Souveraineté numérique : comment protéger nos entreprises ?

Souveraineté numérique : ne perdons pas de vue la protection des données de nos entreprises

souveraineté numérique : protection des données entreprises

Rejet de l’offre de Microsoft pour la gestion des data de la Plateforme des données de Santé (Health Data Hub en anglais), fin de non-recevoir de l’AP-HP vis-à-vis de la société américaine Palantir spécialisée dans le Big Data... une véritable levée de boucliers voit le jour depuis quasiment un an contre les cloud provider et solutions étrangères, majoritairement américaines.

La raison ? Une prise de conscience, de plus en plus large, des entreprises et de la société civile que nos données constituent un patrimoine informationnel critique.

Critique dans la mesure où nos données personnelles (notamment nos données santé) ne sont pas un «asset» comme les autres et doivent être gérées en respectant nos règles de gouvernance et de confidentialité.

Critique également puisque confier l’hébergement et/ou la gestion des données de nos entreprises à des acteurs étrangers implique une confiance totale quant à l’alignement des objectifs de chacun et quant aux règles auxquelles ils sont soumis.

Critique, enfin, car la numérisation des process et des moyens de production fait, qu’aujourd’hui, la pérennité de nos entreprises et de nos services publics dépend d’un haut niveau d’exigence sur la protection des données. La multiplication des Ransomwares mettant à mal la continuité d’activité de certaines organisations en est un bel exemple.

Souveraineté et préférence nationale : un attelage suffisant ?

L’idée est donc de reprendre la main en prônant une approche souveraine de la donnée par la promotion de solutions et d’acteurs français et/ou européens.

Récemment, les initiatives PlayFrance Digital et surtout Gaia-X portent cette vision pour proposer un référentiel commun et couvrir un maximum de besoins sur le stockage, la gestion, l’exploitation et le partage de données pour les entreprises.

Pour autant, nous devons à tout prix éviter de penser que la préférence nationale, voire européenne, constitue une fin en soi.

Promouvoir nos compétences techniques, nos expertises, est une étape indispensable vers notre souveraineté numérique, mais doit aller de pair avec une exigence forte en matière de sécurité de la donnée.

La notion de souveraineté numérique est notamment au cœur du travail de l’ANSSI (l’Agence Nationale de la Sécurité des Systèmes d’Information) avec la volonté de «promouvoir l’autonomie stratégique européenne pour la sécurité du numérique».

Guillaume Poupart, directeur général de l’ANSSI déclarait d’ailleurs il y a peu que : 

Nous ne pouvons pas faire l’économie d’un traitement conjoint de notre sécurité et de notre souveraineté numérique.

En somme, l’objectif est double :

  • Développer notre autonomie sur le numérique pour extraire nos entreprises du monopole de certains acteurs soumis notamment à des lois d’extraterritorialité comme le Cloud Act.
     
  • Mais également protéger nos entreprises, leurs données industrielles et nos données personnelles face aux menaces directes liées aux organisations criminelles (Ransomware, revente de données sur le dark web, etc.) et à des procédés de guerre économique «non étatique» (vol de données liées à de la R&D par exemple).

Trois volets sont donc primordiaux pour les acteurs du numérique afin de protéger les entreprises et garantir cette souveraineté numérique.

Volet n°1 : promouvoir un haut niveau de sécurité sur les solutions de gestion de la donnée sensible

La loi de programmation militaire (LPM) de 2014 est, par exemple, un jalon important dans ce processus en imposant aux OIV (Opérateurs d’Importance Vitale) de suivre les règles de sécurité renforcées des systèmes d’information utilisés.

Ces mesures à destination de certaines entreprises sensibles (OIV) s’accompagnent de référentiels pour les acteurs du numérique spécialisés en sécurité de la donnée tels que les Critères Communs et plus récemment la CSPN. Cette dernière couvre notamment les aspects d’authentification et de contrôle des accès, de messagerie sécurisée en passant par le stockage sécurisé.

Ces certifications permettent, pour l’entreprise qui fait le choix de s’appuyer sur une solution tierce, d’avoir l’assurance d’un haut niveau de sécurité quant aux mécanismes de protection et de chiffrement de la donnée utilisés.

Bien sûr, tous les éditeurs de solutions ne sont pas concernés par ces problématiques dans la mesure où cela dépend de la criticité des données gérées.

Cependant, la question d’un «seuil minimal de sécurité» mériterait peut-être d’être posée sans pour autant construire de barrières à l’entrée néfastes à la compétitivité.

Volet n°2 : garantir une approche security by design

Deuxième volet, finalement assez lié au niveau d’exigence à fixer évoqué dans le paragraphe précédent : le security by design.

Il est à mon sens indispensable d’être le plus transparent possible sur la manière dont sont gérées les données qui nous sont confiées… d’autant plus dans un contexte où les levées de boucliers évoquées en introduction concernent directement l’opacité et la mise en danger de l’intégrité de nos données.

L’open source est une option non négligeable, voire peut-être la plus en phase avec cette volonté de souveraineté, mais présente quelques faiblesses que nous ne développerons pas dans cet article.

Prenons l’exemple le plus simple pour moi, celui de LockSelf, pour illustrer ce que peut-être une approche security by design.

Le coffre-fort LockSelf, imaginé et développé par deux anciens d’EPITECH, se base, en vulgarisant, sur la création d’une paire de clefs RSA pour chaque utilisateur (en apprendre plus sur le RSA).

Pour déchiffrer la clef privée et accéder ensuite au coffre-fort, l’utilisateur s’appuie sur une masterkey qu’il est le seul à connaître et qu’il a lui-même créée.

Très souvent pourtant, cette masterkey destinée à l’utilisateur pour accéder à un espace de gestion de données est directement fournie par l’éditeur. Même s’il a le loisir de la modifier cela pose de vraies questions en termes de confidentialité et d’accès aux données pour ce même éditeur.

Volet n°3 : apporter de la compliance sur le stockage des données clés

Dernier volet et non des moindres, la question du stockage qui est finalement au cœur des discussions actuelles.

Comment développer un cloud européen ou français compétitif face au leader du marché ?

La question de la souveraineté passe effectivement par la promotion d’éditeurs français/européens, mais nécessite des propositions de valeur les plus complètes possibles incluant des offres d’hébergement françaises/européennes.

Les éditeurs de logiciels doivent donc porter cette vision souveraine non seulement sur la partie applicative, mais également sur le stockage.

L’État et l’Union Européenne ayant évidemment eux aussi leur rôle à jouer via les marchés publics par exemple.

Que ce soit dans une logique de protection touchant à l’éthique (données personnelles, données de santé) ou dans une logique concurrentielle entre acteurs privés, notre patrimoine informationnel est une ressource à valoriser et à protéger.

Désormais au centre de notre économie du fait de la digitalisation de la société, la maîtrise de la donnée au sens large devient une ressource presque vitale et attise, de fait, les convoitises.

L’enjeu est donc double pour nos gouvernements et nos entreprises :

  • Construire un écosystème fort capable d’assurer notre autonomie (souveraineté numérique),
     
  • Élever notre niveau d’exigence en termes de sécurité de la donnée au profit de notre économie, mais également sur la question de la gouvernance.
     

 

Après plusieurs expériences dans le domaine du conseil en transformation digitale, Pierre Rangdet est aujourd'hui Directeur des Opérations chez LockSelf, éditeur français d'une suite de solutions de sécurité allant de la gestion centralisée des mots de passe jusqu'au partage sécurisé de fichiers.

Article promotionnel. Les contributeurs experts sont des auteurs indépendants de la rédaction d’Appvizer. Leurs propos et positions leur sont personnels.

Commenter cet article

Ajouter un commentaire