Le contexte

Pour un pays, la souveraineté est synonyme de pouvoir et de moyen de revendiquer son indépendance et sa reconnaissance au niveau international.

La problématique

Pour un pays, être souverain, c’est être autonome et en mesure de construire, maintenir et défendre son autonomie stratégique, économique et industrielle afin de de pouvoir, même en situation de crise, être en mesure d’agir, c’est à dire être en capacité de prendre des décisions. C’est en fait, avoir le choix.

Désormais tout cela n’est pas possible sans le recours à des infrastructures numériques, mais qui les maitrise ? Quelles entités maitrisent les données, les logiciels et les matériels informatiques et de télécommunication indispensable à la souveraineté des pays?

Force est de constater que :

Sans souveraineté numérique, un pays peut-il encore disposer des moyens suffisants et nécessaires pour protéger ses intérêts ?
Sans souveraineté numérique, un pays peut-il encore être en situation de pourvoir exercer sa souveraineté économique et industrielle ?
Tout état indépendant peut-il être souverain sans souveraineté numérique ?

Des réponses convaincantes devraient être apportées à ces questions avant qu’un pays s’engage, en toutes connaissances de causes et d’effets y compris sur le long terme, dans le choix de solutions Cloud basées sur des fournisseurs étrangers.

Un Cloud étranger n’est jamais neutre

L’évolution technologique est la résultante de choix politiques et économiques.

Les nouvelles technologies sont au service d’une vision du monde et de ceux qui le dirigent. La technologie n’est pas neutre, elle modifie profondément notre manière de vivre aux niveaux individuel et collectif, des organisations publiques et privées et des pays.

La technologie est un instrument du pouvoir pour ceux qui la maitrisent. Elle enlève le pouvoir à certains pour le donner à d’autres en changeant la réalité pour tous.

Le problème n’est pas ce que permet de faire la technologie ni ce qu’elle peut apporter, mais il relatif la manière dont elle le fait, à son prix et à la dépendance développé à son égard et envers ses fournisseurs.

Dans l’agriculture intensive, ce n’est pas le concept d’agriculture qui est en cause, mais la façon dont elle est réalisée et ses impacts négatifs. Toujours par analogie, ce n’est ni l’électricité, ni le gaz, ni le pétrole qui posent problèmes, c’est la surconsommation et les dépendances à ces énergies et à leurs pourvoyeurs qui sont devenues problématiques. C’est la même chose avec l’informatisation de la société basée sur la dépendance grandissante aux plateformes numériques d’origine étrangère. Elles appartiennent à une poignée d’acteurs hégémoniques qui imposent leurs règles aussi bien au niveau local qu’international.

Le 21^ème siècle est celui de la plateformisation du monde qui impose que la majorité des services numériques soient accessibles uniquement en passant par des plateformes qui concentrent données et traitements et qui contrôlent l’accès aux mondes numériques.

Comme pour la pandémie Covid ou le conflit en Ukraine, qui constituent des révélateurs de nos interdépendances complexes à effet systémique qui affectent tout un chacun dans son mode de vie et son pouvoir économique, la manière de réaliser la transition numérique de la société fondée sur des plateformes numériques que nous ne contrôlons pas, complexifie la maitrise des risques informatiques et en génère de nouveaux.

Des solutions sont possibles

Choisir des acteurs locaux permet une meilleure maîtrise technologique tout en stimulant l’économie locale (emploi, réseau de partenaires, fiscalité,…). Les données stockées et traitées par des logiciels et des infrastructures du pays permet l’application du cadre juridique du pays et de s’assurer par l’usage de technologies « open source », qu’il n’y a pas de point d’entrée cachée exploitée par un fournisseur étranger ou les autorités dont dépendent ce fournisseur. Des Lois extraterritoriales existent comme par exemple le Cloud Act (The Clarifying Lawful Overseas Uses of Data Act (USA, 2018)) qui autorisent certaines autorités à accéder aux données partout dans le monde. C’est pour cela qu’il n’est pas suffisant que les données soient localisée dans un territoire national, il est désormais impératif qu’elles soient traitées par des infrastructures numériques qui permettent que le For juridique du pays puisse s’appliquer afin de contribuer à assurer la cohérence technique et juridique. Cela doit aussi être pris en compte lors de choix des prestataires de cloud computing. Il est crucial de se poser la question de l’origine des logiciels qui traitent les données. Par ailleurs, les bases juridiques sont de plus en plus questionnées comme en témoigne par exemple le fait que le Tribunal administratif fédéral suisse devra statuer prochainement sur le projet de cloud public de la Confédération.

Maîtriser toute la chaîne de valeur du numérique passe aussi par la maitrise non seulement, des données, des traitements et des réseaux mais aussi par la maitrise de l’ensemble des éléments constitutifs de la chaîne de production et de distribution de ces technologies et de leur cybersécurité. Cela comprend par exemple la fabrication des processeurs et des systèmes d’intelligence artificielle. A défaut, la souveraineté numérique revient en réalité à réduire et à maitriser les dépendances stratégiques dans le domaine du numérique.

Un cercle vertueux

Comme pour l’autosuffisance alimentaire, disposer d’une certaine autonomie numérique est possible en s’appuyant notamment sur des solutions de Cloud souverains et sur celles permettant la maitrise de la cybersécurité des systèmes d’information nécessaires au bon fonctionnement des infrastructures vitales d’un pays (activités civiles, militaires, judiciaires d’un pays, recherche et développement, transport, énergie,…).

Assurer des niches d’autonomie, initialiser un cercle vertueux, le développer pour grandir en souveraineté demande une volonté et des actes en cohérence qui consiste dès que faire se peut d’utiliser des solutions qui sont conformes à la définition de la souveraineté numérique et de contribuer à tous les niveaux de développer les capacités et compétences humaines nécessaires.

Cette démarche peut s’inscrire dans une stratégie numérique « responsable et durable » et intégrer divers volets de la numérisation qui pourrait concerner entre autres : la numérisation de la santé ou celle des collectivités territoriales.

En Suisse par exemple, comme dans bien d’autres pays européens, le tissu économique dispose des entreprises possédant un réel savoir-faire dans ce domaine, pourquoi ne pas collaborer avec elles de manière plus soutenue ? Pourquoi ne pas les faire collaborer pour réaliser des mesures concrètes soutenant une vision politique assumée de la souveraineté numérique ?

Cela permettrait d’obtenir une meilleure maîtrise des infrastructures numériques du pays par le fait même que les entreprises partagent les mêmes intérêts et le même cadre juridique avec des relations de proximité durables favorisant la réalisation de solutions sur mesure, indépendamment d’éventuelles pressions exercées par des fournisseurs étrangers.

Cela pourrait également s’inscrire dans une démarche plus efficace de cybersécurité et de protection des données. D’autant plus que des solutions multi-cloud telles que celles retenues par la Confédération helvétique, sont susceptibles d’engendrer une complexité opérationnelle et des défis de sécurité additionnels.

à suivre …

***

Au sujet de la souveraineté numérique par Solange Ghernaouti

Pour une obligation d’annoncer dans quel cloud se trouvent nos données.

Blog Cybersécurité. Le Temps. 10 juillet 2022

https://blogs.letemps.ch/solange-ghernaouti/2022/07/10/pour-une-obligation-dannoncer-dans-quel-cloud-se-trouvent-nos-donnees/

Économie numérique et transhumanisme.

Interview AntiThèse. 7 juin 2022

https://www.antithese.info/videos-antithese/solange-ghernaouti

La souveraineté numérique passe aussi par la sobriété.

The Conversation. 15 Décembre 2021.

https://theconversation.com/la-souverainete-numerique-passe-aussi-par-la-sobriete-172790

Cybersécurité et souveraineté numérique : réponses aux questions que nous recevons avec Solange Ghernaouti. Infomaniak. 7 mars 2022.

https://news.infomaniak.com/cybersecurite-et-souverainete-numerique/

Souveraineté numérique.

Interview Radio Libre. 26 février 2022

https://radio-libre.ch/podcast/souverainete-numerique-avec-prof-solange-ghernaouti-le-live/

Cyber allégeance, la triple peine

Blog Cybersécurité. Le Temps. 19 décembre 2021

https://blogs.letemps.ch/solange-ghernaouti/2021/12/19/cyber-allegeance-la-triple-peine/

Cloud et souveraineté numérique, quelles conséquences ?

Blog Cybersécurité. Le Temps. 23 juillet 2021

https://blogs.letemps.ch/solange-ghernaouti/2021/07/23/cloud-souverainete-numerique-quelles-consequences/

Perte de souveraineté numérique, la faute de trop

Blog Cybersécurité. Le Temps. 10 juillet 2021.

https://blogs.letemps.ch/solange-ghernaouti/2021/07/10/perte-de-souverainete-numerique-la-faute-de-trop/

Priorité à la défense du vivant et des territoires numériques

Blog Cybersécurité. Le Temps. 26 aout 2020

https://blogs.letemps.ch/solange-ghernaouti/2020/08/26/priorite-a-la-defense-du-vivant-et-des-territoires-numeriques/

Mobilité 5 G, reprendre le contrôle

Blog Cybersécurité. Le Temps. 1 février 2019

https://blogs.letemps.ch/solange-ghernaouti/2019/02/01/mobilite-5-g-reprendre-le-controle/

Des espions chinois dans nos machines ?

Blog Cybersécurité. Le Temps. 17 décembre 2018.

https://blogs.letemps.ch/solange-ghernaouti/2018/12/17/des-espions-chinois-dans-nos-machines/

Souveraineté numérique et dématérialisation au Congo-Brazzaville

Blog Cybersécurité. Le Temps. 19 septembre 2018

https://blogs.letemps.ch/solange-ghernaouti/2018/09/19/souverainete-numerique-et-dematerialisation-au-congo-brazzaville/

Cybersécurité : 5 questions vitales

Blog Cybersécurité. Le Temps. 16 mai 2018.

https://blogs.letemps.ch/solange-ghernaouti/2018/05/16/cybersecurite-5-questions-vitales/

Cybersécurité : l’intérêt collectif est l’intérêt particulier

Blog de l’Académie suisse des sciences techniques (SATW). 20. juillet 2017

https://www.satw.ch/fr/blog/cybersecurite-linteret-collectif-est-linteret-particulier

Cybersouveraineté

Octobre 2017. Mon journal de la Cybersécurité — Saison 1 Cyberconscience. Éditions ISCA Livres, 2022.

https://shop.isca-livres.ch/isca/1075-book-mon-journal-de-la-cybersecurite.html

Le contexte

L’allégeance est une obligation de fidélité et d’obéissance qui a pour corolaire la soumission.

La cyber allégeance est celle faite aux plateformes numériques auxquelles personnes et organisations publiques et privées sont devenues dépendantes.

Première peine : Dépendance & Rente à vie

Dans mon article « La souveraineté numérique passe (aussi) par la sobriété »[1], je relève que la dépendance instaure une asymétrie du pouvoir entre utilisateurs et pourvoyeurs d’infrastructures et de services. Ces derniers peuvent à leur gré, selon les circonstances et en fonction de leurs intérêts, modifier leurs conditions d’utilisation et leurs coûts. C’est une logique d’abonnement à des services qui s’est mise en place en même temps que la plaformisation informatique. Ainsi, opter pour des solutions « Cloud » (ce qui constitue un choix généralement irréversible), contribue aussi à renforcer une économie du numérique basée sur la rente. Cette économie de rente profite à ceux qui l’imposent. Le prix de la dépendance est celui de la rente à vie pour certains et des coûts structurels pour tous les autres dont leurs propres données ne leur appartiennent plus dans la mesure où elles sont dépendantes de la location d’outils détenus par des tiers pour les accéder et les manipuler.

Deuxième peine : Insécurité & Défiance by design

Désormais, du fait de la réalité des cyberattaques, il est impossible d’ignorer que tout ce qui est connecté est piratable et que l’ampleur de la cybercriminalité et de ses impacts sur la société ne cessent d’augmenter. La surface d’attaque s’étend avec le nombre de personnes, de systèmes et d’objets connectés à Internet. Plus il existe de connectivité et d’informations échangées, plus le nombre de cibles croit, plus les opportunités de cybermalveillance s’amplifient, grossissant de facto, le nombre de victimes et d’institutions touchées.

Force est de constater qu’il est difficile de mettre les cyber risques sous contrôle. Dans son rapport « The global risk report de 2021”[2], le World Economic Forum identifie le défaut de cybersécurité, comme constitutive de la 4^ème des menaces critiques. De facto, la cybersécurité, telle qu’elle est pratiquée est insuffisamment efficace. Elle l’est d’autant moins depuis les affaires « Solarwind » (2020)[3], « Kaseya »[4] et « Log4shell »[5] (2021) emblématiques de la confiance définitivement perdue dans les produits et les capacités des fournisseurs impliqués respectivement dans les chaines d’approvisionnement de la sécurité, dans la gestion des infrastructures IT et dans ce qui a trait à la journalisation des informations. Ces trois cas sont en lien direct avec la manière de réaliser la sécurité informatique. En outre, et pour ne citer que deux exemples, des défauts de sécurité dans des protocoles cryptographiques SSLv3[6] (2014) ou dans des processeurs[7] (2018) sont connus et pourtant nous continuons à les utiliser. Dans ces conditions, est-il encore possible d’obtenir une assurance raisonnable d’une sécurité effective ?

Nous acceptons le numérique, son écosystème, son économie, ses usages positifs mais aussi ses dérives, ses vulnérabilités, et le fait qu’il instaure un nouvel ordre du monde basé sur la normalisation des comportements, la transparence totale des êtres, le contrôle et la surveillance permanence. Le numérique permet de gérer et de piloter une société, une ville, les espaces publics et privés, un hôpital ou encore par exemple, une école, comme une entreprise, selon des critères de rationalité et de performance économiques. Le big data et l’intelligence artificielle permettant plus de rationalité économique, d’automatisation, de prédiction et de contrôle algorithmique, ont facilité le renversement de paradigme qui consiste à considérer tout le monde comme coupable par anticipation. Ce qui justifie de disposer de toujours plus de surveillance et de contrôles.

La surveillance de masse qui procure un faux sentiment de sécurité mais qui est efficacement redoutable du fait de l’intrication des mondes physique et cyber et de l’omniprésence du numérique dans tous les aspects de la vie (QRCode, reconnaissance faciale, achat, …), porte atteinte aux droits humains fondamentaux[8] et par conséquent, à la sécurité des personnes.

Depuis longtemps déjà, la possible manipulation cognitive via la désinformation est incarnée au travers d’Internet. Au-delà de la publicité et des influenceurs de toutes sortes, des fake news, des deep fakes, des opérations de manipulations de personnes et de l’opinion publique, à des fins commerciales ou politiques, existent. Personne n’échappe à différentes formes de propagande et d’endoctrinement habilement organisées et parfois, personnalisées ou travesties sous couvert de divertissement.

L’impossibilité de distinguer le faux du vrai est un facteur d’insécurité et de défiance généralisée.

Troisième peine : Impossibles réparation & réversibilité

La troisième peine découle des deux premières. Il s’agit de l’irréalisable possibilité d’une quelconque forme de réparation pour les victimes de cybernuisances et de cyberviolences dans la mesure où elles n’ont pu être évitées et que la « Justice » est rarement opérande. De plus, comme pour le climat, les choix technologiques effectués engagent également les générations à venir. Les conséquences du « tout numérique » notamment en termes environnemental (épuisement des ressources naturelles) et sociétal (dépendance au numérique) sont irréversibles, sinon peut être, en dehors d’un effondrement généralisé, du fait notamment, de l’incapacité potentielle à éviter des ruptures d’approvisionnement en électricité.

Perspective faustienne

Parfois, dans la littérature l’allégeance peut faire référence à l’allégement, à l’adoucissement, au soulagement, à l’atténuation, mais aujourd’hui, la seule référence littéraire à laquelle l’allégeance me fait penser est liée à Goethe et à Faust.

Faust pactise avec Méphistophélès qui lui promet jeunesse et jouissance en échange de son âme. Faust accepte sans illusion.

Comme Faust, nous pactisons.

Comme Faust, sans illusion.

***

Références

[1]Article du 15 décembre 2021 qui analyse les conséquences de la dépendance numérique tout en faisant le lien entre les problématiques environnementale, de cybersécurité et de cybersouveraineté, disponible sur le site The Conversation https://theconversation.com/la-souverainete-numerique-passe-aussi-par-la-sobriete-172790

[2] https://www.weforum.org/reports/the-global-risks-report-2021

[3] https://www.schneier.com/blog/archives/2020/12/how-the-solarwinds-hackers-bypassed-duo-multi-factor-authentication.html

[4] https://www.reuters.com/technology/kaseya-ransomware-attack-sets-off-race-hack-service-providers-researchers-2021-08-03/

[5] Faille Log4J https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/

[6] Faille Poodle https://cert.ssi.gouv.fr/alerte/CERTFR-2014-ALE-007/

[7] Failles Spectre et Meltdown https://www.kaspersky.fr/blog/35c3-spectre-meltdown-2019/11315/

How Digital Ecosystem and Practices Increase the Surveillance System’s Performance and Generate New Risks for Human Rights