Monoculture numérique et cybersécurité

L’âge d’or du féodalisme numérique

Les multinationales du numérique encouragent une monoculture informatique basée sur l’exploitation des données, la perte de maitrise par les usagers de leurs patrimoines informationnels et une économie de rente liée à l’usage d’infrastructures informatiques en nuage (cloud) qui leur est favorable.

Cette monoculture tend à transformer, chaque activité humaine et notre manière de faire société aux niveaux national et international.

Non, le code n’est pas la Loi[1], comme voudrait nous le faire penser toutes les entités qui définissent et commercialisent les programmes informatiques (Le Code) que nous utilisons, nous faisant accepter passivement que ce code ait force de Loi. Cela contribue à justifier l’inutilité de toute démarche de régulation classique ou du moins à la retarder. Au slogan « The Code is Law » est souvent associé celui de « There Is No Alternative ». TINA devient alors un mantra pour faire admettre la gouvernance algorithmique de la société. Le Code informatique ne devrait pas avoir pour vocation de réguler la vie des citoyens et des institutions publiques et privées.

Consentir que le régulateur soit le code informatique, produit dans l’obscurité du monde des affaires des multinationales, est une aberration. Il s’agit d’une abdication du pouvoir des États et des peuples, qui se soumettent implicitement à ceux et à celles qui rédigent le code, ou plutôt qui dirigent la réalisation du code informatique. En Suisse par exemple, l’abdication du pouvoir de l’État se matérialise aussi lorsque ce dernier délègue la réalisation du service universel de connectivité sur tout le territoire national à un acteur privé[2].

S’opposer au fait que subrepticement Le Code informatique fasse la Loi et devienne la Loi passe non seulement par la défense de nos valeurs constitutionnelles mais aussi par une certaine idée de la souveraineté numérique.

Un État qui valide son inféodation à des fournisseurs étrangers y compris pour des solutions de cloud, et qui de ce fait ne maitrise pas le droit applicable à ces infrastructures[3], accepte de perdre en souveraineté puisque sa puissance économique et son pouvoir d’action reposent alors sur des infrastructures numériques qui échappent à son contrôle.

Selon le communiqué du Préposé fédéral à la protection des données et de la transparence du 7 mars 2023 « L’administration fédérale passe à Microsoft 365 en nuage. … Ce n’est pas un changement habituel, étant donné que les nouveaux produits ne seront disponibles que sous forme de solutions en nuage public. De fait, l’administration fédérale dépend aujourd’hui des produits Office du groupe Microsoft. … Les utilisatrices et utilisateurs auront notamment l’interdiction de sauvegarder des données sensibles et des documents confidentiels dans le nuage de Microsoft. »[4].

En matière de cybersécurité, le roi est souvent nu

La maitrise de la cybersécurité des infrastructures numériques est devenue un enjeu majeur pour le bon fonctionnement de la société et ce sont les acteurs qui maîtrisent les solutions de cybersécurité et qui les contrôlent, qui sont en situation de pouvoir et de puissance. Dès lors, comment un gouvernement qui dépend d’infrastructures et de services d’origine étrangère peut-il pleinement assurer sa cybersécurité ?

Disposer d’une certaine autonomie numérique est donc crucial pour assurer la cybersécurité des systèmes d’information nécessaires au bon fonctionnement des infrastructures vitales d’un pays (activités civiles, militaires, judiciaires d’un pays, recherche et développement, transport, énergie, santé …).

Développer localement un écosystème de la cybersécurité en investissant essentiellement dans des locaux et du marketing n’est pas suffisant. De plus, cela peut être contre-productif, lorsqu’au préalable, il n’y a pas de stratégie de mise en place des éléments de la maitrise de toute la chaine de développement de la cybersécurité et de son cycle de vie, afin de pouvoir réellement répondre aux besoins de sécurité et de défense du pays.

Attirer des acteurs étrangers à s’installer dans une région, contribue généralement à déstabiliser ou à absorber les acteurs locaux historiques, rarement à les consolider.

Pour ne donner qu’un exemple, en novembre 2022 la filiale cybersécurité d’Orange (Orange Cyberdefense) a acquis 100% des sociétés suisses SCRT et Telsys basées à Morges. La stratégie du groupe Orange est claire et annoncée « Après le rachat en 2019 de SecureLink et SecureData, Orange Cyberdefense poursuit sa stratégie ambitieuse tant organique qu’inorganique pour devenir le leader européen de la cybersécurité, grâce à son implantation dans 9 pays (France, Belgique, Danemark, Allemagne, Pays Bas, Norvège, Suède, Royaume-Uni et maintenant la Suisse) » [5]. Ce rachat consolide la position de cette multinationale sur le marché Suisse au détriment de la cybersouveraineté suisse.

Sans vision ni plan d’action des partenariats et des points de contrôle à mettre en place, tous les investissements publics pour développer le marché de la cybersécurité profitent alors essentiellement à tous ceux qui savent tirer parti des infrastructures locales et des collaborations de type « public-privé ». Le privé sait très bien comment bénéficier des investissements supportés par le secteur public.

Orchestrer et encadrer les activités de cybersécurité bénéfiques à la Suisse ne se résume pas à tenter d’imiter l’écosystème de la Silicon Valley ou celui israélien de la cybersécurité, souvent donné en exemple. Même à l’heure de la mondialisation, toutes les approches de cybersécurité ne sont pas transposables d’un pays à un autre, du fait de multiples facteurs liés notamment à la culture, à l’histoire, à la géographie ou encore aux capacités humaines en relation avec l’esprit de sécurité et de défense des civils et des militaires des pays concernés.

En Suisse, si la fuite en avant vers le tout numérique se poursuit et s’accélère, en ayant de plus en plus recourt à des solutions informatiques et à des systèmes d’intelligence artificielle préfabriqués et embarqués dans les offres des acteurs auxquels les institutions et la population sont déjà inféodés, pourquoi faire semblant de rechercher une pseudo-autonomie en matière de cybersécurité ?

Ce n’est pas une poignée de start-up, qu’elles soient financées ou non par des fonds publics, mais dont l’avenir est soit d’être rachetées par des multinationales, soit de disparaitre, qui pourra faire la différence. La faillite de la Silicon Valley Bank, spécialisée dans le financement de start-up du secteur des nouvelles technologie, qui a fermé ses portes le 10 mars 2023, devrait nous inciter dans tous les domaines, de faire preuve d’une certaine retenue numérique.

 

La retenue numérique, une innovation majeure

Comme il est urgent de faire face aux défis environnementaux, de réduire les cybernuisances et de gagner en souveraineté numérique et en cybersécurité, une logique de retenue numérique est une solution à prendre sérieusement en considération.

La retenue numérique est désormais à considérer comme un facteur d’évolution civilisationnelle, une innovation majeure au service d’une autre idée du progrès.

 

Notes

[1] The Code is Law est le titre du premier chapitre du livre de L. Lessing paru en 1999 intitulé « Code and other laws in cyberspace » Basic Books,A Member ofthe Perseus Books Group accessible en ligne à l’adresse

https://lessig.org/images/resources/1999-Code.pdf

« The Code is Law, on Liberty in cyberspace ». Lawrence Lessig. Harvard magazine (2000)

https://www.harvardmagazine.com/2000/01/code-is-law-html

[2] La société Starlink d’Elon Musk va combler les zones blanches du réseau mobile en Suisse.

[3] Exemple de loi extraterritoriale : Clarifying Lawful Overseas Use of Data (CLOUD) Act (USA, 2018).

https://www.justice.gov/criminal-oia/cloud-act-resources

[4] Un crédit d’engagement de 14,9 millions de francs a été approuvé par le Conseil fédéral le 15 février 2023. La migration devrait durer jusqu’en 2025.

[5] https://www.orangecyberdefense.com/fr/insights/actualites/orange-cyberdefense-acquiert-les-societes-suisses-scrt-et-telsys

 

L’indispensable souveraineté numérique

Le contexte

Pour un pays, la souveraineté est synonyme de pouvoir et de moyen de revendiquer son indépendance et sa reconnaissance au niveau international.

La problématique

Pour un pays, être souverain, c’est être autonome et en mesure de construire, maintenir et défendre son autonomie stratégique, économique et industrielle afin de de pouvoir, même en situation de crise, être en mesure d’agir, c’est à dire être en capacité de prendre des décisions. C’est en fait, avoir le choix.

Désormais tout cela n’est pas possible sans le recours à des infrastructures numériques, mais qui les maitrise ? Quelles entités maitrisent les données, les logiciels et les matériels informatiques et de télécommunication indispensable à la souveraineté des pays?

Force est de constater que :

  • Sans souveraineté numérique, un pays peut-il encore disposer des moyens suffisants et nécessaires pour protéger ses intérêts ?
  • Sans souveraineté numérique, un pays peut-il encore être en situation de pourvoir exercer sa souveraineté économique et industrielle ?
  • Tout état indépendant peut-il être souverain sans souveraineté numérique ?

Des réponses convaincantes devraient être apportées à ces questions avant qu’un pays s’engage, en toutes connaissances de causes et d’effets y compris sur le long terme, dans le choix de solutions Cloud basées sur des fournisseurs étrangers.

Un Cloud étranger n’est jamais neutre

L’évolution technologique est la résultante de choix politiques et économiques.

Les nouvelles technologies sont au service d’une vision du monde et de ceux qui le dirigent. La technologie n’est pas neutre, elle modifie profondément notre manière de vivre aux niveaux individuel et collectif, des organisations publiques et privées et des pays.

La technologie est un instrument du pouvoir pour ceux qui la maitrisent. Elle enlève le pouvoir à certains pour le donner à d’autres en changeant la réalité pour tous.

Le problème n’est pas ce que permet de faire la technologie ni ce qu’elle peut apporter, mais il relatif la manière dont elle le fait, à son prix et à la dépendance développé à son égard et envers ses fournisseurs.

Dans l’agriculture intensive, ce n’est pas le concept d’agriculture qui est en cause, mais la façon dont elle est réalisée et ses impacts négatifs. Toujours par analogie, ce n’est ni l’électricité, ni le gaz, ni le pétrole qui posent problèmes, c’est la surconsommation et les dépendances à ces énergies et à leurs pourvoyeurs qui sont devenues problématiques. C’est la même chose avec l’informatisation de la société basée sur la dépendance grandissante aux plateformes numériques d’origine étrangère. Elles appartiennent à une poignée d’acteurs hégémoniques qui imposent leurs règles aussi bien au niveau local qu’international.

Le 21ème siècle est celui de la plateformisation du monde qui impose que la majorité des services numériques soient accessibles uniquement en passant par des plateformes qui concentrent données et traitements et qui contrôlent l’accès aux mondes numériques.

Comme pour la pandémie Covid ou le conflit en Ukraine, qui constituent des révélateurs de nos interdépendances complexes à effet systémique qui affectent tout un chacun dans son mode de vie et son pouvoir économique, la manière de réaliser la transition numérique de la société fondée sur des plateformes numériques que nous ne contrôlons pas, complexifie la maitrise des risques informatiques et en génère de nouveaux.

Des solutions sont possibles

Choisir des acteurs locaux permet une meilleure maîtrise technologique tout en stimulant l’économie locale (emploi, réseau de partenaires, fiscalité,…). Les données stockées et traitées par des logiciels et des infrastructures du pays permet l’application du cadre juridique du pays et de s’assurer par l’usage de technologies « open source », qu’il n’y a pas de point d’entrée cachée exploitée par un fournisseur étranger ou les autorités dont dépendent ce fournisseur. Des Lois extraterritoriales existent comme par exemple le Cloud Act (The Clarifying Lawful Overseas Uses of Data Act (USA, 2018)) qui autorisent certaines autorités à accéder aux données partout dans le monde. C’est pour cela qu’il n’est pas suffisant que les données soient localisée dans un territoire national, il est désormais impératif qu’elles soient traitées par des infrastructures numériques qui permettent que le For juridique du pays puisse s’appliquer afin de contribuer à assurer la cohérence technique et juridique. Cela doit aussi être pris en compte lors de choix des prestataires de cloud computing. Il est crucial de se poser la question de l’origine des logiciels qui traitent les données. Par ailleurs, les bases juridiques sont de plus en plus questionnées comme en témoigne par exemple le fait que le Tribunal administratif fédéral suisse devra statuer prochainement sur le projet de cloud public de la Confédération.

Maîtriser toute la chaîne de valeur du numérique passe aussi par la maitrise non seulement, des données, des traitements et des réseaux mais aussi par la maitrise de l’ensemble des éléments constitutifs de la chaîne de production et de distribution de ces technologies et de leur cybersécurité. Cela comprend par exemple la fabrication des processeurs et des systèmes d’intelligence artificielle. A défaut, la souveraineté numérique revient en réalité à réduire et à maitriser les dépendances stratégiques dans le domaine du numérique.

Un cercle vertueux

Comme pour l’autosuffisance alimentaire, disposer d’une certaine autonomie numérique est possible en s’appuyant notamment sur des solutions de Cloud souverains et sur celles permettant la maitrise de la cybersécurité des systèmes d’information nécessaires au bon fonctionnement des infrastructures vitales d’un pays (activités civiles, militaires, judiciaires d’un pays, recherche et développement, transport, énergie,…).

Assurer des niches d’autonomie, initialiser un cercle vertueux, le développer pour grandir en souveraineté demande une volonté et des actes en cohérence qui consiste dès que faire se peut d’utiliser des solutions qui sont conformes à la définition de la souveraineté numérique et de contribuer à tous les niveaux de développer les capacités et compétences humaines nécessaires.

Cette démarche peut s’inscrire dans une stratégie numérique « responsable et durable » et intégrer divers volets de la numérisation qui pourrait concerner entre autres : la numérisation de la santé ou celle des collectivités territoriales.

En Suisse par exemple, comme dans bien d’autres pays européens, le tissu économique dispose des entreprises possédant un réel savoir-faire dans ce domaine, pourquoi ne pas collaborer avec elles de manière plus soutenue ? Pourquoi ne pas les faire collaborer pour réaliser des mesures concrètes soutenant une vision politique assumée de la souveraineté numérique ?

Cela permettrait d’obtenir une meilleure maîtrise des infrastructures numériques du pays par le fait même que les entreprises partagent les mêmes intérêts et le même cadre juridique avec des relations de proximité durables favorisant la réalisation de solutions sur mesure, indépendamment d’éventuelles pressions exercées par des fournisseurs étrangers.

Cela pourrait également s’inscrire dans une démarche plus efficace de cybersécurité et de protection des données. D’autant plus que des solutions multi-cloud telles que celles retenues par la Confédération helvétique, sont susceptibles d’engendrer une complexité opérationnelle et des défis de sécurité additionnels.

à suivre …

 

***

Au sujet de la souveraineté numérique par Solange Ghernaouti

 

Pour une obligation d’annoncer dans quel cloud se trouvent nos données.

Blog Cybersécurité. Le Temps. 10 juillet 2022

https://blogs.letemps.ch/solange-ghernaouti/2022/07/10/pour-une-obligation-dannoncer-dans-quel-cloud-se-trouvent-nos-donnees/

Économie numérique et transhumanisme.

Interview AntiThèse. 7 juin 2022

https://www.antithese.info/videos-antithese/solange-ghernaouti

La souveraineté numérique passe aussi par la sobriété.

The Conversation. 15 Décembre 2021.

https://theconversation.com/la-souverainete-numerique-passe-aussi-par-la-sobriete-172790

Cybersécurité et souveraineté numérique : réponses aux questions que nous recevons avec Solange Ghernaouti. Infomaniak. 7 mars 2022.

https://news.infomaniak.com/cybersecurite-et-souverainete-numerique/

Souveraineté numérique.

Interview Radio Libre. 26 février 2022

https://radio-libre.ch/podcast/souverainete-numerique-avec-prof-solange-ghernaouti-le-live/

Cyber allégeance, la triple peine

Blog Cybersécurité.  Le Temps. 19 décembre 2021

https://blogs.letemps.ch/solange-ghernaouti/2021/12/19/cyber-allegeance-la-triple-peine/

Cloud et souveraineté numérique, quelles conséquences ?

Blog Cybersécurité. Le Temps. 23 juillet 2021

https://blogs.letemps.ch/solange-ghernaouti/2021/07/23/cloud-souverainete-numerique-quelles-consequences/

Perte de souveraineté numérique, la faute de trop

Blog Cybersécurité.  Le Temps. 10 juillet 2021.

https://blogs.letemps.ch/solange-ghernaouti/2021/07/10/perte-de-souverainete-numerique-la-faute-de-trop/

Priorité à la défense du vivant et des territoires numériques

Blog Cybersécurité.  Le Temps. 26 aout 2020

https://blogs.letemps.ch/solange-ghernaouti/2020/08/26/priorite-a-la-defense-du-vivant-et-des-territoires-numeriques/

Mobilité 5 G, reprendre le contrôle

Blog Cybersécurité.  Le Temps. 1 février 2019

https://blogs.letemps.ch/solange-ghernaouti/2019/02/01/mobilite-5-g-reprendre-le-controle/

Des espions chinois dans nos machines ?

Blog Cybersécurité.  Le Temps. 17 décembre 2018.

https://blogs.letemps.ch/solange-ghernaouti/2018/12/17/des-espions-chinois-dans-nos-machines/

Souveraineté numérique et dématérialisation au Congo-Brazzaville

Blog Cybersécurité.  Le Temps. 19 septembre 2018

https://blogs.letemps.ch/solange-ghernaouti/2018/09/19/souverainete-numerique-et-dematerialisation-au-congo-brazzaville/

Cybersécurité : 5 questions vitales

Blog Cybersécurité.  Le Temps. 16 mai 2018.

https://blogs.letemps.ch/solange-ghernaouti/2018/05/16/cybersecurite-5-questions-vitales/

Cybersécurité : l’intérêt collectif est l’intérêt particulier

Blog de l’Académie suisse des sciences techniques (SATW). 20. juillet 2017

https://www.satw.ch/fr/blog/cybersecurite-linteret-collectif-est-linteret-particulier

Cybersouveraineté

Octobre 2017. Mon journal de la Cybersécurité — Saison 1 Cyberconscience. Éditions ISCA Livres, 2022.

https://shop.isca-livres.ch/isca/1075-book-mon-journal-de-la-cybersecurite.html

 

Pour une obligation d’annoncer dans quel cloud se trouvent nos données

Au sujet de la souveraineté numérique

Constat

Bien des entreprises comme des administrations publiques (hôpitaux, universités, etc.), qui jusque dans un passé récent, stockaient les données de leurs clients et usagers (c’est-à-dire, les nôtres) dans leurs propres infrastructures (on premise), les ont transférées, dans des infrastructures de cloud étrangères.

Sommes-nous informés que nos données sont passées dans un cloud étranger ? Généralement pas.

Une exigence de transparence

Le passage en mains étrangères de nos données pourtant confiées à des prestataires suisses, notamment à des acteurs publics suisses, devrait faire l’objet d’une obligation de transparence et d’information. Nous devrions savoir dans quel cloud nos données sont stockées, et par quelles entités nos données sont susceptibles d’être traitées.

Dans bien des cas, lorsque de tels transferts de données sont effectués, les organisations se contentent de mettre leurs clients et usagers devant le fait accompli, par exemple en leur transmettant de nouvelles conditions générales. Cette information a posteriori est louable, mais elle ne saurait remplacer une information juste, si ce n’est un accord à priori. Bien souvent, les conditions générales sont souvent rédigées dans des termes complexes et tellement génériques que le client signe une sorte de chèque en blanc à l’entreprise.

Un exemple suivre

La SUVA (Principal organisme d’assurance-accidents obligatoire en Suisse)[1] a consulté le Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT) concernant « L’externalisation de données personnelles par la Suva vers un cloud de Microsoft ». Les organisations qui externalisent nos données devraient s’inspirer de cette démarche et de la réponse donnée par le Préposé. Son communiqué publié le 13 juin 2022 informe: «En raison de divergences de vues partielles sur le plan juridique, le PFPDT suggère à la Suva de réexaminer l’externalisation des données personnelles vers un cloud exploité par le groupe américain Microsoft. »[2].

Cet exemple emblématique appelle plusieurs réflexions. D’abord, la nécessité absolue de valider avant toute externalisation de données personnelles vers un cloud étranger la réalité de la protection des données dont elles bénéficieront une fois le transfert effectué. Ensuite, la nécessaire information des intéressés, qu’ils soient clients ou citoyens, par rapport au transfert effectué, au prestataire choisi et aux garanties apportées par rapport à la protection des données transférées.

Avant chaque passage vers des solutions cloud, il est impératif d’en questionner les conséquences sur la protection des données personnelles et sur la manière dont cette dernière sera assurée par le nouveau prestataire. De plus, disposer de serveurs et de centres de données (data centers) en Suisse ne suffit pas. En effet, comme je le précise dans une interview de mars 2022 « La nationalité du prestataire de service et du développeur des logiciels qui traitent les données est encore plus importante que celle de la localisation géographique des serveurs. L’argument tentant de justifier la sécurité par le fait que les serveurs sont en Suisse est souvent d’ordre marketing et publicitaire. Il induit un sentiment de sécurité non fondé. Les lois extraterritoriales comme les lois Foreign Intelligence Surveillance Atc (FISA) (1978), PATRIOT Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act) (2001), Cloud Act (2018) américaines, s’appliquent aux fournisseurs de logiciels (Microsoft, Amazon, Oracle, Google, …) qui stockent et traitent les données hébergées en Suisse. Être un partenaire ou intermédiaire suisse ou européen de plateformes américaines ou chinoises ne suffit donc pas à réaliser la cybersouveraineté. »[3].

Par ailleurs le rapport 2022 sur la sécurité des données dans le Cloud de la société Netrix[4] rapportait que 53% des organisations consultées avaient subie des cyberattaques sur leur infrastructures cloud dans l’année écoulée. Cela a conduit pour 49% d’entre elles, à des coûts supplémentaires de sécurité pour résoudre les problèmes.

Proposition concrète : l’obligation d’annoncer

Au regard de la réalité des cyberattaques, des incidents de sécurité et des pertes de maitrise des données et des fuites de données, il est non seulement urgent d’en comprendre l’ampleur et également de connaitre les responsabilités des acteurs impliqués.

A ces fins, il devient nécessaire d’imposer une obligation d’annoncer auprès d’autorités compétentes et des personnes concernées dans quel Cloud leurs données (les nôtres) sont stockées. Comme cela devrait être d’ailleurs fait dans tous les cas de cyberattaques et d’incidents de sécurité conduisant à des pertes de données, cela doit s’appliquer à toutes les organisations concernées et pas seulement à celles liées à des infrastructures critiques.

C’est cela aussi la transparence et le début de la reconquête de la souveraineté numérique.

 

Notes:

[1] https://www.suva.ch/fr-ch/assurance/assurance/l-assurance-accidents-selon-la-laa

[2] https://www.edoeb.admin.ch/edoeb/fr/home/actualites/aktuell_news.html#-591498255

[3]Solange Ghernaouti  https://news.infomaniak.com/cybersecurite-et-souverainete-numerique/

[4] Cloud Data Security Reports 2022 : https://www.netwrix.com/2022_cloud_data_security_report.html

 

Cloud et souveraineté numérique, quelles conséquences ?

La souveraineté numérique est synonyme d’indépendance, pour un État mais aussi les organisations et les individus. Or, la dépendance en matière de « cloud » à des fournisseurs étrangers posent en particulier trois types de problèmes :

Premièrement, pouvoir impérativement s’assurer d’avoir la possibilité de vérifier précisément ce que deviennent données et traitements confiés à une plateforme. Obtenir les logs (les enregistrements de toutes les opérations effectuées) et pouvoir auditer les environnements sont nécessaires. Cela est rarement possible ou alors à des prix exorbitants additionnels (ces facilités ne sont généralement pas incluses dans le contrat initial). Il est de plus, parfois impossible à postériori, de savoir comment les données sont traitées, qui les a accédées, ce que font les traitements notamment lorsqu’ils sont réalisés par des applications propriétaires dont le code source n’est pas accessible.

Le deuxième point est lié au droit applicable à la plateforme. Avoir la maitrise de la dimension juridique échappe à l’État qui utilise des fournisseurs émanant de certains pays étrangers qui ont imposé des lois extraterritoriales permettant à leurs autorités d’accéder aux données.

Le troisième problème est lié à la pérennité et aux coûts engendrés par l’asymétrie de la relation entre utilisateurs et fournisseurs de Cloud qui peuvent à leur gré, imposer, modifier des conditions d’utilisation, augmenter leurs tarifs mais aussi éventuellement empêcher l’accès aux services Cloud. Comment être sûr sur le long terme de la stabilité de l’environnement alors que le retour arrière comme la migration vers d’autres plateformes sont généralement impossibles ? La non-réversabilité des choix est réelle (car techniquement très difficile et économiquement pas soutenable), ce qui de facto dissuade et empêche le passage à la concurrence en la rendant infaisable.

En bénéficiant d’une position dominante, les géants du Net peuvent faire pression sur les prix pour capter des clients et s’imposer sur un marché. Ils savent également proposer des offres intégrées de services et applications qui peuvent être alléchantes. Ils jouent avec les moyens que leur procure leur taille, une palette étendue de services, leur capacité monétaire et leur position hégémonique.

Le recours que Google a notifier à la Confédération helvétique[1] contre l’adjudication rendue le 24 juin 2021 pour son Cloud, s’inscrit dans une logique de compétitivité extrême que se livrent les multinationales du numérique. Cela est emblématique de l’importance des enjeux pour gagner la bataille du Cloud et est révélateur de la puissance et des avantages stratégiques que peut procurer un marché étatique. Tout cela se réalise à la barbe de la population, sur le dos des contribuables et au regard des entreprises régionales du numérique, témoins démunis de la bataille des géants.

La souveraineté numérique devrait être au cœur des décisions politiques car le numérique constitue un levier de la souveraineté étatique et est indissociable de l’économie et de la vie de tous. Cela devrait se décliner non seulement dans des toutes les politiques (comme celle de politique de sécurité pour ne citer qu’un exemple) et devrait être aussi matérialisée par une action publique cohérente de soutien à l’écosystème numérique local. Cela devrait contribuer à son développement et à mieux protéger les données, les territoires numériques, la propriété intellectuelle, les savoir-faire, les capacités à développer de nouveaux services ou encore les emplois dans le pays. Pour faire ce type de choix, il faut consentir sans doute à ne pas privilégier des critères de performances et de prix et à ne pas succomber aux sirènes de la facilité.

Choisir des multinationales hégémoniques, c’est peut-être avoir l’illusion de faire des économies à très court terme et de pouvoir se rassurer en arguant avoir choisi les meilleurs acteurs du moment, même si les problèmes surviennent ultérieurement. Ce faisant, la dépendance envers ses fournisseurs et pays desquels ils sont des champions nationaux (soutenus eux, par leurs gouvernements respectifs) ne fait que croitre. Ces derniers ayant bien compris que maitriser les solutions « Cloud » et de les imposer est le meilleur moyen de s’approprier la richesse numérique ainsi que les moyens de la produire et de la faire fructifier.

Penser la souveraineté numérique (et la réaliser) est désormais un enjeux stratégique majeur.

Choisir des acteurs étrangers, c’est choisir à qui être inféodé. C’est aussi renoncer à contribuer à développer une souveraineté numérique aux services de ses citoyens, ce qui impacte nécessairement les capacités de cyberdéfense et d’autonomie stratégique d’un pays dans tous les domaines, y compris dans celui de l’intelligence artificielle.

Le retard pris ne se rattrape jamais comme nous le rappelle Jean de La Fontaine dans sa fable Le lièvre et de la tortue « Rien ne sert de courir ; il faut partir à point ». La véritable innovation technologique ne serait-elle pas d’arrêter de perdre du temps en réalisant de mauvais choix stratégiques ?

Notes

[1] https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-84506.html

Perte de souveraineté numérique, la faute de trop

En 2021 la Confédération helvétique choisi des services Cloud fournis par des acteurs hégémoniques de l’Internet dont quatre sont américains (Amazon, IBM, Microsoft et Oracle) et un chinois (Alibaba). Dans ces conditions, la souveraineté numérique de la Suisse, n’est pas possible.

Le fait d’être dépendant de ces fournisseurs, qui deviennent indispensables au bon fonctionnement de la société, et qui par conséquent fait perdre la maitrise de nos territoires numériques, peut être considéré comme une faute stratégique.

Ce faisant, nous continuons à augmenter notre dépendance informatique envers ces géants du numérique, tout en renforçant à notre détriment, leur pouvoir et leur puissance. Chaque renoncement dans ce sens, chaque nouveau contrat passé, augmente notre soumission et notre incapacité à développer nos propres solutions ou à renforcer celles existantes y compris celles européennes. De ce fait, les acteurs locaux sont affaiblis et l’émergence d’acteurs nationaux et leur développement est illusoire.

Aucun discours vantant la Suisse digitale, sa « Trust Valley », la qualité de sa formation, ses centres de compétences, ses incubateurs de start-ups, ainsi qu’aucune action promotionnelle de l’écosystème numérique suisse, ne peuvent pallier la réalité de l’abandon stratégique de nos données et traitements, ni pallier celle de notre soumission volontaire aux géants du Net.

Cette mise sous tutelle additionnelle, contribue à faciliter les écoutes et la surveillance numérique. Ainsi les capacités d’espionnage, qui sont également mises au services agences gouvernementales des pays de ces fournisseurs, affaiblit nos actions dans les domaines économique, politique, diplomatique et militaire. Choisir ces acteurs, c’est leur offrir le moyen de saboter nos infrastructures dépendantes de leurs services et de leur bon vouloir.

En leur donnant un avantage stratégique concurrentiel de première importance et un levier d’influence géopolitique et économique, a-t-on au moins négocié des contreparties intéressantes ?

En acceptant la dépendance technologique, nous acceptons également celle économique, normative et juridique qui en découle. Ainsi va la souveraineté nationale de la Suisse, un bien bel exemple pour le reste du monde.

 

 

Initiatives contre normes, qui maitrise Internet ? 

L’Appel de Paris « Pour la confiance et la sécurité dans le cyberespace » de 2018 a le mérite d’être de portée universelle et non partisane. Il est soutenu par un grand nombre d’acteurs dont les signataires du Cybersecurity Tech Accord, dont Microsoft qui promeut l’idée d’une Convention de Genève du cyberespace. Bien que la place de Genève soit légitime pour abriter un dialogue international, la profusion d’initiatives contribue à nuire à la clarté des débats.

C’est à Genève que la première phase du Sommet mondial sur la société de l’information organisé par l’Union Internationale des Télécommunications (UIT) s’est déroulé en 2003, avec une ligne d’action intitulée « Établir la confiance et la sécurité dans l’utilisation des TIC ». La seconde phase du Sommet s’est déroulée à Tunis et a donné naissance en 2006 au Forum sur la Gouvernance de l’Internet (IGF), dont l’objet est de traiter des questions de politique publique de l’Internet.

C’est aussi à Genève sous les auspices de l’UIT, que la concertation internationale «Global cybersecurity agenda» a proposé, en 2008 des recommandations stratégiques de cybersécurité. Ces travaux constituèrent une avancée majeure en matière d’approche globale des questions légales, techniques, organisationnelles, de construction des capacités et de coopération. C’est lors de la 5ème édition de l’IGF, en 2009 qu’est présenté le document « A Global Protocol on Cybersecurity and Cybercrime » qui défend le besoin d’établir un traité international du cyberespace pour lutter contre les cyberattaques.

Diverses instances onusiennes, gouvernementales et intergouvernementales abordent depuis longtemps la problématique de la sécurité dans le cyberespace sous l’angle de la paix, de la stabilité, de la lutte contre la criminalité ou des mesures de confiance. En 2004, un groupe d’experts gouvernementaux est mis en place lors de l’assemblée générale des Nations Unies pour examiner les questions de sécurité et de stabilité dans le cyberespace et sur les impacts des développements des TIC sur la sécurité nationale. Un autre groupe est établi en 2019 pour promouvoir un comportement responsable des Etats dans le cyberespace dans le contexte de la sécurité internationale. Des experts gouvernementaux issus de 25 états membres travaillent en collaboration avec des organisations régionales (l’Union africaine, l’Union européenne, l’Organisation des États américains, L’Organisation pour la sécurité et la coopération en Europe et le Forum régional de l’association des nations de l’Asie du sud-est) (ASEAN).

À Genève, la Suisse a lancé en 2014 l’initiative « Geneva Internet Platform » et en 2019, la fondation Geneva Science and Diplomacy Anticipator. Fondé par Microsoft MasteCard et Hewlett Foundation, le CyberPeace Institute, s’est aussi installé à Genève ainsi que la Swiss Digital Initiative dont l’objet est de promouvoir de règles d’éthique universelles pour le numérique. Le Centre pour la cybersécurité du World Economic Forum (WEF) se situe également à Genève.

Toutes ces initiatives ne peuvent faire oublier que le premier instrument de lutte contre la cybercriminalité est issu en 2001, du Conseil de l’Europe. La Convention sur la cybercriminalité est ratifiée à ce jour par 65 pays. Cela a permis de mettre en place un droit pénal et procédural, ainsi que des structures organisationnelles autorisant l’entraide judiciaire internationale pour lutter contre la cybercriminalité. L’Europe, y compris avec son approche de la protection des données personnelles (RGPD) est à considérer comme un acteur majeur de la régulation des pratiques criminelles ou abusives du cyberespace. Cela a été réaffirmé par la déclaration du haut représentant au nom de l’Union européenne en février dernier « L’Union européenne et ses États membres soulignent leur détermination à continuer de promouvoir un comportement responsable dans le cyberespace  par l’application du droit international, de normes visant à un comportement responsable des États et de mesures de confiance au niveau régional, ainsi que par l’intermédiaire du cadre de l’UE pour une réponse diplomatique conjointe face aux actes de cybermalveillance».

D’autres approches régionales ont vu le jour à travers divers textes relatifs à la cybersécurité et plus de 125 pays ont signé ou ratifié des accords concernant la cybersécurité (Appel de Paris, Commonwealth Cyber Declaration, Déclaration du sommet des pays du BRICS, Déclaration du Sommet du G-20 de Buenos Aires, …)..

Si la pluralité des débats contribue à augmenter la sensibilisation à ces questions et le nombre d’acteurs concernés, cela implique souvent une certaine duplication des efforts, des réponses fragmentées et surtout une grande confusion des rôles et finalités. Cela contribue à rendre incompréhensible l’écosystème « normatif » et difficile l’élaboration de mesures concrètes qui instancient des recommandations de haut niveau en des textes de lois contraignants dont l’applicabilité serait vérifiée. Le brouhaha induit par ces initiatives, leur manque d’harmonisation, la forte implication du secteur privé, une société civile peut active ou inféodée au privé, font écran à un véritable débat multi-latéral.

Si l’on peut saluer l’engagement du secteur privé à tenter de résoudre des problèmes, dont il est, pour certains, en partie à l’origine, on peut s’interroger sur la finalité de leurs démarches qui en favorisant des déclarations génériques basée sur des déclarations d’intentions non vérifiables, limitent la survenue d’une régulation contraignante.

Pourquoi n’existe–t-il toujours pas de produits numériques certifiés « sans vulnérabilité par conception » et « sans porte dérobée constructeur » et dont le niveau de sécurité soit certifié (Security by design).

Fort de l’expérience de la Convention de lutte contre la cybercriminalité de l’UE, de la pertinence et de l’applicabilité de ses principes, pourquoi ne pas les transcrire dans une convention internationale ?

Dans l’attente la Chine choisi une autre voie, toujours à Genève, celle de la normalisation internationale via le bureau des standards de l’Union Internationale de Télécommunications (ITU-T) où elle a déposé en septembre 2019, une demande d’initialisation d’une réflexion sur le futur des réseaux, pour une refonte de l’architecture IP. Une opportunité pour renforcer le dialogue international et renforcer une réelle approche multilatérale pour débattre des questions liées à la maitrise des technologies de l’Internet, des infrastructures, des données et services dont nous sommes devenus dépendants. La maitrise de l’outil mondial de production du numérique, qui se décline en puissance et pouvoir politique, économique et technologique, constitue l’enjeu du siècle.