Souveraineté numérique
La souveraineté fait appel aux notions d’autonomie, de maitrise ou parfois de frontière : sa transposition au numérique ne peut facilement être généralisée. Pourtant, le terme revient régulièrement dans les préoccupations des utilisateurs de nos services. Il fait alors référence, dans la majorité des cas, à la réversibilité, la sécurité et l’immunité aux lois extraterritoriales. Dans les faits, chaque utilisateur a sa propre définition de la souveraineté, en fonction de la criticité de son activité, de la localisation de ses sites, ou encore des enjeux propres à son activité.
Certaines organisations – ou acteurs du numérique – peuvent aussi faire de la nationalité d’une technologie un critère fort de souveraineté : en effet, des acteurs technologiques « nationaux » peuvent apporter des garanties en matière d’autonomie stratégique ou de flexibilité. Cependant, dans la plupart des cas, cela ne constitue pas une condition suffisante ou nécessaire de souveraineté.
Parce que chaque organisation (publique ou privée) a ses propres enjeux, nous préférons parler de confiance numérique, en y associant les critères concrets et mesurables que nous décrirons ci-dessous.
Confiance numérique
Elle recouvre les notions d’objectivité et de transparence. La confiance numérique repose sur de nombreux critères mesurables : la sécurité, la résilience des infrastructures, la confidentialité des données et des échanges, l’intégrité des données du service fourni, la réversibilité du service, ou encore l’interopérabilité. Elle peut aussi faire appel à des critères liés à la nationalité ou à la composition de l’actionnariat du fournisseur de services numériques. Tous ces critères font appel à des paramètres techniques, opérationnels ou juridiques (détaillés ci-dessous.)
Grâce à ces éléments factuels et mesurables, un utilisateur de services numériques dispose d’éléments concrets et transparents lui permettant de prendre des décisions éclairées pour l’hébergement de ses applicatifs et de ses données critiques.
Confidentialité (des données)
Parmi les critères-clés de la confiance numérique, la confidentialité des données constitue un point majeur. Cette notion dépend, en premier lieu, des mécanismes de chiffrements mis en œuvre : les maîtriser permet de garantir que les données ne seront ni accessibles ni lisibles par quiconque en dehors du personnel habilité de l’entreprise. Ils arrivent que les données stockées dans le cloud soient chiffrées par des mécanismes fournis par le « cloud provider » lui-même. Chez Orange Business, nos offres permettent de garder le contrôle des clés de chiffrements.
La confidentialité des données concerne aussi le modèle opérationnel du partenaire : il est capital, par exemple, que seuls les personnels habilités du fournisseur de service puissent accéder aux données de l’entreprise.
Réversibilité
L’enjeu de la réversibilité est à la fois contractuel et technologique. Concrètement, une entreprise peut être confrontée à l’impossibilité de changer de fournisseur de service numérique soit par des engagements contractuels, soit parce que son système d’information repose sur des technologies propriétaires rendant tout changement coûteux et long.
Ainsi, il est préférable pour une entreprise de ne pas dépendre d’une seule « souche » technologique.
Résilience
Le numérique étant au cœur de toutes les entreprises, celles-ci doivent être en mesure d’opérer leur système d’information en toute circonstance (crise climatique, cybermenaces, pandémie, etc.). Cette exigence implique de travailler sur les aspects de connectivité, de cloud et de cybersécurité : proposer un service – sûr et stable – de « bout en bout » de la chaîne de valeur de la donnée est donc incontournable pour garantir aux clients la résilience de leur activité.
Opérations
Le modèle opérationnel et la gouvernance des environnements numériques sont essentiels pour assurer la confidentialité des données et l’immunité aux lois extraterritoriales. En effet, même une solution hébergée dans l’Union européenne, mais opérée et contrôlée par un Cloud Service Provider non européen, n’offre pas toutes les garanties juridiques requises pour certains secteurs d’activités.
Le modèle opérationnel est donc déterminant dans la confiance que l’on peut apporter à un service. Ainsi, dans le cadre des qualifications SecNumCloud, l’ANSSI vérifie que toutes les personnes ayant accès aux plateformes des clients sont basées dans l’UE. La qualification garantit également le cloisonnement strict et l’indépendance du fournisseur de service dans le support, les mises à jour et le maintien en condition opérationnelles. Autrement dit, un partenaire technologique non européen n’a accès a aucune donnée d’un environnement SecNumCloud.
Réglementation et conformité
Le droit européen s’est doté de plusieurs outils visant à renforcer le niveau de cybersécurité de plus de 100 000 entités publiques comme privées, la directive sur la résilience des entités critiques (REC), celle spécifique à la résilience numérique pour le secteur financier (DORA) ; ou encore les règlementations visant à réguler les services numériques (prévenir les abus de position dominante des géants du numérique, lutter contre les contenus illégaux en ligne) principalement le DMA et le DSA.
Toutes ces règlementations ont un objectif commun : augmenter le niveau de maîtrise de l’environnement numérique européen.
Immunité
Certain pays ont mis en place des lois dites « extra-territoriales », permettant un accès aux données au-delà de la frontière de leur pays. Une des plus connue est le C.L.O.U.D. (Clarifying Lawful Overseas Use of Data) Act. Le Cloud Act est une loi américaine adoptée en 2018 qui vise à réglementer l'accès aux données stockées à l'étranger par les fournisseurs de services cloud basés aux États-Unis. Elle permet aux autorités américaines d’accéder aux données électroniques stockées à l’étranger par les entreprises américaines, sous certaines conditions. Le Cloud Act suscite des préoccupations en matière de protection de la vie privée et de souveraineté des données.
L’immunité aux lois extraterritoriales est un point crucial dans les définitions de souveraineté numérique des organisations.
Certification
La certification est un moyen, pour un fournisseur, de prouver que son service respecte des normes et exigences bien précises. Les certifications constituent également, pour les organisations, des « présomptions de conformité » pour les règlementations sur la cybersécurité ou les données.
Au-delà des certifications internationales connues, telles que ISO 27001 ou SOC2, viennent s’ajouter d’autres certifications – ou qualifications – plus spécifiques, portant sur les environnements Cloud et les services managés :
- en France, la qualification SecNumCloud vient garantir à un client que l’infrastructure qu’il utilise respecte des exigences très strictes de sécurité, cloisonnement, gestion opérationnelle et même immunité aux lois extra territoriales ;
- à l’échelon européen, le projet de l’ENISA d’élaborer l’EUCS (European Union Cybersecurity Certification Scheme for Cloud Services) a pour objectif d’homogénéiser des certifications de sécurité des environnements Cloud en Europe, au travers de plusieurs niveaux en cours de discussions entre Etats membres.
Cloud souverain et cloud de confiance
Parmi toutes les notions relatives à la souveraineté numérique, le cloud constitue souvent le point de départ. Selon Gartner, d’ici 2025, 51% des dépenses IT dans chacune auront basculé à l’avantage du cloud public contre 41% en 2022. Sur ce marché on distingue principalement deux types d’offres :
- les offres de cloud souverain pour lesquelles les infrastructures et les personnels se trouvent dans un pays ou une région donnée,
- les offres cloud de confiance qui sont des offres cloud qualifiées SecNumCloud en France.
Dataspace
Espace numérique de confiance permettant de fluidifier les échanges de données entre acteurs d’un même secteur (agriculture, médias, santé, éducation, etc.) afin de créer de la valeur. C’est notamment le cas d’AgriConsent, l’identité numérique dédiée aux exploitants agricoles, une solution développée par Agdatahub, Orange Business Dawex et In Group. Orange est membre fondateur de deux initiatives qui œuvrent au développement des dataspaces : GAIA-X et l’Association pour l’intermédiation des données.
IA de confiance
L’IA de confiance est d’abord un cadre éthique et légal dont les fondements reposent sur le respect des droits fondamentaux. Un système d’IA est jugé « de confiance » quand l’évaluation de son cycle de vie répond aux exigences définit par la Commission européenne (AI ACT) à savoir : le contrôle et la maitrise humaine, la transparence, le respect de la vie privée, la robustesse et la sécurité technique, la non-discrimination, et la responsabilité sociale et environnementale.