Cloud et souveraineté numérique, quelles conséquences ?

La souveraineté numérique est synonyme d’indépendance, pour un État mais aussi les organisations et les individus. Or, la dépendance en matière de « cloud » à des fournisseurs étrangers posent en particulier trois types de problèmes :

Premièrement, pouvoir impérativement s’assurer d’avoir la possibilité de vérifier précisément ce que deviennent données et traitements confiés à une plateforme. Obtenir les logs (les enregistrements de toutes les opérations effectuées) et pouvoir auditer les environnements sont nécessaires. Cela est rarement possible ou alors à des prix exorbitants additionnels (ces facilités ne sont généralement pas incluses dans le contrat initial). Il est de plus, parfois impossible à postériori, de savoir comment les données sont traitées, qui les a accédées, ce que font les traitements notamment lorsqu’ils sont réalisés par des applications propriétaires dont le code source n’est pas accessible.

Le deuxième point est lié au droit applicable à la plateforme. Avoir la maitrise de la dimension juridique échappe à l’État qui utilise des fournisseurs émanant de certains pays étrangers qui ont imposé des lois extraterritoriales permettant à leurs autorités d’accéder aux données.

Le troisième problème est lié à la pérennité et aux coûts engendrés par l’asymétrie de la relation entre utilisateurs et fournisseurs de Cloud qui peuvent à leur gré, imposer, modifier des conditions d’utilisation, augmenter leurs tarifs mais aussi éventuellement empêcher l’accès aux services Cloud. Comment être sûr sur le long terme de la stabilité de l’environnement alors que le retour arrière comme la migration vers d’autres plateformes sont généralement impossibles ? La non-réversabilité des choix est réelle (car techniquement très difficile et économiquement pas soutenable), ce qui de facto dissuade et empêche le passage à la concurrence en la rendant infaisable.

En bénéficiant d’une position dominante, les géants du Net peuvent faire pression sur les prix pour capter des clients et s’imposer sur un marché. Ils savent également proposer des offres intégrées de services et applications qui peuvent être alléchantes. Ils jouent avec les moyens que leur procure leur taille, une palette étendue de services, leur capacité monétaire et leur position hégémonique.

Le recours que Google a notifier à la Confédération helvétique[1] contre l’adjudication rendue le 24 juin 2021 pour son Cloud, s’inscrit dans une logique de compétitivité extrême que se livrent les multinationales du numérique. Cela est emblématique de l’importance des enjeux pour gagner la bataille du Cloud et est révélateur de la puissance et des avantages stratégiques que peut procurer un marché étatique. Tout cela se réalise à la barbe de la population, sur le dos des contribuables et au regard des entreprises régionales du numérique, témoins démunis de la bataille des géants.

La souveraineté numérique devrait être au cœur des décisions politiques car le numérique constitue un levier de la souveraineté étatique et est indissociable de l’économie et de la vie de tous. Cela devrait se décliner non seulement dans des toutes les politiques (comme celle de politique de sécurité pour ne citer qu’un exemple) et devrait être aussi matérialisée par une action publique cohérente de soutien à l’écosystème numérique local. Cela devrait contribuer à son développement et à mieux protéger les données, les territoires numériques, la propriété intellectuelle, les savoir-faire, les capacités à développer de nouveaux services ou encore les emplois dans le pays. Pour faire ce type de choix, il faut consentir sans doute à ne pas privilégier des critères de performances et de prix et à ne pas succomber aux sirènes de la facilité.

Choisir des multinationales hégémoniques, c’est peut-être avoir l’illusion de faire des économies à très court terme et de pouvoir se rassurer en arguant avoir choisi les meilleurs acteurs du moment, même si les problèmes surveillent ultérieurement. Ce faisant, la dépendance envers ses fournisseurs et pays desquels ils sont des champions nationaux (soutenus eux, par leurs gouvernements respectifs) ne fait que croitre. Ces derniers ayant bien compris que maitriser les solutions « Cloud » et de les imposer est le meilleur moyen de s’approprier la richesse numérique ainsi que les moyens de la produire et de la faire fructifier.

Penser la souveraineté numérique (et la réaliser) est désormais un enjeux stratégique majeur.

Choisir des acteurs étrangers, c’est choisir à qui être inféodé. C’est aussi renoncer à contribuer à développer une souveraineté numérique aux services de ses citoyens, ce qui impacte nécessairement les capacités de cyberdéfense et d’autonomie stratégique d’un pays dans tous les domaines, y compris dans celui de l’intelligence artificielle.

Le retard pris ne se rattrape jamais comme nous le rappelle Jean de La Fontaine dans sa fable Le lièvre et de la tortue « Rien ne sert de courir ; il faut partir à point ». La véritable innovation technologique ne serait-elle pas d’arrêter de perdre du temps en réalisant de mauvais choix stratégiques ?

Notes

[1] https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-84506.html

Solange Ghernaouti

Docteur en informatique, la professeure Solange Ghernaouti dirige le Swiss Cybersecurity Advisory & Research Group (UNIL) est pionnière de l’interdisciplinarité de la sécurité numérique, experte internationale en cybersécurité et cyberdéfense. Auteure de nombreux livres et publications, elle est membre de l’Académie suisse des sciences techniques, de la Commission suisse de l’Unesco, Chevalier de la Légion d'honneur.

16 réponses à “Cloud et souveraineté numérique, quelles conséquences ?

  1. Il me semble en effet que la maîtrise du cloud est comparable à la maîtrise de l’espace aérien ou de l’armée ! Quel état responsable est-il prêt à confier son armée à un pays tiers ?

  2. Bien vu. Cette décision de la confédération semble avoir écarté toute dimension politique. Il est peut-être temps que notre parlement assume mieux ses responsabilités et reprenne le contrôle politique. Les marchés publics doivent être mieux utilisés pour renforcer des choix stratégiques en technologies pour notre pays. C’est ce que font quasiment tous les pays!

  3. C’est une très bonne nouvelle qu’il y ait recours contre la décision de la Confédération de se soumettre à la technologie états-unienne et chinoise (comme s’i les mettre en concurrence assurait notre indépendance !). Savez-vous qui a recouru ? Des firmes suisses comme Infomaniak auraient-elles leur chance ? Etes-vous intervenue ? Bravo pour votre résistance.

    1. Google à recouru. Mais il faut distinguer deux choses: le recours (formel, administratif puis légal) de potentielles parties prenantes à l appel d’offre, et une opposition politique, à la forme même d’un tel appel d offre. Comme l’écrit G.Maurer, aurait-on l’idée de lancer un appel d’offres pour “gérer l’armée”? (c’est probablement une comparaison un peu hasardeuse, mais Mme Ghernaouti montre que que le pouvoir concédé à ces prestataires est énorme ; il ne s’agit pas de savoir si l’on équipera les fermes de serveurs de la confédération par de l’ibm ou du lenovo, la maîtrise et l’interchangabilité des systèmes choisis est bien moindre)

  4. Merci pour toutes ces informations techniques et stratégiques et leurs possibles conséquences en ce qui concerne le numérique en Suisse. La décision politique a été prise j’imagine sur la base d’un dossier d’informations techniques et de recommandations élaborées par des groupes de travail spécialisés. Y aurait il eu des points faibles dans cette arbre décisionnel ? Comment dès lors l’améliorer ? On a appris par la presse que la Suisse souffrirait paraît il d’un retard dans la « numérisation » de ses données en général, armée incluse. Y remédier serait paraît il une urgence. Avez vous remarqué le début d’un effort dans ce sens (formation accélérée de divers futurs personnels maîtrisant le hard ware et le soft ware) ? On peut rester optimiste ?

  5. Nos institutions fédérales, qui bénéficient d’une autonomie sans limite et visiblement sans contrôle ni discernement du risque va passer des commandes à des entreprises qui ne garantisse aucune protection des données que la Confédération va leur confier dans l’avenir!
    Elles continuent donc de bafouer nos institutions, nos universités formatrices d’ingénieurs, nos ingénieurs, nos entreprises locales innovantes ainsi que notre sécurité !
    Il serait plus que judicieux de lancer une initiative pour limiter et contrôler nos institutions qui agissent comme des irresponsables face aux risques que vous décrivez !

  6. Merci pour ce billet qui attire mon attention.
    Si, effectivement, le choix de confier des solutions, encore faut il voir lesquelles, à des majeurs semble aberrant , il me parait illusoire aujourd’hui de choisir une autre voix.
    Notre dépendance aux états tiers hors EU n’est pas que pour les solutions Cloud mais pour tout ce qui est de l’électronique de base comprenant les composants et processeurs, les logiciels et finalement les applications hébergées, ce qui multiplie les risques en terme de cyber sécurité.
    Nous avons, et nos voisins directs également, pris un retard considérable dans ces différents domaines, l’Europe et la Suisse ont laissé les US et la Chine conduire ce marché depuis 40 ans sans jamais faire mine de s’y intéresser.
    Fort de ce constat, l’UE devrait investir massivement dans toute la chaîne de valeur des systèmes informatiques afin d’acquérir une vrai indépendance et de proposer une alternative aux entreprise du vieux continent, mais quel sera le prix, quelle sera la qualité des solutions….Quelques initiatives sont en cours, dont celle de l’EPI https://www.european-processor-initiative.eu/
    Le choix de la confédération peut être critiquée mais elle permettra d’avancer dans ces solutions, car au-delà de la souveraineté numérique, le risque économique est présent et augmente de jour en jour par le manque de “numérisation” de nos gouvernements et entreprises. Nous manquons furieusement d’intégration de données (la pandémie la démontré dans ces premières heures ou il a été quasi impossible de rassembler au niveau fédéral les données).
    Pour finir, certaines de nos banques ont choisi également les solutions Cloud, n’est ce pas un signe de confiance et de maturité ?

  7. Voyez nos voisins Français, ou Allemand, ils ont depuis longtemps optés pour des solutions NATIONALES, car ils sont RESPONSABLES contrairement à nos élites.
    Le peuple doit donc mettre en place une commission nationale pour la sécurité et la souveraineté de l’approvisionnement de nos ressources vitales et intégrer la souveraineté de la Suisse et la surveillance par le peuple des agissements des fonctionnaires qui signe ces bons de commandes à l’industrie étrangère pour des solutions si vitale pour la Suisse !
    Nos autorités se moquent du citoyen Suisse car trop occupé à faire leurs petites combines !

    1. Indépendamment des “combines” supposées, je pense que la majorité politique n’en saisi tout simplement pas l’enjeu (les fonctionnaires n’ont probablement pas eu tant de choix que cela, l’objet du choix étant décidé au niveau politique).
      Cela montre que les raisons du refus de l’eID n’ont pas encore été assimilées.

  8. Depuis windows 10 et le cloud je me méfie. Qui control le web control les usagers du web, saisissent leur géolocalisation, leurs données pour leurs bombardé de produits consommables a distance (?????) et de propagande simpliste et polarisée. Ransomware devient très a la mode….
    Madame Ghernaouti ne cessez pas je vous prie, d’alertez nos Chef d’états et le peuple.

  9. Bonjour

    je ne comprend pas vraiment pourquoi des gens, des entreprises et des institutions veulent stocker leurs données sur le cloud d’une autre entreprise. Comme personne privée cela ne me viendrait pas à l’idée. Aujourd’hui un disque dur de quelques TB coûte à peine 100 francs et je peux faire mes sauvegardes moi-même. Bien sûr une entreprise à énormément plus à stocker mais elle a aussi plus de moyens, proportionellenemt je pense que cela ne lui couterait pas plus que d’avoir son propre centre de stockage…non? Ou n’ai-je vraiment rien compris au problème?

    1. Le comparatif est intéressant,
      Pour compléter, que se passe t’il en cas d’incendie, de défaut de votre disque dur, de vol, etc. Les solutions Cloud offrent une alternative économiquement favorable et très sécurisée. Je parle ici de manière générale.
      Le Cloud amène d’autres avantages dans la partie opérationnelle des systèmes qui contiennent les données, peu d’entreprise ont les moyens d’avoir et du personnel et les bonnes pratiques pour s’assurer du fonctionnement de leur infrastructure informatique.
      Et pour finir, vous pouvez également bénéficier rapidement de solution logicielle standard (par exemple un compte email Bluewin ou Gmail sont de très bons exemples de services cloud.)
      Le propos ici est au-dela du stockage de données, à mon avis (je n’ai pas pris connaissance de l’appel d’offre de la confédération) des solutions logiciels ont certainement été demandées ce qui pour nos entreprises CH et EU est actuellement difficile à livrer.
      En espérant avoir clarifier un peu les propos de ce billet

  10. A la lecture des décisions de nos élites, il est indispensable de passer par une certaine désobéissance numérique.
    Nous n’avons pas en Suisse de commission de sécurité nationale. Il faut que les citoyens en crée une, indépendante des différentes commissions, sous-commissions, groupement d’intérets politiques, partis, etc….
    Comme on a pu le voir avec le désastreux « Exercice du Réseau national de sécurité » durant lequel le 31 10 2019, Madame la conseillère fédérale Karin Keller-Sutter et consort n’ont pas su gérer, prévoir, et prémunir le peuple d’une pandémie puisqu’au contraire nous avions pris depuis des années des directives désastreuses (liquidation des stocks, dépendance de l’étranger, etc…) mais économiquement profitable pour les finances fédérales sans tenir compte des plus simples préceptes de bonne gouvernance d’un pays.
    A croire que nous n’avons pas retenu la leçon puisque nous allons commander un Cloud à l’étranger et mettre clairement en péril notre autonomie et souveraineté nationale !!!!!!
    Pour le Cloud, à moyen termes ce sera économiquement profitable, mais à long termes nous seront les sujets des grandes entreprises étrangères et des USA par l’incompétence de nos fonctionaires qui ont décidé de livrer nos données à des puissances étrangères !
    Comment les USA nous espionne? excellent reportage de Temps Présent sur Oracle

    source: https://www.rts.ch/play/tv/temps-present/video/banques-pme-administrations-comment-lamerique-nous-espionne–experience-de-mort-imminente-aux-frontieres-du-paranormal?urn=urn:rts:video:12020250

  11. Il semblerait que hors le Cloud, il n’y a pas de salut, mais son symétrique existe la synchronisation P2P. Des versions de Linux P2P existent, les fichiers sont découpés pour être répliqués d’une manière optimale, sur différentes stations indépendantes, localement ou le Net.

Répondre à Delaplanete Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *