L’Europe possède aujourd’hui un certain nombre d’atouts pour s’engager dans le renforcement de sa souveraineté numérique. Mais pour véritablement enclencher ce processus, la sécurité et la confiance seront deux axes majeurs de cette construction.
La souveraineté numérique au cœur de l’actualité
En cette fin d’année 2018, les questions relatives à la souveraineté numérique se retrouvent au cœur de l’actualité technologique. Attardons-nous un instant sur les faits saillants des derniers mois. En septembre, première grosse actualité quand les membres de l’alliance stratégique des Five Eyes se sont déclarés en faveur de l’intégration de backdoors, ces portes dérobées qui permettent l’exfiltration de données, au sein des géants de la tech’ (en direction des GAFA, mais sans les citer expressément). Levée de boucliers notamment en Europe, juste avant une deuxième grosse actualité, au mois d’octobre, quand le magazine américain Bloomberg BusinessWeek révélait sa grande enquête, le ‘Big Hack’. Ce récit de l’infiltration supposée du gouvernement chinois dans les données sensibles d’une trentaines d’entreprises américaines (dont Apple et Amazon) via des composants présents dans certains appareils allait secouer les États-Unis, malgré des démentis en série. En réponse, dès novembre, plusieurs membres des Five Eyes (États-Unis, Australie, Nouvelle-Zélande) votaient une loi de défense nationale pour bloquer l’utilisation des produits chinois dans leurs administrations. Deux équipementiers chinois, l’entreprise ZTE et le géant Huawei sont alors particulièrement visés. La Directrice Financière de ce dernier vient même d’être arrêtée tout début décembre au Canada, pour ne pas avoir respecté l’embargo mis en place. Et le climat de suspicion à l’égard de Huawei se généralise d’ailleurs puisque l’Allemagne, le Japon et le Royaume-Uni étudient actuellement des mesures similaires et prévoient de blacklister l’équipementier chinois.
Et si l’année 2018 marquait l’entrée de plain-pied dans un climat de tensions internationales ?
Souveraineté numérique : les atouts de l’Europe
Le climat de ces dernières semaines montre en tout cas que nous avons tout intérêt à évaluer notre confiance face aux produits et services de cybersécurité que nous utilisons, qu’ils soient français, américains, chinois ou encore israéliens. Aujourd’hui plus que jamais, chaque pays doit en effet être en mesure d’assurer de façon autonome la sécurité de ses actifs numériques, pour protéger ses intérêts économiques et stratégiques. Et cette actualité doit nous pousser à réfléchir de manière accrue aux outils et solutions à mettre en place pour garantir la nôtre, à l’échelle des pays européens et de l’Union européenne elle-même. C’était le sens de l’« Appel de Paris sur la sécurité et la confiance dans le cyberespace », lancé par le président Emmanuel Macron en novembre dernier, dont Stormshield est un soutien officiel.
Aujourd’hui plus que jamais, chaque pays doit en effet être en mesure d’assurer de façon autonome la sécurité de ses actifs numériques, pour protéger ses intérêts économiques et stratégiques.
Force est de constater que nous disposons à ce jour de solides atouts pour une Europe numérique forte. D’une part, des pays moteurs comme la France et l’Allemagne sont reconnus sur la scène internationale grâce à la légitimité de leurs agences nationales, l’ANSSI et le BSI. Et d’autre part, le Règlement général sur la protection des données (RGPD) nous fournit un cadre réglementaire européen particulièrement adapté au développement de la sécurité des données personnelles.
En France, cette volonté de souveraineté numérique s’affiche également par la récente décision du ministère des Armées qui va désormais déployer le moteur de recherche Qwant sur ses postes, en lieu et place du controversé Google. Dans la foulée, plusieurs grandes collectivités et même l’Assemblée nationale ont également annoncé délaisser Google pour utiliser le moteur de recherche français.
Les premiers pas vers une réelle coopération européenne
Pour le moment, il faut reconnaître que les agences nationales européennes s’activent encore un peu trop chacune de leur côté et qu’il n’existe toujours pas de certification européenne pour les technologies et services de cybersécurité. Une certification, portant sur des exigences fortes, qui pourrait devenir un véritable gage de qualité, de confiance et de sécurité. Et qui pourrait bien survenir plus rapidement que prévu : le Cybersecurity Act européen vient tout juste d’être validé le 10 décembre 2018.
Breaking news: Political agreement reached last night on the #CybersecurityAct establishing a permanent mandate & reinforced role for #ENISA! We are up to speed on the new elements adopted & thank all involved in the process https://t.co/UIpAZkbWY7 pic.twitter.com/tMTBF6BUTK
— ENISA (@enisa_eu) 11 décembre 2018
Cette nouvelle étape dans la création d’un cadre européen pour la confiance numérique s’inscrit dans la lignée d’une série d’efforts entrepris dans cette direction depuis quelques temps déjà. Citons par exemple la récente directive NIS (Network and Information Security) – continuité à l’échelle européenne de la Loi de Programmation Militaire en France –, et l’adoption par la Commission européenne du paquet cybersécurité qui laissent entrevoir une direction claire pour l’UE : l’autonomie stratégique. À travers ce Cybersecurity Act, la Commission européenne prévoit de faire évoluer son Agence chargée de la sécurité des réseaux et de l'information (ENISA) en une grande agence européenne de la cybersécurité, avec pour mission de mettre en place le cadre de cette certification européenne des technologies et services de cybersécurité. Son budget, doublé d’ici 2021, devrait l’aider à y parvenir.
Mais parmi les grands défis qui attendent l’Europe sur la voie de la souveraineté numérique, l’un des plus importants sera la capacité à faire émerger de véritables champions européens au sein des entreprises qui proposent des produits et services de cybersécurité. Car la souveraineté numérique se joue également au niveau financier et commercial, et nous devons donner les moyens aux acteurs européens de rivaliser avec leurs homologues internationaux. Cela passera par deux grandes étapes : le déploiement de financements, capables de supporter le développement d’entreprises ayant déjà dépassé le stade de startup, et la création d’un vrai marché numérique européen commun (Digital Single Market - DSM). La mise en place du Centre européen de compétences industrielles, technologiques et de recherche en matière de cybersécurité va dans ce sens. Envisagé comme un organe de formation autant qu’un organe consultatif, ce centre permettrait de fédérer les acteurs de la recherche, les industriels et enfin les éditeurs de solutions, de manière à faire éclore des pépites compétitives à l’échelle mondiale.
Ces dernières doivent en effet disposer d’une force de frappe, à la fois commerciale et marketing, pour concurrencer les mastodontes américains ou israéliens. Car l’enjeu n’est pas seulement d’offrir des performances égales voire supérieures, mais bien de gagner la confiance des utilisateurs. En cela, une des alternatives réside également dans la création de logiciels libres (open source), comme l’a exprimé l’ANSSI lors du tout récent Open Source Summit de Paris.
Logiciel open source, certification ou agence européenne : quelle que soit la forme qu’elle prendra, la souveraineté numérique de l’Europe ne pourra réellement advenir qu’au prix de la confiance. Au final, l’actif immatériel le plus précieux dans ces temps de suspicion généralisée.
