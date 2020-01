Pour une ambition européenne en matière de Cloud qui concilie souveraineté numérique et besoins du marché

Syntec Numérique et TECH IN France formulent dix recommandations

Alors que s’ouvre aujourd’hui le Forum International sur la Cybersécurité (FIC) à Lille, les organisations professionnelles du numérique, Syntec numérique et TECH IN France, initient des travaux communs sur les questions de Cloud et de souveraineté dans l’espace numérique. A cette occasion, elles formulent dix recommandations aux pouvoirs publics, qui guideront leurs travaux.

1. Faire émerger des champions européens du Cloud : une ambition servie par une politique industrielle

Des offres cloud complètes existent en Europe, l’enjeu est surtout de les aider à gagner en termes de marché pour disposer de champions internationaux. Ce ne sont en effet pas les Etats qui pourront créer cette offre. Il est nécessaire de renforcer l’offre européenne qui est une réponse à l’ambition numérique et technologique européenne. Cette démarche va dès lors permettre d’accélérer le développement d’offres répondant aux valeurs européennes, concourant à la souveraineté numérique et technologique de l’Europe, le tout dans un contexte très concurrentiel.

2. La souveraineté numérique repose sur un continuum de maîtrise de l’infrastructure

Le Cloud repose sur une infrastructure globale interconnectée qui intègre les équipements des datacenters, les logiciels, les réseaux mobiles et les câbles sous-marins qui relient les continents et représentent donc une infrastructure clé de l’Internet mondial. Aucune stratégie de souveraineté numérique ne saurait se concevoir sans une approche globale de l’infrastructure. Cette stratégie suppose une véritable politique industrielle européenne, qui soit à la fois verticale en soutenant toutes les industries concernées de la chaîne de valeur, et horizontale en s’attachant à construire le cadre normatif propice.

3. Disposer d’une doctrine de cyberdéfense qui s’appuie sur une stratégie industrielle

La France et l’Europe doivent s’assurer que le domaine régalien conserve toute son autonomie de décision et d’action dans l’espace numérique. Ce qui implique une politique industrielle qui encourage le marché à s’inscrire dans cette stratégie d’autonomie.

4. Stimuler l’investissement selon une approche sectorielle

Les acteurs publics et privés de l’investissement doivent être mobilisés de concert pour s’inscrire dans cette stratégie industrielle selon laquelle il s’agit davantage de cibler des industries spécifiques que des entreprises.

5. Évaluer les données pertinentes en termes de souveraineté

Il peut s’agir, bien entendu de données de défense nationale, mais aussi de données relatives à des OIV (Opérateur d’Importance Vitale) ou OSE (Opérateur de Services Essentiels), tout comme de données économiques relatives à des savoir-faire industriels, ou encore de protéger les connaissances tirées de ces données… Une distinction doit être opérée entre les données, à laquelle peuvent répondre alors différentes offres (privé, public, hybride, souverain ou non). Parmi ces données, celles répondant à un intérêt souverain devraient être identifiées, et leur hébergement dans une offre de cloud souverain conforme à des normes clairement définies. Ce n’est aujourd’hui pas totalement le cas en France, alors même que cette caractéristique est prise en compte dans d’autres pays et régions. Avec le label « SecNumCloud » attribué par l’ANSSI, la France dispose d’un outil pertinent pour qualifier les offres de confiance, mais n’a pas développé les outils adéquats pour qualifier les données sensibles selon des niveaux de protection adaptés. Ces approches doivent par ailleurs être européennes autant que possible.

6. Souveraineté et sécurité : élever mais graduer le niveau des normes

Le RGPD qui fait des émules au-delà des frontières européennes, démontre progressivement la capacité d’une norme européenne à s’imposer au marché et à constituer un élément de souveraineté. C’est aussi la raison pour laquelle ces normes doivent être élaborées en prenant en compte l’impact sur l’innovation, les entreprises et leur dynamiques concurrentielles. Le niveau des normes, en particulier en matière de Cybersécurité, doit être indéniablement élevé, mais aussi gradué afin de s’adapter aux différents besoins de la demande, à l’instar des normes SecNumCloud ou C5 qui adressent des niveaux différents. La cryptographie, impliquant des tiers de confiance, est appelée à devenir dans ce cadre une dimension clé du relèvement des normes.

7. S’appuyer sur le levier de la commande publique

Le secteur public et les entreprises au sein desquelles l’État est un actionnaire de référence doivent être exemplaires dans la gouvernance des données. Cette exemplarité devrait pouvoir conduire, sur le modèle de « l’industrie industrialisante » au renforcement sur le marché tant des offres dites « souveraines » visant certaines données, que de celles remplissant des critères de conformité plus souples et répondant à d’autres besoins du marché.

8. Encourager l’interopérabilité, la portabilité et la normalisation L’interopérabilité est un enjeu crucial de la capacité des acteurs de toutes tailles à faire émerger des offres compétitives sur le marché. La normalisation doit permettre d’encadrer et de renforcer cette interopérabilité, qui peut reposer le cas échéant sur les standards de fait de l’industrie, sauf à se couper des réalités du marché. Ces standards ouverts doivent être encadrés et documentés dans le cadre de la normalisation en associant l’ensemble des acteurs du marché.

9. Sécuriser le cadre réglementaire des données

Face à l’extraterritorialité du droit d’autres Etats, les mesures nationales ne peuvent être efficaces que si elles sont corrélées au niveau européen. Il est par ailleurs nécessaire d’encadrer les coopérations entre l’Union européenne et les autres Etats – comme par exemple, dans le cas du Cloud Act, par l’adoption d’un accord réciproque avec les Etats-Unis définissant la coopération en matière d’accès transfrontalier aux preuves électroniques. En outre, le renforcement de la loi de blocage (1968) pourra permettre aux entreprises françaises de contester des requêtes liées à l’extraterritorialité du droit d’autres Etats, sans constituer une solution pleinement satisfaisante dès lors que le conflit de loi généré débouche sur une situation d’insécurité juridique accrue pour toutes les entreprises françaises concernées, prestataires techniques ou grands utilisateurs, qui ne sont pas suffisamment informés des outils à leur disposition.

10. Ne pas recommencer les erreurs du projet Andromède et travailler avec tous les partenaires

Le projet Andromède avait retenu l’option de cibler des entreprises spécifiques et de les inciter à développer des filiales de Cloud « from scratch ». Il s’agit aujourd’hui davantage de se fonder sur les expertises reconnues des entreprises françaises ayant acquis un leadership sur ces sujets et de travailler avec tout l’écosystème. Au sein de cet écosystème, les acteurs extranationaux ont aussi certainement leur rôle à jouer, un rôle que la stratégie française doit permettre de dessiner clairement avec le temps.

Syntec Numérique et TECH IN France se tiennent à la disposition des pouvoirs publics pour concrétiser ces recommandations.