Alors que la notion de souveraineté numérique progresse dans les esprits (et dans les directions achats des grands groupes), comment le RSSI se positionne-t-il dans ce type de processus ? Voici deux avis opposés sur la question.

La souveraineté numérique gagne en popularité année après année, ce qui se traduit dans les comportements d’achat des grandes entreprises. « Cela s’explique notamment par la maturité croissante des solutions françaises, tant sur le plan technique et opérationnel qu’en termes marketing. Ces solutions sont aujourd’hui non seulement performantes, mais aussi compétitives », analysent les auteurs du Baromètre de la souveraineté numérique publié par Hexatrust en 2023.

« Acheter souverain, ce n’est pas acheter plus cher des solutions moins performantes auprès d’acteurs français. C’est concilier à la fois les exigences de performance opérationnelle et de coût avec la volonté de développer un écosystème français numérique puissant, conforme à nos valeurs et à nos intérêts, seul capable de nous permettre de répondre en même temps aux enjeux de cybersécurité opérationnelle et de résilience », déclarent conjointement Jean-Noël de Galzain, président d’Hexatrust, et David Ofer, président de la Fédération Française de Cybersécurité, dans la préface de ce baromètre.

Dans ce contexte, il est légitime de se demander quel rôle le RSSI peut jouer dans l’adoption de telles solutions. Doit-il être à l’origine de la recommandation de solutions souveraines auprès de son comex ? Est-ce dans ses missions de promouvoir des solutions 100 % françaises ou européennes ? « Le Comex connaît généralement Google, Amazon et Microsoft, mais pas les petites entreprises françaises. Le RSSI fait donc rapidement son choix entre prendre des risques pour son poste et sauver l’économie française. Par ailleurs, un RSSI n’a aucune incitation à faire ce type de choix et ce n’est pas son rôle », déclare Fred Raynal, CEO de Quarkslab, entreprise spécialisée en cybersécurité.

La réputation des acteurs américains avant le « choix souverain »

La question des enjeux de souveraineté liés à la donnée se pose néanmoins pour certaines organisations. « La souveraineté de la donnée peut, certes, avoir un impact sur le choix d’un fournisseur souverain par rapport à un autre. Mais les domaines dans lesquels ce critère de choix intervient sont marginaux. Les secteurs de la défense et de la santé sont concernés, les autres beaucoup moins », ajoute le CEO de Quarkslab.

Et Fred Raynal d’ajouter : « Par ailleurs, la plupart des comex s’accommodent très bien de signer des accords avec de grands acteurs américains. L’État le fait également, on l’a vu avec le Health Data Hub et le choix de Microsoft. Le but des comex est d’arriver à créer de la confiance et la confiance, aujourd’hui, par défaut, se trouve chez les grands acteurs américains. Que leurs solutions soient plus fiables et robustes que celles des autres acteurs du marché n’est pas la question. La principale raison, c’est le ‘nom’, la ‘réputation’ de l’acteur choisi », note Fred Raynal.

Le CEO de Quarkslab conclut : « Quand le RSSI ou le comex font le choix de solutions souveraines, cela relève de décisions politiques, au sens de choix de société. Les comex sont certes davantage sensibilisés à ces problématiques-là qu’il y a dix ou quinze ans, mais ce sont malgré tout des domaines qui restent très éloignés de leurs préoccupations. Il faudrait mettre en place des incitations fiscales et réglementaires au niveau européen pour développer le choix de solutions souveraines au sein de l’UE ».

Une « PSSI cloud » au sein du Groupe Caisse des dépôts

Pour Arnaud Martin, Directeur des risques opérationnels, cybersécurité et contrôle au sein du Groupe Caisse des Dépôts, les enjeux sont tout autres. Le Groupe Caisse des Dépôts est un établissement public. Cela signifie notamment qu’il est assujetti à la doctrine « Cloud au centre » de l’État. Pas sur la totalité de ses actifs informatiques, mais sur un certain nombre d’entre eux. « Par exemple, lorsque nous traitons ‘Mon compte formation’, dont l’État nous a confié l’hébergement et l’exploitation, cela rentre dans le champ d’application de cette doctrine. Nous nous devons donc d’appliquer – stricto sensu – les règles liées à cette réglementation », déclare-t-il.

Pour définir quelle doit être l’ambition du Groupe Caisse des Dépôts en termes de sécurisation des clouds, Arnaud Martin et ses équipes ont établi une Politique de sécurité du système d’information (PSSI) cloud très précise. Cette « PSSI cloud » a été discutée en comex et formellement validée par le comité stratégique cybersécurité. « Pour chaque application relevant de la doctrine ‘Cloud au centre de l’État’, donc pour chaque application comportant des données considérées comme sensibles, nous avons effectué une analyse de risque. C’est important de le préciser, car pour chaque actif informatique – nous en avons plus d’un millier sur le seul SI corporate du groupe -, nous sommes en possession d’une analyse de risque permettant d’obtenir un certain nombre de critères, notamment des critères DICP (Disponibilité, Intégrité, Confidentialité et Preuves) », détaille-t-il.

Au-delà de la contrainte réglementaire liée à la doctrine « Cloud au centre de l’État », le Groupe Caisse des Dépôts a également souhaité adopter une approche cohérente et autonome pour cadrer sa PSSI cloud. « Pour les données non assujetties à des mandats de l’État, notre conviction est que les données les plus sensibles doivent obligatoirement être hébergées sur du cloud souverain. Sur les quatre critères DICP précédemment évoqués, nous n’en avons gardé que trois, considérant que la sensibilité de la donnée était associée au triptyque ICP : intégrité, confidentialité et preuve », précise Arnaud Martin.

« Concernant le critère ‘intégrité’, nous savons que l’activité de l’administrateur peut potentiellement avoir un impact sur l’intégrité des données. C’est pour cela que nous avons inclus ce critère pour avoir la garantie de non-modification des données. Le ‘C’ de confidentialité s’impose de lui-même. Quant au ‘P’, il est très important. Il est en effet beaucoup plus facile avec un cloud souverain de s’assurer que nous avons un SOC ou un SIEM en supervision. Voire de discuter avec le cloud souverain en question de la possibilité de récupérer les logs pour les intégrer dans nos propres SOC ou SIEM. Cette opération serait totalement impossible avec les Gafam puisque tous les logs, par définition, sont considérés comme des données leur appartenant. Les seuls logs qu’ils consentent à nous donner sont des logs applicatifs qui ne permettent pas de faire correctement notre travail », analyse-t-il.

Des enjeux de lutte contre l’ingérence, plus que de sécurité périmétrique

Arnaud Martin a par ailleurs établi – pour les critères ICP – une échelle allant de 1 à 4 pour qualifier la sensibilité des données. « Quand nous sommes sur des données très sensibles (classées au niveau 4), il est hors de question qu’elles ne soient pas hébergées sur du cloud souverain. Tout cela a été validé au niveau du comex et nous le déclinons de la même façon sur la totalité des projets informatiques. Il ne peut y avoir de lancement de projet informatique sans une analyse de risque cybersécurité préalable. Pour les notes ‘ICP 3’, un hébergement en cloud non souverain peut être choisi, mais il faut nécessairement qu’un certain nombre de garanties complémentaires soit présentes, comme par exemple une authentification très renforcée. Pour les notes 1 et 2, l’hébergement peut se faire sur n’importe quel type de cloud », note Arnaud Martin.

Si l’on dresse un bilan des raisons pour lesquelles un RSSI et son comex choisissent de concert un cloud souverain, ce n’est pas la notion de sécurité périmétrique qui est mise en avant par Arnaud Martin. « Quand vous manipulez des données stratégiques, des données de citoyens, vous ne vous posez pas la question de savoir s’il y a une possibilité que ces données soient accessibles par ailleurs. Le cloud souverain n’est pas le meilleur en termes de protection périmétrique de sécurité, il est le meilleur par rapport à des sujets d’ingérence. C’est ce qu’il garantit avant tout », avance-t-il.

Quant à la question de savoir si les offres de cloud souverain sont aussi performantes en termes de fonctionnalités que d’autres solutions, non souveraines, Arnaud Martin balaie cet argument d’un revers de main : « Les solutions de cloud souverain sont parfois un peu en retard par rapport aux solutions proposées par les Gafam. Mais pour des données stratégiques, a-t-on vraiment besoin de posséder la toute dernière fonctionnalité ? » conclut-il.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.