iStock

Le cloud au cœur de la souveraineté numérique

La souveraineté numérique est un enjeu d’État, politique, géopolitique et économique. Les leviers sont technologiques, juridiques et éthiques. La préservation de ces équilibres répond à de multiples injonctions contradictoires qui s’inscrivent dans les cycles courts du numérique et les temps longs des transformations sociétales et juridiques.

La souveraineté numérique repose sur la puissance économique et technologique des États : elle est donc un sujet d’actualité. Le cloud souverain, quant à lui, soulève la question des données et de leur protection. La suppression de centaines de comptes par les GAFAM lors des élections américaines, le blocage d’hôpitaux pendant la crise du COVID, l’attaque de laboratoire par la Corée du Nord en sont parmi les derniers avatars visibles. Les puissances s’affrontent en permanence dans « l’infosphère », chacune avec une doctrine et des armes différentes. Au sein des territoires numériques, la notion de souveraineté est très éloignée de celle galvaudée par les populistes depuis des décennies.

Nous parlons ici de stratégies d’États et de stratégies économiques, ayant des impacts majeurs sur nos administrations et nos entreprises. Une guerre numérique larvée, qui s’attaque depuis plusieurs années à différents pans de nos sociétés.

À cet égard, KPMG, Talan, InfraNum, OVHcloud, Linkt ont collaboré à une étude sur le cloud souverain, dont voici une mise en perspective.

Maîtrises de la technologie et doctrine(s) cloud

Que nous parlions d’infrastructure (IaaS), de couche logicielle technique (PaaS) ou de couche applicative métiers, ou de données (SaaS, DaaS), les leaders sur le marché européen du cloud sont d’abord parmi les GAFAM (AWS, Microsoft, Google : ce sont les hyperscalers), suivis par les Européens (le Français OVH, puis l’Allemand T System), suivis par quelques géants asiatiques des BATHX (en particulier Alibaba).

Les équilibres mondiaux sont sensiblement différents, plaçant les États-Unis et la Chine loin devant l’Europe : les hyperscalers américains pesant à eux seuls 70 % du marché.

En termes de doctrine, certains pays profitent de leur maîtrise technologique : les États-Unis en favorisant une exploitation peu régulée de la donnée, la Chine en faisant un outil de contrôle social, Israël se spécialisant dans la militarisation de logiciels espions.

La Russie, moins développée technologiquement, s’appuie sur la technologie et les réseaux des autres pays pour modifier les équilibres démocratiques.

« Si notre civilisation peine à sortir de l’ère militaro-industrielle, il semble qu’elle soit déjà entrée dans l’ère cognitivo-sécuritaire. »
Franck Régnier-PécastaingTalan

Des puissances régionales suivent l’exemple russe comme l’Iran ou la Corée du Nord. L’Europe, dont la France, n’est pas en reste, même si elle semble appliquer une doctrine apparemment plus pacifique et défensive.

Une autre menace existe sur les espaces et territoires numériques : celle du piratage. Certains États, pour assurer leurs actions extérieures, n’hésitent pas à faire appel à des « cyber-flibustiers ». Ces pirates peuvent ainsi opérer de manière illégale sur certaines cibles, au travers des ransomwares par exemple, et aider le pays qui les accueille tant qu’ils ne mordent pas la main de leur maître (APT28 en Russie).

Bien entendu, chaque pays active ces différents leviers d’actions au regard de ses propres intérêts, son sens de la démocratie et les opportunités du moment. Si notre civilisation peine encore à sortir de l’ère militaro-industrielle, il semble qu’elle soit déjà entrée dans l’ère cognitivo-sécuritaire (surveillance des entreprises et des populations, par exemple concernant la fiscalité ou le terrorisme, ou encore mise en œuvre de manipulation de masse, etc.).

Dans un tel contexte et en tant qu’entreprise, comment protéger son activité, ses données ?

Une souveraineté mise à mal

Après le « gâchis » des clouds souverains des « Investissements d’Avenir » de 2011, l’Europe, avec l’Allemagne et la France en tête, a repensé sa stratégie avec l’initiative Gaïa-X, qui fixe des lignes directrices pour la mise en œuvre de clouds souverains nationaux ou européens sans miser sur des champions nationaux – plus consommateurs de deniers publics que générateurs d’innovations – et laissent les entreprises technologiques maîtresses de leurs destins et des investissements.

La souveraineté est par définition le pouvoir du souverain (l’État ou la communauté d’États) d’imposer sa loi sur son territoire. Mais les territoires numériques n’ont pas les mêmes frontières que les États, les communautés d’États, ou encore de celles d’États membres d’accords multilatéraux.

« Localiser ses serveurs en France ou en Europe ne garantit pas la protection juridique de vos données. »
Franck Régnier-PécastaingTalan

Ainsi, le simple fait de localiser ses serveurs en France ou en Europe ne garantit pas la protection juridique de vos données. Par exemple, les GAFAM sont soumis au CLOUD Act et le Privacy Shield a été annulé par la Cour européenne de justice, ce qui permet aux États-Unis de persévérer dans leur stratégie d’extraterritorialité de ses lois (comme ce fut le cas pour la finance à la fin des années 2000).

Sur 14 agences de renseignement américaines, 13 étaient hébergées par AWS. Ce dernier point fut l’occasion d’une passe d’armes entre J. Bezos et D. Trump, et concourut à la reprise de nombreux contrats par Microsoft.

Ensuite, la localisation des serveurs ne garantit pas que les données qui transitent restent à l’intérieur de vos frontières. En effet, l’infrastructure d’internet est conçue pour faire transiter les données par n’importe quel chemin entre le point de départ et celui d’arrivée. Ce transit est contrôlé par l’ICANN (Internet Corporation for Assigned Names and Numbers), situé en Californie, et qui reste, de fait, sous un large contrôle des industriels et de l’administration américaine.

La sécurisation des échanges de données sera donc aussi un sujet à traiter. Plusieurs solutions existent : les lignes spécialisées (Point à Point) dont l’utilisation va diminuant, la gestion par Liste d’Accès (ACL) qui réclame la possibilité de configurer les routeurs concernés, ou encore la création d’un tunnel chiffré (Virtual Private Network).

Mais en dehors du lien physique direct, toute information sensible semble être soumise à un danger de reroutage ou décryptage.

Temps court de la technologie vs temps long de la géopolitique

Pour tous les aspects réglementaires, comment faire ?

La réglementation à spectre large n’est pas l’unique solution. La société industrielle – dont le moteur est le capital – a réglementé la gestion financière au travers de tiers (comptables et experts-comptables). Concernant la société de l’information ou plus exactement la société cognitive (régie par l’analyse des comportements, des informations, par l’IA, etc.), n’est-il pas envisageable de reprendre les idées de certains think tanks (ex. le Cercle de la Donnée) qui proposent la création d’une fonction de « commissariat aux données » ?

« Pourquoi ne pas prendre aussi en compte « l’actif de donnée » comme élément d’étude anti-concurrentielle ? »

Pourquoi ne pas prendre aussi en compte « l’actif de donnée » comme élément d’étude anticoncurrentielle lors de rapprochements d’entreprises, sans se limiter à des parts de marché, mais en l’ouvrant à des « parts de données » ?

Les pistes à court terme restent à la portée des entreprises (celles de la sécurité, de l’hybridation des architectures, du renforcement contractuel, etc.) ; celles du moyen et long-terme passeront par une construction plus longue et plus intime entre les entreprises et les administrations (une réglementation moins injonctive et plus pragmatique, des accords multilatéraux entre États, etc.).

Mais la structuration de nos sociétés est régie par le temps long. Les technologies sont quant à elles marquées par des temps de plus en plus courts, pouvant déterminer des écarts géopolitiques ou concurrentiels, de forte amplitude. 

Pour approfondir sur Applications et services

Close