Sun Tzu parle aux dirigeants stratèges

Souveraineté numérique : résistance d’un cyber village suisse

Jérôme Gabriel

Un cas parmi tant d’autres en Europe : Infomaniak.

Alors qu’en 2020 la société genevoise faisait l’objet d’articles dithyrambiques prenant la troisième place de la remise du prix SVC 2020, le premier hébergeur suisse considéré comme le ‘Google national’ dénonce aujourd’hui les conséquences d’un décrochage politique et les impacts d’un abandon de la souveraineté numérique du pays. Une leçon pour tous.

Entre l’empire et l’emprise numérique

Appel d’offres : Quand une stratégie de prix entrave les enjeux vitaux d’une Nation

Le 12 juillet dernier, Anouch Seydtaghia publiait pour le journal Le Temps, un article sous la forme d’une tribune intitulée : « La Suisse a abandonné sa souveraineté numérique, alerte Infomaniak ». Dans cet article, les deux fondateurs historiques de la société genevoise Marc Oehler et Boris Siegenthaler critiquaient avec véhémence la Confédération dans le cadre d’un appel d’offres de 110 millions de francs émis pour l’obtention auprès de Tiers privés d’un service cloud sans aucune contrainte de présence juridique en Suisse. C’est sans surprise que l’appel d’offres déboucha sur une logique purement comptable du ‘moins disant’ avec…, cinq sociétés étrangères (Oracle, IBM, Microsoft, Amazon et Alibaba). Écartée avec d’autres face à des rivaux à la puissance financière hors d’atteinte, la société Infomaniak – fleuron suisse, mais aussi européen d’une solution cloud sécurisée – déplorait cet échec en soulevant l’incapacité étatique à intégrer une compréhension stratégique à long terme.

Au-delà du cas Infomaniak, plus qu’une solution suisse : la recherche d’une solution stratégique européenne.

Premier concepteur d’une solution de stockage collaborative capable de rivaliser avec les solutions de Microsoft et de Google : la solution Kdrive, Infomaniak ambitionne de faciliter le stockage de données des PME grâce à une alternative cloud physiquement et juridiquement hébergée en Suisse – une concurrence européenne bienvenue face aux leaders exclusivement états-uniens du secteur. Mais qu’y a-t-il de si précieux dans la possession de son propre cloud ?

La réponse est aussi simple que l’hébergement de vos données personnelles chez un inconnu… Le Cloud n’est autre que l’ordinateur (serveur) de quelqu’un d’autre.

Explication :

Lorsque particuliers et entreprises décident de délocaliser leur environnement digital hors site, nous avons le devoir et l’obligation juridique de nous poser qu’une seule question : quid de la protection de nos données ?

Sécurité des données et réciprocité judiciaire : comprendre les enjeux

Si les solutions d’hébergement et les conditions contractuelles peuvent parfois garantir la non-divulgation des informations stockées sur des serveurs nationaux malgré les demandes de gouvernements étrangers, il existe néanmoins en Suisse et dans la plupart des pays européens deux cas de figure principaux faisant exception. Dans l’éventualité d’un mandat international, que vos données soient en Suisse, dans l’Union européenne ou aux États-Unis, les probabilités de subir une perquisition sont très similaires.

La LRens Suisse : votée en mars 2018, cette loi autorise le gouvernement à infiltrer les systèmes et les réseaux informatiques, voir les perturber (Art. 26 al. 1d) ; à l’insu des personnes concernées (Art. 5 al. 4) ; à transmettre les informations à des services étrangers (Art. 12 al. 1a). Inscrite dans une logique de sécurité nationale, elle rejoint la plupart des lois européennes en matière de protection des biens et des personnes, la lutte contre les réseaux terroristes ou les organisations criminelles.

Le CLOUD Act est une loi américaine facilitant l’accès aux données stockées chez des fournisseurs de services (hébergeurs et DC), qu’elles se situent sur le territoire américain ou à l’étranger. Cette loi n’accorde pas en substance un droit de facto dans la captation de données stockées à l’étranger ; elle procède d’une ambition de simplification des procédures bilatérales (réciprocités légales et policières) dans le cadre d’enquêtes pénales internationales.

En conclusion préliminaire et selon le volet purement juridique, lorsqu’un datacenter ou service cloud reçoit une demande de perquisition à travers le CLOUD Act, il peut la contester et y faire opposition. Si la perquisition est en conflit avec les lois locales, elle n’est simplement pas applicable. Voilà pour la théorie.

La pratique réelle : bienvenue dans le Far West digital

Il est néanmoins indiqué dans le CLOUD Act que les fournisseurs soumis à la législation américaine (telle une société exerçant des activités aux États-Unis, y compris les entités basées à l’étranger avec des filiales états-uniennes), peuvent être soumis à une ordonnance judiciaire pour fournir des données sous leur contrôle et ce : indépendamment du lieu de stockage de leurs données.

Ainsi, si le stockage de vos données est hébergé à l’étranger, soit par choix commercial, soit sans que vous en ayez connaissance via votre hébergeur local utilisant les services « économiques » de tiers étrangers (briques logicielles spécifiques, serveurs supplémentaires pour les redondances ou divers partenariats ‘techniques’, chiffrement, etc.) vos données ne sont plus garanties contre des intrusions légales ou illégitimes. D’ailleurs, qui vous en avertira ?… En matière de sécurité informatique, nombreuses sont les entreprises qui ignorent réellement où sont hébergés leurs sites et leurs données fiscales et sociales. Si le RGPD est censé corriger une partie du problème, il s’avère que bon nombre de nos dirigeants restent ignorants de leurs actifs stratégiques réels et ce faisant, contraignent conséquemment l’efficacité de leur propre DPO par des restrictions budgétaires injustifiées avec les mêmes incompétences politiques qui œuvrent derrière la plupart des appels d’offres européens. Alors, ne cherchez pas une quelconque manœuvre d’un GAFA puisqu’on leur donne les armes économiques pour nous envahir et se repaître sur la bête…

Souveraineté vs appel d’offres – Retour sur une logique stratégique d’expansion commerciale proche de celle de la guerre de l’opium : l’art de bâtir une allégeance par dépendance ou, comment servir pour mieux asservir.

Allez, un peu de Sun Tzu pour la route :

La campagne une fois commencée, présentez-vous à sa porte avec la timidité d’une jeune femme ; votre adversaire n’en sera que plus vacillant : ouvrant alors ses portes avec autant de fébrilité que de méfiance mitigée, il crée la faille par laquelle s’engouffreront vos forces avec la rapidité et la promptitude d’un lièvre. (Sun Tzu – Décryptage stratégique de la pensée Sun Tzu – Ch XI)

Ce que ne comprend pas le commun lors d’un appel d’offres est que si celui-ci est élaboré la plupart du temps dans une stricte logique budgétaire basée sur le ‘moins disant’ ; ici, c’est une pure logique économique qui l’emporte sur le stratégique. Si le stratégique est souvent assujetti à certaines contraintes économiques, celles-ci ne doivent jamais s’interposer comme une doctrine inaliénable.

Défense nationale et vie privée

Si la défense économique d’un pays devait se réduire à la seule logique du moins-disant, voilà longtemps que celui-ci aurait perdu et sa crédibilité et sa souveraineté ; au-delà des trois armes (terre, air, mer) et des services de renseignement composant le minimum d’une défense nationale, la cyberdéfense est aujourd’hui considérée comme la quatrième arme avant l’Espace. On ne peut donc brader le socle vital des données citoyennes et étatiques au profit exclusif d’intérêts tiers qui, de surcroît, ont développé un modèle économique basé sur la revente de données privées (individus et corporate). Devenue la première ressource stratégique pour et entre les états, la captation de renseignement numérique et l’accès administratif aux serveurs est une guerre silencieuse que nul ne peut ignorer.

En conclusion

L’art de la guerre de Sun Tzu n’a rien inventé… Il nous rappelle simplement à l’une des plus fondamentales des réflexions stratégiques pour tout État souverain : connais-toi toi-même, connais ton ennemi, ta victoire ne sera jamais mise en danger. Connais le terrain, connais ton temps, ta victoire sera alors totale ; mais encore : Qui ne connaît ni son ennemi ni lui-même sera toujours défait

À l’heure des Pegasus et d’un brave ‘nouveau’ Monde brutalement téléporté en post-pandémie, ces préceptes  de gouvernance stratégique sont à prendre au pied de la lettre.

DERNIERES INFORMATIONS JUDICIAIRES EN DATE DU 02 AOUT 2021

Selon le journal ICT : “l’adjudication du contrat cloud de 110 millions de la Confédération est suspendu. La Chancellerie fédérale a fait savoir qu’un recours a été déposé dans les délais contre la décision d’attribuer le deal à Alibaba, AWS, IBM, Microsoft et Oracle. Selon une information de l’agence Keystone-ATS, le recours provient de Google.” (Lien : https://is.gd/xyNovF)

Nature contradictoire de l’appel d’offre de la Confédération :

“Certains fournisseurs suisses dont Infomaniak avaient critiqué le fait que l’appel d’offres soit réservé aux fournisseurs cloud disposant de centres de données sur au moins trois continents différents et servant une clientèle internationale.”

_

Découvrir l’auteur et la collection stratégique Maîtres & Dirigeants

Deux ouvrages de l’auteur pour développer sa pensée et ses réflexes stratégiques

Voir La critique de SUN TZU France par Yann Couderc

Copyright © 2020 – Arcana Strategia (coll. Maîtres & Dirigeants)

________________________

Retour à la page principale – Avant-propos et Index du Blog (Chapitrage)

Quitter la version mobile