Accueil Cybersécurité Vous avez dit Souveraineté ? Fantasme quand tu nous tiens !

Vous avez dit Souveraineté ? Fantasme quand tu nous tiens !

AVIS D’EXPERT – Ce n’est pas dans mes habitudes de polémiquer mais en cette période estivale profitons de moments plus calmes pour évoquer quelques sujets cyber dont la souveraineté, ceci sans langue de bois, pour alimenter nos pensées vagabondes de cet été et me créer des amitiés supplémentaires dixit David Ofer, le président Fédération Française de la Cybersécurité.

Cette fameuse souveraineté est à la mode depuis quelques temps déjà, tout le monde en parle, tout le monde en veut, tout le monde la préconise… mais surtout pour les autres, et presque personne ne l’applique.

Regardons un instant ce qui se passe dans notre écosystème cyber. Les grands groupes leaders sur le marché cyber commercialisent presque exclusivement des produits et équipements étrangers faisant souvent fi de ce qui est fabriqué en France. Un grand nombre d’acheteurs ou d’administrations se moquent de la nationalité du produit tant que cela coute moins cher ou permet certains ‘avantages’ futurs à ceux qui achètent.

Fantasmes me direz-vous ! Alors parlons nous franchement :

L’état a créé un comité de filière cyber piloté par Thalès. Cette même entreprise stratégique francaise qui pousse aujourd’hui discrètement mais efficacement les offres de Microsoft sur la cyber auprès des entreprises françaises. La même qui va créer un cloud avec Google pour essayer de rivaliser avec Orange qui, elle-même pousse également quasiment exclusivement, des produits de cyber américains et va monter son cloud avec Microsoft.

Ces solutions étrangères de cybersécurité, pour lesquelles il existe des solutions équivalentes françaises, sont poussées avec force auprès des entreprises du tissu économique et permettent à ces éditeurs étrangers de récupérer des données pour une ‘analyse optimisée’ (aux US principalement) avec notamment les offres logiciels en cloud, mutualisées sur des data-lake (bases de données géantes agrégeant et pouvant recouper toutes nos données).

De la même manière, où sont les logiciels français chez Cap Gemini ? Géant français s’il en est, qui officiellement signe quelques partenariats avec des entreprises françaises tout en commercialisant leur équivalent étranger auprès de clients sur le territoire national.

Que dire de certains fonctionnaires qui se retrouvent ‘étrangement’ employés par des sociétés américaines après avoir eu à choisir ou à encourager l’achat de produits ou de services de ces sociétés étrangères, souvent en écartant volontairement les produits français. Palo alto, Cisco ou Deloitte savent très bien faire… mais qui pourrait leur reprocher.

Les “bienveillants” trouveront toujours des excuses

Alors, les bienveillants trouveront toujours des excuses en se retranchant derrière le code des marchés publics, les lois européennes, la non application du Cloud Act, etc. Or, il est aisé de démonter ces arguments quand on connaît un peu le sujet et qu’on le veut vraiment.

Ainsi, par exemple, le Health Data Hub a réussi à imposer dans son appel d’offre de cet été pour un SOC (Security operation center), l’utilisation du SIEM Splunk en contrevenant à mon sens à l’Article R 2111-7 du Code de la commande publique qui spécifie que : « Les spécifications techniques ne peuvent pas faire mention d’un mode ou procédé de fabrication particulier ou d’une provenance ou origine déterminée, ni faire référence à une marque, à un brevet ou à un type lorsqu’une telle mention ou référence est susceptible de favoriser ou d’éliminer certains opérateurs économiques ou certains produits.
Toutefois, une telle mention ou référence est possible si elle est justifiée par l’objet du marché ou, à titre exceptionnel, dans le cas où une description suffisamment précise et intelligible de l’objet du marché n’est pas possible sans elle et à la condition qu’elle soit accompagnée des termes ” ou équivalent” ». Les spécialistes en droit apprécieront au regard de l’objet du marché ! De fait on élimine les sociétés françaises sans le dire et l’Etat ne dit rien.

Aussi, je pourrai poursuivre avec Schrems II. Suite à l’inquiétude de beaucoup de monde, nous avons tous été rassurés en mars dernier quand l’annonce d’un accord de principe a été signé entre l’Union européenne et les Etats-Unis afin d’encadrer le transfert transatlantique vers les Etats-Unis des données personnelles européennes. Accord qui précise qu’une base légale sera mise en place, mais sans que l’on sache quand… on attend encore ! Les américains sont sauvés, ils n’ont pour l’instant aucune contrainte légale de contrôle.

Quant au Cloud Act, on a beau expliquer que les services américains peuvent, grâce à cette loi et à leur extraterritorialité juridique, accéder à n’importe quelle donnée dans le monde, on aura toujours des candides qui ne lisent pas l’anglais et nous expliqueront que si les serveurs sont en France tout ira bien… nous sommes sauvés !

Serait-ce trop anxiogène pour le citoyen ou trop gênant pour ceux qui ont pris les décisions ?

Ces arguments sont juste un nuage de fumée pour masquer une triste tendance. Nous avons perdu la compétition de la data et nos dirigeants comme nos journalistes occultent étrangement ce sujet. Orange et Thalès ont bien l’état pour actionnaire me semble-t-il. Pourquoi personne ne réagit au sommet de la pyramide ?

Prêcher pour la souveraineté devient souvent difficile car les détracteurs font un parallèle direct avec la liberté de marché. Beaucoup pensent que cette fameuse liberté de marché doit être respectée pour le bien de l’équité commerciale. Or l’un des soucis vient de la terminologie elle-même : ‘liberté de marché’. Termes désormais galvaudés au quotidien à mes yeux car les décideurs politiques ne connaissent pas les mécanismes commerciaux.

Où est la liberté de marché quand un Microsoft, par exemple, détient toutes vos données et vos applicatifs et vous indique que les prix appliqués vont augmenter et ne ‘bénéficieront pas’ des fameuses remises de groupe si vous ne prenez pas le produit dans leur catalogue. Où est la liberté de marché quand un IBM ‘donne’ les licences de ses logiciels pour conserver un marché ? Où est la liberté quand vos devez payer une somme conséquente pour récupérer vos propres données en cas de migration vers un autre fournisseur ?

Orange, Thalès, Atos, Cap Gemini, etc. ont fini par succomber

La force de frappe marketing et commerciale des intérêts américains ou chinois est sans commune mesure avec celle de nos entreprises françaises. Les seules qui avaient cette capacité – Orange, Thalès, Atos, Cap Gemini… – ont fini par succomber et il ne subsiste que quelques PME françaises qui se débattent avec des levées de fond dont les montants sont ridicules au regards des enjeux véritables.

Même en se regroupant pour être officiellement membre du fameux comité de filière, elles ne sont que spectatrices réduites à quémander quelques miettes alors que certaines de leurs technologies sont bien meilleures que celles des produits étrangers.

La liberté, c’est avoir le choix, et aujourd’hui beaucoup de nos entreprises françaises n’ont plus de liberté de choix objective concernant la maitrise et la cybersécurité de leurs données. Vous pouvez choisir entre un produit américain et un produit américain, recommandés avec force et assurance par des groupes bien français et bien en place.

La critique est aisée me direz vous mais comment faire alors pour changer la donne ?

La réponse est, à mon sens, uniquement politique, et pour répondre à cette question nous devons prendre en considération deux possibilités. La première hypothèse relève d’une réelle volonté de reprendre la main sur nos données et notre cybersécurité avec des décisions politique fermes dont voici quelques suggestions possibles :

– Imposer à tous les organismes publics ou équivalent l’achat de produit français sauf s’ils n’existent pas, avec amende financière à la clé et déclaration argumentée d’achat de produit étranger quand c’est le cas.

– Imposer aux grands groupes de technologie détenus par l’état de mettre à leur catalogue les produits de cybersécurité français et de les porter à la connaissance de leur client.

– Suspendre l’extraterritorialité du droit américain (essentiellement). Les juges américains -et/ou chinois- appliquant à leur bon vouloir les accords avec la France et l’Europe. Par exemple, la convention de la Haye ou la loi de blocage sont rarement pris en compte par les juges américains qui ne laissent aucune chance aux entreprises françaises en procédure avec une entreprise US. Je ne parle même pas de la Chine et de ses tribunaux.

– Enfin, proposer des levées de fonds conséquentes de 10 M€ à 25 M€ dès la phase d’amorçage avec la création et la gestion d’un organisme indépendant des fonds traditionnels et des grands groupes français.

La deuxième hypothèse est sans doute moins glorieuse mais peut expliquer sans doute cette situation à laquelle nous arrivons avec ces fameux cloud S3NS et Bleu. L’exécutif a renoncé à une souveraineté numérique au regard de la tache et des moyens à mettre en place. Les américains ont mis le deal sur la table : ‘nous accédons à vos données et vous bénéficierez de nos technologies’, peut être sur des sujets stratégiques sensibles à l’heure où gronde la guerre aux portes de nos frontières. La raison d’état à des raisons que la raison ignore, parait-il.

Bien-sur, tout ceci n’est que spéculation de ma part

Les américains font des produits fantastiques que nous utilisons tous les jours. Le tout est de savoir où mettre le curseur dans nos relations numériques. Ils sont nos alliés, sauf en commerce de sous-marins et de cybersécurité. Alors, même si nous rêvons de souveraineté, la véritable question réside dans la volonté de la mettre en place. Cette volonté est avant tout politique mais elle peut dépendre aussi de chacune et chacun de nous.

Je terminerai donc avec une anecdote. Je garde en mémoire un échange que j’ai eu récemment avec un RSSI du secteur public qui me disait : ‘je m’en fout des produits français, j’ai tout en Microsoft chez moi, je vais pas aller me casser la tête avec autre chose’. Alors, quand j’ai développé un peu la conversation, il m’a dit : j’ai mon fils qui cherche un stage mais les boites autour de chez nous n’ont même pas les moyens de lui proposer un stage rémunéré. Je lui ai répondu : Vous devriez l’envoyer faire son stage chez Microsoft. Je ne suis pas certain, à ce jour, qu’il ait compris l’allusion.

Bonne vacances à toutes et à tous.

David Ofer, le président Fédération Française de la Cybersécurité et vice-président d’Itrust