Dans un contexte géopolitique de plus en plus tendu, la question de la maîtrise de nos infrastructures et de nos données critiques est plus que jamais stratégique. Entre risques cyber, promesses d’un Cloud globalisé, risques de dépendance technologique et législations extraterritoriales comme le CLOUD Act ou Patriot Act, comment trouver le juste équilibre ? Faut-il viser une totale indépendance (illusoire ?), ou adopter une approche plus nuancée ? Et que recouvre réellement ce concept de souveraineté numérique ?
Pour nous éclairer, Alexis de Saint Jean Directeur de l’innovation et du marketing, nous livre sa vision pragmatique du sujet.
Peux-tu nous donner ta définition de la souveraineté numérique ?
Il n’y a pas de définition unique pour la souveraineté numérique. Si vous interrogez dix personnes, vous obtiendrez probablement dix réponses différentes. Pour moi, la souveraineté numérique est un concept multidimensionnel qui repose sur quatre axes essentiels (chacun pourra se faire sa conviction et ajouter/ supprimer des piliers). Il y a d’abord l’axe que nous ne pouvons pas maitriser : celui de la réglementation. Avec en toile de fond les différents Act (CLOUD, Patriot …) qui pose la question de l’extraterritorialité du droit. Ensuite, la maîtrise des données elles-mêmes est le second axe : savoir où elles sont physiquement stockées, qui y a accès, et selon quelles règles. Pour le troisième axe, je citerais (ensemble), les logiciels et les infrastructures que nous utilisons, depuis le système d’exploitation jusqu’à l’hyperviseur. Enfin, et c’est un point souvent sous-estimé, il y a la confiance que nous plaçons dans les acteurs comme dernière axe : les éditeurs, les partenaires, les prestataires, les développeurs… Dit autrement, la souveraineté, c’est notre capacité à maîtriser notre destin numérique sur l’ensemble de cette chaîne de dépendances ! Avec un tout petit peu de recul, ces axes sont très similaires à ceux que l’on prendrait en compte pour définir sa stratégie de cybersécurité.
Une souveraineté numérique à 100% est-elle envisageable ?
Pour être direct, je ne pense pas. Aujourd’hui, atteindre une souveraineté à 100% parait difficilement atteignable, ou alors elle s’accompagnerait d’un coût financier et d’efforts technologiques élevés (quelles solutions pour ma messagerie, pour ma bureautique, pour mon OS …). Et avec cet effort, se poserait d’innombrables questions : comment rester compétitif, comment gérer mon interopérabilité avec l’écosystème mondial, complexité de recrutement… Bref, le fond du sujet est d’identifier des alternatives et de se lancer dans un chantier de transformation.
Une approche dogmatique qui consisterait à tout rejeter en bloc ne semble pas tenable sans une implication politique forte à l’échelle européenne.
Je préfère aborder la question sous l’angle de la gestion du risque (identification/ action de maîtrise)
La vraie question qu’une entreprise doit se poser est donc : « Si demain, pour une raison géopolitique, mon fournisseur Cloud (par exemple) coupe l’accès à ses services, est-ce que mon activité peut continuer ? De combien de temps et de quelles solutions je dispose pour réagir ? ».
La souveraineté n’est pas un interrupteur on/off, c’est un continuum. Selon les secteurs d’activité, l’objectif n’est pas forcément d’atteindre une souveraineté absolue, mais de connaître son niveau d’exposition, de maîtriser ses risques et de se procurer du temps de réaction en cas de crise. Il faut pour cela tester ses scénarios de défaillance, faire des « digital sovereignty pen tests » pour s’assurer que les plans alternatifs sont viables. L’explosion de l’IA ne fait qu’ajouter une nouvelle pierre à l’édifice sur les interrogations à avoir sur la circulation des données et des réglementations diverses (AI act européen versus … rien aux USA par exemple).
Démocratiser l’Intelligence Artificielle par la maîtrise de ses données
Comment cet enjeu de souveraineté diffère-t-il selon les secteurs d’activité ?
Je pense que la différence se fait autant au niveau des secteurs qu’au niveau de la gestion du risque de chaque organisation. Bien sûr, un acteur du secteur public, de la défense, du bancaire ou de la santé aura des exigences intrinsèquement plus élevées et un cadre réglementaire plus strict. Mais la démarche de fond reste la même pour tous : identifier ses actifs informationnels les plus critiques – l’ERP est un excellent exemple – et évaluer leur niveau d’exposition sur toute la chaîne. Où est hébergé mon ERP ? Chez un hyperscaler américain ou chez un acteur européen comme OVH ? Sur quel système d’exploitation tourne-t-il ? Un Windows, dépendant d’un acteur unique, ou une alternative comme Linux qui offre plus de maîtrise ? Quelle est la nationalité de l’éditeur du logiciel ? Chaque choix est un curseur que l’on déplace sur l’échelle de la souveraineté et du risque. C’est donc à chaque entreprise de définir son niveau d’acceptabilité en fonction de l’impact potentiel sur son business, et de ne pas subir des choix technologiques mais de les piloter en conscience.
Pourquoi les éditeurs européens sont les mieux placés pour répondre à cet enjeu ?
Pour plusieurs raisons qui découlent directement de cette approche par la maîtrise des risques. Premièrement, travailler avec un éditeur européen, hébergé sur un Cloud européen, réduit considérablement votre temps de réponse en cas de crise géopolitique. Si un embargo est décrété, vous disposez d’un tampon de sécurité juridique et opérationnel bien plus important. Le risque de coupure unilatérale est drastiquement réduit.
Deuxièmement, la réactivité et l’alignement réglementaires. Un acteur européen a pour marché principal l’Europe. Il est donc nativement et plus rapidement en conformité avec les législations françaises et européennes (RGPD, etc.), car son modèle économique en dépend.
Enfin, il y a la proximité. La proximité physique, culturelle et juridique crée un alignement stratégique et une confiance qu’il est difficile d’obtenir avec un acteur situé à des milliers de kilomètres, dont le support de premier niveau est peut-être externalisé à l’autre bout du monde, dans une langue étrangère.
Quelle est la réponse concrète de Blueway à cet enjeu de souveraineté ?
Notre réponse s’inscrit totalement dans cette logique pragmatique d’aide à la maîtrise des risques. Nous ne prétendons pas être une solution « « 100% souveraine ». En revanche, nous offrons un ensemble de garanties qui permettent à nos clients de se rapprocher significativement de leurs objectifs de souveraineté.
Notre capitalisation est 100% européenne, et nos implantations en France et au Luxembourg assurent une proximité à nos clients. Nos équipes de R&D et notre support sont basés à Lyon et Vannes, ce qui assure une réactivité maximale. Pour notre hébergement Cloud, nous nous appuyons sur des partenaires de confiance comme OVH cloud à Strasbourg et Gravelines, avec la capacité d’être déployés en environnement SecNumCloud. Et pour ceux qui ont les exigences les plus fortes, nous conservons la capacité de faire du déploiement « chez vous », On Premise, sur les infrastructures même du client.
Notre forte expertise dans le secteur public, validée par des appels d’offres exigeants comme celui du ministère de l’Intérieur, démontre que nous cochons les cases nécessaires. Utiliser les solutions Blueway c’est faire le choix d’un partenaire qui réduit nativement son exposition aux risques de souveraineté ! C’est une démarche concrète et mesurable vers une plus grande maîtrise de ses données.
Échangez sur la Data Platform avec un expert Blueway !
