La souveraineté numérique émerge comme un pivot géopolitique crucial, tant pour les États que pour les entreprises, dans un contexte global où les attaques cybernétiques s’intensifient. Indépendamment de leur nature souveraine ou non, ces attaques sophistiquées menacent l’intégrité des données et défient la capacité des nations à préserver leur autonomie dans l’arène numérique. Ce phénomène souligne l’importance croissante des enjeux de souveraineté dans un monde de plus en plus interconnecté et numérisé.
L’émergence des clouds souverains
Dans ce contexte, l’idée du cloud souverain a émergé comme un bastion de la souveraineté numérique. OVHCloud, fleuron français, illustre parfaitement ce concept avec un écosystème de services cloud européens, incarnant la réponse européenne à la domination des géants technologiques américains.
OVHCloud a rejoint l’allemand T-Systems pour créer une offre publique de cloud souverain pour les marchés européens. Cette initiative répond aux exigences de souveraineté des données des organisations et aide à se conformer aux règles de confidentialité des données du GDPR, contribuant ainsi à l’initiative soutenue par l’Union européenne, Gaia-X, qui exige le plus haut niveau d’ouverture et de transparence, de souveraineté des données et de sécurité dans les services de cloud public.
En outre, OVHCloud a annoncé son intention d’ouvrir quinze nouveaux centres de données d’ici 2024, en plus des 33 déjà existants, avec des infrastructures situées en France, en Allemagne, mais également en Australie, au Canada, en Inde et à Singapour. Ces développements s’inscrivent dans la stratégie SecNumCloud d’OVHCloud et montrent clairement son engagement envers la souveraineté des données.
De plus, OVHCloud a reçu un soutien financier significatif de la Banque européenne d’investissement (BEI), qui a accordé à l’entreprise une facilité de crédit de 200 millions d’euros pour des investissements en Europe. Ce financement démontre l’engagement de la BEI à soutenir activement les acteurs numériques européens et s’aligne sur la priorité de l’Union européenne de renforcer l’autonomie stratégique de l’Europe dans les nouvelles infrastructures technologiques.
Le concept de cloud souverain prend de l’ampleur dans un monde où la numérisation croissante suscite des préoccupations en matière de sécurité et de contrôle. La notion de cloud souverain repose sur une infrastructure de stockage et de traitement des données opérée et située dans le pays d’origine de l’utilisateur ou dans une région géopolitique spécifique qui obéit aux mêmes règles de gouvernance. C’est une réponse aux craintes liées à la dépendance vis-à-vis des fournisseurs de cloud non européens, dont les opérations pourraient être soumises à des législations étrangères comme le Cloud Act américain, qui permet aux autorités d’accéder à des données stockées hors de leurs frontières.
La contrefaçon souveraine : une réalité ?
Le concept de cloud « souverain » est né de la volonté de garantir une autonomie et une protection accrues des données dans le cadre géographique d’un pays ou d’une union d’États, comme la France. Des entreprises comme Oracle et Amazon Web Services (AWS) se sont positionnées sur ce marché en proposant des infrastructures de cloud dites souveraines. Par exemple, AWS a développé un cloud « souverain » en Allemagne, prétendument indépendante de ses autres centres de données, avec la promesse d’une protection renforcée des données des clients européens.
La question de l’indépendance numérique, en particulier dans le contexte des législations américaines telles que le Cloud Act et le Patriot Act, est complexe. Le Cloud Act, adopté en 2018, permet aux agences gouvernementales américaines d’exiger des entreprises américaines l’accès aux données stockées, indépendamment de leur emplacement géographique. Cela signifie que les données stockées en dehors des États-Unis, comme en Allemagne, peuvent être sujettes à des demandes d’accès par les autorités américaines. Le Cloud Act prévoit également des accords exécutifs pour faciliter l’accès réciproque aux données entre les États-Unis et d’autres pays dans le cadre d’enquêtes criminelles, tout en offrant un processus formel pour que les fournisseurs de services puissent contester ces demandes.
Ces lois mettent en lumière les tensions entre la souveraineté des données et les obligations légales internationales, en particulier lorsque les données sont stockées par des entreprises qui opèrent à l’échelle mondiale. La mise en œuvre du Cloud Act a été soutenue par de grandes entreprises technologiques comme Microsoft, mais elle a également suscité des critiques de la part de groupes de défense des droits civils, qui craignent qu’elle ne compromette les droits à la vie privée et à la protection des données.
La différence entre un cloud souverain et un cloud de confiance repose sur la gouvernance et le contrôle juridique. Un cloud souverain est généralement opéré au sein d’un territoire spécifique et est soumis aux lois et réglementations de ce territoire. En théorie, il devrait être à l’abri des demandes d’accès étrangères. En revanche, un cloud de confiance peut être géré par une entité étrangère, mais avec des garanties contractuelles et techniques pour protéger les données contre l’accès non autorisé, y compris par des gouvernements étrangers.
Dans le cadre des offres de cloud computing, il est essentiel de considérer non seulement les fournisseurs américains comme AWS, mais aussi les offres concurrentes, notamment celles de la Chine. La souveraineté numérique annoncée par des fournisseurs américains pourrait être compromise en raison de leur soumission aux lois américaines, telles que le Cloud Act. Cette situation pourrait affecter la confiance des clients européens dans les solutions de cloud souverain, étant donné que la juridiction américaine pourrait potentiellement outrepasser les protections locales. Par ailleurs, il est important de prendre en compte les offres chinoises dans ce domaine, qui se développent rapidement. Bien que ces offres puissent présenter des avantages en termes de coût ou d’innovation, elles soulèvent également des questions concernant la conformité aux normes de protection des données et la souveraineté numérique, en particulier en raison des lois de surveillance et de contrôle des données en vigueur en Chine.
En Chine, des lois similaires au Cloud Act et au Patriot Act américains ont été mises en place pour réguler la sécurité des données et la protection des informations personnelles. La Data Security Law (DSL) et la Personal Information Protection Law (PIPL) imposent des réglementations strictes sur la classification, le stockage, et le transfert des données collectées en Chine, basées sur leur impact potentiel sur la sécurité nationale chinoise. De plus, la fourniture de données stockées en Chine à des agences judiciaires ou des forces de l’ordre étrangères sans l’approbation préalable des autorités chinoises est interdite. Ces lois s’appliquent aussi aux activités de données extraterritoriales qui pourraient nuire à la sécurité nationale et à l’intérêt public de la Chine. Des sanctions sévères sont prévues pour les entreprises ne respectant pas ces réglementations
Pour réellement contourner ce risque, des solutions de cloud souverain gérées par des entreprises européennes, soumises aux seules lois de l’Union Européenne, sont en développement. Ces alternatives visent à offrir une immunité contre le Cloud Act et le Patriot Act, en s’assurant que la gestion des données reste fermement sous le contrôle des lois européennes, notamment le RGPD (Règlement Général sur la Protection des Données). Cela crée un environnement où les données peuvent être réellement protégées des injonctions des tribunaux américains, respectant ainsi les attentes en matière de souveraineté numérique et de confidentialité des données.
Whaller, à l’avant-garde de la souveraineté numérique
Face à ces « pâles copies » de souveraineté, Whaller se démarque. En cours de qualification SecNumCloud, Whaller propose une suite collaborative à l’état de l’art de la Cybersécurité appelée DONJON, en alliance avec OVHcloud. Ensemble, nous avons créé une véritable offre Cloud de Confiance 100% française. Dans le cadre de la stratégie « Cloud de Confiance » de l’État français et répondant aux exigences de l’ANSSI, Whaller propose une alternative sérieuse aux alliances franco-américaines comme Bleu et S3ns.
Dans la continuité de DONJON, en association avec Icodia, nous avons lancé la suite collaborative DONJON DR à l’occasion de l’European Cyber Week (21-23 novembre 2023 à Rennes). Cette collaboration stratégique est une étape majeure vers la redéfinition des paradigmes de sécurité et de protection des données dans le cloud, alignée sur l’engagement de la France pour une indépendance numérique.
Whaller, la première à obtenir le label « Sovereign Solution »
Whaller a également été la première entreprise à obtenir le label « Sovereign Solution » de l’association Privacy Tech, un label certifié par l’AFNOR qui s’adresse aux éditeurs de logiciels français BtoB et BtoC engagés dans la protection des données.
Whaller et la French Tech
Enfin, Whaller s’engage dans l’initiative « Je choisis la French Tech », renforçant son rôle de soutien à l’indépendance numérique française. Ce choix marque un engagement fort pour une économie numérique responsable et autonome.
Vers une affirmation résiliente de la souveraineté numérique
La souveraineté numérique représente la capacité pour une nation ou une entité de gérer et contrôler ses ressources numériques, ce qui englobe les aspects économiques, sociaux et politiques. S’appuyant sur les exigences à venir dans le cadre de la directive NIS 2, cette souveraineté souligne l’impérieuse nécessité de protéger les services primordiaux d’une nation. Face à des acteurs malveillants toujours plus performants et mieux outillés, touchant de plus en plus d’entités trop souvent mal protégées, cette nouvelle directive élargit en effet ses objectifs et son périmètre d’application pour apporter davantage de protection. Cette extension du périmètre prévue par NIS 2 est sans précédent en matière de réglementation cyber.
Elle amène aussi les États membres à renforcer leur coopération en matière de gestion de crise cyber, en donnant notamment un cadre formel au réseau CyCLONe qui rassemble l’ANSSI et ses homologues européens. La maîtrise des données et des infrastructures numériques est fondamentale pour la sécurité nationale et l’autonomie économique.
Des acteurs comme Whaller, Icodia et OVHCloud illustrent la réaction proactive de la France face à ces menaces. OVHCloud, par exemple, promeut la souveraineté numérique à travers ses initiatives, soulignant l’importance de la liberté de choix, le renforcement du contrôle des outils numériques et la protection de la réversibilité des données au sein des états. Ces principes sont essentiels pour préserver l’autonomie des données et garantir qu’elles restent à l’abri des influences et des juridictions étrangères.
L’engagement de nos entreprises dans la création d’alternatives crédibles est crucial pour contrebalancer la domination des géants technologiques non européens. Elles apportent des solutions qui permettent aux utilisateurs de rester maîtres de leurs données, avec des engagements en matière de conformité aux réglementations européennes telles que le RGPD, qui vise à protéger les données personnelles des citoyens.
La construction d’un écosystème numérique européen solide et stable, soutenu par des initiatives publiques et un leadership clair, est fondamentale pour atteindre une souveraineté numérique effective. Cette démarche s’inscrit dans un contexte où la régulation adaptée est jugée nécessaire mais insuffisante sans la contribution active de tels acteurs. Ces entreprises ouvrent la voie à une indépendance numérique robuste, qui est non seulement souhaitable mais essentielle pour la compétitivité et la sécurité de l’Europe à l’ère numérique.
Pour plus d’informations sur la directive NIS 2 et son impact sur la souveraineté numérique, vous pouvez consulter les sources suivantes :
📖 En savoir plus : Souveraineté Numérique
0 commentaires