Huit Français sur dix verraient leurs données personnelles circuler sur les marchés noirs du web. Ce chiffre, avancé par le chercheur en sécurité Clément Domingo, aurait semblé relever de la science-fiction il y a dix ans. Il est aujourd’hui la réalité d’un pays qui a abandonné sa souveraineté numérique avec la même légèreté qu’il a bradé son industrie et ses frontières.

Les faits sont accablants. Depuis le début de l’année 2024, les cyberattaques s’enchaînent à un rythme effréné. Viamédis, Amerys, Free, SFR, Boulanger, Cultura, Truffaut, Grosbill, la CAF, France Travail : la liste des victimes ressemble au bottin des entreprises et des administrations françaises. Selon une étude de Statista, ces attaques devraient coûter plus de 129 milliards de dollars à la France sur la seule année 2024. Une enquête de SurfShark enfonce le clou : la France est devenue le pays d’Europe occidentale le plus touché par les violations de données. Nous ne sommes plus une cible parmi d’autres. Nous sommes la cible privilégiée.

Comment en sommes-nous arrivés là ? La réponse tient en un mot que nos élites ont érigé en dogme : l’externalisation. Externalisation des services publics vers des prestataires privés. Externalisation du stockage des données vers des clouds américains. Externalisation de notre sécurité informatique vers des solutions étrangères. La France numérique ressemble aujourd’hui à une maison dont on aurait confié les clés à des dizaines d’inconnus en espérant qu’aucun d’entre eux ne les égare.

Le prix de l’abandon technologique

Il faut mesurer ce que signifie concrètement cette hémorragie de données. Ce ne sont pas des abstractions qui circulent sur BreachForums et les autres places de marché criminelles. Ce sont les noms, adresses, numéros de téléphone et parfois les coordonnées bancaires de millions de nos concitoyens. L’IBAN de votre grand-mère. L’adresse du domicile de vos enfants. Le numéro de sécurité sociale de votre épouse.

« Ce sont les données de huit Français sur dix qui circulent sur des marchés noirs. »

Ces informations, une fois dérobées, alimentent un cercle vicieux que les spécialistes décrivent comme un « effet boule de neige ». Chaque fuite permet d’orchestrer des attaques de phishing plus sophistiquées, des usurpations d’identité plus crédibles qui elles-mêmes permettent de nouvelles intrusions. Le criminel qui détient votre historique médical, votre situation familiale et vos habitudes de consommation dispose d’un pouvoir de nuisance considérable.

Face à cette menace systémique, quelle a été la réponse de l’État ? Une succession de communiqués embarrassés, de promesses d’enquêtes et de recommandations aux victimes de « rester vigilantes ». On conseille aux Français de changer leurs mots de passe comme on conseillerait aux habitants d’une ville bombardée de fermer leurs volets. L’impuissance publique confine à l’aveu d’échec.

Car le problème n’est pas seulement technique. Il est politique. Pendant des décennies, la France a fait le choix délibéré de ne pas investir dans une véritable souveraineté numérique. Nous avons laissé nos champions nationaux péricliter ou se faire racheter. Nous avons confié nos infrastructures critiques à des géants américains au nom d’une supposée efficacité de marché. Nous avons formé d’excellents ingénieurs que nous avons ensuite regardés partir travailler à Dublin, Amsterdam ou San Francisco.

Souveraineté numérique : de l’incantation à l’urgence vitale

Le « cloud souverain » français est devenu une plaisanterie récurrente dans les milieux technologiques. Les tentatives successives, d’Andromède à Numergy en passant par Cloudwatt, se sont soldées par des échecs retentissants et des centaines de millions d’euros dilapidés. Pendant ce temps, Amazon Web Services, Microsoft Azure et Google Cloud ont capté l’essentiel du marché français, y compris celui des administrations publiques. Nos données de santé, nos dossiers fiscaux, nos informations sociales transitent par des serveurs soumis au droit américain et au Cloud Act, qui permet aux autorités fédérales d’y accéder à leur guise.

Cette dépendance n’est pas une fatalité technique. C’est un choix politique. D’autres nations ont fait des choix différents. La Russie, malgré ses nombreuses faiblesses, a développé un écosystème numérique national. La Chine a bâti ses propres géants technologiques et protège jalousement les données de ses citoyens, fût-ce pour mieux les surveiller elle-même. Même l’Inde, longtemps simple réservoir de main-d’œuvre informatique pour l’Occident, impose désormais des règles strictes de localisation des données.

La France, elle, continue de réciter le catéchisme de l’ouverture et de la « startup nation », comme si la naïveté était une vertu cardinale. Emmanuel Macron, qui se targuait de faire de la France une grande puissance de l’intelligence artificielle, n’a jamais traduit cette ambition en politique industrielle cohérente. On préfère inaugurer des incubateurs et distribuer des subventions à des applications de livraison de repas plutôt que construire les infrastructures critiques qui garantiraient notre indépendance.

Les conséquences dépassent largement le simple désagrément des victimes de phishing. Une nation dont les données sont systématiquement pillées est une nation vulnérable. Vulnérable à l’espionnage économique : combien de secrets industriels, de brevets en gestation, de négociations commerciales ont déjà été compromis ? Vulnérable au chantage : que se passerait-il si un État hostile disposait des dossiers médicaux de nos dirigeants ou des échanges privés de nos hauts fonctionnaires ? Vulnérable à la déstabilisation : les données volées peuvent servir à alimenter des campagnes de manipulation de l’opinion à grande échelle.

Il ne s’agit pas de céder à la paranoïa, mais de regarder la réalité en face. Les cyberattaques massives ne sont plus l’apanage de hackers isolés en quête de rançons. Elles sont devenues un instrument de puissance géopolitique, utilisé par des États ou des organisations à leur service. Faire comme si la France pouvait rester un terrain de jeu ouvert à tous les vents, c’est accepter une forme de colonisation numérique.

Le sursaut est-il encore possible ? Il supposerait d’abord de rompre avec l’idéologie dominante qui considère toute protection comme du protectionnisme archaïque. Il exigerait ensuite des investissements massifs et constants dans la formation, la recherche et les infrastructures. Il impliquerait enfin d’accepter que certains services essentiels ne peuvent être soumis aux seules lois du marché.

La sécurité des données n’est pas un sujet technique à déléguer aux informaticiens. C’est une question de souveraineté nationale, au même titre que la défense du territoire ou le contrôle des frontières. Les 129 milliards de dollars que coûteront les cyberattaques à la France cette année sont le prix de notre renoncement. Un prix qui continuera d’augmenter tant que nous n’aurons pas compris que, dans le monde numérique comme ailleurs, seules les nations qui se font respecter sont respectées.