Mardi 13 novembre 2012
- Présidence de M. Bruno Sido, sénateur, président -Audition de M. Claude Kirchner, délégué général à la recherche et au transfert pour l'innovation à l'INRIA (Institut national de recherche en informatique et automatique)
M. Bruno Sido, sénateur, président. Je vous remercie de venir présenter le projet de plan stratégique de l'INRIA devant l'Office. Cette audition complétera celle, déjà réalisée, de Madame Rivière, présidente du Grand équipement national du calcul intensif (GENCI). L'INRIA occupe une place de première importance dans la recherche européenne et mondiale, dans un secteur devenu progressivement stratégique, d'abord pour des raisons d'ordre militaire et ensuite surtout économique.
M. Michel Cosnard, président directeur général de l'INRIA. Dans ce domaine extrêmement vaste qu'est le numérique, l'INRIA, institut de taille modeste, de par son budget de 160 millions d'euros et ses effectifs à hauteur de 600 chercheurs, se doit de définir les priorités pertinentes qui engagent l'avenir. A cette fin, cinq plans stratégiques successifs ont fixé, depuis 1994, ses axes de recherche privilégiés.
Le premier, en mettant l'accent sur le Web, encore confidentiel à l'époque, a permis à l'Institut d'y prendre une place majeure. L'orientation forte fixée, en 2000, vers les sciences de la vie, conduit à leur consacrer aujourd'hui un tiers de l'activité. En 2008, la priorité a porté sur la modélisation, en général, ainsi que sur la sécurité et la fiabilité des logiciels et des informations, dont l'importance est illustrée par la démission récente du directeur général de l'agence de renseignement américaine, suite à la divulgation de messages privés, ou encore le sabotage des installations d'enrichissement d'uranium iraniennes par un virus informatique.
M. Claude Kirchner va vous présenter le prochain plan stratégique, en cours d'élaboration, qui doit être adopté par le conseil d'administration de l'INRIA en décembre prochain.
M. Claude Kirchner, délégué général à la recherche et au transfert pour l'innovation à l'INRIA. Placé sous la double tutelle des ministères de la Recherche et de l'Industrie, l'Institut national de recherche en informatique et en automatique (INRIA) assure, dans le domaine des sciences mathématiques et informatiques, quatre missions principales : la recherche, le transfert et l'innovation, le développement technologique et l'expérimentation, ainsi que l'enseignement et la formation.
Si ses effectifs propres se limitent à 600 chercheurs, l'Institut fédère des équipes regroupant 4 400 d'entre eux, issus des universités et du CNRS, répartis dans huit centres de recherche régionaux ; ils produisent annuellement plus de 4 500 publications scientifiques. La présence de plus de 1 200 doctorants au sein des équipes projets démontre l'importance de la formation par la recherche. Par le nombre de financements attribués par le Conseil européen de la recherche (CER, ou European Research Council), l'INRIA se place au premier rang des instituts européens en sciences du numérique.
Cette nouvelle proposition de plan stratégique, élaborée par un groupe de travail interne et intégrant les suggestions des personnels, est destinée à être présentée aux partenaires de l'INRIA et aux citoyens.
La société vit une révolution numérique extraordinaire dont les conséquences sont loin d'être comprises et maîtrisées. Dans ce cadre, il convient de faire la distinction entre, d'une part, les sciences du numérique, telles l'algorithmique, l'automatique ou la robotique, et, d'autre part, les sciences numériques (computational sciences), approche scientifique basée sur un recours massif aux modélisations informatiques et mathématiques ainsi qu'à la simulation, comme c'est le cas, par exemple, avec l'ingénierie numérique, la médecine numérique ou la biologie numérique. A cet égard, l'Institut développe les sciences du numérique mais collabore avec les autres sciences, pour leur apporter ses compétences.
Dans ce contexte, la valeur ajoutée de l'INRIA consiste à amplifier et à accélérer, dans le domaine du numérique, les impacts scientifique, technologique, économique et sociétal de la recherche académique en tirant parti de l'assemblage unique des compétences et du savoir-faire que l'institut met en oeuvre, ainsi qu'en s'appuyant sur sa notoriété internationale, pour faire jouer un effet de levier au profit des initiatives françaises.
À l'échéance 2020, à côté des défis propres aux sciences du numérique, portant sur les systèmes, les données, les interactions et usages ainsi que les modèles, les autres sciences et la société lancent à l'INRIA des défis en matière de santé, bien-être, énergie, ressources naturelles, environnement, développement durable ou encore éducation.
Les chantiers majeurs sur lesquels l'Institut s'engage mettent l'humain au coeur des problématiques du numérique à travers la santé, le bien-être et les problèmes environnementaux.
Pour calculer le futur, il faut relever les défis de la modélisation multi-échelle en intégrant les incertitudes, ceux des très grands systèmes numériques, embarqués ou enfouis, mais aussi ceux des systèmes de systèmes en prenant en compte les impératifs de fiabilité, de sûreté et de sécurité. Il convient en outre de maîtriser la complexité résultant du nombre de données ; cela passe par la transformation du déluge de données en bibliothèques de connaissances dignes de confiance, et par une cyber-communication sûre et respectueuse de la vie privée. Il s'agit, de plus, de favoriser l'interaction entre le monde réel et le monde numérique, entre les usages et les apprentissages : l'utilisateur devant être placé au départ, et non plus après coup, au centre du processus de conception des systèmes interactifs.
L'INRIA tente de déterminer une stratégie de transfert et de développement dans un système français de recherche et d'innovation en pleine mutation pour renforcer l'impact économique de la recherche. Il s'agit en priorité de privilégier les partenariats stratégiques bilatéraux avec les départements de Recherche Développement (R&D) des grands groupes industriels possédant une base de R&D française déjà existante ou en développement, de favoriser le transfert technologique à destination des petites et moyennes entreprises et des entreprises de taille intermédiaires (PME/ETI) innovantes du secteur logiciel, existantes ou à créer.
Par ailleurs, l'INRIA entend se situer au premier plan de la recherche européenne et mondiale en science du numérique.
Au niveau européen, l'Institut souhaite d'une part renforcer ses collaborations scientifiques, s'ouvrir à des nouvelles opportunités de recherche et de transfert et, d'autre part, contribuer au renforcement du numérique en Europe. En priorité, l'INRIA va développer des partenariats ciblés en liaison avec ses grands partenaires académiques, et utiliser l'échelon européen pour développer ses recherches prioritaires dans le cadre du programme Horizon 2020 de l'Union européenne en s'impliquant notamment dans les programmes européens (European Research Council ; Future and Emerging Technologies) visant à faire émerger des problématiques de recherche ou des technologies de rupture. En parallèle, des actions spécifiques et ciblées seront mises en place pour structurer les relations avec les industriels majeurs des domaines d'expertise de l'INRIA en Europe, en inventant de nouvelles interactions entre acteurs, au-delà de la R&D, via la communauté de la connaissance et de l'innovation.
Pour l'INRIA, les relations internationales sont un facteur déterminant de la qualité et de la reconnaissance des avancées scientifiques.
S'agissant de son implantation en France, l'INRIA a mis au point une stratégie de déploiement territorial fondée sur ses huit centres de recherche : INRIA-Paris Rocquencourt, INRIA-Rennes Bretagne-Atlantique, INRIA-Bordeaux Sud-Ouest, INRIA-Lille Nord Europe, INRIA-Nancy Grand-Est, INRIA-Saclay Île-de-France, INRIA-Grenoble Rhône-Alpes, INRIA-Sophia-Antipolis Méditerranée. Ces centres se développent au coeur des écosystèmes régionaux, pour amplifier l'impact scientifique, économique et sociétal des sciences du numérique. Ils sont chargés de mener une politique volontariste de partenariats avec l'ensemble des acteurs territoriaux sur des thématiques de recherche ciblées et des priorités scientifiques adaptées pour chaque centre. Par exemple, le Centre Nancy-Grand-Est a pour principaux thèmes de recherche la modélisation et la simulation de systèmes complexes pour les sciences de l'ingénieur et les sciences du vivant, la sécurité et la sûreté de fonctionnement des systèmes informatiques, ainsi que la compréhension et l'émulation des mécanismes de la cognition et de la perception humaines. Le Centre Paris-Rocquencourt axe ses recherches sur les réseaux et les systèmes de communication, les logiciels fiables et la sécurité, la modélisation du vivant et de l'environnement ainsi que la simulation et l'apprentissage.
Cette politique volontariste de partenariats territoriaux est mise en oeuvre au niveau de chaque équipe projet, qui est la cellule de base de l'organisation scientifique de l'INRIA, depuis sa création. Les collaborations s'appuient sur quatre structures : les INRIA Project Labs (avec d'autres équipes académiques) ; les INRIA Joint Labs (avec les acteurs industriels, comme Alcatel Lucent ou Microsoft) ; les INRIA Innovation Labs (avec les PME, afin qu'au moins une PME soit en relation avec une équipe projet) ; et les INRIA International Labs.
En conclusion, l'INRIA structure sa stratégie pour contribuer à la recherche, l'enseignement, la compétitivité des entreprises et des start-up, en s'efforçant d'anticiper les transformations sociales françaises et mondiales.
Tous ces objectifs figurent dans un document final, dont la validation est prévue au mois de décembre 2012 et la mise en oeuvre en janvier 2013.
M. Bruno Sido. - Une des faiblesses de l'industrie européenne de logiciels réside dans le fait que, sauf exception, les sociétés en développement sont très souvent rachetées par des entreprises américaines. Quel est le diagnostic de l'INRIA sur cette situation ? Quels sont les moyens prévus dans les programmes français et européens pour y remédier ?
En second lieu comment régler la question de la taille des logiciels de vérification dans la conception assistée par ordinateur, puisque, par exemple, le logiciel de vérification utilisé pour le train d'atterrissage de l'A 380 est six fois plus important que le logiciel de conception ? Quelles sont les recherches effectuées par l'INRIA dans ce domaine ?
M. Michel Cosnard. - De belles réussites de création d'entreprises par l'Institut ont effectivement été rachetées par des entreprises américaines, comme, par exemple, Ilog, éditeur de logiciels, qui a été racheté par IBM pour 300 millions d'euros. Il en est de même d'Esterel Technologies, qui fabrique des dispositifs de développement de logiciels fiables dans le cadre d'une certification aéronautique. Je pourrais citer des dizaines d'autres exemples.
Mais Dassault systèmes, champion français et européen de l'édition de logiciels, rachète aussi des entreprises. Ce phénomène de consolidation et de rachat des start-up est mondial. C'est un moyen moderne de transfert des compétences, qui complète les partenariats avec les grandes entreprises.
Dans ce contexte, l'INRIA est un institut de recherche dont l'action pourrait se limiter à la création d'entreprises. Mais il s'efforce d'aller au-delà. L'INRIA a créé une filiale, INRIA Transfert, devenue INRIA Participations, qui gère des participations dans les start-up rachetées. Avec la Caisse des dépôts et de Consignations, l'INRIA a créé une autre filiale, IT Translation, qui soutient des jeunes entreprises d'édition de logiciels, pour qu'elles se développent rapidement. Ce soutien vise à remédier à la faiblesse de management et de financement dont beaucoup d'entre elles souffrent. En effet, ces entreprises sont créées par des jeunes chercheurs qui mettent l'accent sur la technologie, mais qui ont des difficultés à trouver le marché qui leur permettrait de décoller et de recruter des entrepreneurs.
L'insuffisance de financement résulte du fait qu'en général, ces entreprises sont créées par les propres moyens de ces jeunes chercheurs, lesquels ne disposent au départ que de quelques milliers d'euros et non des quelques millions d'euros nécessaires. C'est pourquoi l'INRIA a créé avec la Caisse des Dépôts et Consignations un fonds d'investissement doté de 30 millions d'euros, afin que les créateurs d'entreprises puissent disposer, au départ, d'une somme de 300 000 d'euros. Couplé à des financements en capital - par exemple un prix du concours national des créateurs d'entreprises, de l'ordre de 300 000 euros -, cette mise de départ leur permet d'accéder à des financements complémentaires, jusqu'à constituer un capital de départ de deux millions d'euros. Ces soutiens permettent de faire face à la contrainte de devoir gagner rapidement de l'argent faute de capitaux initiaux, et de devoir transformer le savoir-faire de produits en savoir-faire de services, lequel n'a pas toujours les potentialités dont dispose une société d'édition.
Il me semble que, dans notre secteur, ce dispositif initial est raisonnable, car il n'est pas forcément nécessaire de disposer d'une dizaine de millions d'euros pour créer une entreprise. En revanche les relais sont nécessaires au bout de deux ans. Deux pistes sont alors à explorer : soit le recours au dispositif des Business Angels, qui est trop peu répandu en Europe et qui imposerait, pour se développer, de mobiliser des financements complémentaires. Soit la création d'un climat de confiance envers ces entreprises, dont les dirigeants sont de très grande qualité ; car leur petite taille ne les condamne pas à être fragiles : il suffit que les donneurs d'ordre, en premier lieu les grands groupes industriels, mais aussi les collectivités territoriales et les Etats, leur passent des commandes, car il n'est pas de meilleur levier pour une entreprise qu'une commande. Or, je pourrais raconter des dizaines d'anecdotes qui montreraient les difficultés qu'ont des grands groupes à faire confiance à ces entreprises, ce qui les fragilise. Ce sujet mérite attention. Le diagnostic est clair : il faut soutenir davantage les entreprises à leur création. En effet, les grands éditeurs de réseaux sociaux ont tous bénéficié d'investissements importants sur plusieurs années avant d'équilibrer leurs comptes et de gagner de l'argent. Par exemple, Twitter perd toujours de l'argent. Donc, il faut accepter de miser sur ces entreprises et s'abstenir de leur demander d'équilibrer leurs comptes au bout d'un an.
M. Claude Kirchner. - Votre deuxième question a posé le problème consistant à vérifier que les logiciels et les systèmes sont « sûrs », c'est-à-dire travaillent de façon nominale par rapport à leurs spécifications, par exemple que 1 + 1 fasse bien 2. On distingue le système « sûr » du système « sécure », celui dont la sécurité est avérée, parce qu'il va résister à des attaques malignes intentionnelles. Ces questions de sûreté et de sécurité sont un des domaines d'excellence de la recherche française, en particulier à l'INRIA. Dans nos équipes, dans nos plans stratégiques, nous veillons à entretenir un défi renouvelé sur ces problématiques et nous constatons des avancées remarquables de nos équipes projets. Récemment, nous avons été capables de construire un compilateur prouvé correct, donc avec une preuve et non pas une simple vérification. Et c'est un compilateur qui devient de plus en plus utilisé au niveau industriel. À partir du moment où l'on est sûr que le code produit est conforme au code qui est rentré, le degré de confiance devient énorme. C'est un joli succès qui doit se poursuivre pour faire en sorte que l'ensemble de la chaîne opérationnelle soit certifié. Nous avons deux types de certifications à cibler. D'une part, les certifications de type sûreté, qui correspondent au fait que quand on appuie sur la pédale de freins, les freins de la voiture vont bien fonctionner, mais aussi les certifications de type sécurité, qui garantissent en l'occurrence qu'avec son téléphone, un intrus ne va pas dérégler le système de freinage de la voiture. Dans les premiers systèmes aéronautiques, un seul réseau desservait l'ensemble de l'avion et un certain nombre de tests avait prouvé que ce n'était pas prudent, car quelqu'un pouvait prendre le contrôle de l'avion depuis son siège. En France, on a les capacités, on a les scientifiques, on a des domaines d'excellence, on a des relations avec les mathématiciens sur ce domaine. Un premier succès a été réalisé dans le cadre de notre laboratoire de recherche commun avec Microsoft Research. Nos équipes communes ont démontré, il y a six ans, le théorème des quatre couleurs de façon formelle ; il fallait s'assurer que l'ensemble de la démarche logique et mathématique était correcte, ce qui imposait une démonstration très calculatoire.
Nous avons connu un deuxième très grand succès grâce aux travaux de Georges Gonthier, un ancien directeur de recherche de l'INRIA, maintenant en poste au laboratoire de recherche Microsoft à Cambridge, en lien avec nos équipes de Rocquencourt et de Sofia Antipolis. Ces travaux ont conduit à démontrer de façon formelle - et en corrigeant des inexactitudes dans la preuve qui était proposée jusqu'alors - le théorème de Feit et Thompson, qui permet d'aboutir à la classification des groupes finis, le plus gros édifice mathématique existant à ce jour. Cette recherche a duré six ans. L'objectif était de montrer aux mathématiciens que les outils que l'INRIA développe d'un point de vue algorithmique, logique et informatique servent directement la science. Désormais, ces outils sont à la disposition des mathématiciens. Maintenant, il s'agit d'aller plus loin et de prouver la sûreté d'un système d'exploitation. Des start up comme Prove and Run sont déjà capables de démontrer qu'un système d'exploitation destiné à nos téléphones n'est pas vulnérable aux attaques, en utilisant une preuve et pas seulement une vérification. Il s'agit maintenant de garantir par une preuve ses propriétés. Dans ce domaine, là aussi, nous avons d'excellentes équipes, notamment une équipe qui collabore avec Airbus de façon à pouvoir certifier les éléments de pilotage des Airbus A 380 et A 350.
M. Michel Cosnard. - Ces résultats peuvent paraître anecdotiques mais ils ne le sont pas du tout. Ils montrent à quel point ces méthodes sont maintenant capables de sortir des laboratoires pour être développées industriellement. Vous avez cité le cas de l'aéronautique, là c'est toute la pression de la certification aéronautique qui a poussé à l'emploi de ces méthodes. On s'aperçoit combien elles ont fait progresser le secteur. Elles jouent également un grand rôle dans le secteur bancaire avec la technologie de la carte à puce. Il a fallu six ans pour démontrer ce théorème dont personne ne pensait qu'on aurait un jour la preuve complète. Cette preuve, c'est 500 pages de démonstration, et beaucoup de temps pour construire tout un corpus scientifique nouveau. Maintenant, cela peut être réutilisé. Si l'on est capable d'accéder à un monument de la pensée mathématique, alors on peut prouver des choses plus simples. Un de nos chercheurs a publié il y a deux ans dans une revue scientifique américaine une mise en garde contre les pacemakers. Les nouvelles gammes de pacemakers peuvent être réglées à distance grâce à des dispositifs de communication. Ils embarquent une petite antenne, et c'est important pour que le médecin puisse modifier facilement des paramètres. Mais il y a là une possibilité d'intrusion. Ce chercheur a alerté sur la vulnérabilité des dispositifs de communication utilisés. L'antenne ayant une portée de plusieurs dizaines de mètres, une prise de contrôle du pacemaker pouvait permettre de tuer la personne. Des recommandations sur l'utilisation de ces dispositifs de communication sont désormais en cours d'élaboration. Ce problème de la vérification des programmes était considéré comme impossible à résoudre. Pour des cas pratiques, on sait désormais construire des méthodes de preuve. C'est l'apport fondamental du théorème de Feit et Thompson que nous avons démontré. Ce qui était du domaine du rêve il y a vingt ans devient une réalité. Ce qui est paradoxal maintenant, c'est que les failles de sécurité seront dues désormais plutôt aux utilisateurs et aux concepteurs, si les dispositifs d'encadrement ne sont pas assez exigeants. Nous plaiderons pour une plus grande exigence, qui permettra de développer tout un nouveau secteur d'activité pour le bien de nos concitoyens.
M. Jean-Yves Le Déaut, premier vice-président de l'Opecst, député. - Je souhaiterais faire les observations suivantes :
- tout d'abord, chercher à faire des corrélations entre la modélisation physiologique et la modélisation psychologique ne pose-t-il pas un problème d'éthique ?
- ensuite, les questions de sûreté et de sécurité sont essentielles : sans protection suffisante, toute intrusion est possible dans un système informatique. Un rapport sénatorial récent sur la cyber-défense indique que la France est assez en retard en ce domaine par rapport à d'autres pays. Je souhaite donc savoir si des liens étroits existent entre l'INRIA et la Délégation générale de l'armement (DGA) ou s'ils pourraient être plus importants, et si on est parvenu à établir en France, en matière de défense, des niveaux de sécurité équivalents à ceux auxquels vous êtes arrivés dans vos laboratoires de haute sécurité.
- la coopération scientifique est un enjeu majeur. Vous avez parlé des résultats auxquels vous avez abouti avec Microsoft sur le théorème des quatre couleurs. Quels sont les avantages que nous tirons de cette coopération de l'INRIA avec un tel grand groupe industriel (installations, dividendes distribués en France...) ? Cette coopération n'est-elle pas déséquilibrée en notre défaveur ?
- la plupart des projets de santé que nous recevons en région sur appel d'offres ont une composante forte au niveau informatique (télétransmission de données notamment). Existe-t-il des liens assez étroits entre l'INRIA et les entreprises qui essaient de développer ces techniques ?
M. Claude Kirchner. - Les questions d'éthique sont essentielles. Demain, on pourra modéliser encore mieux physiologiquement et psychologiquement des individus et construire des modèles adaptés à chaque patient. Ces recherches ont des aspects très bénéfiques pour l'individu, mais peuvent effectivement avoir un impact dangereux et contraire à l'éthique. C'est pourquoi nous souhaitons alerter la Représentation nationale. De même, en robotique, on va disposer de robots compagnons utiles de plus en plus présents dans la vie quotidienne, mais des chercheurs travaillent aussi sur la robotique militaire avec des drones semi-commandés à distance, des robots d'assistance sur le terrain ayant une capacité létale tout à fait redoutable.
C'est pourquoi nous avons réagi en mettant en place deux mécanismes de réflexion sur l'éthique : l'un, général, la CERNA, la Commission de réflexion sur l'éthique de la recherche en sciences et technologies du numérique, au niveau d'Allistene, commune à l'ensemble de l'Alliance, et l'autre, interne à l'INRIA, de façon à pouvoir réfléchir aux aspects éthiques, opérationnels et légaux au niveau de notre direction, en vue de valider ou non les projets de recherches ou d'expérimentation.
Sur les aspects de sécurité et sûreté, il est clair que tous nos systèmes numériques sont vulnérables, car ceux-ci n'ont pas été conçus initialement dans un contexte interconnecté ; ils peuvent devenir l'objet de manipulation, d'attaques en provenance d'individus ou d'Etats. On peut citer l'exemple des centrifugeuses iraniennes qui ont été la cible d'attaques très ingénieuses de la part de certains Etats, pour d'abord les dérégler, puis ensuite les casser. Aujourd'hui, tous nos réseaux d'approvisionnement, qu'ils soient d'électricité, de télécommunications, de gestion de circulation automobile ou aérienne... sont vulnérables.
Les liens entre civils et militaires existent s'agissant des questions de sûreté et de sécurité. Je suis président du comité d'évaluation scientifique de la DGA-MI (maîtrise de l'information). Nous avons, avec cette structure, un programme formalisé de collaboration basé sur des allocations de recherche ; les équipes qui travaillent en collaboration sont déjà actives ou en cours de montage.
M. Jean-Yves Le Déaut. - Dans le rapport sur la recherche que j'ai présenté au nom de la commission de la défense et dans celui du sénateur Jean-Marie Bockel, nous avons mis en lumière l'insuffisance des relations entre civils et militaires dans ces domaines.
M. Michel Cosnard. - Les liens entre la DGA et l'INRIA, même s'ils restent encore insuffisants, se sont beaucoup développés depuis ma prise de fonction à l'INRIA ; voici sept ans, il n'existait pratiquement aucune activité de recherche commune. Nous avons un rôle proactif, de prise de conscience auprès de la DGA, qui a beaucoup augmenté ses effectifs récemment dans ces domaines.
M. Claude Kirchner. - Nous avons encore des manques dans nos systèmes en termes de recherche, développement, technologie et approche sociétale, et la sensibilisation des personnes sur ces questions de sécurité est sans doute insuffisante. Il est certain que des progrès doivent encore être accomplis. La faiblesse globale de nos systèmes d'information, tant au niveau français qu'européen, mais aussi au niveau de l'OTAN ou des Etats-Unis, est avérée.
M. Michel Cosnard. - Microsoft a en son sein les meilleurs scientifiques au monde, des laboratoires de recherche partout, à Cambridge, à Pékin, en Inde, en Allemagne. Le gros laboratoire que nous avons en commun à Cambridge nous a permis de nous développer à Paris, de créer une trentaine d'emplois en France sur des investissements de Microsoft. Les activités de recherche sont publiées; nous sommes copropriétaires des logiciels développés en commun et ceux-ci ont vocation à être diffusés dans le domaine public. Le laboratoire commun a contribué à faire revenir en France des chercheurs qui avaient été débauchés à l'étranger. L'installation du centre Google à Paris, qui emploie au moins une cinquantaine d'ingénieurs maintenant, s'est faite en partie parce qu'ils voulaient collaborer avec nous. Ma politique est clairement de développer des activités de recherche pour des entreprises étrangères dans le cadre d'installation de laboratoires en France.
M. Patrick Hetzel, député. - Je voudrais connaître l'état de votre coopération avec l'Agence nationale de la sécurité des systèmes d'information (ANSSI) placée, elle, sous l'autorité du Secrétaire général de la défense et de la sécurité nationale.
M. Claude Kirchner. - Nous sommes également en lien étroit avec elle. Nous organisons un atelier entre nos équipes dans les deux mois qui viennent. Les employés de l'Agence ont une obligation de réserve dans leurs activités, mais nous accueillons certains d'entre eux en cours de thèse ; il y a des personnes qui étaient dans nos équipes projets - des cryptologues notamment - qui sont passés à l'ANSSI pendant quelques années, et d'autres personnes sont formées en tant que doctorants dans nos équipes projets et ensuite se retrouvent dans les équipes projets de l'ANSSI ou de la DGA. Donc, il y a une bonne entente réciproque, des travaux en commun et une bande passante que l'on souhaite pouvoir augmenter, même si aujourd'hui elle est déjà bonne.
M. Michel Cosnard. - En conclusion, je dirai que nous sommes arrivés à un point où, me semble-t-il, cette science et cette technologie du numérique sont devenues quelque chose de capital pour le développement de la société. Il faut changer d'état d'esprit à leur égard. Il ne s'agit plus seulement de moyens pour développer l'économie - on a parlé d'économie numérique, on parle maintenant de société numérique - mais, avec la question des réseaux sociaux, de l'éducation, on touche aux fondements mêmes de la société. Je crois qu'il est indispensable que notre pays et que l'Europe plus généralement fassent de cette question du numérique un enjeu stratégique. Cette question concerne toutes les facettes de la société ; malgré cela, nulle part elle n'est traitée globalement. Ce n'est plus un enjeu de recherche mais un enjeu de société. Face à l'importance de cet enjeu, l'INRIA à une taille très modeste. Je suis fier d'être à la tête de cet institut, dont certains pourraient dire qu'il est un institut d'excellence, mais il faut raison garder : ce ne sont au total que 600 chercheurs permanents, seniors. Cela signifie qu'un thème donné, tel Internet, mobilise, chez nous, en moyenne moins de trente personnes. Il en va de même pour la sécurité, la cryptographie, le traitement d'image. Et l'on peut trouver plus de vingt thèmes du même type. Il s'agit donc d'un institut d'extrême qualité, avec des « stars », comme on dit dans notre domaine, mais d'un institut fragile. Par comparaison, l'INRA a un effectif cinq fois plus important, et je ne parle pas du CIRAD, ni de l'IRDF. On voit que l'INRIA reste un petit organisme.
Le Président Jean-Yves Le Déaut. - Vous plaidez pour une fusion avec le CNRS ?
M. Michel Cosnard. - Je ne plaide pas pour cela, mais j'essaie d'expliquer pourquoi nous ne pouvons pas être présents sur tous les sujets et pourquoi il faut que nous fassions des choix. Je plaide pour un institut d'excellence, et je pense que l'INRIA est cet institut d'excellence, mais je plaide aussi pour que d'autres dispositifs le complètent. C'est à vous, parlementaires, de décider qui doit fusionner avec qui. Je ne suis ni acheteur ni vendeur, mais je pense qu'il faut que nous soyons vigilants quant aux missions que l'on va confier à ce petit institut, de façon qu'il ne s'éparpille pas, qu'il reste un institut d'excellence, c'est-à-dire un institut à l'avant-garde, devant les autres. On ne peut pas être sur tous les terrains, depuis une position d'avant-garde jusqu'à une prise de responsabilités sur ce secteur, qui est un secteur énorme.
M. Jean-Yves Le Déaut. - Les liaisons avec l'Université sont-elles bonnes ?
M. Michel Cosnard. - Elles sont très bonnes. Nous pensons que nous sommes à même de faire passer - et c'est une de nos missions - la richesse qui se trouve dans la recherche académique française vers le secteur économique. Nous sommes des passeurs actifs, car nous contribuons à la mise en oeuvre de cette richesse.
M. Bruno Sido. - Nous avons bien conscience de l'importance de l'informatique et de ses applications multiples, et nous avons bien compris que vous ne pouvez pas intervenir dans tous les domaines. Mais un domaine me semble extraordinairement important, c'est la sécurité. On lit de plus en plus que toutes les guerres, demain, se gagneront ou se perdront grâce à l'informatique et aux attaques des systèmes, centraux ou périphériques. Où en êtes-vous concernant les recherches sur la sécurité informatique pour contrer les attaques de personnes malveillantes ? Pensez-vous qu'il faudrait augmenter les moyens consacrés à cette recherche ?
M. Claude Kirchner. - Oui, je pense qu'il faut très clairement augmenter nos moyens à tous les niveaux. Le premier point, c'est que jusqu'à présent, cette importance de la sécurité n'avait pas été réalisée. Les formations dans les écoles d'ingénieurs sont largement insuffisantes. Aujourd'hui, quelqu'un qui a une qualification en sécurité trouve instantanément du travail, dans toutes les entreprises où se pose la question de la sécurité numérique. On développe, dans le cadre de l'INRIA, mais c'est vrai plus généralement au niveau français, des recherches de qualité en termes de sécurité numérique. L'un des points essentiels de la sécurité, ce sont les cadenas - la cryptographie ou la crypto-analyse, tournant autour de la cryptologie. Dans ce domaine, nous avons plusieurs écoles d'excellence et cinq équipes projet qui travaillent, de sorte que l'on sache démontrer la solidité d'un cadenas, prouver qu'un algorithme de cryptographie est capable de résister à tel type d'attaque. Cela nécessite des compétences pointues à la fois en informatique et en mathématiques. Car aujourd'hui, monter des équipes dans ces domaines est difficile car nous n'avons pas suffisamment de marchés, alors que nous sommes en concurrence avec le secteur privé en France (Thales, SAGEM, EADS), mais aussi en Allemagne, en Angleterre ou aux Etats-Unis, voire en Chine. Nous sommes en situation de concurrence avérée, avec des ressources faibles et, comme nous l'avons affiché dans notre stratégie, nous souhaitons pouvoir augmenter le nombre de chercheurs que nous mettons sur ces domaines, qui sont extrêmement difficiles et intégratifs. Aujourd'hui, faire de la sécurité, c'est le faire en lien avec tous les logiciels et les objets qui sont en interaction avec elle. Ce sont des ensembles de systèmes complexes qu'il faut arriver à mieux comprendre, à modéliser et à sécuriser. En France, nous avons l'avantage d'être bien placés, car nous avons toute cette école autour du calcul formel et de l'analyse en informatique fondamentale, des mathématiciens en théorie des nombres, ainsi que des personnes compétentes en détection de l'intrusion ou en monitoring. Mais il est souhaitable que tout cela continue à être développé.
Mme Anne-Yvonne Le Dain, députée. - J'ai bien entendu que la taille de votre établissement vous contraint à faire des choix. De manière anecdotique, j'ai une question concernant l'informatique dans sa fonction stratégique. Je me demande si pour vous, l'INRIA, il n'y aurait pas un travail à faire en matière d'expertise collective sur des grandes questions, par rapport notamment à la porosité de nos équipes scientifiques, au dumping scientifique, à la fuite des cerveaux, des doctorants, des idées. Il faudrait savoir où en est l'état de l'art en France et non en général, car les grandes majors informatiques en particulier ne sont pas européennes mais américaines, et bientôt chinoises. Dans le domaine des télécoms, il y a trois « majors » américaines, et vingt ou quarante très belles entreprises en Europe. Concernant cette notion d'expertise collective, quand je vois que nos ministères achètent des logiciels étrangers, en particulier allemands, pour informatiser les services des ministères et fabriquer finalement des usines à gaz, je me demande où est l'intelligence française, que ce soit au ministère de l'Enseignement supérieur et de la Recherche, de la Justice ou de l'Intérieur. Ce sont des fléaux de gestion interne de nos propres administrations, notamment pour les utilisateurs, qui aboutissent systématiquement à des concentrations de pouvoir. Donc je demande à l'INRIA, dans son intelligence non pas de scientifiques, mais de savants et donc de « sachant », d'aider un peu l'institution France à ne pas se tromper de logiciels, à fabriquer des machines un peu souples et peut-être à acheter au moins « européen », et si possible « français ».
M. Michel Cosnard. - Ce sujet mériterait un débat en soi. Il me semble que c'est le rôle d'Allistene, l'Alliance des sciences et technologies du numérique. Je dois vous dire qu'à l'exception du ministère de l'Enseignement supérieur et de la Recherche, qui a créé cette alliance, personne ne m'a jamais adressé ce genre de demande, ni individu, ni corps constitué.
M. Jean-Yves Le Déaut. - Je pense qu'il serait peut-être bon que l'Office envisage d'organiser une audition publique, contradictoire, sur le risque numérique. Nous serions les premiers à le faire ; or il y a là un vrai sujet de réflexion.
M. Michel Cosnard. - Pour les majors en informatique, les choses sont contrastées. Concernant les télécoms, c'est quand même en Europe que l'on a inventé le GSM qui inclut beaucoup de logiciels. Les grands industriels européens des télécoms ont zappé le Smartphone et ses liens avec l'informatique, alors que pourtant, toutes les compétences nécessaires étaient réunies dans nos pays. Il y a donc là une vraie marge d'évolution. L'industrie française et européenne reste très puissante dans certains secteurs. Dassault Systèmes est un leader mondial. SAP est aussi un leader mondial. Historiquement, en France, le développement du numérique s'est beaucoup fait autour des SSII - sociétés de services en ingénierie informatique -, des sociétés d'édition de logiciels. La France s'est développée à travers des logiciels à façon réalisés par des entreprises dans le cadre de commandes. On peut s'interroger sur la pertinence et la raison de cette évolution, mais le métier de SSII a été inventé en France et en Europe, et il y a encore de très belles entreprises en France. Le panorama est donc contrasté. L'essor du web, lien entre une technologie d'hypertexte et les télécoms, inventé en Europe par un informaticien anglais qui travaillait au CERN - et non par un physicien américain -, a révolutionné le paysage. Ce qu'il faut savoir, c'est que le web et les standards du web sont tenus en partie par l'INRIA et, à présent, par un organisme européen, l'ERCIM (European Research Consortium for Informatics and Mathematics), installé avec une trentaine d'ingénieurs à Sophia Antipolis, qui garantit l'interopérabilité du web : quelle que soit la machine que vous utilisez, quelle que soit la langue - plus de 250 - , vous avez accès aux mêmes informations, ce qui représente des prouesses technologiques. Il s'agit d'un organisme de standardisation qui n'est pas étatique. Ce qui a été manqué, en France et en Europe, c'est le passage d'une informatique tirée par le monde industriel, dont sont dérivés les usages pour les citoyens, à une informatique tirée par le citoyen qui a accès aux technologies avant que celles-ci ne deviennent industrielles : c'est ainsi que s'est développé le web, la recherche d'informations de type Google, les médias sociaux, etc. La grande avancée de Google, c'est d'avoir mis des serveurs partout de sorte que l'on puisse avoir accès aux informations dans un temps inférieur à la seconde. Devant cette propension des Américains à construire des monopoles, le seul pays à avoir réagi est la Chine : le premier moteur de recherche au monde n'est plus Google, c'est Baidu. La Chine a développé ses propres instruments de microbloggage. L'Europe a peut-être été trop peu réactive. Certains hommes politiques français ou européens ont dit : « Suivez-moi sur Twitter », mais j'imagine mal un ministre de l'Agriculture dire : « Allez faire vos courses chez Carrefour ». Or, cela revient à dire : « Allez voir cette entreprise ». Si nous devons nous revoir sur le sujet du « numérisque », je vous montrerais la charte que tout utilisateur de Twitter signe sans la lire : un tweet est propriété de l'entreprise Twitter et non de son auteur. Cette entreprise peut en faire ce qu'elle veut, le modifier et même le revendre, ce qu'elle a fait en revendant deux milliards de tweets à une entreprise anglaise, sans que l'on sache ce que celle-ci veut en faire. Excusez-moi de déborder, mais je crois qu'il y a une prise de conscience sur ce sujet, et je ne comprends pas pourquoi on ne sollicite pas les organismes européens, comme l'INRIA, qui pourrait fournir ce même service. On ne soutient pas la création d'entreprise de microbloggage en Europe.
Le Président Bruno Sido. - Tout ceci est vraiment passionnant, je vous remercie beaucoup pour votre exposé et nous y reviendrons certainement d'une façon ou d'une autre.