Article contributeur

La souveraineté numérique ne repose pas que sur le choix du cloud

La gouvernance des données ainsi que les mesures de protection contre les cyberattaques comptent aussi. Par Marie de Fréminville*

Keystone
Migrer vers un cloud américain présente des avantages: facile et économique. Mais ce n'est pas tout, avertit Marie de Fréminville.

Google ayant retiré son recours, l’administration fédérale s’approvisionnera auprès des cinq fournisseurs cloud retenus. Elle a par ailleurs a annoncé que « les applications et les données nécessitant un niveau de protection élevé continueraient d’être gérées au moyen d’infrastructures et de plateformes exploitées par la Confédération dans des centres de calcul suisses appartenant à l’administration fédérale».

Migrer vers un cloud américain présente des avantages: facile et économique. Mais, le cloud, c'est l'ordinateur de quelqu'un d'autre ! E les conséquences à terme sont multiples:

- La dépendance: le retour en arrière est très difficile, voire impossible, en tout cas très coûteux. Les compétences permettant de développer des solutions propres sont perdues. Les prix, attractifs au départ, sont ensuite augmentés, une fois la solution incontournable.

- L’accès aux données: grâce aux lois américaines FISA et Cloud Act, la justice américaine peut obliger les grandes sociétés américaines à lui fournir les données situées sur leurs serveurs (qu’ils soient sur sol américain ou suisse). La menace existe réellement. On ne pensait pas qu’un jour les autorités américaines sanctionneraient les banques ou entreprises industrielles à cause de transactions portant en dollars, hors des Etats-Unis, pour des clients visés par un embargo. Et pourtant plusieurs entreprises ont été condamnées à payer des amendes significatives, en raison d'infractions aux règlementations américaines. Il faut donc avoir à l’esprit l’application potentielle de cette loi.

Le cloud suisse est une brique du dispositif de sécurité
Marie de Fréminville

Le cloud suisse, développé par des entreprises suisses, est respectueux des lois du pays: il est une brique du dispositif de sécurité, puisqu’il permet de protéger juridiquement l’accès aux données, et de réduire la dépendance vis-à-vis des géants du numérique: capacité à opérer sans interruption, à des conditions économiques compétitives.

Bien sûr, toutes les données ne sont pas sensibles, et il faut donc identifier les données à protéger et à conserver sur le sol suisse, sur un cloud suisse (pour l’Etat et les entreprises, qui manipulent des données sensibles ou stratégiques.

Néanmoins, la souveraineté numérique ne repose pas seulement sur le cloud, elle résulte aussi du développement de technologies dans différents domaines : logiciels, système d’exploitation, réseaux, messageries… Il appartient aux entreprises et à l’Etat, de définir leur stratégie numérique, pour protéger leurs systèmes d’information et leurs données sensibles.

Les nombreuses attaques récentes, montrent qu’au-delà du choix du fournisseur cloud (national ou étranger), il est indispensable de se protéger contre les cyberattaques criminelles ou étatiques, et, pour cela, prendre des mesures de sécurité: détection, protection, organisation, processus et formation (essentielle, parce que la faille est humaine!).


*Egalement auteure de «La cybersécurité et les décideurs», Iste Editions, 2019.

Commentaires

Marie de Fréminville

Starboard Advisory Experte gouvernance, finance et cybersécurité