La souveraineté numérique passe par le Cloud

Lors d’une récente conférence ministérielle sur la construction de la souveraineté numérique européenne, Bruno Le Maire, ministre de l’Économie, des Finances et de la Relance a expliqué que la thématique même de « souveraineté numérique » a été « mise à la mode » par la crise économique, les défaillances des chaînes de production et le manque de produits essentiels qu’elle a générés et par l’urgence de relocaliser de nouvelles chaînes de valeur critiques (batterie électrique, semi-conducteur…).

« La vraie souveraineté du 21^ème siècle, n’est pas politique, mais bien technologique, » a-t-il ajouté. « On a beau être souverain politiquement, mais si vos réseaux de communication de 5G dépendent d’une puissance étrangère pouvant récupérer toutes les données qui y circulent, vous n’êtes pas souverain ! ».

Il a pour cela prôné « un réveil technologique européen », passant notamment par l’innovation et la régulation, « garant de la souveraineté technologie de l’UE ».

Quelles réponses l’écosystème Cloud européen offre-t-il à ses défis ?

D’ici 2027-2030, le marché européen, de 53 milliards d’euros en 2020, atteindra jusqu’à 500 milliards d’euros, selon KPMG ; il représente un investissement cumulé d’environ 200 milliards d’euros et 600 000 emplois créés.

Combattre l’entrisme

L’industrie reste largement dominée par les Américains Amazon, Microsoft et Google qui représenteraient à eux trois 70% du secteur.

« Le marché européen du Cloud computing représente un fort enjeu également au niveau des challenges liés à la concurrence, la compétitivité et l’alignement de marché sur des règles claires et uniformes » indique Jean-Charles Ferreri, associé Global Strategy Group du Big 4.

Pour la députée européenne Miapetra Kumpula-Natri, la souveraineté numérique nécessite que l’Union européenne (UE) se dote de ses propres outils Cloud : « Il y a de la place pour des infrastructures européennes, et pour des acteurs dans l’économie des données, » note-t-elle. « Il faut toutefois regarder comment et par qui ces données sont utilisées. Et donc mettre en œuvre les bonnes règles. Si les données personnelles sont bien protégées sur le papier, il y a toutefois encore des manques à combler ».

Côté opérateur, Michel Paulin, directeur général d’OVHcloud estime que le marché souhaite un Cloud ouvert, interopérable et réversible : « Nous sommes un ardent défenseur de l’open source » explique-t-il. « Il est dangereux que ce secteur soit un oligopole dans les mains de quelques entités qui possèdent la totalité du marché européen voire mondial. Il faut exclure les acteurs qui ne jouent pas le jeu et font de l’entrisme ».

Pour que l’UE maîtrise suffisamment les technologies Cloud dans toute sa chaîne de valeur et garde son autonomie, il préconise une vision technologique à long terme (10 ans) et des infrastructures Cloud de confiance, « qui ne soient pas des boîtes noires contraires aux principes de souveraineté ».

Pour Francesco Bonfiglio, Président-Directeur général de GAIA-X, les citoyens doivent aussi comprendre que la sécurité des données est non seulement informatique, mais aussi l’avenir de tous. « Pour cela, nous devons créer de la compétitivité sur le marché, en étant meilleurs que nos concurrents. Aussi, l’agrégation serait une solution, » suggère le CEO de l’initiative pour une infrastructure Cloud paneuropéenne.

« Le marché UE est extrêmement fragmenté. Nous devons développer de nouvelles infrastructures Cloud qui soient fédérées, avec des offres qui combinent nos forces et profitent à notre industrie » propose-t-il. « Grâce à l’innovation, nous pouvons créer de nouvelles plateformes sûres et compétitives, avec un cadre de gouvernance et des services fédérés qui relieront les différentes infrastructures entre elles. Ces solutions garantiront la souveraineté et la confiance ».

Entreprises – Retard notable

L’Agence Européenne de Cybersécurité (ENISA) planche elle sur un schéma européen de certification de cybersécurité pour les services Cloud. Le projet initié par la Commission européenne prévoit la conformité des prestataires et de leurs services aux exigences européennes en matière de cybersécurité et de protection des données.

Juhan Lepassaar, son directeur, précise que la cybersécurité comme toute sécurité, n’est pas absolue : « Il s’agit d’un niveau de garantie que l’on peut donner aux individus, à travers un cadre juridique unique, qui renforcera la confiance et la transparence dans le marché intérieur » détaille-t-il. « Ce nouveau schéma de certification se basera sur les cadres existants, tels que les schémas de certification Cloud des différents États membres, des normes et des règles techniques ».

Il s’agit ainsi d’aider les acteurs du marché à créer de la cybersécurité conformément aux valeurs de l’UE et à ses objectifs de souveraineté numérique dans des domaines critiques.

Aussi, la cybersécurité et le RGPD sont étroitement liés : « La première implique la protection des données. Pour cela, la conformité en matière de cybersécurité doit répondre aux exigences dans ce domaine, » souligne M. Lepassaar.

Marie-Laure Denis, présidente de la CNIL rappelle que la certification est source de confiance : « Elle permet de distinguer les acteurs vertueux et constitue pour eux un argument de visibilité important, » assure-t-elle, rappelant que la CNIL est chargée de faire respecter les garanties européennes sur les données et de conforter cette confiance indispensable au développement de l’économie numérique.

« Nous sommes donc très attentifs à ce que le niveau élevé du schéma de certification en cours d’élaboration par l’ENISA intègre dès maintenant les dispositions juridiques permettant l’application effective du droit européen, notamment sur l’accès par des autorités étrangères aux données des Européens, » précise-t-elle. « Nous sommes aussi très vigilants à ce que ces données transférées hors de l’UE continuent de bénéficier des garanties du niveau d’exigence du RGPD ».

L’UE pourra-t-elle vraiment imposer ces vues aux géants américains ? Les citoyens et les entreprises devront eux aussi se mobiliser à leur niveau pour renforcer la cybersécurité et la protection de leurs données. Si les premiers « ont largement adopté les applications Cloud dans leur quotidien, seules 36% des sociétés européennes font fonctionner une partie de leurs applications métiers dans un environnement comprenant un Cloud public ou privé, » note KPMG. Un retard notable qu’elle devront rapidement combler.