En tant qu’acteur cloud suisse et indépendant et lanceur d’alerte dans l’affaire du « Public Clouds Confederation », nous faisons fréquemment face à des préoccupations liées à la confidentialité, la sécurité et la souveraineté des données. Afin d’y répondre de manière objective, nous sommes allés à la rencontre de Solange Ghernaouti, Prof. Dr. et experte internationale en cybersécurité à l’Université de Lausanne, Directrice du Swiss cybersécurity Advisory & Research Group, Présidente de la Fondation SGH – Institut de recherche Cybermonde et Membre de l’Académie suisse des sciences techniques, pour lui poser les questions que nous recevons  régulièrement via notre support et nos réseaux sociaux.

La souveraineté des données et le monopole des géants du Web sont de plus en plus médiatisés. Pourquoi cet intérêt croissant sur ces questions relativement techniques ?

En Suisse, il me semble que cet intérêt a été renouvelé par la décision de la Confédération de choisir au printemps 2021, cinq prestataires extra-européens pour son « Public Clouds Confédération ». Comme statué par le communiqué du 10 novembre 2021 de la Chancellerie fédérale, « Le marché a été attribué aux quatre entreprises américaines Amazon Web Services EMEA Sàrl, IBM Suisse SA, Microsoft Suisse Sàrl et Oracle Software (Suisse) Sàrl et à l’entreprise chinoise Alibaba.com (Europe) Limited » [1].

De plus, ces mêmes multinationales font régulièrement l’actualité du fait d’incidents de cybersécurité dont elles sont à l’origine et parfois aussi victimes. Cela conduit à des cyberattaques qui affectent tous leurs clients, y compris les collectivités publiques. Pour ne citer que quelques exemples, pensons aux failles dans des produits Microsoft [2] ou encore à celle de sécurité Log4Shell [3]. L’exploitation de cette faille permet notamment de réaliser des attaques par rançongiciels. « Bon nombre de sociétés ont néanmoins publiquement réagi, comme Amazon Web Services, Google Cloud ou encore IBM, reconnaissant que certains des services qu’elles proposent aux utilisateurs sont concernés par cette vulnérabilité, et assurant tout faire pour mettre au point au plus vite un « patch », un correctif ». [4]

Impossible non plus d’ignorer les amendes de l’Union européenne ou de certains pays européens contre les géants du numérique (Google, Facebook) Amazon, …) [5] ce qui devrait nous inciter à questionner leurs pratiques au regard de nos besoins de protection de nos données.

Il est vrai que la réalité des incidents liés à des défauts de conception, de gestion et d’utilisation ou de sécurité des environnements numériques fait qu’il est devenu impossible au grand public comme aux dirigeants politiques et économiques d’ignorer les conséquences négatives que le numérique engendre lorsque les risques ne sont pas maîtrisés.

Je pense aussi que collectivement, nous avons acquis une certaine maturité numérique et comprenons désormais que la transformation numérique de la société n’est pas uniquement une question technique, comme nous l’analysions avec le philosophe René Berger dans notre ouvrage de 2011 « Technocivilisation, pour une philosophie du numérique ». [6]

Les dimensions politiques, économiques, sociales et juridiques de la transition numérique sont importantes. Nous savons maintenant que les technologies du numérique modifient en profondeur nos comportements, nos habitudes, nos manières de communiquer, de travailler, d’apprendre ou encore de se divertir. Cela touche à notre rapport au monde et aux autres, au niveau local et international. C’est toutes nos possibilités de « faire société » qui sont concernées par le numérique.

Quels sont les enjeux de la souveraineté numérique ?

Pour un pays, le recours à des infrastructures numériques basées sur des plateformes informatiques en nuage étrangères (Cloud) questionne sa capacité à assurer sa souveraineté numérique et son indépendance vis-à-vis des acteurs et des États dont ces derniers sont ressortissants. En étant contrôlées par des acteurs émanant de superpuissances, la non-maîtrise d’infrastructures numériques essentielles au bon fonctionnement d’un pays, à sa stabilité et à son économie, induit une dépendance et de facto, une perte de contrôle de ses territoires numériques.

L’asymétrie du pouvoir entre les acteurs qui fournissent des services « Cloud » et ceux qui les utilisent est telle, qu’il y a assujettissement aux règles imposées par les acteurs les plus forts. Cela pourrait être identifié comme une mise sous tutelle numérique. Cet état de fait, contribue à faciliter des actions d’intelligence économique, mais aussi d’espionnage et de surveillance numérique. Cela affaiblit les actions d’un pays dans les domaines économique, politique, diplomatique, militaire et culturel, tout en renforçant le pouvoir des acteurs dominants. Ces derniers « se nourrissent » des activités numériques de leurs clients. En effet, ils savent exploiter la captation de données et métadonnées, autorisés par le mode de fonctionnement du numérique et par le cadre contractuel de l’acceptation des conditions générales d’utilisation de leurs services. Leur développement, leur puissance et leurs capacités financières démontrent que les géants du Net ont compris comment tirer parti de leurs modèles d’affaire basés sur l’exploitation des données pour disposer d’avantages concurrentiels, être en position hégémonique et en croissance permanente, pour accroître leur offre de services (y compris ceux basés sur l’intelligence artificielle).

Il serait peut-être temps de sortir de la spirale « je continue à donner du pouvoir aux acteurs hégémoniques parce que je me suis laissé persuader que je ne pouvais pas m’en passer, je leur confie mes données – sans assurance qu’elles ne soient pas utilisées à mon insu à d’autres fins ou piratées, je consomme toujours plus de leurs services et j’en suis de plus en plus dépendant».

C’est un cercle vicieux qu’il est essentiel de briser pour développer l’économie et un savoir-faire local, développer de nouvelles pratiques et adopter des réflexes numériques responsables.

Est-ce un problème de choisir des entreprises comme Microsoft, Google ou Amazon AWS qui sont mondialement reconnues ?

Ce n’est pas le fait qu’elles soient mondialement connues qui est le plus problématique, mais le fait qu’il s’agit d’acteurs hégémoniques extra-européens [7]. Les multinationales du numérique possèdent une envergure et une position monopolistique uniques. Elles sont en mesure de faire pression sur les prix sur un marché qu’elles contrôlent et de faire du sponsoring ou casser les prix pour remporter des appels d’offre, mais aussi de les augmenter après la fidélisation du client comme c’est le cas par exemple pour les logiciels Office 365 de Microsoft utilisés par la majorité du secteur public et des entreprises) [8]. Elles sont de plus capables de proposer une palette étendue de services et des offres intégrées à des écosystèmes fermés, ce qui constitue un argument supplémentaire de persuasion.

Tout cela permet de penser que les offres « Cloud » paraissent très concurrentielles. Toutefois des coûts indirects sont souvent cachés. Cela concerne notamment des coûts de migration ou de services complémentaires de sécurité, qui s’avèrent ensuite indispensables mais qui ne sont ni annoncés, ni compris dans l’offre initiale, mais qui alourdissent considérablement la facture sur le long terme.

Une fois captif d’une solution Cloud, la dépendance peut générer des problèmes de pérennité et de coûts, car les fournisseurs peuvent à leur gré, modifier les conditions d’utilisation et augmenter leurs tarifs. Comment être sûr sur le long terme de la stabilité de l’environnement, de la disponibilité des données et de leurs traitements ? Le retour arrière ou la migration vers d’autres plateformes sont généralement difficiles voire impossibles. Les choix « cloud » sont en fait non-réversibles car trop coûteux et trop difficile techniquement. De facto, cela dissuade ou empêche le passage à la concurrence. Il est souvent impossible, ou alors à des coûts additionnels exorbitants de savoir ce que deviennent données et traitements confiés à une plateforme. Lorsqu’il est quasi impossible d’effectuer des contrôles et des audits indépendants, comment avoir confiance dans l’intégrité et la confidentialité des données et des traitements ?

Les géants de la Tech construisent des centres de données en Suisse et en Europe. Est-ce suffisant pour assurer la maîtrise des données aux entreprises et aux institutions publiques ?

Le problème critique est celui de la dimension juridique qui émane de pays étrangers de ces multinationales. Ce qui est particulièrement vrai avec l’existence des lois extraterritoriales qui autorisent leurs autorités, à accéder aux données captées partout dans le monde, y compris sur des serveurs situés en Suisse. La nationalité du prestataire de service et du développeur des logiciels qui traitent les données est encore plus importante que celle de la localisation géographique des serveurs. L’argument tentant de justifier la sécurité par le fait que les serveurs sont en Suisse est souvent d’ordre marketing et publicitaire. Il induit un sentiment de sécurité non fondé. Les lois extraterritoriales comme les lois Foreign Intelligence Surveillance Atc (FISA) (1978), PATRIOT Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act) (2001), Cloud Act (2018) américaines, s’appliquent aux fournisseurs de logiciels (Microsoft, Amazon, Oracle, Google, …) qui stockent et traitent les données hébergées en Suisse. Être un partenaire ou intermédiaire suisse ou européen de plateformes américaines ou chinoises ne suffit donc pas à réaliser la cybersouveraineté.

Du côté de l’Europe, le projet Gaia-X [9] rassemble des acteurs internationaux issus de différentes entreprises du domaine, d’institutions de recherche, d’associations, d’administrations publiques et du monde politique pour définir et réaliser une infrastructure numérique  globale (un cloud de clouds  interconnectés selon les standards définis par le consortium (Gaia-X standard) compatible avec la notion de souveraineté européenne. Ce projet soulève de nombreux défis, il avance mais reste très critiqué. Le poids des hyperscalers chinois et américains (Huawei, Alibaba, Amazon et Microsoft) sur les décisions du conseil d’administration préoccupe. Ainsi, Scaleway, un des 22 membres fondateurs du projet, a d’ailleurs annoncé en novembre 2021 son retrait du projet.

« Un déséquilibre structurel s’est (…) formé dans les enceintes de travail de GAIA-X. Dès lors, le risque est que certaines orientations servent les intérêts d’acteurs déjà dominants au lieu de refléter les besoins, attentes et défis des différents fournisseurs de technologies européens. Nous constatons que les mêmes causes reproduisent les mêmes effets dans plusieurs organisations similaires. Les intérêts des grands acteurs y sont régulièrement protégés au détriment d’organisations moins importantes dont les orientations, innovantes mais alternatives, sont souvent marginalisées ». Yann Lechelle, CEO de Scaleway [10]

Parlons aussi des labels « Cloud de confiance » [11]. Ils ne sont pas pour autant garants de la souveraineté numérique lorsqu’ils s’appliquent à des fournisseurs étrangers. En effet, être en conformité à un label n’est pas équivalent à la maîtrise complète de l’infrastructure. Même si le chiffrement des données est réalisé, le label ne protège pas contre les capacités de déchiffrement de ceux qui maîtrisent les infrastructures et des autorités étatiques dont ils relèvent. Le risque juridique, comme le risque technologique, n’est donc pas sous contrôle.

Des références à des labels ou à des certifications ne garantissent ni la qualité de la responsabilité numérique des entités qui les avancent, ni le réel niveau de sécurité et de confiance des produits qui en bénéficient. À cet égard, l’étude Ethos de janvier 2022 sur la responsabilité numérique des entreprises numériques cotées en Suisse [12] est intéressante dans la mesure où elle met la lumière sur le faible niveau de transparence des entreprises en matière de responsabilité numérique, domaine qui concerne également le domaine de la protection des données. La pseudo-transparence des processus de certification et d’attribution des labels est un frein à la confiance à accorder aux labels. Qui définit les normes de sécurité auxquels les produits doivent être en conformité ? Qui certifie l’indépendance et la fiabilité des acteurs qui accordent des labels ? Qui contrôle le contrôleur ? Quelle confiance accorder au certificateur, au contrôleur ? Le problème de la confiance est juste déplacé, pas résolu.

Au mieux, un label peut rassurer un peu comme peut le faire une assurance qu’il est bon d’avoir mais qui n’empêche ni la réalisation d’un sinistre, ni ne garantit que celui sera effectivement couvert au regard des conditions et clauses particulières inhérentes.

L’auto – régulation est une pratique courante. Il n’est pas rare dans ce domaine comme dans d’autres, que ce soit les mêmes acteurs qui définissent les règles du jeu qui défendent le mieux leurs intérêts, qui les valident (avec la bénédiction de certains membres de la communauté scientifique et politique) et les promeuvent.

Comment expliquer que la Confédération et de nombreuses collectivités publiques en Europe optent pour des infrastructures cloud extra-européennes ?

Ces acteurs hégémoniques bien connus bénéficient d’un lobbying [13] et d’un marketing très efficaces.

Pour certains, choisir leurs solutions c’est aussi un moyen de « se couvrir » en cas de défaillance (« nous avons pris les acteurs les plus importants »). Comment ne pas céder aux sirènes de la facilité (« tout le monde les choisit ») et à celle d’une offre intégrée à priori moins coûteuse à court terme ? D’autres encore, peuvent faussement penser qu’externaliser leur informatique sur les plateformes des géants du numérique (dont c’est le métier), revient en même temps à externaliser leurs responsabilités.

Il y a aussi la question du prix, souvent imbattable au moment des appels d’offres. Justifier le choix d’un cloud chinois ou américain à cause du prix est un non-sens. A long terme, le prix à payer de l’assujettissement à ces acteurs et de la dépendance à des solutions propriétaires (fermées) est celui de ne plus avoir de choix et de devoir honorer les factures des prix imposés. En état de dépendance, les marges de négociation sont faibles.

Quelles sont les conséquences ? Comment est-ce possible ?

Il est étonnant que soit insuffisamment prise en compte la réalité économique et politique de ces multinationales qui ont pour objectifs de générer des revenus et d’exploiter les données. Est-ce que la défense de leurs intérêts est compatible avec la défense des intérêts de la Suisse ou de l’Europe ?

Est-ce que des décideurs politiques et les collectivités publiques prennent vraiment en compte les implications géopolitiques, économiques et sociales (présentes et futures) avant de faire des choix numériques contraignants, voire irréversibles ?

Peut-être que certains décideurs ne comprennent pas les enjeux stratégiques de la souveraineté numérique ? Peut-être qu’ils n’ont pas encore assimilé que le numérique déstabilise les prérogatives d’un État et concurrence sa puissance publique ?

Peut-être ne sont-ils pas encore assez conscients de leurs responsabilités ou n’ont-ils pas assez réalisé que leur rôle est aussi de donner l’exemple aux entreprises en choisissant des acteurs et solutions compatibles avec les intérêts suisses et européens ?

En heureusement, bon nombre d’initiatives parlementaires prouvent le contraire et illustrent une prise de conscience croissante. Le Parlement suisse semble par exemple être de plus en plus préoccupé par ces questions de souveraineté et de cybersécurité [14]. Espérons que les réponses apportées seront à la hauteur des enjeux et des défis de la Suisse.

Pour un pays, choisir des acteurs étrangers pour assurer la disponibilité de son informatique numérique revient à renforcer sa propre cyber-infériorité et à consolider la cyber-suprématie des multinationales pourvoyeuses de Tech, dont notre système éducatif leurs fournit une main-d’œuvre de qualité. Recourir à des infrastructures et des logiciels locaux, opérés par des prestataires suisses ou européens, permet également de tirer parti des formations financées par de l’argent public, de développer et de garder et valoriser en Suisse et en Europe le savoir-faire et les compétences. Cela contribue à préserver les emplois et l’employabilité et éviter la fuite des cerveaux. De plus, ces multinationales bénéficient directement et indirectement très souvent d’un soutien financier public et d’une fiscalité avantageuse.

Que faudrait-il faire dans l’intérêt des entreprises locales et des citoyens ?

Si en Suisse et en Europe, il est décidé de s’appuyer sur des logiciels et une offre de services cloud qui soit locale et indépendante des GAMAM et Cie, il est nécessaire de choisir les acteurs qui œuvrent dans ce sens. Ceux qui ont intégré dans leur stratégie d’affaires la volonté de développer des alternatives fiables. Si on veut les faire vivre et leur permettre de continuer à se développer, il faut les faire travailler et de choisir, si possible, tout ou partie de leurs solutions.

Si un appel d’offres public est réalisé et qu’il exclut de facto les acteurs locaux, il est évident qu’il ne reste plus que les solutions clés en main des GAMAM & Cie, qui sont par ailleurs séduisantes car elles sont immédiatement disponibles, « user friendly » et portée par le lobbyisme et un marketing international.

Il est primordial que les appels d’offres, notamment ceux émanant des États et des institutions publiques, soient cohérents d’un point de vue de la souveraineté et que l’expression faite des besoins soit juste.

Au moment de l’établissement des appels d’offres, il ne faut par conséquent pas fixer des conditions que seules les multinationales américaines ou chinoises soient les seules à pouvoir satisfaire (ou limiter ce rayon à des parties limitées et justifiées). Il est nécessaire de garantir la proportionnalité entre les exigences fixées et les besoins réels à couvrir, mais cela demande de bien définir les besoins. Dans le cas « Public Clouds Confédération » en Suisse et de Gaia-X, est-ce que cela a été fait ? Qui a validé ?

Il faut une volonté politique claire et assumée de développer et soutenir la cybersouveraineté. Il est particulièrement important que le secteur public donne l’exemple en évitant de recourir aux GAMAM surtout dans les domaines de la santé, de l’éducation ou de la défense par exemple.

De plus, le secteur public peut soutenir des initiatives à destination du secteur privé et des particuliers pour sensibiliser sur les enjeux de la souveraineté numérique et faire connaître les alternatives locales ou européennes. Des partenariats public-privé (PPP) peuvent s’avérer intéressants à condition que les retombées positives soient équitablement réparties entre le privé et le public. Il n’est en effet pas rare, dans ce type de collaboration, que le secteur public prenne tous les risques alors que le secteur privé en tire tous les bénéfices.

Le financement public, notamment dans le domaine de l’éducation, de la recherche et du développement économique local (par ex. le financement des start-up) devrait aussi explicitement et principalement être réservé aux acteurs qui s’engagent à développer la souverainement numérique du pays. Il devrait exister des incitations et des contrôles effectifs pour s’assurer du bon usage de l’argent public. Dans les cas contraires, des contreparties pourraient exister comme par exemple, la restitution de l’argent public en cas de rachat d’une start-up par une multinationale extra-européenne ou lorsque que leur valorisation et leur profitabilité est largement assurée.

Un effort politique et absolument nécessaire, car c’est uniquement à partir d’une décision politique forte qu’il sera possible de travailler ensemble avec tous les acteurs concernés pour réaliser un écosystème local et souverain avec tous les acteurs de l’économie.

En matière de Cloud, c’est l’approche sécuritaire et souveraine qui doit guider l’investissement et non pas l’économie. Avec de bons investissements, les entreprises et les talents existants en Suisse et en Europe seraient tout à fait capables de développer rapidement des solutions informatiques compétitives et fiables. Vouloir réunir les acteurs impliqués autour d’une feuille de route et soutenir l’écosystème numérique local est une décision politique et stratégique.

Aujourd’hui, la souveraineté technologique conditionne toutes les autres formes de souveraineté. Si l’État n’est pas en situation de maîtriser sa souveraineté numérique et celle de ses données, comment le citoyen pourrait-il l’être ?

Enfin, mentionnons encore la question des droits humains qui est au cœur des préoccupations des développements numériques et de l’intelligence artificielle (droit à la vie privée, à la protection des données, à l’intégrité numérique, à la e-reputation, à l’accès au numérique, à la déconnexion, à ne pas être sous surveillance informatisée, …). La souveraineté, c’est aussi la capacité à faire respecter des lois dans un espace donné. Seule une souveraineté numérique peut contribuer à définir les lois et à les faire respecter dans le domaine numérique.

En savoir plus

Références

[1] https://www.bk.admin.ch/bk/fr/home/documentation/communiques.msg-id-85828.html

[2] Informations disponibles entre autres sur le site du Centre national pour la cybersécurité (NCSC) concernant les « Failles de sécurité de Microsoft Exchange Server »: https://www.ncsc.admin.ch/ncsc/fr/home/aktuell/im-fokus/exchange-server.html

[3] En décembre 2021 l’éditeur Apache signale une faille de sécurité concernant le composant de logiciel de journalisation Log4J (largement utilisé par de nombreuses applications écrites avec le langage Java/J2EE) qui permet à un attaquant de prendre le contrôle à distance les systèmes.

[4] https://www.lemonde.fr/pixels/article/2021/12/14/la-faille-log4shell-laisse-entrevoir-quelques-semaines-agitees-previennent-les-experts-en-securite-informatique_6106028_4408996.html

[5] Cf. site de la Commission nationale (française) de l’informatique et des libertés (CNIL).

[6] René Berger, Solange Ghernaouti « Technocivilisation, pour une philosophie du numérique ». Focus Science, Presses polytechniques et universitaires romandes (2011).

[7] Il s’agit notamment des GAMAM (Google, Apple, Meta (Facebook), Amazon, Microsoft (USA)) et des BATX (Baidu, Alibaba, Tencent, Xiaomi (Chine)).

[8] https://www.ictjournal.ch/news/2021-08-23/microsoft-va-augmenter-les-prix-doffice-365-pour-les-entreprises & https://www.lemondeinformatique.fr/actualites/lire-microsoft-prevoit-d-augmenter-discretement-le-prix-d-office-365-84269.html

[9] https://www.data-infrastructure.eu/GAIAX/Navigation/EN/Home/home.html

[10] https://blog.scaleway.com/fr/une-veritable-offre-multi-cloud-en-reponse-aux-promesses-non-tenues/ 

[11] Référentiel SecNumCloud de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) et label ESCloud par exemple. https://www.ssi.gouv.fr/actualite/secnumcloud-evolue-et-passe-a-lheure-du-rgpd/https://www.ssi.gouv.fr/actualite/escloud-un-label-franco-allemand-pour-les-services-informatique-en-nuage-de-confiance/

[12] https://ethosfund.ch/fr/news/ethos-publie-sa-premiere-etude-sur-la-responsabilite-numerique-des-entreprises-suisses

Rapport « The lobby network: big tech’s of influence in the EU” Corporate Europe Observatory and LobbyControl e.V. Brussels and Cologne (August 2021). https://corporateeurope.org/sites/default/files/2021-08/The%20lobby%20network%20-%20Big%20Tech%27s%20web%20of%20influence%20in%20the%20EU.pdf

[13] Comment les Gafam dépensent des millions en lobbying pour influencer Bruxelles 31/08/2021. https://www.france24.com/fr/éco-tech/20210831-comment-les-gafam-dépensent-des-millions-en-lobbying-pour-influencer-bruxelles

De manière générale observer les logos des sponsors d’évènements, rencontres, conférences, publications, … donne une idée des bénéficiaires des intérêts défendus. Comment ne pas se questionner, comme le fait la revue l’Usine Digitale, dans un article du 2 décembre 2021 titré « Alibaba, sponsor du CIO pour les JO 2024, suscite des inquiétudes sur la protection des données » ? https://www.usine-digitale.fr/article/alibaba-sponsor-du-cio-pour-les-jo-2024-suscite-des-inquietudes-sur-la-protection-des-donnees.N1165642

[14] Pour ne donner que quelques exemples :