché de la cyber, pour la défense de nos intérêts, pour la défense de notre intégrité. Je suis convaincu que la France peut jouer un rôle central pour l’avenir de l’Union européenne. Aujourd’hui, les seules puissances présentes en Europe, aux contacts des écosystèmes nationaux, ce sont les USA et l’Allemagne (voire la Chine). Nous, nous parlons d’Europe à Paris entre parisiens et c’est un problème. C’est pour apporter une réponse à cette situation que j’ai créé Paris Cyber Summit, ou l’on parle certes d’Europe mais avec les décideurs européens (sic). L’avenir de notre indépendance passe par le compromis avec nos voisins. Cela ne veut pas dire compromission. Celui qui parle d’ « acheter français », de « nouveau Google », etc. n’a jamais parlé avec un Européen car il serait alors plus nuancé et réaliste dans nos capacités. Il y a des batailles que nous avons perdues et il faut l’accepter, au risque de ne pas livrer les prochaines et donc de tout perdre.

7/ Pouvez-vous revenir sur le fameux épisode du t-shirt Google en replantant le décor ? Certains vous reprochent un manque de neutralité - et de clarté - vis à vis de ceux qui seraient vos clients, que leur dites-vous ?

6 à 10 % des élèves subiraient une forme de harcèlement au cours de leur scolarité et un quart des collégiens serait confronté à du cyber-harcèlement selon le Sénat. Selon e-enfance, on monte à 20% de 8-18 ans. Fin octobre 2021, soit un mois après le match, une adolescente harcelée en ligne de 14 ans s’est suicidée. Voici le sujet, Voilà le contexte.

L’idée a donc été de changer le contexte habituel de ces discussions institutionnelles pour aller vers un format qui rassemble et qui puisse intéresser des jeunes. Nous avons récolté des fonds pour le 3018 et l’association qui me tient à cœur, e-enfance. En sport comme en cyber, on partage des valeurs comme la coopération, l’esprit d’équipe, l’excellence, le respect, la sécurité, ... Nous avions donc tous les ingrédients pour écrire une histoire commune, utile à tous, et nous avons lancé ce match caritatif avec les parties prenantes de ce sujet. Comment ne pas associer les grandes plateformes ? Cela n’aurait pas été une erreur, c’eut été une faute. Il est donc normal, et souhaitable, que ces grands acteurs s’engagent sur ce sujet. C’est l’inverse qui devrait nous indigner. Le débat sur la souveraineté n’a rien à faire dans cet événement.

Notre projet a donc été de partir d’une menace visible et lisible afin d’aller plus loin et traiter la question des usages en sécurité. C’est aussi cela, une stratégie de sensibilisation. Faire peur s’est déjà révélé inopérant.

Pour vous donner aussi le coté vestiaire, et c’est ce que l’Histoire n’a pas retenu, il faut rappeler qu’une bonne partie des PME cyber françaises étaient présentes. Elles ont pu discuter en direct avec le ministre de leurs enjeux à elles. Le débat sur la souveraineté n’a rien à faire dans cet événement mais cela doit nous interroger sur l’hystérisation de tout, tout le temps.

Notre engagement a été utilisé et détourné pour d’autres enjeux, dont acte, nous n’avons pas été mis en cause. Mais cela ne me détourne pas de l’objectif qui est de sensibiliser chacun à cette menace numérique qui n’est pas technique, mais sociale. Je vois dans la polémique l’exemple typique du manque de discernement qui exprime pour moi toutes les raisons de nos échecs : nous avons le regard court, l’on mélange tout, nous n’agissons plus, l’on réagit. Pourtant, le sujet est crucial pour les individus d’abord, mais aussi pour notre société.

Je profite d’ailleurs de votre question pour remercier les ministres d’avoir mis et mouillé le maillot ainsi que d’avoir défendu l’initiative et la cause. Depuis, je constate que tout le monde ne parle que de cyber-harcèlement et lance des événements. C’est super et je m’en félicite, notamment car nous étions les premiers à ce niveau de l’écosystème. Nous avons fait une belle action pour le 3018 et c’est ce qu’il faut retenir. L’opération est un véritable succès et tous les participants souhaite renouveler. J’ai hâte d’annoncer la prochaine édition.

Sur le second volet de votre question, je répondrai à ceux qui s’interrogent de suivre votre exemple et de me les poser directement. Je suis très à l’aise avec tous cela. Notre métier, c’est l’événementiel. Nos clients sont aujourd’hui des sponsors d’événements et très majoritairement les PME de la cyber française. Les géants sont aussi partenaires du sommet. La question que je me pose, moi, c’est pourquoi n’ai-je pas à mes côtés tous les géants français ? C’est cette évolution que je souhaite, et à laquelle je travaille.

8/ Quelle entreprise ne seriez-vous pas prêt à conseiller et pour quelles raisons ?

Sur le principe, aucune sauf à ce qu’elles exercent une activité illicite ou ne seraient pas « légales ». Je ne fais pas de discrimination en raison de mes convictions personnelles, de l’actualité ou de la nationalité. Soit les entreprises et leur activité sont légales, soit elles ne le sont pas. La réalité, c’est que je lance des événements très porteurs de sens et me suivent ceux qui les pensent pertinents. Il peut bien sûr m’arriver de refuser un partenaire ou un projet mais c’est l’avantage d’être entrepreneur -il en faut-, j’ai mon entière liberté de choix.

9/ Pensez-vous que l'Homme poursuit la Création de manière audacieuse ou bien qu'il défie dangereusement les cieux par son audace ? Est-il selon vous co-créateur ou Prométhéen ?

Je pense que la vision française s’affranchit de ces considérations, ce qui ne serait peut-être pas le cas des USA. Voici une différence culturelle majeure en nous et nos alliés américains : nous ne faisons rien au nom de Dieu. Nous le faisons au nom du Peuple français. Et c’est l’intérêt de ce Peuple que l’État doit rechercher en permanence. Or il a été maintes fois démontré que l’intérêt de l’État n’emporte pas automatiquement l’intérêt des citoyens. La raison d’État peut aussi aller à l’encontre de l’Intérêt général. On l’oublie souvent en demandant à ce même État de tout régler pour nous. Difficile ensuite de se plaindre.

Il suffit pour s’en convaincre de chercher le citoyen français dans ce débat sur la société numérisée, le cyberespace, la tech... Il est absent et c’est à peine que nous le voyons apparaitre via les associations de consommateurs, encore très éloignées du sujet. C’est aussi la raison pour laquelle nous nous sommes engagés sur le cyber harcèlement. Cela permet de proposer une porte d’entrée simple, visible et lisible pour entrer dans les enjeux de cyber lorsqu’on n’y connait rien, comme 90% des Français aujourd’hui.

Vous l’aurez donc compris, pour filer votre image, une adaptation libre du fameux « aide-toi, le ciel t’aidera ». Je suis bien plus convaincu par l’impact de nos propres actions et je ne doute pas que l’État ne manquera pas de les reprendre à son compte si elles sont pertinentes. Si l’on veut être libre, il faut se prendre en mains.

10/ Le président de la République multiplie les références et les appels au recouvrement de notre souveraineté technologique ? Quelle est votre perception de cette idée ?

Le président de la République s’est engagé très tôt sur ce sujet dans le cyberespace. Dès son premier discours aux Ambassadeurs en 2017, le Président Emmanuel Macron parlait de souveraineté ouverte. L’émergence d’une souveraineté segmentée me semble plus hasardeuse mais je la comprends comme un objet politique : souveraineté technologique, alimentaire, sanitaire, … Pour moi, la souveraineté est par nature une et universelle. Cela m’amène donc à penser qu’un démembrement pourrait permettre de moduler le degré de dépendance, ou d’indépendance, en fonction du champ d’application. Je ne pense pas qu’il faille entrer sur ce terrain. Une fois encore, la souveraineté n’appartient pas à l’État mais bien au Peuple. C’est lui qui est souverain et l’État n’est que le garant. Il en est également comptable. C’est tout l’intérêt d’avoir des contacts permanents avec le Parlement, qui nous représente.

Au-delà du débat intellectuel que je trouve passionnant, il y a aussi la réalité pratique. De deux choses l’une : soit nous avons les meilleures technologies, nous dominons et nous les vendons (c’est ce que nous faisons dans l’aéronautique ou dans l’armement par exemple), soit nous ne les avons pas et nous sommes donc contraints de les acheter. Il nous faut donc alors les maitriser de bout en bout pour les usages les plus sensibles.

Dès lors, si la souveraineté consiste à dire : peu importe le besoin, l’important est que ce soit français, alors nous serons des vassaux bien plus rapidement que ceux qui en agitent la menace ne le pensent. Nous n’avons pas les technologies les plus matures et nos investissements publics comme privés ne sont pas à la hauteur de la compétition. Prendre cette voie nous condamne à nous plaindre, à subir et, à la fin, à nous voir dicter nos comportements. C’est le risque que je vois dans l’achat fondé sur la nationalité comme préalable.

Si la souveraineté consiste à se faire respecter, à maitriser notre territoire et ceux qui y vivent, alors cela ne tient qu’à nous. Que les acteurs mondiaux respectent nos règles et nos valeurs ne relèvent pas de l’utopie. Le RGPD, le DMA et le DSA en sont de parfaits exemples. Et ce sont des textes européens, ce qui leur donne d’autant plus de poids. Voilà pourquoi la France doit accepter de faire des concessions avec ses partenaires européens. Cela ne l’affaiblie pas, ca la renforce. Le DMA est un exemple parfait de ce potentiel.

Pour conclure, je pense que nous devrions plutôt regarder la souveraineté sous trois angles : celle du citoyen, celle des organisations et celles des Nations. Pour ces trois organismes, les risques et les outils sont différents. Il faut avoir une vision « user centric » du sujet en définissant pour chacune un classement des données en fonction de leur intérêt stratégique et des risques qui y sont attachés. Nous saurons alors quels outils utiliser, quels accès permettre, quels comportements adopter. C’est cela, pour moi, la souveraineté : choisir et maitriser.