La souveraineté est un enjeu stratégique remis en exergue lors de chaque événement international majeur : crise politique, économique, sanitaire, conflit, etc.
Celle-ci se définit par la capacité reconnue d'un État à exercer son pouvoir sur son territoire et sur sa population et ce en total indépendance vis-à-vis d'autres États.
Toutefois, limiter la définition de la souveraineté à des enjeux géographiques serait un écueil. L’espace numérique doit être considéré comme un nouveau territoire faisant partie intégrante de l’exercice de la souveraineté. Cette notion complexifie de fait les moyens de la mise en place d’une souveraineté national, passant par de nouveaux outils technologiques.
Face à l’hégémonie des géants américains du secteur de la tech, les États européens font face à la perte de leur souveraineté nationale à cause du numérique. Conscients de ce paradigme, ils tentent d’endiguer cette perte de contrôle essentiellement via la régulation. Pour l’instant les résultats de ces différentes mesures réglementaires (RGPD, Governance Data Act, Digital Market Act et Digital Services Act) sont limités tant ils semblent incapables d’encadrer l’usage des données par des sociétés plus riches, plus puissantes que des États de premier plan.
Si la régulation seule est impuissante, une réponse légale et technique permet à un État de recouvrer sa souveraineté. Un des premiers cas d’usage est la création d’un Cloud souverain.
Cloud souverain, vraiment ?
Juin 2020, l’Union européenne lance une initiative de Cloud souverain européen. Nom de code « Gaia-X » en référence à la déesse Gaia, femme du dieu du Ciel, Uranus. 180 partenaires rejoignent l’initiative, dont les géants de la tech américains.
Depuis ce lancement, chaque État européen annonce son projet de Cloud souverain national, construit en partenariat avec un géant américain : en France, Orange travaille avec Microsoft alors qu’en Allemagne Google accompagne Deutsche Telekom. Aujourd’hui force est de constater qu’en Europe, la souveraineté numérique ne peut se passer d’aide américaine.
Même les informations les plus sensibles ne dérogent pas à la règle avec les données de santé des Français unifiées et hébergées dans le Health Data Hub opéré par Microsoft tandis que les données de Doctolib sont stockées par AWS.
Notre vision du Cloud souverain
Pour revendiquer un Cloud Souverain, son opérateur doit garantir 4 piliers de souveraineté :
Souveraineté territoriale : les infrastructures de calcul et de stockage sont hébergées sur le territoire. Les données ne sortent jamais du territoire.
Souveraineté juridique : les opérations et les données ne sont soumises qu’aux lois nationales.
Souveraineté opérationnelle : seul l’opérateur accède, opère et sécurise les services Cloud qu’il propose.
Souveraineté administrative : l’État détient la majorité au sein de l’opérateur. Cette majorité garantit la pérennité et la cohérence entre la gouvernance et les enjeux de souveraineté nationale.
Sans cybersécurité, un Cloud souverain n’est pas
Le marché est en demande d’une offre de cloud souverain, à l’instar de la Finance, la Santé ou l’Administration Publique où la criticité des données en jeu est forte. Cependant, pour tous ces acteurs la souveraineté doit aller de pair avec la cybersécurité. En effet, une fois les données piratées, la souveraineté s’évapore.
Et malheureusement, les exemples de cyberattaques sont légion. Rien qu’en 2021, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a dénombré plus de 1 000 attaques (+35% par rapport à 2020). Par exemple, le piratage de Microsoft Exchange a vu la fuite de données de plus de 30 000 sociétés (2021 - US). En France, ce sont les données des employés d’Ubisoft qui ont été « volées » en mars 2022. Et dans la sphère Publique, les cyberattaques visent des opérateurs vitaux comme les hôpitaux (coupures électriques, bugs informatiques et vol de données) mettent en grande difficultés les établissements de santé.
Pour répondre à ce besoin en cybersécurité, les opérateurs de Cloud souverain se conforment aux plus hauts standards de sécurité. En France, l’ANSSI a défini le référentiel SecNumCloud pour garantir la sécurité et souveraineté des données hébergées chez un opérateur certifié.
En conclusion, le numérique questionne la souveraineté des États qui se doivent d’apporter des réponses sur plusieurs plans : légal, technologique, financier, etc.
Le Cloud souverain est finalement une pièce maîtresse qui appelle d’autres initiatives pour construire une politique nationale cohérente.