Dans un article récemment publié sur Solutions numériques & cybersécurité, nous avons abordé la question cruciale de la souveraineté des données. Aujourd’hui, après les événements marquants de cet été, notamment la panne massive de Microsoft, il nous paraît essentiel de revenir sur ce sujet et d’apporter des éclaircissements supplémentaires.
La souveraineté numérique est souvent perçue à tort comme une simple affaire de confidentialité des données personnelles, ce qu’on appelle communément la « data privacy ». Cette vision réductrice a conduit l’Union européenne à mettre en place des réglementations qui, bien qu’importantes, restent insuffisantes pour garantir une véritable souveraineté des citoyens.
Heureusement, ce cadre réglementaire est en évolution, et nous devons en comprendre les enjeux plus larges.
Qu’est-ce que la souveraineté numérique ?
Pour saisir pleinement les risques liés à l’absence de souveraineté numérique, il est crucial de poser quelques questions fondamentales :
- Quelles menaces la souveraineté doit-elle contrer ?
- Peut-on concevoir une souveraineté efficace qui dépasse les frontières nationales ?
- Les solutions actuelles, comme le stockage des données sur le territoire européen, sont-elles vraiment adaptées à toutes les menaces ?
Nous pouvons donc définir la souveraineté numérique comme la capacité d’une nation à contrôler et sécuriser ses infrastructures et services essentiels, au-delà de la simple protection des données personnelles. Elle est cruciale pour assurer la résilience et la sécurité de la société moderne dans des domaines tels que l’informatique, les transports, l’alimentation, ou les communications.
Pour approfondir le sujet, voir les communications officielles de l’Etat à ce sujet.
Le contexte du risque
Le risque dont nous parlons ici est systémique et concerne l’ensemble d’une nation. Il s’agit de menaces qui peuvent paralyser les activités vitales de nos sociétés modernes : réseaux informatiques, transports, distribution d’énergie, communications, santé, alimentation.
Par exemple, un piratage des feux de signalisation pourrait entraîner une paralysie quasi-totale du pays. De même, la commande à distance des voitures autonomes pourrait, en quelques heures, bloquer une grande ville, comme le démontre le récent bug des taxis autonomes à San Francisco.
Plus concrètement, la crise du Covid a révélé les conséquences dramatiques d’une absence de souveraineté, comme l’incapacité à produire des masques ou des médicaments essentiels.
Plus récemment, la guerre en Ukraine a montré comment les hyperscalers (grandes entreprises du cloud) pouvaient perturber l’économie d’un pays entier, en l’occurrence la Russie, et même plonger des régions entières dans la famine en bloquant les paiements transfrontaliers de céréales.
Et d’un autre côté, le ministre de la Transformation Digitale de l’Ukraine témoignait récemment en faveur d’une solution « hors sol » (basée sur les Hyperscalers U.S.) qui a permis à l’IT de l’état Ukrainien de rester opérationnelle parce que leurs data centers n’étaient pas susceptibles d’être bombardés.
Ces exemples illustrent clairement que le risque ne concerne pas seulement la gouvernance des données, mais bien plus largement les services essentiels à notre société.
L’incident Microsoft : une leçon à retenir
En juillet dernier, la panne majeure de Microsoft 365 a eu des répercussions mondiales. Des services critiques comme les emails, le stockage de fichiers dans le cloud, et les outils de collaboration tels que Microsoft Teams ont été sérieusement perturbés, impactant directement les entreprises et leurs opérations.
Mais au-delà des pertes financières pour les entreprises, cette panne a également eu des conséquences sur les citoyens, avec des interruptions de paiements et des services de santé.
Cet incident soulève une question fondamentale : comment gérer un tel risque à l’avenir ?
La réponse réglementaire : un bon départ, mais insuffisant
L’Union européenne a entrepris de mettre en place des réglementations pour renforcer la souveraineté numérique, comme le RGPD, l’arrêt Schrems II, ou encore la directive NIS2.
Cependant, ces mesures, bien qu’encourageantes, restent trop centrées sur la protection des données personnelles et ne prennent pas suffisamment en compte la dimension des services.
Une formation globale et une analyse des risques
Il est impératif que tous les responsables des infrastructures IT prennent conscience des véritables risques pour la souveraineté. Une analyse systématique doit être effectuée, intégrant non seulement les risques pour l’entreprise, mais aussi les risques pour l’ensemble de la nation.
Ce n’est pas une tâche aisée, car peu d’entreprises sont habituées à prendre en compte des risques au-delà de leur périmètre d’activité.
Vers une priorité nationale dans les choix IT
Il est plus que jamais nécessaire d’orienter les choix IT vers des solutions qui garantissent, à terme, une souveraineté nationale. Cela implique de privilégier les éditeurs français et, lorsque ce n’est pas possible, de s’assurer de l’indépendance des solutions proposées.
L’open source pourrait être une alternative, mais il nécessite des compétences accrues, et donc des coûts supplémentaires.
Il est évident que la souveraineté numérique doit devenir un réflexe, non seulement pour les entreprises, mais aussi pour l’État, qui doit montrer l’exemple en privilégiant les choix nationaux dans le domaine des logiciels.
C’est une condition indispensable pour assurer notre indépendance et la sécurité de nos services essentiels. La souveraineté numérique n’est pas un luxe, c’est une nécessité pour la survie de notre société.
Découvrez le nouveau whitepaper sur la gouvernance des données en action et le leadership d’Axway en matière de confidentialité et de sécurité.
Suivez-nous sur les réseaux sociaux