La sécurité dans les nuages : l’interview de Souveraine Tech
Comme nous l’écrivions il y a quelques mois, nous avons constaté depuis 2021 une résurgence des débats autour des enjeux de souveraineté nationale, et ce dans toutes ses déclinaisons : souveraineté alimentaire, énergétique, militaire… (voir notre article sur l’état des lieux du Cloud de confiance).
Pour approfondir le sujet, nous ouvrons aujourd’hui les colonnes de l’interview sécurité (voir les autres articles ici), à Bertrand Leblanc-Barbedienne, créateur du compte Souveraine Tech sur Twitter, lanceur d’alerte et inlassable veilleur !
Follow @SouveraineTech
Quels sont les objectifs que vous cherchez à atteindre avec le compte Souveraine Tech ?
Le compte Souveraine Tech existe depuis mai 2019. Dans le chant byzantin, il y a ce que l’on appelle le bourdon, ou note tenue, qui est lente, grave et continue. C’est un peu dans cet esprit que j’ai créé ce compte. Il fallait que, dans la durée, quelqu’un prît ce quart, qui consiste à veiller toutes les informations de nature à affecter les enjeux ou les acteurs de la souveraineté technologique dans notre pays. C’est aussi la raison pour laquelle j’ai choisi comme logo ce rapace nocturne de la famille des Strigidés qu’est le hibou grand duc d’Europe. C’est un animal nyctalope, qui voit la nuit, ce qui est caché aux yeux du nombre, et qui est traditionnellement associé à la philosophie, à la sagesse. C’est une responsabilité que personne n’avait encore assumée.
Il n’y avait alors personne sur ce segment d’information : la souveraineté technologique, c’est à dire plus encore que la souveraineté numérique : tous les outils matériels ou immatériels, tous les moyens, toutes les ressources, toutes les techniques dont un pays en charge d’une communauté de destin peut et / ou doit conserver la maîtrise. Je ne cherche pour l’heure qu’à arroser ce jardin, en m’efforçant de tenir notre communauté au courant de tout ce qui peut modifier notre perception de ce sujet, dans un sens ou dans l’autre, un peu à la manière d’un fil d’agence de presse. J’aurais besoin de moyens considérablement plus importants pour donner à cette veille l’assise matérielle qu’elle mérite. Mais je ne suis pas prêt à céder ma liberté de ton ou d’action à vil prix pour gagner en sécurité ou en confort. Néanmoins cela ne m’empêche pas d’ambitionner toujours de faire de Souveraine Tech un média à part entière, mais pourquoi pas aussi un Think Tank, ou mieux encore un organisme de certification. Face à la French Tech, il y a de la place pour un mouvement de nature différente, la Souveraine Tech, plus dans l’air du temps me semble-t-il.
Enfin j’ai mené trente trois grands entretiens écrits avec des entrepreneurs, des universitaires, des parlementaires, des officiers, des économistes. Je poursuis ce travail à la rentrée. Cela va rapidement constituer une manne que je trouverais bien le moyen de mieux valoriser à terme, tant au plan économique que stratégique.
Quelle est votre définition de la souveraineté ? Quelles sont les thématiques les plus prioritaires pour vous ?
Il est impossible d’évoquer la souveraineté sans dire l’entité qu’elle qualifie. Ayant été biberonné au droit public à Assas par le Professeur Delvolvé, qui a depuis été élevé à la qualité d’académicien, je considère que la souveraineté ne peut s’appliquer qu’à l’Etat-Nation. Et elle désigne alors le pouvoir supérieur qui repose entre les mains du peuple, confié à ses représentants pour assurer l’ordre, la continuité, mais aussi le progrès, la justice, la sécurité et la liberté de la communauté de destin que forme le pays. Je sais que la notion est disputée et que beaucoup souhaiteraient voir ce terme appliqué à l’Europe. Du point de vue du droit, c’est une hérésie. De celui de la politique aussi. Ce que les contempteurs du « souverainisme » (qui est une manière de caricaturer une idée noble en la faisant passer par le biais d’un « isme » pour un combat égoïste et d’arrière-garde) ne comprennent pas, c’est que ce qui motive profondément les défenseurs de la souveraineté, c’est avant tout non pas la, mais les libertés. Tous nos grands penseurs politiques ont écrit combien l’éloignement du Prince était préjudiciable au juste gouvernement des peuples et à leurs libertés.
Comme le disait Tocqueville, « toute démocratie se construit par le bas ». Ce qui nous amène au lien étroit qui relie l’idée de souveraineté au principe de subsidiarité. La souveraineté n’a rien d’un concept défensif ou offensif, c’est la condition même du succès de toute construction politique.
Quels sont pour vous les sujets en lien avec la souveraineté technologique ?
Tous. Si vous voulez bien convenir du fait que la souveraineté est la volonté et la capacité de maintenir dans le temps une communauté de destin, et que la technologie est le discours sur la destination et l’usage des outils, voyez-vous un sujet qui nous échappe ? La langue que nous parlons est outil, notre culture est outil, notre géographie l’est aussi. Et tout cela est exposé aux influences ou à la convoitise de nations, d’organisations, d’entreprises. Peut-être que le sujet le plus en lien avec la souveraineté technologique est le politique, au sens du gouvernement de la cité. Et aussi l’anthropologie pour la place que l’Homme se réserve à lui-même dans le développement des outils qu’il élabore. S’ouvre t-il de nouveaux horizons, ou est-il au contraire en train de scier, plus ou moins sciemment, la branche sur laquelle il est assis ?
Quels sont les leaders d’opinion dans le domaine de la souveraineté numérique ?
Il s’agit d’une petite communauté composée des acteurs d’une part, et des théoriciens de l’autre. Parmi les acteurs, je vois des gens comme Thomas Fauré, Alain Garnier, Alexandre Zapolsky, Quentin Adam (il en est bien d’autres qui voudront bien me pardonner) qui ont donné corps à leur vision de la souveraineté numérique en nous offrant de précieux outils.
Et puis vous avez les théoriciens, au premier rang desquels figurent selon moi Bernard Benhamou, qui est l’auteur même du terme (voir le site Souveraineté numérique), et Pierre Bellanger dont la vision du sujet est assez éblouissante. Mais vous devez aussi écouter sur ce sujet Tariq Krim (voir notre interview sur le Slow Web), Fabrice Epelboin, ou encore Asma Mhalla, qui « gratte » heureusement le concept.
Peut-être suis je en train d’oublier une troisième catégorie hybride, celle des parlementaires. Trois sont identifiés pour leur engagement pugnace au service de la souveraineté numérique : Catherine Morin-Desailly, Philippe Latombe et Jean-Michel Mis. Que les nouveaux élus du Palais Bourbon se fassent connaître et prennent la parole sur ces sujets ! C’est incompréhensible que si peu parmi eux se soient d’ores et déjà saisis de la question.
Google Analytics, Facebook… Est-ce que les entreprises, et le secteur de la tech française, sont plus défiants vis-à-vis des GAFAM ? Est-ce qu’il y a eu une prise de conscience ces dernières années ?
Oui, de manière évidente. C’est la conjonction de l’accélération de l’Histoire (épidémies, nouveaux conflits, apparition de nouvelles formes de pouvoirs etc.) et du travail des leaders d’opinion que nous avons évoqué précédemment, qui a permis un début de changement de doxa. Les politiques se remettent progressivement à penser en « bon père de famille ». Les GAFAM ont été pionniers dans bien des domaines. Mais l’efficacité à laquelle ils nous ont donné goût ne peut ni ne doit plus nous faire oublier les libertés auxquelles nous aspirons. Et voyez-vous, les libertés que la domination des GAFAM remet en cause, sont d’ordre politique, administratif, culturel, pédagogique, philosophique, économique, financier etc. Pardonnez-moi le parallèle sans doute un peu scabreux, mais quand les chars américains sont entrés en Normandie, ils distribuaient des chewing-gums aux petits enfants des villages. Tout service rendu, gratuitement ou non, possède une visée symbolique certes, mais aussi politique. La culture américaine est historiquement expansive. Il n’est pas question que la Vieille et noble Europe devienne le nouveau far west des cowboys de la tech.
Que pensez-vous des récentes annonces Google Cloud/Thalès, le “Cloud à la française” ?
Autant de bien que du Chardonnay californien, pourquoi ?
Cloud souverain, cloud de confiance, Gaia X ou Bleu ? Que pensez-vous des différentes initiatives françaises ou européennes autour de la souveraineté ?
Il existe une vieille querelle médiévale qu’on appelle la querelle des Universaux. Elle oppose les réalistes aux nominalistes. J’ai l’impression que nous y sommes encore. Je pense que tous les acteurs des ces différentes initiatives sont de bonne volonté. Mais le compromis dangereux ou le marketing ne peuvent remplacer les conditions physiques, juridiques, techniques, commerciales de solutions proprement souveraines. Mais il faut encore et encore redire ce que signifie souverain Ce mouvement participe d’un vaste courant de déconstruction dans le cadre duquel des concepts connus, établis, fondateurs doivent pourtant être ré-expliqués. Il y a en France suffisamment d’ingénieurs, de solutions, d’infrastructures matérielles, de génie technologique, de créativité, de moyens financiers pour développer des clouds performants, qui mettent nos entreprises l’abri du Cloud ou du Patriot Act. Dans cette logique, je crois que de plus en l’idée du « datacenter de proximité », dont on peut voir fleurir de nombreux exemples en région.
Hormis celles qui revendiquent (à juste titre) le label de cloud souverain, toutes les autres entreprises reposent sur le postulat que rien de grand ne se fera en Europe sans le concours du grand-frère américain. C’est ce qui s’appelle manquer d’ambition.
Que pensez-vous des initiatives Gaia-X et Euclidia ?
Pour avoir échangé avec les thuriféraires du second projet et cessé d’échanger avec ceux du premier, je ressens beaucoup plus de sympathie pour Euclidia. Mais moins trivialement, il vous suffit de jeter un oeil aux membres de GaiaX et à ceux d’Euclidia pour comprendre instantanément que l’un des deux est un prétentieux intrus. Je souhaite le succès d’Euclidia.
Que pensez-vous du référentiel SecNumCloud V3.2 et des travaux en cours pour définir une norme commune, l’EUCS (European Cybersecurity Certification Scheme for Cloud Services) ?
Tout ce qui va dans le sens des intérêts de la France et de l’Europe (le continent, pas que la structure politique) me semble de nature à devoir être encouragé. Cependant, j’observe une tendance assez technocratique et très européenne à vouloir toujours gloser, normer, certifier, quand une volonté claire permettrait de faire avancer les choses beaucoup plus vite. On pourrait réduire au dixième la somme de tout ce qui est publié, débattu, rapporté sur ces sujets et posséder toujours les éléments suffisants d’une action utile.
Comment conjuguer les enjeux de souveraineté technologique avec les besoins en services Cloud avancés des entreprises ?
Je savoure le délicieux sous-entendu de votre question. Technicité, performance, résilience, « scalabilité » n’ont aucunement besoin d’être sacrifiées à notre exigence de souveraineté. C’est faire injure à nos propres champions du cloud que de prétendre que seuls les big tech seraient capables de répondre « aux besoins en services Cloud avancés » de nos entreprises.
Il y a cependant deux choses qui jouent contre nous : le temps et la dialectique pernicieuse instillée par nos concurrents dans l’esprit de nos dirigeants d’entreprises et de nos DSI. Conjuguées, cela donne une conviction fausse, limitante mais performative à terme, que nous ne serions capables de rien seuls. Ceci étant dit, laissez moi inverser votre proposition de manière un peu taquine : « Comment conjuguer les enjeux d’efficacité avec les menaces que font peser sur nos entreprises les fournisseurs américains de besoins en services Cloud avancés, vecteurs naturels de lois extra-territortiales, particulièrement dans le contexte d’une redéfinition des rapports de force à l’échelle mondiale ? »
Les pistes de reprise en main de la souveraineté numérique sont-elles au niveau français ou européen ? Passent-elles par le soutien au développement des logiciels libres ?
La souveraineté numérique ne constitue un enjeu que pour les nations. A l’échelle de l’Europe, il faut favoriser les rapprochements, pourquoi pas par la création d’entreprises délibérément transfrontalières, pour peser davantage. Mais je ne crois pas à l’uniformisation en mode « top down » propre au fonctionnement de l’Union européenne. Nous devrions envisager le poids de l’Europe en matière numérique à la manière des manoeuvres en tortue des légions romaines. C’est ce qui ferait notre force. Personne ne peut nous forcer à nous entendre ou à renoncer à nos intérêts nationaux au profit du collectif : regardez comment agit l’Allemagne en ce moment. Les vielles nations ne mourront jamais.
Je pense que le soutien au développement des logiciels libres est important dans la mesure où leur nature contributive peut sans doute leur permettre d’être adoptés de manière plus homogène à l’échelle du continent. Par ailleurs l’open source figure parmi les moyens d’échapper à l’emprise, à l’empire des géants américains. Et cela est évoqué de manière convaincante dans le rapport de la mission Bothorel sur l’ouverture des données et des codes sources dans l’administration. Il ne faut pas opposer solutions dites « commerciales » et open source. Les frontières entre ces deux univers sont d’ailleurs parfois assez floues. Tout ce petit monde devrait travailler en bonne intelligence, chacun dans ses talents propres.
Le gouvernement dispose désormais d’un ministre délégué au numérique, plutôt que d’un secrétaire d’Etat. Comment analysez-vous ce changement ? Aura-t-il, selon vous, un impact ; et si oui lequel ?
Il y aurait pu avoir un Vice-Grand-Mamamouchi à la souveraineté numérique, je n’y aurais vu aucune différence. Sauf si la distinction avait été décernée à Philippe Latombe bien sûr ! A titre personnel, je n’attends rien ni du Ministre, ni du Ministre délégué. Je ne demande cependant qu’à me dédire. Il faut toujours espérer. Mais alors qu’attendent-ils pour recevoir en grande pompe l’écosystème des dirigeants de la souveraineté numérique? Mettez vous trente secondes à leur place. Ils ont consacré leur vie au développement d’entreprises françaises en France, et il leur faut aller chercher à la petite cuiller la moindre attention des pouvoirs publics. Pour que cette nomination serve à quelque chose, il faut qu’à la rentrée soit annoncée quelque mesure dans l’esprit du Buy American Act et du Small Business Act par exemple…
Si vous étiez le nouveau ministre délégué au numérique, quelles seraient les 3 actions que vous souhaiteriez mettre en œuvre ?
Je ferais d’emblée acte d’humilité en recevant tous les dirigeant(e)s d’entreprises qui en font un cheval de bataille et je mettrais un point d’honneur à représenter leurs intérêts par la promotion de mesures favorables à leur développement, mais aussi leur naissance. On devrait encourager dans notre pays la prise en considération des idées. Toutes les grandes entreprises sont nées d’une séquence de mots ou d’un schéma griffonné sur une table de brasserie. Il devrait y avoir à ce stade des représentants de l’Etat pour humer le génie, et se comporter autrement qu’un VC qui n’ouvre la deuxième paupière que si vous crachez du cash et que vous parlez churn, traction ou MRR !
Je mettrais en oeuvre la mesure récemment défendue par Solange Ghernaouti, en Suisse. Je ferais adopter l’obligation pour chaque entreprise, association mais aussi les collectivité ou administration de déclarer de manière évidente où sont hébergées leurs données.
Je mettrais en oeuvre l’une des trois mesures préconisées par Philippe Latombe en excluant des appels d’offres des marchés publics les candidats soumis à l’extraterritorialité légale.
Quels seraient les 3 conseils que vous donneriez à un dirigeant d’une entreprise française de cloud public ?
- Abonnez-vous à SouveraineTech 🙂 (note : le nouveau site sera lancé le 9/9/2022)
- Existez médiatiquement, partout, engagez tous vos collaborateurs dans le combat de l’advocacy au service de la souveraineté.
- Chassez (enfin) en meutes, verticalement, mais aussi horizontalement.
Et à un dirigeant d’une entreprise qui souhaite faire sa transformation numérique ?
- Commencez petit. Faites adopter les outils « par le bas », progressivement.
- Prenez soin de questionner les auteurs des plateformes auxquelles vous aurez recours sur leur vision du monde, de l’Homme et du travail.
- Mesurez bien le risque auquel vous exposez vos clients avant de faire héberger leurs données sur des serveurs soumis à des lois extra-territoriales