La souveraineté dans les marchés publics
Les fonds publics devraient être destinés à soutenir les actions au profit de la Nation, dans le respect, bien sûr, du Code des marchés publics.
Trop de marchés publics sont confiés à des sociétés et des grands groupes présidés par des actionnaires et dominés par des intérêts étrangers. Dans ce contexte, rien ne peut garantir précisément ni la sécurité des données ni l’investissement dans la réindustrialisation du pays. À niveau équivalent, l’acheteur public devrait, pour des raisons de sécurité nationale, favoriser les entreprises françaises.
- Attention aux fuites de capitaux vers des entreprises ayant des intérêts manifestes avec des puissances étrangères.
- Attention aux fuites de données.
- Attention à la désindustrialisation continue du pays.
L’acheteur public doit respecter le Code de marchés publics, c’est-à-dire la mise en concurrence au premier euro, afin d’éviter le détournement de fonds et la corruption. Pour autant, pour des raisons éminemment stratégiques à moyen et long termes, la loi n’a pas vocation à dévier les fonds publics vers des entreprises étrangères à fort chiffre d’affaires (CA) et à forte valeur ajoutée (VA). C’est pour cela que des dispositions ont été prises pour spécifier à l’acheteur public les mesures d’incitation visant à choisir des entreprises françaises de petite et moyenne tailles. Néanmoins, ces prescriptions ne sont pas suffisantes pour endiguer la crise économique actuelle et pour parer les risques en matière de cybersécurité.
« L’article 131 de la loi ajoute l’intérêt général comme motif de recours à la passation de marchés publics sans publicité ni mise en concurrence. Cet article renforce aussi l’accès aux marchés publics des entreprises en redressement judiciaire, en autorisant expressément les entreprises qui bénéficient d’un plan de redressement à se porter candidates à ces contrats. Elles n’auront ainsi plus à démontrer qu’elles ont été habilitées à poursuivre leur activité pendant la durée prévisible du contrat. Il permet également de réserver une partie des marchés globaux aux PME et aux artisans : jusqu’à présent, cette obligation n’était prévue que pour les marchés de partenariat. »
« La réforme de la commande publique met déjà à disposition des acheteurs publics de nombreux outils en faveur de la candidature des PME. Il s’agit d’outils juridiques comme l’encadrement de la pratique des consultations techniques préalables entre acheteurs et entreprises, le renforcement de l’exigence d’allotissement, la fixation d’une part minimale du contrat à confier à des PME (10 % pour les marchés de partenariat et pour les concessions). Mais aussi d’outils non juridiques comme l’utilisation de procédures MPS (Marché public simplifié) ou la fin de l’exigence de la signature des candidatures et des offres. Plutôt qu’une énième réforme des textes en matière de commande publique, il nous apparaît plus utile de fluidifier, de faciliter, de libérer les relations PME/acheteurs publics. »
https://www.economie.gouv.fr/cedef/droit-des-marches-publics
Aujourd’hui, les problématiques liées à la sécurité des données, d’une part, et à la réindustrialisation du pays notamment dans les technologies de haut niveau, d’autre part, rendent de plus en plus critiques les investissements publics. C’est pour cela que l’agence nationale de la sécurité des systèmes d’information (ANSSI) a pris des dispositions :
« L’Agence nationale de la sécurité des systèmes d’information (ANSSI) impulse une nouvelle dynamique dans son organisation. L’objectif : s’adapter aux mutations de l’écosystème numérique pour répondre au mieux aux enjeux de demain et apporter une meilleure lisibilité des actions de l’agence.
L’ANSSI a pour mission d’accompagner et de sécuriser le développement du numérique. Acteur majeur de la cybersécurité, par sa fonction d’administration centrale, mais aussi en tant que régulateur et opérateur, l’ANSSI accompagne, conseille et soutient tous les acteurs majeurs de la société au profit de la sécurité du numérique de la Nation.
POUR QUE LA FRANCE RESTE SOUVERAINE EN MATIÈRE DE SÉCURITÉ NUMÉRIQUE
Au-delà de sa mission historique de protection des systèmes d’information de l’État et des opérateurs critiques au niveau national, l’ANSSI, en tant qu’administrateur de la politique publique en matière de cybersécurité est là pour anticiper, veiller, sensibiliser, former et développer un écosystème vertueux à même de prévenir et de réagir aux attaques. Un modèle orienté sur la protection et la défense, qui est aujourd’hui reconnu au niveau international pour ses vertus et sa pertinence. »
C’est aussi pour cela que la DIRISI a pris des dispositions :
« L’Ingénieur Général de l’Armement Dominique Luzeaux, Directeur adjoint “Plans” de la DIRISI (Direction Interarmées des Réseaux d’Infrastructure et des SI de la Défense, Ministère des Armées) détaille ici les missions de cet opérateur des SI des armées et ses relations avec la DGNum. Il revient aussi sur deux préoccupations constantes : ouvrir les marchés publics de la Défense aux PME et disposer des bons talents numériques. »
« Si nous voulons ériger une compétence française et européenne de la cyber, secteurs public et privé doivent travailler ensemble. »
La démarche souveraine nationale est étudiée par l'institut de la souveraine numérique :
Aussi, la démarche souveraine doit être renforcée dans le domaine marchés publics. Elle pourra s’appuyer sur trois axes majeurs :
1. Maîtriser la cybersécurité.
Il s’agit de préserver la sécurité du pays à travers la maîtrise des données dans les systèmes d’information, ainsi que d’éviter la fuite des données vers des puissances étrangères. D’une manière générale, il convient d’assurer la maîtrise de l’assistance aux maîtrises d’ouvrages, à la maîtrise d’œuvre, aux éditeurs de logiciels et à la cybersécurité des projets et des systèmes d’information étatiques comme privés afin de garantir la protection des données et des processus critiques. Les notions de patrimoine intellectuel et de VA sont ici évoquées. Il apparaît nécessaire d’adapter la politique économique et de confier, autant que possible, les activités à des sociétés françaises n’ayant pas d’intérêts avec une puissance étrangère. Le poids des actionnaires, les logiques industrielles, l’espionnage industriel et les lois tel le Cloud Act font peser un risque majeur sur la protection du secret et sur l’activité industrielle et économique française.
Aussi, des critères de choix peuvent être établis pour lutter contre cette menace. Par exemple, il peut s’agir de fournir des preuves de l’indépendance de l’entreprise à l’égard des puissances étrangères, des actionnaires et des éditeurs de logiciels.
2. Favoriser le développement de l’expertise française.
Il est primordial d’encourager le développement des entreprises françaises, la création et l’innovation. Cela passe par la garantie de la cohérence et de la pérennité du système industriel français avec le maintien des expertises et des savoir-faire sur le territoire national. Cela se concrétise par le fait de favoriser les brevets et les licences françaises, ou, d’une manière générale, d’investir dans les startups et les PME-PMI. Il est aussi question d’encourager les partenariats et la sous-traitance afin d’atteindre les tailles critiques requises par l’importance des projets et le Code des marchés publics en termes de CA notamment. Enfin, il faudra inciter à l’usage de solutions françaises éprouvées et certifiées et se détacher des solutions étrangères.
L’établissement de fractures technologiques, d’une part, entre les petits pays et les grandes puissances comme les Etats-Unis, la Chine et les GAFAM, et, l’instauration de fortes dépendances de solutions devenues des standards de fait, d’autre part, présentent un risque majeur pour la soutenabilité de l’activité économique du pays qu’il convient de prendre en compte de manière efficace. Après le standard de fait Microsoft pour les systèmes d’exploitation (OS) et les outils de bureautique (Office), Google, Amazon et le cloud deviennent des enjeux majeurs de domination technologique et économique mondiales dans les domaines des données personnelles, de la logistique et de l’hébergement.
3. Favoriser le développement économique, la formation et la réindustrialisation française.
Les investissements cruciaux que représentent les marchés publics doivent satisfaire simultanément les objectifs opérationnels, la sécurité et la pérennité des solutions. À niveau opérationnel équivalent, les marchés publics doivent faire plus d’efforts sur la sécurité mentionnée au §1 avec des critères de choix plus explicites dans les marchés publics. Ils veilleront à la pérennité globale des systèmes français qui repose sur la capacité d’autonomie, qui s’appuie elle-même sur la maîtrise des savoir-faire présentée au §2 avec des critères de choix plus explicites. Enfin, la France devra privilégier les cursus universitaires et les emplois à haute valeur ajoutée (VA). Les Français doivent être largement informés que derrière les petits profits, la fascination des nouvelles technologies et la gamification se cache une guerre technologique dans le cyberespace qui aura des conséquences très lourdes dans la vie réelle. Une nouvelle forme de vassalisation numérique est en marche. En outre des analyses de risques organisationnels, la sobriété numérique est une bonne manière de minimiser les risques. Dans ce cadre, l’analyse du CIGREF est intéressante :
https://www.cigref.fr/publication-sobriete-numerique-une-demarche-d-entreprise-responsable
4. Favoriser les partenariats et les groupements d’entreprises françaises
Les entreprises françaises indépendantes et non soumises à des contraintes étrangères en matière de gouvernance, de financement, d’intérêts, de traitement des données et de solution technologique comme le cabinet de conseil stratégique Beijaflore s’inscrivent dans la démarche souveraine. Spécialisé dans la transformation digitale, la cybersécurité et l’IA, ce cabinet maîtrise les approches stratégiques de transformation digitale en intégrant la composante cybesécurité dès le début des travaux et propose aussi un modèle d’analyse de risque organisationnelle innovent.
Vous avez entièrement raison pour les données qui nécessitent d’être protégées et ont besoin de ces acteurs « souverains ». C’est un cercle vertueux... Mais pour les autres données, il existe des solutions qui ont fait leurs preuves, sont sécurisées et passent à l’échelle. Et à force d’attendre un écosystème « souverain » pour ces autres données, l’administration continue de prendre du retard. C’est dommage...