fbpx

Souveraineté numérique, une chimère ?

Débat juin 2021

Souveraineté numérique, une chimère ?

Le sujet de souveraineté numérique s’est imposé durant la crise pandémique. La littérature y afférente abonde, mais il demeure un sujet très technique. De même que la formulation en elle-même est fondamentalement contradictoire. Abderrahim Maroufi, cyber security lead for North, West and Central Africa chez Cisco, et Nasser Kettani, membre exécutif du bureau de la Fédération des technologies de l’information, des télécommunications et de l’offshoring (APEBI), chargé des relations institutionnelles, décortiquent ce sujet d’actualité.

Pourquoi la notion de souveraineté numérique est-elle difficile à cerner ?
Abderrahim Maroufi. La notion de souveraineté implique l’exercice du pouvoir par un Etat indépendant dans une zone géographique déterminée où réside une population déterminée. Un État souverain est indépendant par définition. On parle de souveraineté étatique dans ce cas-là. Celle-ci doit être renforcée par une souveraineté économique et industrielle, ce qui nous renvoie vers le volet des technologies de l’information, le numérique ou le cyberespace.
Le cyberespace est décrit communément comme étant virtuel, mais il est d’abord physique. Derrière cette terminologie, il y a une infrastructure informatique composée d’un certain nombre d’éléments. Dans les centres des données, Clouds privés ou publics, le stockage des données est rendu possible par des équipements physiques et permet le traitement de ces données par le biais d’ordinateurs dédiés. Les infrastructures télécoms permettent l’accès aux données.
Donc, la souveraineté numérique est étroitement liée à la cyber-sécurité et la cyber-défense.
Avant de parler de souveraineté numérique, il faut procéder à une classification des données et des services pour pouvoir décider quelle infrastructure sera utilisée pour quels services.
L’aspect technique est donc primordial dans la souveraineté numérique…
Nasser Kettani. En fait, ce n’est pas si technique que ça. Résumer la souveraineté numérique à son volet technique nous fait passer à côté de plusieurs aspects essentiels. Cela dit, la majorité des technologies d’information n’est pas détenue par tous les Etats. Les pays et les entreprises technologiques qui maîtrisent ces technologies et qui possèdent ces infrastructures se comptent sur les doigts. Mais il y a une autre dimension tout aussi importante que la dimension technique, à commencer par la législation et les questions liées à la diplomatie. Il ne faut pas transposer la souveraineté, telle qu’on l’applique dans d’autres domaines «physiques», au domaine digital. Au sein de ce dernier, les données migrent librement. A partir du moment où cela n’est plus possible, on ne parle plus de digital. Maintenant, si un Etat aspire à la souveraineté numérique, il faut se doter de garanties et de prérequis.
L’ouverture inhérente à l’outil digital et la souveraineté ne sont-elles pas, encore une fois, contradictoires ?
A.M. Effectivement, le monde digital est ouvert. Internet est ouvert doublement, d’abord au niveau des infrastructures, et ensuite au niveau des services disponibles au grand public. En face, les Etats ont des intérêts, parfois conflictuels. L’industrie 4.0, l’e-agriculture, l’e-santé, l’é-éducation, etc. sont des domaines qui montrent l’évolution digitale et accentuent la contradiction dont on parle aujourd’hui. Mais il faut que l’on compose avec cette évolution, malgré ce caractère conflictuel et contradictoire, en étant, je le répète, le plus vigilant possible en termes de cyber-sécurité. Le monde de demain sera de moins en moins «physique» et il va falloir qu’on trouve des solutions qui assurent une souveraineté numérique «pérenne». Il n’y a pas de solution miracle qu’on peut prescrire. Depuis quelques années, la France et l’Allemagne ont essayé d’aborder cette question, surtout après l’affaire Snowden. Cela dit, le pays qui aura une longueur d’avance sur les autres, au niveau technologique et juridique, peut avoir un haut niveau de souveraineté numérique.
La question demeure très complexe. Quand un Etat lance un service digital, destiné aux citoyens, cela pose le problème de souveraineté dans les autres pays où une partie de ces citoyens peut se déplacer ou résider.
Seules l’innovation et la R&D sont capables de résoudre ce genre de complexité.
La souveraineté numérique est-elle entre les mains des entreprises technologiques innovantes, ou bien reste-t-elle entre celles des Etats, dotés de fonds et de budgets conséquents?
N.K. Avant de parler de fonds et d’argent, j’estime qu’il faut se poser la question suivante: pour n’importe quel Etat, quel est le premier prérequis à mettre en place? Personnellement, je pense qu’il s’agit des compétences humaines. Sans ces dernières, ni les infrastructures ni les fonds ne peuvent servir à quelque chose, car ces compétences sont essentielles pour naviguer dans ce monde digital. Le deuxième prérequis est la capacité d’un Etat à comprendre les enjeux du digital. Evidemment, les fonds sont nécessaires, pour qu’un Etat accompagne les startups et les entreprises en cours de transformation. Zoom, une application ayant connu une évolution fulgurante, est une startup qui a su offrir une application qui a réussi, bien qu’elle n’ait pas proposé une nouvelle innovation technologique. Mais elle a trouvé un moyen de lever des fonds et de s’assurer l’accompagnement de l’Etat, en l’occurrence Singapour. L’exemple de Zoom est très important, car il s’agit d’une entreprise locale, devenue très vite une entreprise mondiale.
Au Maroc, nous avons besoin de tous ces ingrédients: l’innovation, les fonds et l’accompagnement. Il faut mettre de l’argent, une fiscalité adaptée et un statut juridique dédié aux entreprises technologiques. Nous ne sommes qu’au début en matière de souveraineté numérique et il n’y a, actuellement, pas un Etat qui peut se targuer d’être souverain sur le plan numérique. L’exemple de la Chine le prouve. Huawei est tombé dans une situation critique quand les Etats-Unis lui ont interdit l’accès aux composants pour fabriquer ses smartphones, forçant Google à cesser de lui fournir Android, pourtant en «Open Source».
A.M. À titre d’exemple, les champions technologiques chinois, notamment Huawei, pionnier de la 5G, n’ont pas été autorisés aux États-Unis pour des raisons de sécurité. C’était une tentative des Américains de freiner l’essor technologique chinois et le déploiement de la 5G, en attendant que les entreprises américaines rattrapent le retard accusé. C’est un exemple de souveraineté numérique.
N.K. Je crois que c’est un exemple d’une mauvaise souveraineté. On s’interdit une innovation mondiale essentielle, tout simplement parce qu’on ne l’a pas.
Que pensez-vous des projets Qwant ou de la bibliothèque numérique Europeana ?
A.M. Ce sont des projets qui ont été conçus par souci de sécurité, et c’est ce qui en a freiné l’essor, car on en a restreint l’usage. Par contre, les réseaux sociaux et Google ont été conçus pour un usage ouvert. C’est ce qui explique leur succès. Si on prend l’exemple de Facebook, son ouverture lui a permis d’évoluer. Dans ce cas précis, l’utilisateur a en quelque sorte été déterminant dans la manière avec laquelle il utilise lui-même ce réseau social. Qwant, moteur de recherche initié par l’Allemagne et la France, ne permet pas d’accéder au même type d’informations et de données que Google. L’utilisateur préfère Google malgré toutes les garanties de préservation des données de Qwant. Ainsi, l’adoption des utilisateurs du produit technologique est primordiale.
Et dans le cas des services offerts par l’Etat ?
A.M. C’est une autre histoire. Plusieurs facteurs entrent en jeu, notamment l’hébergement des données et des services. Investir dans des Clouds nationaux devient donc indispensable. Il faut aussi dire que ce que propose les GAFAM dépasse la capacité de stockage et de traitement des informations. Les GAFAM offrent aussi des outils innovants qui utilisent l’intelligence artificielle, le machine-learning ou la Big Data. Ceci pousse les entreprises et les États à opter pour Microsoft, Google, ou Amazon parce qu’ils offrent des prix attractifs et des outils innovants avec un haut niveau de disponibilité, d’évolutivité et même de sécurité.
On a soulevé tout à l’heure l’idée de mauvaise souveraineté. De quoi s’agit-il exactement ?
N.K. L’hébergement des données dans son pays est très limitatif comme notion de souveraineté numérique. Les données stockées dans les Datacenters sont potentiellement accessibles par Internet de n’importe quelle localité dans le monde. Ainsi, le fait d’héberger des données dans un pays ne garantit pas de souveraineté, si on est incapable de les protéger contre les accès distants illicites. Il faut être conscient de cela. C’est pour cela que j’ai dit que les compétences humaines étaient le premier prérequis de la souveraineté numérique. Il faut avoir les «bons gardiens» qui maîtrisent les bons procédés capables de protéger les données. Cela étant, le stockage de données dans un autre pays que le territoire national revêt un très grand risque. En somme, la mauvaise souveraineté serait de lier celle-ci aux infrastructures physiques tout en omettant la spécificité du numérique.
Certains pays comme l’Irlande font le contraire. Ce pays héberge les données de plusieurs grands opérateurs technologiques, pour deux raisons, dont la première est d’ordre fiscal. La deuxième est que ces opérateurs ont des assurances que les données qu’ils hébergent sont protégées par la loi. Quand Amazon ou Microsoft stockent leurs données en Irlande, le gouvernement irlandais leur garantit une certaine protection de ces données.
A.M. Je suis tout à fait d’accord. Les données stockées à l’intérieur d’un pays peuvent être accessibles de l’étranger. C’est pour cela qu’il faut mettre en place les outils de sécurité qui permettent de les protéger. Les outils de sécurité nécessitent un travail de classification préalable afin de déterminer quel type de données peut être ouvert au public ou non. Les services (au public) qui concernent l’identité des citoyens doivent aussi être classifiés, car le risque touche à la fois l’Etat et le citoyen.
Par quoi le Maroc doit-il commencer pour asseoir sa souveraineté numérique sur des bases solides ?
N.K. Nous avons déjà un arsenal juridique en place, traitant aussi bien la protection des données personnelles (loi 09.08) que la cyber-sécurité (loi 05-20), au sein des organismes étatiques ou chez les entreprises. Ces dernières sont tenues légalement de prendre au sérieux cette problématique de la cybersécurité. Cela dit, les Clouds souverains sont une étape primordiale, mais il faut faire la distinction entre les Clouds et les Datacenters. Un Cloud souverain est nécessairement constitué d’un réseau de Datacenters, car le risque de perdre ces données demeure présent, comme ce qui est arrivé tristement au Cloud français OVH (Ndlr, On Vous Héberge) qui a été ravagé par un incendie lequel a causé la perte de données des clients. Cela dit, si l’on souhaite commencer par les infrastructures, il faut les sécuriser au maximum, sachant que les attaques cybercriminelles sont très répandues, indépendamment des dispositifs de sécurité mis en place, y compris chez les pays les plus avancés technologiquement. Ça ne sert à rien d’avoir des Clouds souverains s’ils ne sont pas dotés du niveau le plus élevé de protection possible. Aussi, il ne faut pas mettre tous nos œufs dans le même panier. Mettre toutes les données critiques dans un seul Cloud souverain fait accroître le risque d’attaque cybercriminelle.
Jusqu’à quel point les cyberattaques peuvent-elles constituer un obstacle à tout processus de souveraineté numérique ?
A.M. Si l’on prend l’exemple des ransomwares, les dernières études ont estimé le marché adressable total des cyberattaques à 6 milliards de dollars US. Les cybercriminels sont très organisés, disposent de business model, recrutent massivement et ont plus de ressources humaines et techniques que les entreprises, et même les Etats. Maintenant, c’est à l’Etat de décider quel niveau de sécurité il souhaite mettre en place. En fonction de cela, il doit décliner la stratégie, les capacités techniques, financières et humaines qui s’imposent. On est tous concernés par la transformation digitale et c’est loin d’être un projet. C’est un voyage dans le temps. Les objectifs en matière de souveraineté numérique évoluent au même titre que les moyens mis en place. Nous allons de plus en plus vers un monde ouvert et hyperconnecté. Nous devons donc accompagner ce processus par l’adoption des mécanismes de sécurité appropriés. Il faut aussi souligner que, malgré tout, les failles continueront à exister à tous les niveaux et que la responsabilité est partagée entre les Etats, les entreprises et les utilisateurs.
Cela étant, ce qui favorise le recours aux GAFAM est leur haute disponibilité et leur caractère évolutif. Les Clouds nationaux ne le seraient pas forcément.
D’où découle l’hégémonie des GAFAM ?
N.K. Ils tiennent leur puissance de leur grande capacité d’innovation, leur capacité financière et de leurs réseaux d’utilisateurs. Les données qu’ils génèrent sont aussi énormes. Ce sont des acteurs planétaires qui disposent des meilleurs systèmes de sécurité, ce qui a poussé le Pentagone à faire appel à ces opérateurs pour mettre en place son propre Cloud. Cela montre les capacités technologiques des GAFAM.
A.M. Je rejoins M. Kettani dans ce qu’il a dit. En outre, les GAFAM achètent beaucoup de startups annuellement, 200 en moyenne. C’est pour cela que je pense que le monde de demain se fera avec les GAFAM. Le Maroc doit collaborer avec eux quoi qu’il en soit, surtout qu’ils ont compris l’enjeu de la sécurité et commencent à offrir aux utilisateurs des garanties indéniables. Amazon offre la possibilité, aux États et aux entreprises, de chiffrer leurs données et de détenir les clés de leurs décryptages. Mais cela va à l’encontre de la souveraineté numérique.
L’évolution de la technologie n’est-elle pas un obstacle en soi à la sécurisation des données souveraines ?
A.M. L’évolution technologique et la course pour lancer de nouveaux services digitaux peuvent effectivement rendre la sécurisation des données difficile. Aujourd’hui, on peut mettre en place des solutions de sécurité, d’intelligence artificielle, d’analyse comportementale qui permettent de limiter l’impact des failles dues à l’évolution des technologies. Certes, la technologie et les risques évoluent, mais les mécanismes de sécurité aussi. Avec les nouvelles architectures de sécurité, on peut mieux sécuriser la transformation digitale de nos entreprises.
Est-ce que ce côté technique pèse aussi sur le volet juridique ?
N.K. Le cadre réglementaire doit s’accompagner de normes liées soit à la classification des données, soit aux audits et aux contrôles. Il y a un grand nombre de prérequis qu’il faut développer en ce sens. Ces prérequis techniques peuvent être d’ordre organisationnel ou méthodologique. L’avantage est qu’il existe actuellement assez de matière grâce à la présence de plusieurs fournisseurs de technologies, travaillant ensemble pour affronter un seul défi: la sécurité. Cette dernière est l’affaire de tous les Etats, Elle nécessite une coopération internationale, car les cybercriminels sont situés partout dans le monde.
La coopération doit être d’abord juridique et concerne l’échange d’informations entre les pays. C’est pour cela que je dis que ce sujet nécessite une nouvelle sorte de diplomatie. Il faut créer un cadre de conformité juridique qui permet l’échange des données. L’exemple des billets d’avion achetés en ligne illustre cette complexité du cadre juridique devant encadrer la question de l’hébergement des données. L’opération d’achat en ligne, depuis la recherche à l’acte de paiement, et les données qu’elle génère ne peuvent pas être hébergées dans un seul pays. Seule la coopération juridique entre les pays est capable de donner une réponse à une question technique aussi complexe.
Et pour revenir à la question des données à caractère personnel, il y a une confiance à construire auprès des citoyens utilisateurs. Car justement, les données voyagent à travers les différents supports par où elles transitent et qui sont situés dans plusieurs pays.
A.M. Le monde digital est nouveau. Les mécanismes législatifs classiques ne sont pas adaptés à ce nouveau monde. Le législateur doit être innovant et l’arsenal juridique doit servir à responsabiliser les entreprises représentant l’État qui manipulent les données. Mais ces mêmes entreprises peuvent être victimes d’attaques cybercriminelles. Le cadre juridique doit aussi les protéger.
N.K. Le législateur doit mettre en place des mécanismes pour faire appliquer les lois qui protègent les données à caractère personnel. Aussi, il faut souligner que les GAFAM ne sont pas les seuls à collecter ces données. Les banques, les compagnies d’assurances, les opérateurs télécoms, l’Etat, etc. le font aussi. Il faut s’assurer qu’elles en font bon usage.
A propos des banques, qu’en est-il de leur mode d’hébergement des données de leurs clients ?
N.K. En principe, les banques stockent leurs données localement, en particulier leur core-banking. Mais cela arrive qu’elles stockent certaines données à l’étranger. Cela peut concerner les e-mails ou leurs systèmes de gestion RH.
Et dans le cas de filiales de multinationales ?
A.M. J’ai un cas important à citer. Une banque d’un autre pays, filiale d’un groupe international, vient d’être rachetée par un groupe local. On a découvert dans les discussions relatives à la migration des données que le core-banking est hébergé à l’étranger. Cela peut poser un problème. Au Maroc, la banque centrale est à cheval sur la sécurité. Les banques marocaines ne communiquent pas trop sur les attaques qu’elles subissent, bien que leur nombre soit élevé, selon le dernier rapport de Bank Al-Maghrib. Cela montre que les banques sont une cible privilégiée des cybercriminels. Certaines d’entre elles ont déjà commencé à mettre leurs messageries dans le Cloud. Il se peut donc que les e-mails contiennent des informations de clients institutionnels ou privés. Cela nous renvoie à la classification des données, qui pourrait déterminer quel type de données envoyer par mail ou non.
N.K. Qu’en est-il des banques marocaines installées à l’étranger? Est-ce qu’elles doivent héberger les données de leurs clients dans chaque pays où elles sont implantées, ou au Maroc? Est-ce qu’elles vont démultiplier les Datacenters dans les pays où elles vont s’installer? Ce sont des questions essentielles auxquelles il faut apporter des réponses. Cette complexité touche aussi des produits innovants comme les voitures connectées et leur déplacement en dehors des frontières. Ce sont des enjeux qui défient la souveraineté numérique. C’est pour cela que je pense que notre pays doit faire en sorte d’accueillir les données des autres pays: une sorte de «Suisse des données». Evidemment, il faut des Clouds qui nécessitent des Datacenters, des sources d’énergie solides ainsi que des infrastructures de télécoms. Sur le plan réglementaire, il faut donner des garanties aux autres Etats afin qu’ils puissent héberger leurs données chez nous et que cela se fasse dans un cadre juridique impliquant toutes les parties prenantes.
A.M. Effectivement, il faut un cadre réglementaire, un cadre technique, des RH qualifiées et un business model afin d’inciter les entreprises à héberger leurs données chez nous. C’est un écosystème global qu’il faut mettre en place.
Pensez-vous que les Etats puissent atteindre une souveraineté numérique totale ?
A.M. Je ne le pense pas. Nous allons vers un monde de plus en plus ouvert, connecté et collaboratif, où nous profitons des avancées des autres pays au même titre qu’ils profitent des nôtres à condition qu’on soit innovants et qu’on mette un cadre global qui aide les startups à s’implanter au Maroc.
N.K. Un Etat quel qu’il soit a besoin d’avoir un certain degré de souveraineté numérique. Il faut approcher cette idée selon les volets que nous avons cités: réglementaire, technique, RH, infrastructures, partenariats, diplomatie, etc. Cela étant, nous devons créer nos propres outils innovants, que ce soit des objets connectés ou des solutions technologiques dans tous les domaines (solutions de cyber-sécurité, IA, etc.).
Nous devons aussi accompagner et soutenir nos innovateurs. C’est comme cela que nous deviendrons autonomes et souverains.