Cloud et souveraineté numérique, quelles conséquences ?

La souveraineté numérique est synonyme d’indépendance, pour un État mais aussi les organisations et les individus. Or, la dépendance en matière de « cloud » à des fournisseurs étrangers posent en particulier trois types de problèmes :

Premièrement, pouvoir impérativement s’assurer d’avoir la possibilité de vérifier précisément ce que deviennent données et traitements confiés à une plateforme. Obtenir les logs (les enregistrements de toutes les opérations effectuées) et pouvoir auditer les environnements sont nécessaires. Cela est rarement possible ou alors à des prix exorbitants additionnels (ces facilités ne sont généralement pas incluses dans le contrat initial). Il est de plus, parfois impossible à postériori, de savoir comment les données sont traitées, qui les a accédées, ce que font les traitements notamment lorsqu’ils sont réalisés par des applications propriétaires dont le code source n’est pas accessible.

Le deuxième point est lié au droit applicable à la plateforme. Avoir la maitrise de la dimension juridique échappe à l’État qui utilise des fournisseurs émanant de certains pays étrangers qui ont imposé des lois extraterritoriales permettant à leurs autorités d’accéder aux données.

Le troisième problème est lié à la pérennité et aux coûts engendrés par l’asymétrie de la relation entre utilisateurs et fournisseurs de Cloud qui peuvent à leur gré, imposer, modifier des conditions d’utilisation, augmenter leurs tarifs mais aussi éventuellement empêcher l’accès aux services Cloud. Comment être sûr sur le long terme de la stabilité de l’environnement alors que le retour arrière comme la migration vers d’autres plateformes sont généralement impossibles ? La non-réversabilité des choix est réelle (car techniquement très difficile et économiquement pas soutenable), ce qui de facto dissuade et empêche le passage à la concurrence en la rendant infaisable.

En bénéficiant d’une position dominante, les géants du Net peuvent faire pression sur les prix pour capter des clients et s’imposer sur un marché. Ils savent également proposer des offres intégrées de services et applications qui peuvent être alléchantes. Ils jouent avec les moyens que leur procure leur taille, une palette étendue de services, leur capacité monétaire et leur position hégémonique.

Le recours que Google a notifier à la Confédération helvétique[1] contre l’adjudication rendue le 24 juin 2021 pour son Cloud, s’inscrit dans une logique de compétitivité extrême que se livrent les multinationales du numérique. Cela est emblématique de l’importance des enjeux pour gagner la bataille du Cloud et est révélateur de la puissance et des avantages stratégiques que peut procurer un marché étatique. Tout cela se réalise à la barbe de la population, sur le dos des contribuables et au regard des entreprises régionales du numérique, témoins démunis de la bataille des géants.

La souveraineté numérique devrait être au cœur des décisions politiques car le numérique constitue un levier de la souveraineté étatique et est indissociable de l’économie et de la vie de tous. Cela devrait se décliner non seulement dans des toutes les politiques (comme celle de politique de sécurité pour ne citer qu’un exemple) et devrait être aussi matérialisée par une action publique cohérente de soutien à l’écosystème numérique local. Cela devrait contribuer à son développement et à mieux protéger les données, les territoires numériques, la propriété intellectuelle, les savoir-faire, les capacités à développer de nouveaux services ou encore les emplois dans le pays. Pour faire ce type de choix, il faut consentir sans doute à ne pas privilégier des critères de performances et de prix et à ne pas succomber aux sirènes de la facilité.

Choisir des multinationales hégémoniques, c’est peut-être avoir l’illusion de faire des économies à très court terme et de pouvoir se rassurer en arguant avoir choisi les meilleurs acteurs du moment, même si les problèmes surveillent ultérieurement. Ce faisant, la dépendance envers ses fournisseurs et pays desquels ils sont des champions nationaux (soutenus eux, par leurs gouvernements respectifs) ne fait que croitre. Ces derniers ayant bien compris que maitriser les solutions « Cloud » et de les imposer est le meilleur moyen de s’approprier la richesse numérique ainsi que les moyens de la produire et de la faire fructifier.

Penser la souveraineté numérique (et la réaliser) est désormais un enjeux stratégique majeur.

Choisir des acteurs étrangers, c’est choisir à qui être inféodé. C’est aussi renoncer à contribuer à développer une souveraineté numérique aux services de ses citoyens, ce qui impacte nécessairement les capacités de cyberdéfense et d’autonomie stratégique d’un pays dans tous les domaines, y compris dans celui de l’intelligence artificielle.

Le retard pris ne se rattrape jamais comme nous le rappelle Jean de La Fontaine dans sa fable Le lièvre et de la tortue « Rien ne sert de courir ; il faut partir à point ». La véritable innovation technologique ne serait-elle pas d’arrêter de perdre du temps en réalisant de mauvais choix stratégiques ?

Notes

[1] https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-84506.html

Perte de souveraineté numérique, la faute de trop

En 2021 la Confédération helvétique choisi des services Cloud fournis par des acteurs hégémoniques de l’Internet dont quatre sont américains (Amazon, IBM, Microsoft et Oracle) et un chinois (Alibaba). Dans ces conditions, la souveraineté numérique de la Suisse, n’est pas possible.

Le fait d’être dépendant de ces fournisseurs, qui deviennent indispensables au bon fonctionnement de la société, et qui par conséquent fait perdre la maitrise de nos territoires numériques, peut être considéré comme une faute stratégique.

Ce faisant, nous continuons à augmenter notre dépendance informatique envers ces géants du numérique, tout en renforçant à notre détriment, leur pouvoir et leur puissance. Chaque renoncement dans ce sens, chaque nouveau contrat passé, augmente notre soumission et notre incapacité à développer nos propres solutions ou à renforcer celles existantes y compris celles européennes. De ce fait, les acteurs locaux sont affaiblis et l’émergence d’acteurs nationaux et leur développement est illusoire.

Aucun discours vantant la Suisse digitale, sa « Trust Valley », la qualité de sa formation, ses centres de compétences, ses incubateurs de start-ups, ainsi qu’aucune action promotionnelle de l’écosystème numérique suisse, ne peuvent pallier la réalité de l’abandon stratégique de nos données et traitements, ni pallier celle de notre soumission volontaire aux géants du Net.

Cette mise sous tutelle additionnelle, contribue à faciliter les écoutes et la surveillance numérique. Ainsi les capacités d’espionnage, qui sont également mises au services agences gouvernementales des pays de ces fournisseurs, affaiblit nos actions dans les domaines économique, politique, diplomatique et militaire. Choisir ces acteurs, c’est leur offrir le moyen de saboter nos infrastructures dépendantes de leurs services et de leur bon vouloir.

En leur donnant un avantage stratégique concurrentiel de première importance et un levier d’influence géopolitique et économique, a-t-on au moins négocié des contreparties intéressantes ?

En acceptant la dépendance technologique, nous acceptons également celle économique, normative et juridique qui en découle. Ainsi va la souveraineté nationale de la Suisse, un bien bel exemple pour le reste du monde.

 

 

Initiatives contre normes, qui maitrise Internet ? 

L’Appel de Paris « Pour la confiance et la sécurité dans le cyberespace » de 2018 a le mérite d’être de portée universelle et non partisane. Il est soutenu par un grand nombre d’acteurs dont les signataires du Cybersecurity Tech Accord, dont Microsoft qui promeut l’idée d’une Convention de Genève du cyberespace. Bien que la place de Genève soit légitime pour abriter un dialogue international, la profusion d’initiatives contribue à nuire à la clarté des débats.

C’est à Genève que la première phase du Sommet mondial sur la société de l’information organisé par l’Union Internationale des Télécommunications (UIT) s’est déroulé en 2003, avec une ligne d’action intitulée « Établir la confiance et la sécurité dans l’utilisation des TIC ». La seconde phase du Sommet s’est déroulée à Tunis et a donné naissance en 2006 au Forum sur la Gouvernance de l’Internet (IGF), dont l’objet est de traiter des questions de politique publique de l’Internet.

C’est aussi à Genève sous les auspices de l’UIT, que la concertation internationale «Global cybersecurity agenda» a proposé, en 2008 des recommandations stratégiques de cybersécurité. Ces travaux constituèrent une avancée majeure en matière d’approche globale des questions légales, techniques, organisationnelles, de construction des capacités et de coopération. C’est lors de la 5ème édition de l’IGF, en 2009 qu’est présenté le document « A Global Protocol on Cybersecurity and Cybercrime » qui défend le besoin d’établir un traité international du cyberespace pour lutter contre les cyberattaques.

Diverses instances onusiennes, gouvernementales et intergouvernementales abordent depuis longtemps la problématique de la sécurité dans le cyberespace sous l’angle de la paix, de la stabilité, de la lutte contre la criminalité ou des mesures de confiance. En 2004, un groupe d’experts gouvernementaux est mis en place lors de l’assemblée générale des Nations Unies pour examiner les questions de sécurité et de stabilité dans le cyberespace et sur les impacts des développements des TIC sur la sécurité nationale. Un autre groupe est établi en 2019 pour promouvoir un comportement responsable des Etats dans le cyberespace dans le contexte de la sécurité internationale. Des experts gouvernementaux issus de 25 états membres travaillent en collaboration avec des organisations régionales (l’Union africaine, l’Union européenne, l’Organisation des États américains, L’Organisation pour la sécurité et la coopération en Europe et le Forum régional de l’association des nations de l’Asie du sud-est) (ASEAN).

À Genève, la Suisse a lancé en 2014 l’initiative « Geneva Internet Platform » et en 2019, la fondation Geneva Science and Diplomacy Anticipator. Fondé par Microsoft MasteCard et Hewlett Foundation, le CyberPeace Institute, s’est aussi installé à Genève ainsi que la Swiss Digital Initiative dont l’objet est de promouvoir de règles d’éthique universelles pour le numérique. Le Centre pour la cybersécurité du World Economic Forum (WEF) se situe également à Genève.

Toutes ces initiatives ne peuvent faire oublier que le premier instrument de lutte contre la cybercriminalité est issu en 2001, du Conseil de l’Europe. La Convention sur la cybercriminalité est ratifiée à ce jour par 65 pays. Cela a permis de mettre en place un droit pénal et procédural, ainsi que des structures organisationnelles autorisant l’entraide judiciaire internationale pour lutter contre la cybercriminalité. L’Europe, y compris avec son approche de la protection des données personnelles (RGPD) est à considérer comme un acteur majeur de la régulation des pratiques criminelles ou abusives du cyberespace. Cela a été réaffirmé par la déclaration du haut représentant au nom de l’Union européenne en février dernier « L’Union européenne et ses États membres soulignent leur détermination à continuer de promouvoir un comportement responsable dans le cyberespace  par l’application du droit international, de normes visant à un comportement responsable des États et de mesures de confiance au niveau régional, ainsi que par l’intermédiaire du cadre de l’UE pour une réponse diplomatique conjointe face aux actes de cybermalveillance».

D’autres approches régionales ont vu le jour à travers divers textes relatifs à la cybersécurité et plus de 125 pays ont signé ou ratifié des accords concernant la cybersécurité (Appel de Paris, Commonwealth Cyber Declaration, Déclaration du sommet des pays du BRICS, Déclaration du Sommet du G-20 de Buenos Aires, …)..

Si la pluralité des débats contribue à augmenter la sensibilisation à ces questions et le nombre d’acteurs concernés, cela implique souvent une certaine duplication des efforts, des réponses fragmentées et surtout une grande confusion des rôles et finalités. Cela contribue à rendre incompréhensible l’écosystème « normatif » et difficile l’élaboration de mesures concrètes qui instancient des recommandations de haut niveau en des textes de lois contraignants dont l’applicabilité serait vérifiée. Le brouhaha induit par ces initiatives, leur manque d’harmonisation, la forte implication du secteur privé, une société civile peut active ou inféodée au privé, font écran à un véritable débat multi-latéral.

Si l’on peut saluer l’engagement du secteur privé à tenter de résoudre des problèmes, dont il est, pour certains, en partie à l’origine, on peut s’interroger sur la finalité de leurs démarches qui en favorisant des déclarations génériques basée sur des déclarations d’intentions non vérifiables, limitent la survenue d’une régulation contraignante.

Pourquoi n’existe–t-il toujours pas de produits numériques certifiés « sans vulnérabilité par conception » et « sans porte dérobée constructeur » et dont le niveau de sécurité soit certifié (Security by design).

Fort de l’expérience de la Convention de lutte contre la cybercriminalité de l’UE, de la pertinence et de l’applicabilité de ses principes, pourquoi ne pas les transcrire dans une convention internationale ?

Dans l’attente la Chine choisi une autre voie, toujours à Genève, celle de la normalisation internationale via le bureau des standards de l’Union Internationale de Télécommunications (ITU-T) où elle a déposé en septembre 2019, une demande d’initialisation d’une réflexion sur le futur des réseaux, pour une refonte de l’architecture IP. Une opportunité pour renforcer le dialogue international et renforcer une réelle approche multilatérale pour débattre des questions liées à la maitrise des technologies de l’Internet, des infrastructures, des données et services dont nous sommes devenus dépendants. La maitrise de l’outil mondial de production du numérique, qui se décline en puissance et pouvoir politique, économique et technologique, constitue l’enjeu du siècle.