Cybersécurité et souveraineté numérique

Cybersécurité

Le préfixe cyber, issu du grec  Κubερνêτικê (gouvernail), sert à former de très nombreux mots relatifs à l’utilisation du réseau Internet. Son étymologie n’a toutefois pas grand rapport avec l’informatique ou le numérique et évoque plutôt l’idée de gouvernance.

La cybersécurité désigne tout simplement les différents moyens de protéger les comptes et les fichiers d’un ordinateur contre l’intrusion d’un utilisateur extérieur. Ces moyens peuvent être techniques, juridiques, méthodologiques ou humains.

Ensemble des moyens utilisés pour assurer la sécurité des systèmes et des données informatiques d’un État, d’une entreprise, etc.
Dictionnaire Le Robert

L’anglais « digital security » ou sécurité numérique traduit mieux ce concept.

Les niveaux imbriqués de la cybersécurité

Nous ne vivons plus depuis longtemps dans un espace isolé. Les informations circulent d’un pays à l’autre, à l’intérieur des entreprises et entre individus.

cybersécurité

La question de la cybersécurité se pose à chacun de nous à titre individuel : comment protéger ses données, son identité numérique, ne pas se faire escroquer ? Hameçonnage (phishing), piratage de compte et faux support technique sont monnaie courante. Un minimum de bonnes pratiques s’impose à chacun pour maintenir son système d’information personnel en état de marche. Gestion des mots de passe, antivirus et sauvegardes sont la moindre des précautions. Nous restons toutefois dépendants des fournisseurs d’accès et d’énergie, développeurs de logiciel, fabricants de matériels. Les matériels ont tous une durée de vie limitée, aucun logiciel n’est exempt de bug et tout câble réseau peut être coupé par une pelleteuse.

Les entreprises sont confrontées à des risques d’autant plus importants que leur activité est dépendante de leur système d’information. Les rançongiciels (ransomware) comptent parmi les formes d’attaque les plus répandues en 2021 (cf. cybermalveillance-rapport-activite-2021). L’indisponibilité d’un site vitrine n’est pas très grave, celle d’un site d’e-commerce l’est beaucoup plus. Banques et assurances sont entièrement dépendantes de leur système d’information et déploient des moyens considérables pour leur cybersécurité. Aucune entreprise n’est toutefois à l’abri de cyberattaques, quelle qu’en soit l’origine. Analyse des risques, Plan de continuité d’activité et plan de reprise d’activité sont les incontournables de la réduction de la dépendance au système d’information. Sensibilisation et formation du personnel sont aussi d’autant plus indispensables que la sécurité de l’entreprise est intimement liée à celle des individus qui la composent et sont en relation avec elle.

Souveraineté

Individus et entreprises sont, chacun à leur niveau, dépendants de l’écosystème numérique qui les entoure. Ce n’est qu’au niveau de l’État que la question de la souveraineté numérique commence à se poser.

La souveraineté est un mot à la mode.

Caractère d’un État qui n’est soumis à aucun autre État.
Petit Robert

Pouvoir suprême reconnu à l’État, qui implique l’exclusivité de sa compétence sur le territoire national (souveraineté interne) et son indépendance absolue dans l’ordre international où il n’est limité que par ses propres engagements (souveraineté externe). (L’article 3 de la Constitution française de 1958 dispose que « la souveraineté nationale appartient au peuple, qui l’exerce par ses représentants et par la voie du référendum ».)
Larousse

Alimentaire, industrielle ou numérique, la souveraineté se décline dans tous les domaines. Elle est revendiquée comme un idéal d’indépendance face aux menaces de manque révélées par les plus récentes crises : manque de médicaments, manque de céréales, manque de microprocesseurs ou de terres rares… Se passer de chocolat ou de café serait sans doute un peu pénible pour se conformer à une stricte souveraineté alimentaire. N’accéder qu’à des sites Web développés et hébergés en France, à partir d’appareils conçus et fabriqués en France, n’incorporant aucune matière première d’origine étrangère, risque d’être beaucoup plus difficile. Et cela reste vrai si vous remplacez France par Europe.

Souveraineté numérique remède miracle

Les sites institutionnels sont régulièrement la cible de cyberattaques dans tous les pays du monde.

Les infrastructures réseau sont parfois l’objet de sabotages.

La souveraineté numérique serait-elle le remède miracle pour les protéger ?

Au niveau d’un État particulier ou d’un ensemble d’États, tel que l’Europe, cybersécurité et souveraineté numérique sont-ils synonymes ?

La souveraineté numérique, parfois appelée aussi cybersouveraineté, est l’application des principes de souveraineté au domaine des technologies de l’information et de la communication, c’est-à-dire à l’informatique et aux télécommunications…
L’expression « souveraineté numérique » est apparue dans le langage dans les années 2000, sans qu’elle n’y fasse l’objet d’une définition claire.
Wikipédia

Ce concept de souveraineté numérique apparait régulièrement dans les discours politiques, présenté comme un idéal de gouvernance.

La souveraineté numérique est définie de plusieurs façons, mais celle qui semble la plus largement utilisée peut-être résumée par « la maîtrise de l’ensemble des technologies [du numérique], tant d’un point de vue économique que social et politique », qui est la définition donnée par Bernard Benhamou, enseignant à l’université Panthéon-Sorbonne et spécialiste du sujet, dans un article du journal Libération paru en 2016.

Numerama (@Numerama) April 12, 2022

Comment être cohérent, respecter le RGPD, ne pas dépendre de technologies étrangères, échapper à l’espionnage de la NSA ? Quels processeurs sont conçus et fabriqués en Europe ? Quels systèmes d’exploitation ? Quels logiciels n’utilisent aucun composant d’origine non européenne ? Les serveurs hébergés en Europe sont-ils isolés du reste du monde ?

Rester maître chez soi en fermant portes et fenêtres et protéger ses données en ne se connectant à aucun réseau n’est plus vraiment réaliste. La numérisation de l’administration et des services de l’État rend indispensable l’usage d’Internet. Pour beaucoup de services, il n’existe plus de solution de remplacement, ce qui pose d’ailleurs des problèmes d’accessibilité…

Les candidats aux élections présidentielles de 2022 ont eux-mêmes utilisé des outils de ciblage marketing stockant les données personnelles sur des serveurs d’Amazon. Cf. l’article du monde du 28 mars 2022.  Le droit applicable par Nationbuilder, le logiciel utilisé pour la gestion des contacts de plusieurs partis, est celui de l’État de Californie.

On peut voir ci-après une liste de références de Nationbuilder.

Cybersécurité et souveraineté numérique 1

Souveraineté numérique et souveraineté politique

Souveraineté politique et souveraineté numérique sont étroitement liées.

Le rapport du Sénat de 2019 partait de ce triple constat :

1- Aujourd’hui, il faut défendre notre modèle de société et nos valeurs : l’Homme n’est pas une somme de données à exploiter.
2- Le cyberespace, loin de l’utopie
égalitaire de ses débuts, est devenu un lieu d’affrontement mondial, où s’exercent luttes d’influence, conflits d’intérêts et logiques sociales et économiques antagonistes.
3- La révolution numérique et la
maîtrise des données ont fait émerger des acteurs économiques capables de rivaliser avec les États.

La souveraineté numérique est prônée suivant le cas au niveau national ou européen. L’importance des moyens à mettre en œuvre et l’interdépendance technologique et économique ne permettent toutefois de l’envisager qu’au niveau européen, aucun État européen n’ayant à lui seul une puissance économique suffisante face aux États-Unis et à la Chine.

À l’occasion d’une conférence sur le thème « Construire la souveraineté numérique de l’Europe » Bruno Le Maire rappelait le 7 février 2022 que la souveraineté technologique conditionne la souveraineté politique et qu’un réveil technologique européen était aujourd’hui nécessaire. Depuis le 20 mai 2022, Bruno Le Maire, reconduit dans ses fonctions de ministre de l’Économie, porte désormais le titre de « ministre de l’Économie, des Finances et de la Souveraineté industrielle et numérique ». C’est un signe manifeste d’intérêt pour ce sujet !

Les États-Unis comme l’Europe sont effectivement aujourd’hui largement désindustrialisés. L’Europe produisait il y a 30 ans 40 % des semi-conducteurs, elle en produit aujourd’hui moins de 10 %. Face à la puissance d’investissement des États-Unis et de la Chine, la souveraineté industrielle n’est envisageable désormais qu’à l’échelle européenne.

Le modèle de souveraineté numérique européen veut se différencier à la fois du modèle américain, contrôlé par les géants privés et du modèle chinois, contrôlé par l’État autoritaire. Entre les deux, le contrôle par le peuple souverain ouvre une voie étroite.

Pour y parvenir, trois conditions s’avèrent nécessaires :

  • l’innovation, via le soutien aux entreprises et aux projets industriels innovants ;
  • la régulation, pour éviter le monopole des géants du numérique et permettre le contrôle des contenus ;
  • la souveraineté énergétique, indispensable au développement technologique.

Les limites de la souveraineté

Souveraineté et contrôle de la communication

Stéphane Bortzmeyer, spécialiste des réseaux informatiques et pionnier du Web en France, exposait les limites de la souveraineté numérique dans un récent podcast réalisé par La Cantine à Brest :

Employé avec des acceptions éloignées, et souvent de manière floue, le concept de souveraineté numérique recouvre bien des propositions. Elles vont d’une mainmise plus importante des États sur les usages d’Internet par leurs populations, à la nécessité de robustesse des services numériques et de leurs infrastructures, en passant par une volonté de déprise des asymétries qu’imposent, ou tentent d’imposer, certaines plateformes privées tout comme des opérateurs publics.

Les quelques expériences françaises, et/ou européennes, en la matière montrent, s’il fallait encore le rappeler, que la compétence ne saurait être remplacée par le volontarisme.

Stéphane Bortzmeyer nous rappelle qu’Internet n’est pas une zone de non-droit. Des lois différentes s’appliquent sur les personnes. Les entreprises sont soumises aux lois de leur pays. Certains gouvernements voudraient contrôler plus étroitement les communications. Des censures locales s’appliquent déjà dans plusieurs pays dont la Chine, l’Iran ou la Russie. La souveraineté revendiquée par les gouvernements correspond bien souvent à une reconnaissance du droit à la censure et à plus de contrôle sur les populations.

Pour la France et l’Europe la souveraineté supposerait de ne plus, ou moins, dépendre des acteurs américains, du point de vue des matériels, des logiciels, des normes, des flux de données. Faudrait-il n’utiliser que des logiciels conçus et développés en Europe ? Le concept de nationalité d’un logiciel ou d’un algorithme n’a pas vraiment de sens, d’autant qu’ils utilisent bien souvent des briques de logiciels libres dont la nationalité est floue. Les algorithmes d’IA sont testés et mis au point à partir de jeux de données dont il faudrait également tester la provenance, quel que soit le lieu de développement du logiciel.

Un projet de système d’exploitation souverain a fait également l’objet de débat avant d’être abandonné.

Le Cloud souverain reste à l’état de projet depuis 2009, malgré plusieurs tentatives, dont le projet Andromède qui s’est révélé une catastrophe technique et financière… Amazon (Amazon Web Service), Microsoft (Azure) et Google (Google Cloud Platform) captent encore 69% du marché européen à eux seuls (selon une étude de Synergy Research Group publiée en septembre 2021) et continuent à se développer. (cf. Le-grand-guide-du-cloud-souverain et le-cloud-souverain-n-est-il-qu-un-fantasme.N1151837). Le Cloud de confiance européen Gaiax est censé ne pas dépendre des lois américaines, mais utilise toujours les services des Gafa en marque blanche.

Plusieurs projets de navigateur français ont été lancés puis sont tombés dans l’oubli, tel Qwant lancé en 2013. Le projet de navigateur européen UR browser pourrait avoir plus de chance de réussir. Il assure la confidentialité des données, en intégrant un VPN, un bloqueur de publicités et un scanner de virus. Un moteur de recherche privé Oscobo lui est associé: slogan « No tracking. Just search ».

Bortzmeyer insiste à ce propos sur l’importance de la dépendance aux moteurs de recherche dont les algorithmes conditionnent la sélection et la présentation des résultats. Savoir naviguer sur Internet sans utiliser Google est aussi une condition de la souveraineté numérique. Il recommande l’utilisation des signets, de listes d’adresse, des liens proposés par Wikipédia.

Souveraineté et cybersécurité

Le livre blanc de 2013 sur la défense et sécurité nationale apportait un classement des menaces les plus importantes sur l’État et montrait que la menace informatique apparaissait en second juste derrière la menace terroriste.

La stratégie nationale pour la sécurité numérique fait l’objet de différents travaux coordonnés par l’ANSSI (strategie_nationale_securite_numerique).

L’ANSSI  prévoit des mesures destinées à répondre aux crises affectant ou menaçant la sécurité des systèmes d’information vitaux de la Nation et coordonne l’action gouvernementale en matière de défense des systèmes d’information. Elle édite également le Référentiel Général de Sécurité (RGS) qui fixe les règles que doivent respecter certaines fonctions de sécurité et qui cadre par exemple les aspects sécuritaires des échanges entre les services de l’administration et les particuliers comme la déclaration des impôts en ligne.

Le premier axe de la stratégie nationale pour la sécurité du numérique consiste à réaffirmer que les questions de sécurité numérique auprès des OIV (opérateurs d’importance vitale) sont liées à celles de la souveraineté nationale. En effet, aujourd’hui, de nombreuses infrastructures vitales (centrales nucléaires, barrages, circulation routière…) sont gérées par informatique, ce qui peut générer de gros dommages potentiels en cas de cyberattaque. Une Nation qui veut conserver sa souveraineté doit faire de la cybersécurité une priorité nationale confirmée.

La cybersécurité comme la souveraineté numérique se construit à l’échelle européenne. La révision de la directive NIS, la cybersécurité des institutions européennes, est au programme 2022 des travaux de l’Union européenne.

Conclusion

La souveraineté numérique n’existe pas. L’indépendance technologique ça se travaille.
NextInpact Magazine Saison01 | Episode 03

Tel est le diagnostic formulé par David Legrand dans le numéro 3 du Magazine NextInpact. L’indépendance numérique d’un État relève effectivement de l’utopie, tant il existe d’interdépendances entre les technologies.

La souveraineté numérique n’est que l’une des faces de la souveraineté industrielle, seulement envisageable au niveau européen, de même que la cybersécurité.

Quelques références :

Dans la Lettre d’ADELI

Print Friendly, PDF & Email
Partager cette page
Publié dans Technologie et marqué , .

Présidente d'honneur d'ADELI
Membre du comité
Responsable du GT Métiers