illustration générée par IA
Après avoir déconstruit les mythes de la souveraineté numérique, analysé ce qu’elle apporte réellement et chiffré ce qu’elle nous coûte, il est temps de refermer ce dossier en parlant des solutions. Reprenons dans l’ordre les différents piliers de cette quête d’indépendance, et les solutions qui s’y rattachent.
Les solutions pour la souveraineté numérique
La Sécurité des données
C’est le point critique pour la protection de nos données. La sécurité ne se décrète pas elle s’implémente. Face aux risques de fuites ou d’espionnage, le chiffrement des données sensibles est indispensable. Si on choisit de travailler avec sur le Cloud, notre fournisseurs peut accéder à nos données étant donné que les opérations de chiffrement/déchiffrement sont réalisées sur ces infrastructures. Plusieurs solutions permettent d’opérer On Premise ou sur le cloud tout en gardant le contrôle du chiffrement.
- Le contrôle cryptographique (BYOK/CYOK/HYOK) : il s’agit d’externaliser la gestion des clés, voir le chiffrement des données sensibles en dehors de l’infrastructure du fournisseur. Cela peut aussi être réalisé par des boitiers physique à proximité des données pour de meilleures performances.
- Le Confidential Computing : C’est la solution ultime pour protéger la donnée pendant son traitement (en mémoire vive). Grâce à des architecture matérielles spécifique, même l’hébergeur devient aveugle des opérations de cryptages/décryptages réalisées sur son infrastructure.
- L’Edge Computing & l’Hybridation : Traiter et anonymiser la donnée brute localement (sur vos serveurs propres) avant de n’envoyer que les résultats vers le cloud public. Des patterns d’architecture orientés « protection des données » peuvent être implémentés. Cependant, l’absence de standardisation de ces patterns implique de les déployer au cas par cas.
La Conformité et le Juridique
Pour la conformité réglementaire, la réponse est simple : il faut choisir les offres certifiées répondant aux exigences de votre secteur (HDS pour la santé, qualification SecNumCloud délivrée par l’ANSSI pour les données étatiques…). Dans le cas d’un hébergement OnPrem, la aussi des certifications peuvent être exigées. Avec l’engouement actuel, les offres cloud fleurissent, allant des pure-players 100 % français aux alliances « Cloud de Confiance » adossées aux technologies américaines (Bleu, S3ns). Le SecNumCloud offre une protection juridique forte contre l’extraterritorialité du droit américain (le fameux Cloud Act). Mais on oublie à tort que les États-Unis ne sont pas les seuls à vouloir accéder à nos informations. La France dispose également d’un arsenal législatif intrusif extrêmement puissant, souvent ignoré par nos entreprises :
- Le Code de Procédure Pénale (CPP) : Permet la réquisition des données en clair sur demande d’un juge.
- La Loi Renseignement : Autorise l’accès aux données par les services de l’État (DGSI, etc.) en dehors de toute procédure judiciaire classique, avec la pose de « boîtes noires » chez les opérateurs.
- La LCEN : Impose aux hébergeurs des obligations de conservation massive des logs de connexion. Face à tout État (qu’il soit américain ou français), la seule garantie d’inviolabilité absolue d’un secret industriel reste le chiffrement robuste de bout en bout.
Le Vendor Lock-In
La dépendance à un éditeur et l’inflation subie des coûts de licences sont des problèmes récurent, mais la concentration du marché sur quelques acteurs la rend encore plus problématique. D’autant plus qu’ils ne se privent pas d’utiliser leur position pour infliger des augmentations tarifaires injustifiées. Pour autant, le choix d’un hébergeur local ne vous protège pas du lock-in si vous utilisez ses services propriétaires. L’alternative réside dans la portabilité et la réversibilité. L’adoption de l’Open Source, des standards ouverts et de la conteneurisation en sont des clés essentielles sans oublier la principale : la maitrise de son SI. Attention cependant : l’Open Source n’est pas une baguette magique. Il réclame des compétences pointues en interne pour l’intégrer et le maintenir en conditions opérationnelles (MCO). Ne pas dépendre d’un éditeur, c’est accepter de dépendre de sa propre capacité à faire.
La Stratégie
La souveraineté est un concept régalien, un sujet d’État. Pour une entreprise, l’objectif est différent : il s’agit d’atteindre l’autonomie stratégique. C’est-à-dire connaître, assumer et maîtriser ses dépendances. La pire des stratégies serait d’adopter une solution unique (« One Size Fits All ») pour l’ensemble du SI. La maîtrise de votre cœur de métier justifie l’effort et le coût d’une architecture souveraine stricte. À l’inverse, vos fonctions supports ou votre Fast IT doivent pouvoir exploiter l’innovation rapide des clouds publics standards et des solutions SAAS « prêts à l’emploi ». La souveraineté n’est pas une fin en soit, c’est un axe de la stratégie IT comme les autres, qui doit être cartographier, chiffrer, évaluer etc…
La Communication
L’exercice de communication est complexe, car comme nous l’avons démontré, il est techniquement et économiquement illusoire d’être 100 % souverain. Tant que le discours de défiance vis à vis des GAFAM trouve un écho sur la place publique, la carte de la souveraineté peut être un argument marketing puissant. Mais attention, tout comme le « Made in France » (années 2010) ou le « Greenwashing » écologique (années 2015), sur-vendre une souveraineté de façade se retournera tôt ou tard contre les entreprises qui n’ont pas aligné leur discours avec leur réalité. De plus, quand le marché sera saturé d’offre « souveraine », ce ne sera plus un argument de différenciation.
En conclusion
La protection de nos données face aux différents risques requiert des solutions différentes selon la nature des menaces. Elles doivent être évaluées au regard des exigences liées à l’activité de nos entreprises. Présence aux USA ? données sensibles ? secret industriel ? etc… et il n’existe pas de solution absolue (one size fit all). Les offres de conformité françaises et EU sont en cours de déploiement et devraient permettre de rendre la conformité au droit EU accessible au plus grand nombre sans changer nos pratiques d’ingéniérie. Quand à la souveraineté, au sens politique du terme, c’est un sujet à traiter à l’échelle… politique !
Take Away : la checklist de la souveraineté numérique
Au terme de cette série d’articles, voici ce que nous devons retenir :
- La souveraineté numérique est un sujet complexe et mutli-facette, concernant la sécurité, la conformité, la protection juridique, le vendor-lockin, la stratégie et la communication
- Elle n’est pas un bouclier magique : elle engendre des coûts directs et une friction organisationnelle importante (la dette technique du Do It Yourself).
- Il n’y a pas une, mais des solutions. Il est impératif d’évaluer finement la criticité de ses données pour leur affecter l’architecture adéquate (le Best Execution Venue).
- La souveraineté stricte est un rapport de force géopolitique géré par les États. À l’échelle de nos DSI, nous préférons viser l’indépendance et l’autonomie stratégique.
J’espère que cette série d’articles aura pu vous éclairer et vous donner des éléments pour aborder ce sujet passionnant et critique au sein de vos entreprises !