Vous êtes dans : Accueil > Tribunes libres >

Réflexions autour de la souveraineté

Cédric Cartau, MARDI 07 FéVRIER 2023

Dans un récent et excellent article de La Tribune[1], Marc Sztulman, conseiller régional d’Occitanie et délégué au Numérique pour tous, s’interroge sur ce que sont ou ne sont pas la souveraineté et la confiance, en particulier autour des notions de Cloud. À titre personnel, je n’avais même pas connaissance de la différence entre ces deux idées (confiance versus souveraineté) car – selon moi – elles se recouvrent totalement. Il semble tout de même important de revenir sur quelques concepts.    

Marc Sztulman définit la souveraineté en opposition au droit : est souverain celui qui a la possibilité de déroger à la règle de droit. Quand les US opposent à l’Europe des lois extraterritoriales, l’entité qui gagnera la bataille sera souveraine, même si c’est sur un autre « objet de droit » que les siens propres. Dit autrement, est souverain celui qui a le plus gros canon. Soit, et l’on pourrait même le définir en creux, puisque, comme le disait Shakespeare, « la conscience n’est qu’un mot à l’usage des lâches, inventé tout d’abord pour tenir les forts en respect » ; est donc souverain celui qui se contrefiche de la conscience, ou du droit (ce qui est à peu près la même chose).

Quand les Occidentaux débarquent en Chine à la toute fin du xviiie siècle pour imposer des traités iniques, ou quand le commodore US Perry accoste au Japon en 1853 avec une flotte armée pour imposer la convention de Kanagawa, nul besoin de longues études de géopolitique pour savoir qui était souverain et qui se trouvait du mauvais côté du manche.

Là où cela se complexifie singulièrement avec l’IT, c’est lorsque l’on aborde la question de la souveraineté en tenant compte du modèle en couches (ou pile OSI). Fondamentalement, nous exploitons des logiciels, qui recourent à des formats logiques de données, implémentées sur des middlewares, le tout stocké sur des serveurs qui utilisent des firmwares, des OS, des chipsets, l’ensemble étant entreposé dans des datacenters alimentés avec de l’électricité. Si vous pensiez avant février dernier que les Gafam (couche logicielle en haut de la pile) nous tenaient par les sentiments, depuis les légers soucis d’approvisionnement de l’Europe en gaz (qui fait en grande partie tourner les centrales électriques de certains pays), vous réalisez que dans une grosse réunion des services techniques d’une entreprise lambda, le seul avec qui il faut éviter de se fâcher, c’est Dédé avec son bleu de travail et sa Gitanes maïs sur l’oreille qui a la main sur la manette de coupure totale de l’alimentation électrique de la boutique. Dit autrement, plus on est bas dans la pile OSI et plus on peut emm… de monde.

Ce qui signifie que la souveraineté ne s’envisage pas uniquement sur une ou plusieurs couches, mais sur la totalité : ça nous fera une belle jambe si on parvient à passer les SGBD en Open Source (bye bye Oracle !) si dans le même temps on reste pieds et poings liés avec un seul OS.

L’autre élément de complexité concerne la chaîne d’approvisionnement mondiale. Vous pouvez avoir vos propres mines de charbon, vos propres datacenters, vos propres OS, etc., il vous est presque impossible d’être certains que, dans la production d’un composant nécessaire pour faire tourner le tout, vous ne faites pas appel à une compétence ou à une ressource que vous ne maîtrisez pas. Les US ont beau maîtriser une bonne partie des couches, à un moment donné ils ont besoin de minerais (de terres rares notamment) qu’ils ne possèdent pas car l’essentiel des gisements se trouve… en Chine. Certes Biden et ses prédécesseurs font tout pour mettre des bâtons dans les roues en stoppant la fourniture de puces aux Chinois, mais à terme si les Chinois ont la volonté de constituer leur propre industrie du chipset (et ils l’ont), je ne parie pas un kopeck sur la victoire yankee, et les Ricains vont vite réaliser si ce n’est déjà fait que Dédé en bleu de travail est… Chinois. Petit indicateur, c’est cadeau : quand les US se mettront à invoquer devant les instances mondiales le respect du droit (donc la loi du plus faible), c’est qu’ils seront passés du mauvais côté du manche. Ce moment, s’il arrive, sera à peu près concomitant avec celui du déplacement, par Vanguard et BlackRock, de leur énorme montagne de flouze du S&P 500 vers le CSI 1000[2].

Le troisième élément de complexité dont il faut tenir compte, c’est le sable. Ou plutôt le grain de sable. Vous avez beau avoir un business plan de ouf pour vous construire votre petit monopole aux petits oignons, il se trouve toujours un enquiquineur pour vous flinguer tout cela avec trois euros six sous. Exemple : la portabilité des numéros de téléphones portables, avant quoi nous étions tous plus ou moins captifs de l’opérateur télécom. Un petit décret de rien du tout et voilà tous les clients qui se mettent à aller et venir comme bon leur semble, mince alors. Autre exemple : la volatilité inhérente à l’IT : BlackBerry en a fait l’amère expérience, et Zuckerberg avec son métavers risque aussi de se manger le tapis.

À partir de là, une fois que l’on a intégré ces trois contraintes (définition de la souveraineté, complexité inhérente au modèle en couches et caractère fugace des positions dominantes dans l’IT) et que l’on a admis que l’Europe n’a ni combustible ni terres rares (nous ne sommes même pas souverains dans la production de nos éoliennes et de nos panneaux photovoltaïques), la conclusion qui s’impose, la seule qui tienne la route, est que notre souveraineté passe par deux mesures de base : le rapatriement de ce qui peut l’être, et la division (diviser pour mieux régner) dans les couches qui ne le peuvent pas.

Concernant la première mesure, je ne saurais trop conseiller la lecture de l’édifiant ouvrage de Laurent Bloch Révolution cyberindustrielle en France, dans lequel l’auteur décrit la façon dont nos politiques ont méthodiquement et patiemment dézingué tout ce que la France comptait d’industrie dans les semi-conducteurs, appliquant ainsi la vision béate selon laquelle le marché mondial est le monde de Oui-Oui et des Bisounours en Stetson qui vont nous assurer la prospérité éternelle – amen. Bon, en même temps, quand je lis dans la presse la façon dont la France a progressivement perdu une bonne partie de ses compétences dans le nucléaire civil, je me rassure en me disant qu’on n’est pas les seuls dans l’IT à faire face à des décisions crétines.

Concernant la seconde mesure, à titre de boutade, tant qu’à se faire espionner, autant mixer les indiscrets. C’est une erreur d’avoir dégagé Huawei des marchés européens : le PCC[3] nous aurait espionnés sans vergogne, et alors ? Ça change quoi par rapport à la NSA ? Je suggère même d’équiper le ministère des Armées avec du chinois, l’Intérieur avec des Gafam et l’Éducation nationale avec de l’israélien : au moins, quand il y aura une fuite massive de données, selon qu’elle proviendra du Mossad ou de la CIA, on saura quel ministère aura été troué – et pour pas un rond en plus.

Plaisanteries mises à part, les mesures sont connues depuis des lustres. Privilégier les entreprises nationales, bloquer les ventes d’entreprises françaises de tech à des investisseurs étrangers (et ne venez pas me dire que c’est infaisable), imposer des formats ouverts (on a bien réussi à imposer l’USB-C même à Apple), diversifier les sources d’approvisionnement dans chaque couche du modèle OSI. La question n’est pas de savoir si tout cela est faisable (ça l’est), mais pourquoi on en est encore à ce genre de débat en 2023.


[1] https://www.latribune.fr/opinions/tribunes/le-cloud-de-confiance-ou-la-mort-du-souverain-941423.html?amp=1 

[2] Principal indice boursier chinois.

[3] Parti communiste chinois.

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.


 

#cloud#numérique#sécurité#production#datacenters


Les plus lus