Dans notre précédent article, nous avons vu que la « souveraineté numérique » englobait des concepts très différents. En se basant sur une définition approximative (héberger en France par des opérateurs français), de quelles menaces le bouclier « souveraineté numérique » nous protège-t-il réellement ? Quelles sont ses limites ?
1 – De quoi nous protège VRAIMENT la souveraineté numérique ?
- Le fameux Cloud Act : Héberger ses données chez un acteur français empêche un juge outre-Atlantique d’exiger de votre cloud qu’il fournisse l’accès à vos données dans le cadre d’une enquête, sans même que vous en soyez averti. Des données confidentielles ou critiques de notre entreprise pourraient être utilisées dans le cadre de rapport de force commerciaux ou d’autres négociations à l’échelle internationale. A noter qu’il existe dans le droit américain un texte d’application encore plus large : la Section 702 du FISA (Foreign Intelligence Surveillance Act) dont l’objectif est de permettre aux agences de renseignement américaines d’exiger d’un acteur américain qu’ils fournissent des données si la dit agence les demandes. L’objet même de ce texte étant le renseignement, le risque est réel.
- Le risque d’embargo : La géopolitique est instable. Du jour au lendemain, théoriquement, les Etats-Unis peuvent interdire à ses géants technologiques de fournir leurs services à un pays ou à une entité. Même si il est peu probable que ce scenario se réalise, c’est un atout majeur dans le cadre de négociation pour les USA : 80% de nos entreprises utilisent les services américains, il est impossible de s’en passer du jour au lendemain.
Bien que ces deux premiers risques soient directement liés aux données d’une entreprise, leurs impacts sont surtout d’une portée stratégique au niveau (inter)national. Voici maintenant des risques aux impacts plus directs :
- La prévisibilité tarifaire : C’est un des principaux risques du vendor-lockin. Les DSI ont été traumatisées par les rachats récents (l’effet Broadcom/VMware) ou les changements de licences brutaux. Un acteur local offre des contrats soumis au droit commercial national, protégeant contre des multiplications de prix unilatérales. La négociation avec les géants américains, même pour des structures importantes, est difficile. Ce risque est amplifié par le couplage avec leurs solutions parfois propriétaires ou leurs offres de service difficile à égalés par d’autres acteurs locaux.
- L’accès à certains marchés français : Certains acteurs publics (ministères, collectivités) ou privé de certains secteurs stratégiques (défense, énergie) exigent désormais un label SecNumCloud sur l’hébergement de leurs données de la part de leurs fournisseurs. Il est difficile de prédire l’évolution de ce marché, notamment du fait de sa co-existence avec un label européen. Pour autant, le risque est bien réel. Si le label est exigé, impossible de remporter le marché avec une solution dépendant des fournisseurs américains.
- L’image de marque : Afficher un label souverain (comme SecNumCloud) rassure. Parfois, cela reflète une véritable stratégie de résilience. D’autres fois, c’est du « souveraineté-washing » : on achète une étiquette pour remporter un marché public, sans que la maturité technique ne suive. On est souvent sur une souveraineté partielle. Combien d’entreprise parle de souveraineté quand l’entièreté de leur messagerie repose sur Office 365 ? L’image est très liée à l’actualité. Afficher AWS peut être vu comme un signe d’innovation pour certains et comme un risque pour d’autres. Il faut en tout cas pouvoir justifier de ces choix pour qu’ils n’écornent pas l’image de l’entreprise. Communiquer sur sa souveraineté numérique peut être bénéfique, mais c’est à double tranchant, car à moins d’être absolument certains qu’elle soit total, le retour de bâton peut être violent. Il s’agit des même mécanismes que ceux sur l’écologie, le bien être au travail etc… Difficile d’être irréprochable.
2 – De quoi la souveraineté ne nous protège pas ?
- Les hackers : Cela peut paraître évident, mais la localisation du’e infrastructures n’offre aucune protection envers un cybercriminel qui se moque de savoir où est hébergé votre serveur. Si votre infrastructure « souveraine » n’est pas patchée, elle sera cryptolockée. Pour autant, il existe des label comme SecNumCloud mêlant les deux aspects, ce qui peut expliquer l’effet “mot balise” derrière souveraineté.
- L’espionnage d’État : On confond souvent la justice (le Cloud Act) et le renseignement (la NSA américaine, le GRU russe, etc.). Quand un État veut voler des secrets industriels, il n’envoie pas une requête légale : il pirate (affaire Snowden). La sécurité opérationnelle est la seule parade, et elle ne concerne pas que notre SI, l’ingénierie sociale étant une autre technique très efficace. Là encore, l’obtention d’un label vient souvent valider une organisation, mais le recours à des experts en cyber sécurité est indispensable pour trouver et corriger les failles du SI.
- La dépendance matérielle : admettons que notre SI soit 100% français (infrastructures, messagerie, applications). Il n’en reste pas moins une dépendance vers le matériel qui est produit en dehors de l’Europe. On pourrait imaginer que des puissances étrangères possédant ce matériel l’utilise pour négociation, voir opérationnellement en positionnant des back doors (affaire des bipeurs du Hezbollah). Bien évidemment, c’est un dernier recours et il faut que votre entreprise intéresse fortement les renseignements !
- Le Shadow IT et les utilisateurs : L’écrasante majorité des fuites proviennent de l’interne. Trop de restrictions sur les outils mis à disposition des utilisateurs peut favoriser l’usage de solutions externes sous les radars. La encore, un label n’est pas une protection efficace.
- Le vendor lock in : c’est assez évident, mais la souveraineté numérique ne règle pas le souci de la dépendance à un fournisseur, qu’il soit souverain ou non.
Bien que ce bouclier ne soit pas une réponse magique à toutes les préoccupation autour de la maîtrise de nos données, sa mise en place apporte de nombreux points positifs, alors pourquoi ne pas le déployer partout ?
A suivre : le coût de la souveraineté numérique !