La Polynésie française accuse un retard inquiétant en matière de cybersécurité. ©DR
Tahiti, le 21 août 2025 - La Polynésie française accuse un retard inquiétant en matière de cybersécurité. Malgré un financement de presqu’un million d’euros proposé par l’État, aucun centre de ressources cyber (CRC) n’a vu le jour à Tahiti. Une occasion manquée qui interroge, à l’heure où les menaces se multiplient et où les élus appellent à reprendre en main la souveraineté numérique du territoire.
Depuis 2021, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) accompagne les départements et territoires français pour créer des centres de ressources cyber (CRC). En métropole, douze CRC ont déjà été installés. En Outre-mer, trois sont actifs. Mais en Polynésie : toujours rien.
Pourtant, les régions et territoires bénéficient d’un financement initial de l’État, mais doivent cofinancer et pérenniser la structure. Une enveloppe de 450 000 euros (54 millions de francs) avait été proposée par l'ANSSI en 2024, complétée par une rallonge de 500 000 euros (60 millions de francs) accordée en 2025 aux territoires déjà engagés. “Notre manque de vision nous a fait perdre une subvention d’un million d’euros pour mettre en place un outil technique”, a résumé l’élue Teave Boudouani-Chaumette lors d’une conférence de presse à l’assemblée de la Polynésie française ce jeudi.
Le double langage du président Brotherson
Le dossier cyber est surtout marqué par une volte-face présidentielle. Dans un courrier daté du 18 septembre 2024, le président Moetai Brotherson s’engageait auprès de l’ANSSI : “Au vu de la menace cyber croissante, il est essentiel pour la Polynésie française de disposer d’un centre cyber régional (CSIRT, NDLR.)”. Mais cinq semaines plus tard, dans un nouveau courrier, son cabinet annonçait ne pas valider le projet.
Interrogé à ce sujet lors d'une séance à l’assemblée, le président, dans sa réponse, avait invoqué l’article 14-4 du statut d’autonomie pour justifier que la cybersécurité relève de la compétence de l’État français. Cet article prévoit que certaines matières restent de la compétence exclusive de l’État, comme la défense, le commerce d’armes, certaines matières premières stratégiques ou encore les communications gouvernementales de sécurité. Selon Moetai Brotherson, la protection des systèmes informatiques stratégiques de la Polynésie s’inscrit dans ce cadre et constitue donc une prérogative régalienne.
Cette interprétation est toutefois contestée par l’élue Teave Boudouani-Chaumette qui estime que l’article 14-4 ne concerne pas directement la cybersécurité des services locaux, tels que la santé, l’éducation, la fiscalité ou le social. Pour elle, ces aspects relèveraient d’une compétence régionale.
Depuis 2021, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) accompagne les départements et territoires français pour créer des centres de ressources cyber (CRC). En métropole, douze CRC ont déjà été installés. En Outre-mer, trois sont actifs. Mais en Polynésie : toujours rien.
Pourtant, les régions et territoires bénéficient d’un financement initial de l’État, mais doivent cofinancer et pérenniser la structure. Une enveloppe de 450 000 euros (54 millions de francs) avait été proposée par l'ANSSI en 2024, complétée par une rallonge de 500 000 euros (60 millions de francs) accordée en 2025 aux territoires déjà engagés. “Notre manque de vision nous a fait perdre une subvention d’un million d’euros pour mettre en place un outil technique”, a résumé l’élue Teave Boudouani-Chaumette lors d’une conférence de presse à l’assemblée de la Polynésie française ce jeudi.
Le double langage du président Brotherson
Le dossier cyber est surtout marqué par une volte-face présidentielle. Dans un courrier daté du 18 septembre 2024, le président Moetai Brotherson s’engageait auprès de l’ANSSI : “Au vu de la menace cyber croissante, il est essentiel pour la Polynésie française de disposer d’un centre cyber régional (CSIRT, NDLR.)”. Mais cinq semaines plus tard, dans un nouveau courrier, son cabinet annonçait ne pas valider le projet.
Interrogé à ce sujet lors d'une séance à l’assemblée, le président, dans sa réponse, avait invoqué l’article 14-4 du statut d’autonomie pour justifier que la cybersécurité relève de la compétence de l’État français. Cet article prévoit que certaines matières restent de la compétence exclusive de l’État, comme la défense, le commerce d’armes, certaines matières premières stratégiques ou encore les communications gouvernementales de sécurité. Selon Moetai Brotherson, la protection des systèmes informatiques stratégiques de la Polynésie s’inscrit dans ce cadre et constitue donc une prérogative régalienne.
Cette interprétation est toutefois contestée par l’élue Teave Boudouani-Chaumette qui estime que l’article 14-4 ne concerne pas directement la cybersécurité des services locaux, tels que la santé, l’éducation, la fiscalité ou le social. Pour elle, ces aspects relèveraient d’une compétence régionale.
"Celui qui contrôle nos données, contrôle notre avenir”, insiste Teave Boudouani-Chaumette.
Des données polynésiennes sans protection
L’absence de stratégie cyber laisse les données sensibles du territoire – médicales, fiscales, scolaires, sociales, agricoles – vulnérables et dépendantes d’acteurs étrangers. “Nos données sont aujourd’hui hébergées dans un cloud aux États-Unis ou en Europe. Pourtant, ce sont les données qui nous appartiennent et sur lesquelles sont basées notre économie et notre société. C'est notre patrimoine polynésien. Donc, quelque part, on a perdu cette maîtrise. Celui qui contrôle nos données, contrôle notre avenir”, insiste Teave Boudouani-Chaumette.
Les conséquences ne sont pas théoriques. La mairie de Mahina a vu ses serveurs paralysés en juillet 2024. En décembre de la même année, le groupe pro-russe NoName a revendiqué des attaques DDoS contre plusieurs sites, dont certains en Polynésie. Plus globalement, le Pacifique fait face à des menaces croissantes. “Selon l’ANSSI, la région se situe au niveau 4 sur 5, ‘très sérieuse’, menaçant des infrastructures critiques. Sur l’échelle du FBI et de la NSA, cela correspond au niveau maximum ‘critique’, avec des attaques en cours et un impact majeur”, précise Taraua Devatine, expert en cybersécurité, présent lors de la conférence de presse.
“Agir aujourd’hui, c’est protéger demain”
Face à l’inaction du gouvernement, Teave Boudouani-Chaumette plaide pour une organisation portée par l’assemblée : “Je m'adresse aux élus de l'assemblée, parce que c'est quand même eux qui sont porteurs de la voix du peuple”. Pour illustrer l’urgence, l'élue a recours à une métaphore frappante : “La cybersécurité, c’est comme Alzheimer. Quand les neurones meurent, on perd la mémoire à jamais. Si nous ne protégeons pas nos données, nous allons les perdre, définitivement.”
L’expert polynésien Taraua Devatine, reconnu par le Premier ministre comme l’un des 87 experts nationaux en cybersécurité, abonde dans ce sens : “Agir aujourd’hui, c’est protéger demain. La cybersécurité, c’est le vaccin anti-Alzheimer, la garantie de la continuité de nos projets d’avenir pour nos enfants.”
L’absence de stratégie cyber laisse les données sensibles du territoire – médicales, fiscales, scolaires, sociales, agricoles – vulnérables et dépendantes d’acteurs étrangers. “Nos données sont aujourd’hui hébergées dans un cloud aux États-Unis ou en Europe. Pourtant, ce sont les données qui nous appartiennent et sur lesquelles sont basées notre économie et notre société. C'est notre patrimoine polynésien. Donc, quelque part, on a perdu cette maîtrise. Celui qui contrôle nos données, contrôle notre avenir”, insiste Teave Boudouani-Chaumette.
Les conséquences ne sont pas théoriques. La mairie de Mahina a vu ses serveurs paralysés en juillet 2024. En décembre de la même année, le groupe pro-russe NoName a revendiqué des attaques DDoS contre plusieurs sites, dont certains en Polynésie. Plus globalement, le Pacifique fait face à des menaces croissantes. “Selon l’ANSSI, la région se situe au niveau 4 sur 5, ‘très sérieuse’, menaçant des infrastructures critiques. Sur l’échelle du FBI et de la NSA, cela correspond au niveau maximum ‘critique’, avec des attaques en cours et un impact majeur”, précise Taraua Devatine, expert en cybersécurité, présent lors de la conférence de presse.
“Agir aujourd’hui, c’est protéger demain”
Face à l’inaction du gouvernement, Teave Boudouani-Chaumette plaide pour une organisation portée par l’assemblée : “Je m'adresse aux élus de l'assemblée, parce que c'est quand même eux qui sont porteurs de la voix du peuple”. Pour illustrer l’urgence, l'élue a recours à une métaphore frappante : “La cybersécurité, c’est comme Alzheimer. Quand les neurones meurent, on perd la mémoire à jamais. Si nous ne protégeons pas nos données, nous allons les perdre, définitivement.”
L’expert polynésien Taraua Devatine, reconnu par le Premier ministre comme l’un des 87 experts nationaux en cybersécurité, abonde dans ce sens : “Agir aujourd’hui, c’est protéger demain. La cybersécurité, c’est le vaccin anti-Alzheimer, la garantie de la continuité de nos projets d’avenir pour nos enfants.”
"Nous sommes les seuls à rester sans organisation, sans radar”, alerte Taraua Devatine.
Polynésie, le maillon faible du Pacifique ?
Dans le reste du Pacifique, même les plus petits États insulaires (Nauru, Tuvalu, Fidji, Vanuatu, Tonga) se sont dotés d’organisations cyber, souvent depuis des années. Tous considèrent qu’aucun projet informatique à plusieurs millions ne peut être lancé sans plan de défense numérique. “Il n’y a aucun pays du Pacifique qui met aujourd’hui en œuvre un système informatique sans la cyber. Nous sommes les seuls à rester sans organisation, sans radar”, alerte Taraua Devatine.
Dans le reste du Pacifique, même les plus petits États insulaires (Nauru, Tuvalu, Fidji, Vanuatu, Tonga) se sont dotés d’organisations cyber, souvent depuis des années. Tous considèrent qu’aucun projet informatique à plusieurs millions ne peut être lancé sans plan de défense numérique. “Il n’y a aucun pays du Pacifique qui met aujourd’hui en œuvre un système informatique sans la cyber. Nous sommes les seuls à rester sans organisation, sans radar”, alerte Taraua Devatine.
Moetai Brotherson défend la stratégie du gouvernement face aux critiques
Lors d’un échange par mail avec notre rédaction, le président de la Polynésie française, Moetai Brotherson, a répondu aux critiques récentes concernant la stratégie de cybersécurité du Pays. Pour lui, “la compétence en matière de défense, de sécurité nationale et donc de cybersécurité relève de l’État français”. Il rappelle néanmoins que la Polynésie se dote de structures locales pour protéger ses infrastructures, ses services et ses usagers, en articulation avec l’État.
Moetai Brotherson souligne que “les détails de la stratégie cybersécurité du Pays sont, par nature, éminemment confidentiels”. “Je m'étonne d'ailleurs que M. Taraua Devatine s'autorise à participer à une telle conférence de presse”, souligne le président. Il explique que la mise en place de cette stratégie a nécessité un travail préalable considérable : “Aucun chantier n’ayant été mené avant l’arrivée de ce gouvernement, nous avons dû tout d'abord travailler sur un plan de mise à niveau.”
Le président revient sur le processus de création du CSIRT, organisme chargé de conseiller et former en cybersécurité : “Il s’avère effectivement que l’État s’était engagé à fournir un financement pour créer un organisme (CSIRT) qui devait se charger de donner des recommandations voire d’établir des formations. En 2024, les travaux semblaient bien avancer. Cela a donné lieu à plusieurs réunions, notamment avec l’ANSSI. En septembre 2024, nous souhaitions avancer dans un schéma d’association avec l’État. Cela nécessitait que nous puissions procéder à la rédaction des statuts. Cependant, au cours de rencontres postérieures à ce courrier, il s'est avéré que la construction de cet organisme soulevait des questions tant au niveau juridique que sur sa gouvernance.”
Selon Moetai Brotherson, des solutions intermédiaires ont été envisagées : “Les représentants de l’État et certains techniciens du Pays ont alors soumis l’idée de procéder à la réception des fonds de l’État dans l’attente de la création de l’organisme. Toutefois, cette solution n’étant pas légalement autorisée, nous avons alors pris acte du fait qu’il nous fallait plus de temps.” Il précise que “le sujet n'est pas pour autant clos. Pas plus tard que ce matin (ce jeudi, NDLR), une réunion s’est tenue sur ce sujet entre nos équipes du gouvernement et de l’État.”
Concernant les critiques formulées par l'élue Teave Chaumette et l'expert Taraua Devatine, Moetai Brotherson défend la stratégie et le travail de son équipe : “Que la stratégie du Pays ne soit pas celle dont rêve ce monsieur (Taraua Devatine, NDLR) ne veut ni dire qu'elle n'existe pas, ni dire qu'elle n'est pas pertinente. Ce qui est sûr, c'est qu'elle n'a pas vocation, ni en Polynésie, ni en France, ni à Singapour à être explicitée en conférence de presse politique. Que certains élus qui n'y connaissent rien pensent qu'une telle conférence de presse est utile sur les seuls dires de ce monsieur laisse songeur.”
Lors d’un échange par mail avec notre rédaction, le président de la Polynésie française, Moetai Brotherson, a répondu aux critiques récentes concernant la stratégie de cybersécurité du Pays. Pour lui, “la compétence en matière de défense, de sécurité nationale et donc de cybersécurité relève de l’État français”. Il rappelle néanmoins que la Polynésie se dote de structures locales pour protéger ses infrastructures, ses services et ses usagers, en articulation avec l’État.
Moetai Brotherson souligne que “les détails de la stratégie cybersécurité du Pays sont, par nature, éminemment confidentiels”. “Je m'étonne d'ailleurs que M. Taraua Devatine s'autorise à participer à une telle conférence de presse”, souligne le président. Il explique que la mise en place de cette stratégie a nécessité un travail préalable considérable : “Aucun chantier n’ayant été mené avant l’arrivée de ce gouvernement, nous avons dû tout d'abord travailler sur un plan de mise à niveau.”
Le président revient sur le processus de création du CSIRT, organisme chargé de conseiller et former en cybersécurité : “Il s’avère effectivement que l’État s’était engagé à fournir un financement pour créer un organisme (CSIRT) qui devait se charger de donner des recommandations voire d’établir des formations. En 2024, les travaux semblaient bien avancer. Cela a donné lieu à plusieurs réunions, notamment avec l’ANSSI. En septembre 2024, nous souhaitions avancer dans un schéma d’association avec l’État. Cela nécessitait que nous puissions procéder à la rédaction des statuts. Cependant, au cours de rencontres postérieures à ce courrier, il s'est avéré que la construction de cet organisme soulevait des questions tant au niveau juridique que sur sa gouvernance.”
Selon Moetai Brotherson, des solutions intermédiaires ont été envisagées : “Les représentants de l’État et certains techniciens du Pays ont alors soumis l’idée de procéder à la réception des fonds de l’État dans l’attente de la création de l’organisme. Toutefois, cette solution n’étant pas légalement autorisée, nous avons alors pris acte du fait qu’il nous fallait plus de temps.” Il précise que “le sujet n'est pas pour autant clos. Pas plus tard que ce matin (ce jeudi, NDLR), une réunion s’est tenue sur ce sujet entre nos équipes du gouvernement et de l’État.”
Concernant les critiques formulées par l'élue Teave Chaumette et l'expert Taraua Devatine, Moetai Brotherson défend la stratégie et le travail de son équipe : “Que la stratégie du Pays ne soit pas celle dont rêve ce monsieur (Taraua Devatine, NDLR) ne veut ni dire qu'elle n'existe pas, ni dire qu'elle n'est pas pertinente. Ce qui est sûr, c'est qu'elle n'a pas vocation, ni en Polynésie, ni en France, ni à Singapour à être explicitée en conférence de presse politique. Que certains élus qui n'y connaissent rien pensent qu'une telle conférence de presse est utile sur les seuls dires de ce monsieur laisse songeur.”