La suprématie des acteurs étrangers dans le domaine du cloud ou de la cybersécurité fait peser des risques de dépendance sur les entreprises. L’Etat français et l’Union européenne ont récemment rappelé ces enjeux de souveraineté.
Deux événements récents auront rappelé l’importance pour la France de renforcer sa souveraineté dans le domaine du numérique. Lors du premier confinement, nos entreprises comme nos administrations se sont ruées sur les solutions de travail collaboratif proposés par Zoom, Google Meet ou Microsoft Teams pour généraliser le télétravail. Tous acteurs américains. Bénéficiant d’une exposition moindre, les alternatives françaises proposées par Tixeo, Livestorm, Talkspirit, Jamespot, Whaller, Klaxoon ou Oodrive ont profité de façon limitée de cet engouement soudain.
Le lancement de la 5G aura, lui, rappelé la suprématie technologique de l’équipementier Huawei. En dépit des risques réels ou supposés que le géant chinois ferait peser sur les infrastructures télécoms, les opérateurs ont les plus grandes difficultés à se passer de ses services. Le Vieux Continent compte pourtant deux représentants avec le suédois Ericsson et le finlandais Nokia. La souveraineté au défi de la 5G sera d’ailleurs un des thèmes abordés des prochaines assises de la souveraineté numérique.
Le constat ne s’arrête pas là et il est possible de passer en revue les autres technologies sensibles qui battent fortement sous pavillon étranger. Les hyperscalers américains – Amazon Web Services, Microsoft Azure, Google Cloud – accaparent ainsi 66 % du marché européen du cloud selon une étude de Synergy Research Group en dépit de la belle résistance en France d’OVHcloud, Scaleway ou 3DS Outscale. La cybersécurité est un autre enjeu de souveraineté. Alors que les attaques se multiplient, toujours plus complexes, faisant peser de graves dangers sur les entreprises de toute taille mais aussi les collectivités locales et les établissements de santé, la part des fournisseurs étrangers représente de 30 à 40% du marché français.
Mobilisation générale en France et dans l’UE
Cette absence de leadership hexagonal fait peser des risques élevés de dépendance de notre économie alors que la transformation numérique irrigue tous les secteurs d’activité. Récemment, une prise de conscience s’est opérée au niveau de nos élus. En octobre 2019, le sénateur Gérard Longuet a publié un rapport sur « Le devoir de souveraineté numérique » et l’Assemblée nationale conduit une mission d’information sur le thème « Bâtir et promouvoir une souveraineté numérique nationale et européenne« .
L’État français a, de son côté, fait des choix audacieux en misant sur le coup d’après, à savoir les deep techs. Présenté en septembre, le plan de relance devrait consacrer 7 milliards au numérique, dont 2,2 milliards pour ces technologies de rupture, dans le quantique, la cybersécurité, l’intelligence artificielle ou le cloud.
Depuis, l’Élysée a précisé ses ambitions. En janvier, un plan stratégique sur la recherche quantique était dévoilé prévoyant un budget public-privé de 1,8 milliard d’euros sur cinq ans. Objectif : faire de la France le numéro trois mondial derrière les États-Unis et la Chine. Le mois suivant, le président de la République entendait accélérer la stratégie nationale en matière de cybersécurité en mobilisant 1 milliard d’euros, dont 720 millions d’euros de financements publics.
Au niveau européen, le commissaire Thierry Breton a présenté en décembre deux règlements, le DSA (Digital Services Act) et le DMA (Digital Markets Acts) ayant vocation à réguler l’espace numérique sur le Vieux Continent. Dans le même esprit, le couple franco-allemand a initié, en octobre 2019, le projet GAIA-X qui vise à construire un cloud de confiance européen en adoptant des standards communs. Objectif : offrir aux entreprises et aux administrations une alternative aux GAFA américains et aux BATX chinois. Fin mars, 212 organisations avaient rejoint l’initiative.
Sur le plan juridique, la Cour de justice de l’Union européenne a invalidé, en juillet, le régime dit de Privacy shield qui autorisait le transfert des données personnelles de l’UE vers les États-Unis, une décision motivée par les programmes de surveillance américains et l’absence de droits de recours devant les juridictions pour les personnes concernées. En attendant qu’un nouveau mécanisme prenne le relais, un autre texte pose question. Sur le principe de l’extraterritorialité, propre au droit américain, le Cloud Act (Clarifying Lawful Overseas Use of Data Act) contraint les fournisseurs américains à divulguer des informations personnelles sur leurs utilisateurs dans le cadre d’enquêtes, même lorsque les données ne sont pas hébergées sur le sol étatsunien.
Le rôle clé des ESN
A cette incertitude juridique, le RGPD, qui fêtera le 25 mai prochain ses trois ans d’existence, oppose son cadre de confiance. Le règlement européen sur la protection des données personnelles renforce notamment la responsabilité des sous-traitants. Les éditeurs, hébergeurs, providers et autres sociétés de services doivent tout mettre en œuvre pour assurer la protection des informations sensibles.
Ce n’est pas le seul rôle que peut jouer une ESN (entreprise de services du numérique). En amont, une entreprise de services du numérique peut éclairer un client sur l’existence de solutions alternatives françaises et européennes. Ne dépendant pas d’un acteur du marché en particulier, elle dressera un panorama exhaustif et objectif des technologies existantes, et notamment open source, gage d’autonomie.
Technologiquement agnostique, une ESN doit également accompagner une entreprise sur la voie du multicloud. En recourant à plusieurs cloud providers, elle limite le risque d’enfermement propriétaire (lock-in) qu’elle a connu par le passé dans le monde des ERP. Le multicloud permet également d’organiser un plan de continuité ou de reprise d’activité (PCA, PRA) afin d’éviter toute interruption de service.
Pour aiguiller une entreprise vers les meilleurs cloud providers ou éditeurs en mode SaaS, le prestataire de services doit développer une connaissance fine des plateformes en anticipant les évolutions fonctionnelles dessinées dans leurs feuilles de route R&D.