La souveraineté numérique
Introduction
Après avoir présenté les nouveaux règlements européens (DGA, DSA, DMA, DORA, Data Act, AI Act, Cyber Resilience Act) dans le premier chapitre, les grands référentiels cyber dans le deuxième chapitre dont le label franco-français SecNumCloud, puis les principales normes internationales du secteur avec l’emblématique famille ISO 27000, il apparaît utile d’introduire la notion de souveraineté largement employée dans le paysage numérique français et européen. C’est en effet un enjeu fort des années à venir qui va permettre à la France et à l’Europe d’être enfin maîtres de leur destin numérique et d’assurer leur rôle de protecteur des données produites. L’objectif de ce chapitre est de fournir une définition de la souveraineté, de présenter le nouveau contexte IT à appréhender et d’introduire le futur règlement européen EUCS, la doctrine Cloud au centre de l’État et les alliances en cours.
Définition
Le Larousse définit parfaitement le terme souveraineté de la façon suivante : « Caractère d’un État qui n’est soumis à aucun autre État. » - Source : https://dictionnaire.lerobert.com/definition/souverainete
En fait, le terme souveraineté a pris une résonance toute particulière depuis 2019 avec une succession interrompue de crises : crise sanitaire avec la COVID-19 où la France s’est rendu compte qu’elle ne disposait pas de masques et qu’il fallait attendre des approvisionnements venant de pays hors zones UE, guerre en Ukraine qui révéla la dépendance française envers des produits de première nécessité comme les céréales, le gaz ou l’électricité, crise climatique avec les lourdes conséquences de l’absence d’une politique énergétique claire et engagée (énergie renouvelable, nucléaire…).
Dans le domaine de l’IT, le terme souveraineté a pris également tout son sens avec la naissance du Cloud Act de l’administration américaine Trump courant 2018 : tout à coup, la France s’est rendu compte que les données de ses entreprises privées et publiques pouvaient être récupérées par les États-Unis dans un contexte particulier ;...
Les tentatives avortées 2012-2015
Du Grand Emprunt de la fin des années 2010 est né le projet Andromède en 2009 dont l’objectif était de faire émerger des champions français dans le domaine du cloud computing naissant et tenter d’exister face à la place déjà prise à cette époque par les géants américains, notamment AWS (Amazon Web Services) ; en effet, Microsoft n’a lancé sa première version d’Azure qu’en février 2010. La France a donc tenté une première fois en 2012 de se doter d’un système de souveraineté numérique en lançant deux cloud providers français : Cloudwatt (Orange et Thalès) et Numergy (SFR Group, Bull).
Les deux startups se sont vues dotées d’un fonds propre de 225 millions d’euros chacune avec pour objectif de devenir les leaders français de la souveraineté numérique ou, plus exactement, avec le recul, de la souveraineté des données : datacenters localisés en France et utilisation de stack open source (OpenStack notamment) pour la fabrication des machines virtuelles ; bref, il s’agissait bel et bien d’une « simple » offre de cloud public IaaS (infrastructure).
Pour mémoire, Cloudwatt a terminé son activité...
Un nouveau contexte IT
Le paysage IT actuel est tout autre qu’il y a dix ans : l’économie est désormais fondamentalement numérique, les systèmes d’information sont présents partout dans les organisations, la dépendance à l’IT n’est plus questionnée, c’est un fait banal de notre société. Pour autant, le nouveau paradigme de « société numericus » ne dispose pas encore des moyens de ses ambitions.
1. Définitions
Différents vocables sont utilisés parfois de façon inappropriée : informatique, numérique, digital, système d’information. La confusion est réelle tant chez les professionnels du secteur que chez les décideurs.
-
Information (du latin informare : façonner, former ; représenter, décrire) : il s’agit de quelque chose qui « donne forme à » ou qui permet de « se former à une idée de ». Une information est un message à communiquer. La donnée est le socle de l’information. L’information est une « donnée traitée » douée de sens. Il convient donc de comprendre que tout part de la donnée qui, en étant traitée, classée, structurée, produit de l’information. L’information est une « représentation métaphysique temporelle de ce que nous avons et ce que nous faisons » (source : Informatique, numérique et système d’information : définitions, périmètres, enjeux économiques - C. Legrenzi 2015).
-
Informatique : traitement automatique de l’information. C’est la science du traitement de l’information, selon l’Académie française. Le terme informatique fait également référence aux éléments permettant de traiter l’information, comme les ordinateurs et les logiciels.
-
Numérique (du latin numerus, nombre) : mot passe-partout qui désigne l’information, les usages, le traitement de l’information. À la différence du terme informatique, le numérique a une finalité métier. Par exemple, l’acculturation numérique...
EUCS
L’EUCS (European Cybersecurity Certification Scheme for Cloud Services) est un schéma de certification de cyber-sécurité pour les services cloud. C’est l’ENISA (agence européenne pour la cyber-sécurité) qui est chargée de l’élaboration et de la mise en œuvre de cette nouvelle certification qui est, à date, en cours de validation. Une version préliminaire du schéma candidat a vu le jour en décembre 2020 (https://www.enisa.europa.eu/publications/eucs-cloud-service-scheme).
L’idée est d’harmoniser au sein d’un seul règlement les divers schémas existants au sein de l’UE (SecNumCloud en France, C5 en Allemagne, ENS en Espagne…).
EUCS propose trois niveaux de certification :
-
Basique : il s’agit du niveau d’entrée où l’audit resterait purement documentaire. Ce niveau servirait à montrer que le titulaire s’est inscrit dans la démarche de sécurité (mise en œuvre de mesures de sécurité). Reste à savoir si ce niveau attirerait des candidats. En traduction française, il ne correspond pas vraiment à un référentiel particulier
-
Substantiel : c’est le cœur de la certification, l’équivalent de l’ISO 27001 pour le SSI et la C5 allemande pour le cloud....
La doctrine "cloud au centre"
L’État a publié une circulaire en juillet 2021 dite « doctrine cloud au centre » : circulaire n° 6282-SG du 5 juillet 2021 relative à la doctrine d’utilisation de l’informatique en nuage par l’État.
« La présente circulaire a pour objet de définir la doctrine d’utilisation de l’informatique en nuage par l’État "cloud au centre" qui constitue un levier essentiel de la transformation numérique de l’État et des territoires. Cette transformation numérique est une priorité du Gouvernement pour la modernisation et la simplification de l’action publique. »
Source : https://www.legifrance.gouv.fr/circulaire/id/45205
Cette doctrine précise notamment les fondamentaux suivants :
-
Cette doctrine s’adresse aux administrations publiques.
-
Deux offres sont proposées :
-
Cloud interne, offre de IaaS totalement maîtrisée par l’État (sous technologies open source OpenStack) et uniquement disponible aux services de l’État : Nubo opéré par la DGFiP et Pi opéré par le ministère de l’Intérieur.
-
Cloud commercial, accessible via l’UGAP (centrale d’achat public généraliste) :
-
Cloud commercial de confiance, qualification...
L’heure des alliances
1. Numspot
Fin octobre 2022, Docaposte (filiale numérique de la Poste) annonce la création d’un consortium industriel composé de Bouygues Telecom (19 %), Docaposte (26 %), Dassault Systèmes (19 % avec sa filiale cloud 3D Outscale) et la Banque des territoires BDT (36 %). La société a vu le jour en février 2023, elle est dotée de 50 millions d’euros de capital. Les secteurs d’activité ciblés sont la santé, les collectivités territoriales et la banque-assurance. C’est le seul consortium à ce jour qui va fournir des solutions souveraines de bout en bout : télécom (Bouygues Telecom) pour la connectivité et l’IOT, cloud HDS-27001-SecNumCloud (Outscale) pour l’hébergement, logiciels de confiance numérique (Docaposte) comme la gestion de l’identité numérique, la signature électronique, le vote électronique, l’archivage à valeur probatoire. La BDT va apporter sa capacité de financement et sa connaissance du monde des collectivités. Dix ans après Cloudwatt et Numergy centrés exclusivement sur le IaaS, Numspot va proposer des offres XaaS de confiance de bout en bout.
2. Les offres hybrides S3NS et BLEU
L’idée est qu’une entreprise française puisse distribuer...