Tout au long de la campagne, de nombreuses organisations (associations, syndicats, collectifs, etc) sollicitent Jean-Luc Mélenchon pour qu’il détaille ses propositions sur des enjeux qui les concernent. L’équipe du programme et les groupes thématiques répondent, pour chacune de ces demandes, en développant des points précis de notre programme l’Avenir en commun.
Nous répondons ci-dessous aux questions du Forum International de la Cybersécurité.
Texte introductif
Une cybersécurité au service du citoyen
Le projet de l’Union populaire pour le numérique veut renouer avec les principes de l’universalité d’Internet et répond à la devise de la République française :
- Liberté d’opinion et d’expression des citoyen.ne.s d’abord, qui doit être préservée de la censure privée et automatisée des grandes plateformes auxquelles l’Etat concède complaisamment le rôle tenu jusqu’alors par nos tribunaux. La liberté suppose d’être un pays indépendant : il faut garantir pour cela notre souveraineté numérique et notre maîtrise de la chaîne de valeur globale de l’information (infrastructures, équipements, logiciels libres et données).
- Égalité d’accès au numérique ensuite, qui doit être réalisée en réduisant les fossés numériques sociaux et territoriaux. Cela implique de réduire les inégalités d’accès (aux équipements, au réseau) et une politique de formation et médiation.
- Fraternité enfin, pour promouvoir et permettre les pratiques coopératives et le partage des connaissances.
Cette vision nous oblige en matière de cybersécurité : pour offrir ce numérique aux Français, il est indispensable de garantir un haut niveau de sécurité dans le cyberespace.
Formation
Avant d’être un enjeu technique, la cybersécurité repose sur des usagers correctement informés des pièges du numérique. Cela suppose en premier lieu d’augmenter les moyens alloués aux acteurs de la médiation numérique – associations, ONG, enseignants… –, et d’offrir un statut et une rémunération protecteurs aux médiateur·trices numériques.
Nous devons soutenir les lieux qui permettent l’acquisition d’une telle culture : associations, fablabs, repair cafés, réparateurs informatiques…
Protection des usagers
Mais la cybersécurité n’est pas réductible à une simple responsabilité individuelle. L’Etat doit assumer son rôle de protecteur de la population par un rôle actif qui dépasse la mise en œuvre de gadgets comme le cyberscore ou un quelconque filtre « anti-arnaque ».
Il s’agit tout d’abord de renforcer les droits des citoyens à sécuriser leurs échanges en ligne en mettant en place un droit constitutionnel au chiffrement des communications.
Il s’agit ensuite de renforcer les moyens des services dédiés qui garantissent les droits des citoyens en ligne, comme la DGCCRF, PHAROS, les magistrats spécialisés dans les infractions en ligne, dont l’utilisation frauduleuse des données à caractère personnel, et d’améliorer leur coopération.
Pour une identité numérique décentralisée
Dans un monde numérique aussi étendu que le nôtre, l’identité numérique est un enjeu clé. Certains discours commerciaux, sous prétexte de sécurité, poussent au partage de toujours plus de données sensibles, notamment biométriques, tout en dépossédant les citoyens du contrôle de celles-ci.
S’appuyant sur l’expertise de l’Etat et d’acteurs du service public comme la Poste, nous ferons en sorte qu’une solution d’identité numérique souveraine, interopérable et indépendante des intérêts privés soit proposée aux citoyens, sans obligation d’adoption.
Une cybersécurité étendue
La récente vague de cyberattaques utilisant des rançongiciels a montré la vulnérabilité de notre tissu institutionnel (collectivités territoriales, entreprises, hôpitaux…). Au-delà d’un « cyberplan de relance » ponctuel, il nous faut renforcer durablement les moyens de l’ANSSI afin d’en faire un véritable service public de la cybersécurité à l’échelle de l’ensemble du secteur public. Elle doit être dotée de moyens suffisants pour proposer son assistance, des formations et des audits flash aux services de l’État, collectivités et hôpitaux et permettre l’accès à des services qui renforcent concrètement la cybersécurité (détection des failles, antispam, antivirus…).
L’Etat doit être à l’initiative de solutions informatiques mutualisées à l’échelle de l’ensemble du service public. Cela garantira une meilleure sécurité des données que les solutions privées quasi-monopolistiques actuelles.
Une cybersécurité souveraine et résiliente
Des moyens informatiques maîtrisés
La souveraineté numérique est un enjeu important de la cybersécurité. Nous proposons de :
- Maîtriser le traitement et le stockage des données administratives, stratégiques, de l’Éducation nationale, de santé, et de recherche publique en les confiant à des structures publiques sur des serveurs de droit français situés en France ;
- Développer les clouds souverains comme principe nécessaire à la sûreté de l’Etat et de ses compétences ;
- Renforcer le maillage des noeuds internet régionaux (GiX) et les hébergements de proximité ;
- Faire émerger des clouds de confiance décentralisés, associatifs et pluriels ;
- Renforcer le maillage territorial des centres de calcul haute performance régionaux.
Au-delà du lieu de conservation des données, nous veillerons à prémunir les données des Français contre la réglementation des États-Unis. La doctrine « Cloud au centre » de l’État doit être mieux cadrée et étendue aux collectivités territoriales, qui conservent de nombreuses données personnelles sensibles. Il n’est pas possible de considérer comme une solution souveraine le fait que la conservation des données des administrations soit confiée à des consortiums mêlant un acteur français et un GAFAM.
La France doit conserver et renforcer les moyens matériels de son indépendance et notamment :
- Rétablir la propriété française sur Alcatel Submarine Networks (câbles sous-marins) et tracer des autoroutes informationnelles stratégiques (ex : Guyane-France métropolitaine) ;
- Créer une fonderie de microprocesseurs.
Le logiciel libre est un des outils essentiels qui permettra la souveraineté numérique de la France. Nous proposons de :
- Créer une agence publique des logiciels libres chargée de planifier leur développement stratégique domaine par domaine.
- Créer un fonds co-administré dédié aux projets ouverts et aux logiciels libres (« le 1 % open »), et organiser le soutien via la commande publique des services et logiciels français et européens grâce à une loi d’achat de biens produits spécifique.
Une politique internationale de cybersécurité indépendante
Dans le numérique aussi, la France doit être indépendante et non alignée.
Elle doit œuvrer à la non-prolifération des outils d’atteinte aux libertés numériques en intégrant à la liste des biens à double usage les logiciels permettant des fonctions avancées d’espionnage afin d’en contrôler le commerce.
Cette indépendance repose aussi sur des moyens importants alloués aux services de renseignement et une coopération accrue entre eux en matière de lutte contre le cyberespionnage et les opérations de déstabilisation numérique des institutions françaises. Cette coopération doit inclure l’ensemble des acteurs de la lutte contre la cybercriminalité, tant il est évident que celle-ci mêle dans un continuum malveillant des délinquants classiques et des acteurs étatiques hostiles.
Une politique numérique résiliente
Enfin, dans une société qui doit reprendre conscience des limites et de la fragilité de l’écosystème, il est nécessaire de prendre conscience que la résilience de notre pays face aux attaques numériques passe aussi par la capacité à surmonter une rupture provisoire des solutions numériques.
Nous souhaitons donc que les services publics et les entreprises d’importance vitale disposent d’un plan de continuité d’activité qui inclut l’hypothèse d’une défaillance informatique majeure et donc la capacité d’assurer leur mission sans informatique.
Votre priorité
- Si vous étiez élu à l’Elysée, quel serait votre premier chantier en matière de sécurité numérique ?
Reconstituer de vrais parcs de data centers français, de droit français et localisés en France, pour garantir que l’hébergement des données des services publics français et des entreprises essentielles y soient hébergées. Dans un contexte géopolitique instable, nous devons renforcer notre souveraineté numérique. Cela supposera également de développer les ramifications entre la France et les Outre-mer en câbles sous-marins souverains, notamment entre la France et la Guyane. Pour cela, nous rétablirons la propriété française publique sur Alcatel Submarine Networks.
Citoyens et consommateurs
Débits frauduleux, produits jamais livrés, chantage… Plus de la moitié des arnaques ont lieu sur Internet, pour un préjudice estimé à un milliard d’euros.
- Etes-vous favorable à la mise en place d’un CyberScore labellisant les services en ligne ? Quelles sont vos propositions pour protéger les internautes ?
Un label CyberScore constitue une piste intéressante, à condition qu’il fasse l’objet d’une maîtrise publique pour assurer que la labellisation ne devienne pas un nouveau marché pour les lobbies, comme c’est bien trop souvent le cas. Cela nécessite d’importants moyens de contrôle.
D’autres pistes méritent d’être étudiées, comme le développement d’un système publique d’avis vérifiés (où seuls les clients ayant effectivement acheté peuvent témoigner), qui pourrait être piloté par la DGCCRF en lien avec les associations de consommateurs.
Il faut également, en parallèle, renforcer les moyens de recours juridiques en permettant aux associations de consommateurs de jouer tout leur rôle d’accompagnement et en renforçant l’aide juridictionnelle.
Enfin, l’enjeu de la sensibilisation et de l’éducation à la cybersécurité reste décisif. C’est une responsabilité publique majeure.
Identité numérique des citoyens
Une identité numérique sécurisée est une condition sine qua non du développement de nouveaux usages ou services publics. Malgré un savoir-faire incontesté, la France est très en retard dans ce domaine.
- Quelle sera votre politique en la matière ? Concilier identité numérique pour tous les citoyens et respect des libertés fondamentales vous semble-t-il réalisable ?
Oui, à condition de limiter le champ des “contrôles d’identité numérique” aux situations où cela est véritablement pertinent. Il ne doit pas être question de généraliser un contrôle d’identité numérique dans chaque pan de l’internet : ce serait contre-productif et même liberticide.
Souveraineté numérique, commande publique
Alors que 72% des Français souhaitent que leurs données personnelles soient hébergées en UE (sondage IFOP), plus de 90% des données européennes sont stockées aux États-Unis. Même dans le secteur public, SNCF a noué un partenariat avec la plateforme cloud Amazon Web Services (AWS), tandis que le Health Data Hub, qui s’apprêtait à être hébergé au sein de Microsoft Azure, va devoir revoir sa copie…
- Quelles sont vos propositions afin de garantir la protection de nos données vis-à-vis d’acteurs extra-européens ?
- Etes-vous favorable à une modification du code de la commande publique, afin d’imposer des critères de cybersécurité ou de souveraineté en matière de services numériques ?
Les épisodes des contrats passés avec Microsoft par le ministère des Armées, l’Éducation nationale ou encore le Health Data Hub sont des aveux d’impuissance face aux grands groupes du numérique de la part de l’État.
La maîtrise des données est un des enjeux stratégiques de notre ère numérique. La France ne doit pour cela dépendre ni d’autres pays, ni de multinationales comme les Gafam, qui sont tenues par le droit américain de livrer leurs données aux services de renseignements américains s’ils le leur demandent. Le gouvernement est irresponsable de ne pas en tenir compte.
Nous sommes bien sûr favorables à des critères de souveraineté et de cybersécurité dans la commande publique. Il faut aussi pouvoir favoriser les entreprises françaises dans la commande publique. C’est bien la moindre des choses : nous serions bien les seuls à ne pas faire un tel protectionnisme. La France a les moyens d’être à la pointe de l’excellence en matière de numérique, comme elle l’a souvent été. Elle doit le faire avec sa propre vision : celle d’un Internet libre et d’un numérique émancipateur. Nous proposons ainsi de créer une agence publique des logiciels libres, qui planifiera leur développement en fonction des besoins de nos services publics comme de nos entreprises.
PME, hôpitaux et collectivités locales
Cybermalveillance.gouv.fr a vu sa fréquentation augmenter de 155% en 2020, avec 105 000 demandes d’assistance. Les entreprises ont par ailleurs vu leurs primes d’assurance exploser et la plupart des assureurs se désengagent du sujet.
- Comment comptez-vous armer les collectivités, les hôpitaux et les TPE/PME, ces “oubliés” de la cybersécurité, et lutter contre ce phénomène cybercriminel aux conséquences dramatiques pour elles ?
- Après le plan de cybersécurité de 2021 destiné notamment à équiper les hôpitaux et les collectivités, faut-il imaginer un nouveau plan d’équipement ?
- L’assurance “cyber” peut-elle être l’une des solutions ?
Il va falloir monter d’un cran dans l’ambition de nos plans d’équipement. Les chambres de commerce et d’industrie, notamment, doivent être mises en capacité d’armer les TPE/PME en matière de cybersécurité, à la fois en les aidant à se doter des solutions appropriées et en menant une sensibilisation à la culture de la cybersécurité. Elles le font déjà, mais elles n’ont pas les moyens de faire assez : leurs budgets ont été divisés par quatre en dix ans !
Nous renforcerons leurs moyens et renoueront des liens plus étroits avec les services décentralisés de l’État pour agir ensemble sur cette question stratégique.
Il en va de même pour les hôpitaux et les collectivités : leur asphyxie financière organisée par les gouvernements successifs a contribué à les rendre plus vulnérables. Il faut faire tout le contraire. L’État doit leur venir en aide en développant, avec l’appui de l’ANSSI notamment, des services et des solutions mutualisés. Nous augmenterons le budget de l’hôpital public de 5% par an et augmenterons les dotations aux collectivités, ce qui leur permettra également de se doter d’outils et de personnels formés en la matière.
Nous ne sommes pas favorables a priori à l’assurance cyber : nous pensons que les polices d’assurance existantes devraient intégrer la paralysie d’une TPE/PME via la cyberattaque, qui fait partie des risques de sécurité au même titre que les autres.
Traitement judiciaire de la cybercriminalité
47% des entreprises ont porté plainte à la suite de cyber attaques, mais seulement 15% des enquêtes ont débouché sur des identifications ou interpellations (source : Association CESIN).
- Comment souhaitez-vous renforcer le traitement judiciaire de la cybercriminalité, et garantir une réponse pénale effective ?
Notre justice a été clochardisée. Nous sommes extrêmement en dessous de la moyenne des pays comparables en dépenses de justice par habitant. Nous embaucherons 65 000 postes dans la justice dans le quinquennat. Nous augmenterons également de 10% les effectifs de la police judiciaire, dont sa sous-direction de la lutte contre la cybercriminalité, et doublerons les effets de la police technique et scientifique ainsi que ceux de PHAROS.
Organisation de l’État et stratégie nationale
Rôle de l’ANSSI et son rattachement au SGDSN, séparation stricte entre actions cyber offensives et protection, création d’un service à compétence nationale au sein du ministère de l’Intérieur…
- Le modèle et l’organisation française en matière de cybersécurité et de lutte contre la cybercriminalité vous semblent-ils adaptés ? Faut-il créer un ministère à part entière, chargé du Numérique, doté d’un secrétariat d’État à la Cybersécurité (à l’image du Québec) ?
- Les moyens (organisationnels, humains et financiers) sont-ils suffisants ?
De façon évidente, aujourd’hui, les résultats sont insuffisants. C’est donc qu’il y a quelque chose d’inadapté.
C’est clairement d’abord une question de moyens humains et financiers. En étranglant les services publics, on ne peut pas s’attendre à ce qu’ils puissent mener les transformations nécessaires. Il faut d’abord leur donner les moyens de se former, de recruter, d’être en nombre suffisant pour faire face aux besoins d’aujourd’hui tout en anticipant ceux de demain.
C’est aussi une question de coopération. Le modèle économique et de société organisé autour de la concurrence n’est pas adapté pour traiter les grands enjeux d’aujourd’hui. La cybersécurité en est un exemple. Parce que les acteurs sont extrêmement interdépendants, la faille de l’un entraîne la fragilité de l’autre. Quand une fuite de données intervient dans une PME, cela met bien souvent en difficulté bien d’autres. Là aussi, nous avons plutôt intérêt à la coopération. Entre collectivités publiques d’abord, qui doivent davantage disposer de solutions et de services mutualisés. Avec les acteurs privés aussi, en renforçant leur accompagnement en matière de cybersécurité : c’est un enjeu de souveraineté. Tout cela suppose notamment d’étendre le rôle de l’ANSSI et de renforcer ses moyens.
Industrie de la cybersécurité
La France dispose d’une filière d’excellence en cybersécurité et confiance numérique. Le plan national « Cybersécurité » s’est donné des objectifs ambitieux : un chiffre d’affaires de 25 milliards en 2025, 3 licornes et 75 000 personnes.
- Quelles sont vos propositions pour développer l’industrie française du numérique et de la cybersécurité, et favoriser également sa conquête de l’international ?
Notre objectif est de répondre aux besoins de cybersécurité pour garantir la souveraineté nationale, la sécurité économique et des personnes, plutôt que la conquête de l’international.
L’industrie française du numérique et de la cybersécurité bénéficiera d’abord de la mise en œuvre d’un véritable accompagnement des administrations publiques, collectivités, hôpitaux… dans la mise en œuvre de plans de cybersécurité, pour lesquelles ils disposeront de moyens suffisants. Cela entraînera une hausse importante de la commande publique, qui sera fléchée vers des entreprises locales grâce à nos mesures de protectionnisme.
Les TPE/PME du secteur profiteront par ailleurs fortement de notre refonte de la fiscalité, qui verra notamment l’impôt sur les sociétés rendu progressif en fonction des bénéfices et modulé selon la part des bénéfices consacrée à l’investissement ou aux dividendes.
Formation et éducation
La Commission européenne évoque, d’ici 2025, 500 000 emplois non pourvus dans le domaine numérique en général, en particulier dans la cybersécurité.
- Quelles sont vos propositions pour améliorer l’éducation, ainsi que la formation professionnelle en cybersécurité et son attractivité, en particulier vis-à-vis des femmes ? Comment remédier dans l’urgence à cette pénurie ?
Nous inscrirons dans la Constitution un droit au chiffrement, préalable indispensable aux communications électroniques d’aujourd’hui et de demain afin de préserver la vie privée. L’éducation à la cybersécurité passe par le développement d’une vraie culture numérique : vérification/croisement des sources, évaluation par les pairs des contenus en ligne. Sensibiliser dès le plus jeune âge au logiciel libre, au codage, au fonctionnement des réseaux de l’internet et aux modalités de stockage des données ouvre les yeux. L’éducation devra se faire dans l’ensemble des espaces d’apprentissage : CFA, lycées professionnels, agricoles, généraux, collèges, écoles, écoles de la 2nde chance, prisons. Pour cela, encore faut-il les doter des moyens nécessaires. Nous le ferons avec notamment le recrutement de 160 000 enseignants – dont 60 000 immédiatement – ainsi que de 15 000 assistant·es d’éducation. Chaque moment de formation de la vie est l’occasion de rappeler les règles les plus élémentaires.
Espionnage et logiciels d’intrusion
L’affaire Pegasus a mis en lumière le développement d’un marché des vulnérabilités informatiques et d’une industrie de logiciels d’espionnage dans certains pays.
- Comment garantir que des personnalités françaises ne soient pas espionnées ?
- Quelles sont vos propositions afin de réguler ce “marché gris” opéré par des acteurs privés ?
Il faut commencer par généraliser l’utilisation de dispositifs souverains par les responsables publiques, politiques et administratifs. Pour cela, il faut développer des outils souverains et cesser notre dépendance aux Gafam et aux puissances étrangères.
Le risque zéro d’espionnage n’existe pas, mais continuer à livrer nos données à des multinationales, tenues par le droit américain de les livrer aux services de renseignements américains s’ils le leur demandent, est tout simplement irresponsable.
Coopération européenne
Dans son livre blanc Faire de la cybersécurité la clé de voûte de la sécurité numérique européenne (ci-joint), l’agora du Forum International de la Cybersécurité (FIC) montre l’intérêt d’une coopération européenne dans de nombreux domaines.
- Quelles compétences doivent relever du niveau européen ? Voyez-vous des limites à cette coopération, si oui lesquelles ?
Nous sommes favorables à toutes les coopérations respectueuses de la souveraineté de chaque État en matière de cybersécurité. La France doit défendre au niveau mondial un autre modèle d’Internet qui permette le respect de la vie privée, la sécurité des personnes, la coopération, la circulation des connaissances et garantisse la neutralité du Net. Elle doit être à l’initiative de projets communs, participer notamment au développement de solutions libres, particulièrement avec ses partenaires francophones. Pour pouvoir porter cette voix, elle doit se donner les moyens d’être indépendante. Pour nous, ces compétences doivent donc être de niveau national.
Votre cybersécurité…
Demain, l’organisation mise en place pour votre campagne électorale pourrait être victime d’un rançongiciel.
- Quelles mesures ou outils avez-vous mis en place pour votre campagne (sensibilisation de vos équipes, analyse de risque, politique de sécurité, double authentification, chiffrement des données) ?
- Avez-vous désigné un responsable de la sécurité des systèmes d’informations ou un référent dédié ?
La France insoumise a développé une plateforme autonome : Action Populaire, premier réseau social politique, qui nous permet de nous affranchir des grands groupes numériques et recouvrer notre autonomie en cas de censure privée opérée par les plateformes privées. Action Populaire est une plateforme avant-gardiste en matière de cybersécurité et respectueuse des modalités inscrites dans le RGPD. C’est un logiciel libre, hébergé en France.
La France Insoumise a choisi de se doter de sa propre équipe pour réaliser ses outils numériques, qui ont développé cette nouvelle plateforme, élément pivot de notre mouvement politique.
En interne, nous privilégions au maximum l’utilisation de nos propres outils, sur nos propres serveurs, qui sont tous dotés de techniques de sécurisation type double authentification, chiffrement des données. Notre équipe fait régulièrement des sessions de sensibilisation auprès des salarié·es de la campagne et, au-delà, des équipes militantes.