La question de la souveraineté numérique préoccupe d’autant plus les entreprises françaises que la guerre en Ukraine fait désormais planer un arrêt possible des logiciels américains utilisés en Russie. C’est ce que pointe Jean-Claude Laroche, DSI d’Enedis et Président du Cigref, le Club informatique des grandes entreprises françaises. Il a pris la parole à l’occasion de l’événement « Rencontres du digital et de la finance » organisé par l’Association Nationale des Directeurs Financiers et de Contrôle de Gestion (DFCG), le 8 avril.
Des adhérents du Cigref craignent de plus avoir de système d’information
« Nous avons pu constater que pour nos adhérents au Cigref qui ont une activité en Russie, si leur activité n’est pas sous le coup des sanctions, mais qu’elle utilise des logiciels, des systèmes d’exploitation ou bureautiques américains dans le Cloud, ils craignent de ne plus avoir de système d’information du jour au lendemain pour leur activité en Russie » prévient-il.
La question de la souveraineté s’exacerbe alors même que le Cigref considère qu’il ne peut pour sa part répondre qu’à certains points liés à cet enjeu critique. « La souveraineté n’est pas un attribut des entreprises mais une problématique étatique » affirme Jean-Claude Laroche.
« Un Cloud de confiance doit protéger contre l’extraterritorialité du droit de certains pays et faire jouer la concurrence »
Le Cigref a défini un label et un référentiel dans ce sens, tout en reconnaissant que ce référentiel n’est pas souverain en tant que tel. « La souveraineté cela voudrait dire qu’y compris dans nos Data Centers toutes les technologies utilisées sont françaises ou européennes. On sait bien qu’aujourd’hui on est dépendant de A à Z » relève le responsable. « Nous ne fabriquons pas nos semi conducteurs, nous achetons nos PC portables en Chine, nos systèmes d’exploitation et nos systèmes bureautiques sont en général américains, les routeurs sont en général du Cisco ou c’est du matériel israélien » liste-t-il. C’est pour cela que le Cigref préfère ne pas utiliser le terme souveraineté. « Nous souhaitons surtout maîtriser nos opérations, nous protéger à travers des dispositifs qui nous permettent de le faire » dit-il.
Le juridique doit empêcher que les Américains ou les Chinois regardent les données
En dehors d’une guerre comme c’est le cas en Ukraine, l’enjeu de la souveraineté est plus généralement lié au Cloud Act américain. même si des tensions commerciales peuvent amener des mesures de rétorsion entre états. Pour les entreprises françaises l’objectif est de se protéger des textes de loi étrangers intrusifs. « A minima, ce que l’on souhaiterait c’est que les données sensibles des grands acteurs français soient hébergées en France ou en Europe, dans des conditions juridiques qui permettent de faire en sorte que des Américains ou des Chinois ne puissent pas s’appuyer sur leurs textes, leurs lois pour aller regarder ces données » explique Jean-Claude Laroche.
« Les grands groupes, dans la bureautique, utilisent Office 365 de Microsoft ou la suite Google, donc des suites logicielles américaines »
L’idéal serait des solutions permettant l’usage de solutions étrangères tout en protégeant les entreprises françaises. L’initiative Bleu, issue de Orange, Cap Gemini et Microsoft, va dans le bon sens selon le Président du Cigref. « Bleu va absolument dans ce sens là. Mais pour nous Bleu n’est clairement pas une solution souveraine parce que Bleu va héberger des suites américaines. Même s’il s’agit d’une version spéciale mise à disposition par Microsoft, cela reste Microsoft » retient le DSI.
Même le chiffrement des données n’est qu’une solution partielle
Est-ce qu’un chiffrement des données de bout en bout pourrait résoudre ces difficultés ? « Oui, quand il s’agit d’hébergement de données et que vous avez les clés de chiffrement » répond Jean-Claude Laroche. « En revanche, si vous utilisez des logiciels qui sont hébergés à l’extérieur, souvent les éditeurs ne garantissent plus les fonctionnalités sur les données chiffrées, il faut qu’à un moment les données soient déchiffrées pour que cela marche » répond-il.
Le diable est souvent dans les détails. En témoigne, la mise au ban récente par la Cnil de la plateforme Google Analytics de suivi des sites web car celle-ci transfère des données aux Etats-Unis de son propre chef sans que les utilisateurs puissent l’empêcher. « La pratique de Google avec Google Analytics est très critiquable. Chez Enedis, nous ne l’utilisons pas précisément pour ce type de raison » conclut Jean-Claude Laroche. Les entreprises procèdent beaucoup par analyse de risque. Certaines ont considéré que l’intérêt d’utiliser Google Analytics prenait le pas sur le risque que son usage représentait. Mais toutes les entreprises n’ont pas les moyens de trouver une solution alternative et se trouvent dès lors en difficulté.
