L’âge d’or du féodalisme numérique
Les multinationales du numérique encouragent une monoculture informatique basée sur l’exploitation des données, la perte de maitrise par les usagers de leurs patrimoines informationnels et une économie de rente liée à l’usage d’infrastructures informatiques en nuage (cloud) qui leur est favorable.
Cette monoculture tend à transformer, chaque activité humaine et notre manière de faire société aux niveaux national et international.
Non, le code n’est pas la Loi[1], comme voudrait nous le faire penser toutes les entités qui définissent et commercialisent les programmes informatiques (Le Code) que nous utilisons, nous faisant accepter passivement que ce code ait force de Loi. Cela contribue à justifier l’inutilité de toute démarche de régulation classique ou du moins à la retarder. Au slogan « The Code is Law » est souvent associé celui de « There Is No Alternative ». TINA devient alors un mantra pour faire admettre la gouvernance algorithmique de la société. Le Code informatique ne devrait pas avoir pour vocation de réguler la vie des citoyens et des institutions publiques et privées.
Consentir que le régulateur soit le code informatique, produit dans l’obscurité du monde des affaires des multinationales, est une aberration. Il s’agit d’une abdication du pouvoir des États et des peuples, qui se soumettent implicitement à ceux et à celles qui rédigent le code, ou plutôt qui dirigent la réalisation du code informatique. En Suisse par exemple, l’abdication du pouvoir de l’État se matérialise aussi lorsque ce dernier délègue la réalisation du service universel de connectivité sur tout le territoire national à un acteur privé[2].
S’opposer au fait que subrepticement Le Code informatique fasse la Loi et devienne la Loi passe non seulement par la défense de nos valeurs constitutionnelles mais aussi par une certaine idée de la souveraineté numérique.
Un État qui valide son inféodation à des fournisseurs étrangers y compris pour des solutions de cloud, et qui de ce fait ne maitrise pas le droit applicable à ces infrastructures[3], accepte de perdre en souveraineté puisque sa puissance économique et son pouvoir d’action reposent alors sur des infrastructures numériques qui échappent à son contrôle.
Selon le communiqué du Préposé fédéral à la protection des données et de la transparence du 7 mars 2023 « L’administration fédérale passe à Microsoft 365 en nuage. … Ce n’est pas un changement habituel, étant donné que les nouveaux produits ne seront disponibles que sous forme de solutions en nuage public. De fait, l’administration fédérale dépend aujourd’hui des produits Office du groupe Microsoft. … Les utilisatrices et utilisateurs auront notamment l’interdiction de sauvegarder des données sensibles et des documents confidentiels dans le nuage de Microsoft. »[4].
En matière de cybersécurité, le roi est souvent nu
La maitrise de la cybersécurité des infrastructures numériques est devenue un enjeu majeur pour le bon fonctionnement de la société et ce sont les acteurs qui maîtrisent les solutions de cybersécurité et qui les contrôlent, qui sont en situation de pouvoir et de puissance. Dès lors, comment un gouvernement qui dépend d’infrastructures et de services d’origine étrangère peut-il pleinement assurer sa cybersécurité ?
Disposer d’une certaine autonomie numérique est donc crucial pour assurer la cybersécurité des systèmes d’information nécessaires au bon fonctionnement des infrastructures vitales d’un pays (activités civiles, militaires, judiciaires d’un pays, recherche et développement, transport, énergie, santé …).
Développer localement un écosystème de la cybersécurité en investissant essentiellement dans des locaux et du marketing n’est pas suffisant. De plus, cela peut être contre-productif, lorsqu’au préalable, il n’y a pas de stratégie de mise en place des éléments de la maitrise de toute la chaine de développement de la cybersécurité et de son cycle de vie, afin de pouvoir réellement répondre aux besoins de sécurité et de défense du pays.
Attirer des acteurs étrangers à s’installer dans une région, contribue généralement à déstabiliser ou à absorber les acteurs locaux historiques, rarement à les consolider.
Pour ne donner qu’un exemple, en novembre 2022 la filiale cybersécurité d’Orange (Orange Cyberdefense) a acquis 100% des sociétés suisses SCRT et Telsys basées à Morges. La stratégie du groupe Orange est claire et annoncée « Après le rachat en 2019 de SecureLink et SecureData, Orange Cyberdefense poursuit sa stratégie ambitieuse tant organique qu’inorganique pour devenir le leader européen de la cybersécurité, grâce à son implantation dans 9 pays (France, Belgique, Danemark, Allemagne, Pays Bas, Norvège, Suède, Royaume-Uni et maintenant la Suisse) » [5]. Ce rachat consolide la position de cette multinationale sur le marché Suisse au détriment de la cybersouveraineté suisse.
Sans vision ni plan d’action des partenariats et des points de contrôle à mettre en place, tous les investissements publics pour développer le marché de la cybersécurité profitent alors essentiellement à tous ceux qui savent tirer parti des infrastructures locales et des collaborations de type « public-privé ». Le privé sait très bien comment bénéficier des investissements supportés par le secteur public.
Orchestrer et encadrer les activités de cybersécurité bénéfiques à la Suisse ne se résume pas à tenter d’imiter l’écosystème de la Silicon Valley ou celui israélien de la cybersécurité, souvent donné en exemple. Même à l’heure de la mondialisation, toutes les approches de cybersécurité ne sont pas transposables d’un pays à un autre, du fait de multiples facteurs liés notamment à la culture, à l’histoire, à la géographie ou encore aux capacités humaines en relation avec l’esprit de sécurité et de défense des civils et des militaires des pays concernés.
En Suisse, si la fuite en avant vers le tout numérique se poursuit et s’accélère, en ayant de plus en plus recourt à des solutions informatiques et à des systèmes d’intelligence artificielle préfabriqués et embarqués dans les offres des acteurs auxquels les institutions et la population sont déjà inféodés, pourquoi faire semblant de rechercher une pseudo-autonomie en matière de cybersécurité ?
Ce n’est pas une poignée de start-up, qu’elles soient financées ou non par des fonds publics, mais dont l’avenir est soit d’être rachetées par des multinationales, soit de disparaitre, qui pourra faire la différence. La faillite de la Silicon Valley Bank, spécialisée dans le financement de start-up du secteur des nouvelles technologie, qui a fermé ses portes le 10 mars 2023, devrait nous inciter dans tous les domaines, de faire preuve d’une certaine retenue numérique.
La retenue numérique, une innovation majeure
Comme il est urgent de faire face aux défis environnementaux, de réduire les cybernuisances et de gagner en souveraineté numérique et en cybersécurité, une logique de retenue numérique est une solution à prendre sérieusement en considération.
La retenue numérique est désormais à considérer comme un facteur d’évolution civilisationnelle, une innovation majeure au service d’une autre idée du progrès.
Notes
[1] The Code is Law est le titre du premier chapitre du livre de L. Lessing paru en 1999 intitulé « Code and other laws in cyberspace » Basic Books,A Member ofthe Perseus Books Group accessible en ligne à l’adresse
https://lessig.org/images/resources/1999-Code.pdf
« The Code is Law, on Liberty in cyberspace ». Lawrence Lessig. Harvard magazine (2000)
https://www.harvardmagazine.com/2000/01/code-is-law-html
[2] La société Starlink d’Elon Musk va combler les zones blanches du réseau mobile en Suisse.
[3] Exemple de loi extraterritoriale : Clarifying Lawful Overseas Use of Data (CLOUD) Act (USA, 2018).
https://www.justice.gov/criminal-oia/cloud-act-resources
[4] Un crédit d’engagement de 14,9 millions de francs a été approuvé par le Conseil fédéral le 15 février 2023. La migration devrait durer jusqu’en 2025.
[5] https://www.orangecyberdefense.com/fr/insights/actualites/orange-cyberdefense-acquiert-les-societes-suisses-scrt-et-telsys