C’est un sujet qui me tient à cœur depuis longtemps. Je vais faire sans doute une série de posts sur le sujet.
La notion de souveraineté numérique
La notion de souveraineté numérique est desservie par son propre intitulé : on ne parle pas de souveraineté au sens originel à savoir une de ces deux acceptations :
- Autorité suprême (d’un souverain, d’une nation…).La souveraineté du peuple, fondement de la démocratie.
- Caractère d’un État qui n’est soumis à aucun autre État.
Dans l’idée la souveraineté numérique est plus proche du 2eme sens, et quand on regarde la question au bénéfice d’un ministère ou d’une grande institution publique (Banque de France, CNAM, SNCF…) c’est exactement ça.
Mais la notion de souveraineté numérique s’étend bien au delà de ça. On peut la considérer au bénéfice d’une entre prise dans l’optique de préserver un degré d’indépendance vis à vis de puissances étrangères ou de puissances privées telles que les fameux « GAFAM ».
On peut aussi la considérer, dans le cadre d’une démocratie, au bénéfice du citoyen et du peuple : garder une forme d’indépendance ou de protection contre la mainmise numérique sur des données privées ou sensibles par des puissances étrangères, des puissances privées ou même l’état auquel on délègue par le vote la gestion du pays.
Du point de vue d’un état (le nôtre au hasard)
C’est, il faut bien le dire, un sujet qui ne réveille la nuit que très peu de gens.
Un peu comme pour les pandémies et la capacité hospitalière : une pandémie ça n’arrive pas tous les jours. Heureusement d’ailleurs. Mais si on dimensionne la capacité hospitalière et si on pense l’organisation sans anticiper la possible arrivée d’une pandémie, le jour où ça arrive on est « cuits ».
Il en va de même pour le numérique : un conflit avec une puissance numérique majeure (au hasard les USA prenons le pays le plus avancé dans le domaine) ça n’arrive pas tous les jours.
Encore que… notons que avec le conflit en Ukraine on est pas si loin que ça d’avoir affaire à la Russie qui est loin d’être un acteur négligeable dans le domaine du numérique. L’hypothèse devient du coup moins « fumeuse ».
Restons quand même sur l’hypothèse du conflit (heureusement hypothétique) avec le grand tonton américain super costaud.
Ils ont Intel qui fait les processeurs de la moitié de nos ordinateurs, l’autre moitié c’est AMD qui les produits et AMD est aussi américaine.
En vrai il y a aussi des puces chinoises mais c'est à la marge pour ce qui concerne les processeurs "coeurs" de systèmes. Il y a quand même quelques smartphones et des équipements réseau type Huawaei qui ont des cœurs chinois. C'est préoccupant mais moins massif.
Du point de vue des systèmes d’exploitation Microsoft Windows est américain, Apple Mac OS et iOS c’est américain aussi, Android de Google c’est encore américain, Red Hat Linux de IBM/Red Hat, c’est bah oui américain.
Bref si on devait avoir une brouille plus ou moins grave avec ceux qui sont aujourd’hui nos alliés… sur le plan numérique on ne serait pas en situation très rassurante.
Quelle part de nos systèmes critiques dépendent aujourd’hui de technologies américaines ? S’ils le voulaient seraient-ils capables d’attaquer ces systèmes à distance pour nous paralyser ? Est- on aujourd’hui seulement capables de faire un état des lieux précis et fiable de ce qui est à risque ou pas dans l’optique d’un conflit « Atlantique » ?
Je ne suis même pas sur que l’on soit aujourd’hui en capacité de faire cette évaluation de façon précise sous forme d’une belle AMDEC.
Personnellement je considère que c’est une situation à laquelle l’état devrait remédier rapidement au lieu de signer des contrats open-bar avec Microsoft ou avec Google (je sais que leur credo c’est théoriquement « don’t be evil » mais bon il y a parfois des décalages entre la théorie et la pratique).
Si par chance un décideur de chez un avionneur « pas américain » bien connu (et qui fait de très belles machines) venait à lire ce billet : à bon entendeur… (et merci d’avoir pris le temps de lire ^^).
Et les entreprises ? Et les utilisateurs ?
Pour les utilisateurs
Si vous avez un compte « Outlook™ » ou « Gmail™ » ou « Hotmail™ » ou « mail.com » vous êtes chez Microsoft, Google ou Apple… c’est à dire dépendant.
Ultra dépendant même!
Tiens d’ailleurs combien d’entre vous, utilisateurs d’un de ces services « clés en main » font des sauvegardes externes chez eux de leur boite mail ?
Allez à la page entière pour voir et envoyer le formulaire.
J’ai du il y a quelques mois aider une amie qui à l’occasion d’un changement de fournisseurs d’accès à internet a vu « disparaître » sa boite mail (qui était « attachée » au contrat résilié).
Dans son malheur elle a eu la chance de passer du « même fournisseur au même fournisseur » (Elle est passée d’un abonnement ADSL à un nouvel abonnement fibre lors d’un déménagement). Le fournisseur par chance s’est montré conciliant et, la boite mail n’ayant pas encore été effacée, a finalement ré-ouvert l’accès à la boite.
Si la boite avait été effacée elle n’aurait rien récupéré du tout. Et si ça avait été une boite Gmail perdue (c’est rare mais ça arrive) il n’y aurait eu absolument aucun recours possible.
La souveraineté pour l’utilisateur final c’est aussi ça : assurer une certaine forme d’indépendance par rapport à des défaillances ou de décisions abruptes de fournisseurs tiers. Si demain matin Google décidait de fermer le service Gmail sans crier gare il pourrait le faire et le cas échéant récupérer les données pour les utilisateurs serait sans doute un exercice voué d’avance à l’échec.
Pour les entreprises
Pour les entreprises les questions d’indépendance se posent quasiment dans les mêmes termes, en particulier pour tout ce qui relève des services en mode dit « SaaS » : que se passe-t-il si le fournisseur de service tiers sur lequel je m’appuie (et qui « tient » mes données) pète les plombs et coupe tout ?
Est-ce que mon entreprise coule ? Est-ce que je mange la marge des 5 dernières années ? Est-ce que mes clients vont se retrouver le bec dans l’eau et me poursuivront en justice ? Est-ce que je vais me retrouver à gérer un conflit avec l’ensemble des salariés ?
Et si moi je décide de sortir d’une solution SaaS, soit pour revenir à quelque chose qui tournera chez moi, soit pour en adopter une autre plus intéressante ou moins chère ?
Est-ce que je devrai faire une croix sur mes paramétrages ? mes customisations ? une partie de mes données ? toutes mes données ? Est-ce que l’export me coûtera terriblement cher ? Et la formation de mes équipes au nouveau service ? Est-ce que le fournisseur « sortant » jouera « fair play » ou rendra-t-il tout aussi compliqué que possible ?
Et mes données critiques ? Si je les mets sur une solution SaaS (au hasard Google documents)… qu’est-ce qui me garantit (vraiment hein… un commercial qui dit « juré craché » ça ne compte pas… faire appel au bon sens en mode « croyez vous que l’on s’amuserait à ça voyons ? » ça ne compte pas non plus… les promesses n’engageant notoirement que ceux qui y croient [J. Chirac]) que ces données ne seront pas « un petit peu partagées en douce » avec mon concurrent américain direct qui cherche à percer mon secret industriel depuis dix ans ?
Au final, ne fois les choses posées ça relève de la plus basique analyse du risque mais il semblerait que ces dernières années le pilotage par le risque ait un peu disparu des mémoires et des réflexes…
Pour le citoyen
Pour le citoyen c’est aussi une question de bon fonctionnement de la démocratie : trop dépendre de l’état et de façon trop opaque peut poser des véritables soucis démocratiques.
On a la chance en France (en théorie et tant que la situation n’empire pas trop) d’avoir un état qui reste modéré : on n’exécute pas les gens sans procès, on ne les emprisonne pas non plus sans procès.
Mais rien ne garantit que ça durera infiniment. On sent bien que la tentation de l’autoritarisme exerce son attrait sur un certain nombre de décideurs…
On sent aussi l’attrait du numérique, par exemple pour le vote. Or contrairement aux urnes transparentes qui permettent à ABSOLUMENT CHACUN de vérifier la propreté du processus, les machines à voter sont des boites noires dont il est IMPOSSIBLE DE CONTRÔLER LE BON FONCTIONNEMENT « en live » et surtout sans les compétences poussées qui vont bien.
Ce genre de sujet se posera de façon de plus en plus criante au fur et à mesure que le temps passera… en particulier comment garantir, s’il y a des machines à voter, que d’un bout à l’autre de l’élection aucune ne se met à trafiquer les résultats.
Un citoyen aveugle, incapable de vérifier par lui même le bon respect des règles de comptage de vote, mis sur écoute, tracé avec le puce GPS de son mobile, surveillé sur les réseaux sociaux ça fait un peuple qui perd de sa souveraineté et de sa capacité de contrôle démocratique sur l’État (seule garantie réelle d’une démocratie pérenne).
Et cette souveraineté là est tout aussi importante que l’indépendance de l’État vis à vis des autres puissances : il faut les deux conditions pour qu’une démocratie reste réelle et opérationnelle.
Des pistes pour avancer
Tout n’est cependant pas tout affreux, et en réalité on a peut être (la France) les bases les plus saines pour (re)construire une souveraineté numérique.
Au moins un début de souveraineté retrouvée dans un premier temps.
On a des savoirs-faire… je pense en particulier à une belle entreprise à cheval sur la France et l’Italie qui sait fondre des puces… certes pas de la puissance d’un processeur Intel mais c’est mieux que de partie de zéro. Et ils seraient ravis de contribuer à développer une industrie du processeur digne de ce nom en Europe.
Pour le réseau on a ce qui reste d’Alcatel (bien que ça ait été lourdement racheté et vidé de sa substance). Et quelques autres pépites innovantes par-ci et par-là…
Ça fait peu… mais ça reste une base sur laquelle construire quelque chose de bien (et à terme de costaud).
Pour le logiciel nous ne sommes pas tout à fait démunis en France. Ça sera l’occasion d’un post dédié.
Il faut bien que je m’entraîne à teaser un peu…