La récente panne liée au logiciel CrowdStrike Falcon a mis à nouveau en lumière la fragilité de notre infrastructure numérique globale. Cet incident, d’ampleur mondiale, a suscité de vives réactions en France concernant la souveraineté technologique. Evgeny Morosov, dans son livre « Pour tout résoudre, cliquez ici », critiquait l’écosystème technologique visant à apporter systématiquement une solution technique à tout problème sociétal. La souveraineté technologique ne résoudra pas le problème de fond qui est de repenser en profondeur notre approche de la résilience dans un monde numérique de plus en plus complexe.
Panne mondiale CrowdStrike : pour tout résoudre, cliquez « Souveraineté » ?
Perdu dans le Dédale des octets
Prenons de la hauteur et contemplons le labyrinthe qui apparaît sous nos yeux. La complexité croissante de nos environnements numériques est au cœur du problème. L'interconnexion des réseaux et des services cloud a créé un écosystème où une défaillance locale peut rapidement se propager à l'échelle mondiale, facilitée par la concentration des acteurs. Il devient ainsi de plus en plus difficile d’anticiper l’ensemble des conséquences d’une modification, même mineure, sur des chaînes de dépendances entre logiciels et services intriqués. Cette complexité est aggravée par l'obésité des logiciels modernes, due à la réutilisation fréquente de programmes libres pour accélérer le développement et l'innovation, souvent au détriment de la maintenabilité et de la sécurité. Les logiciels dits « souverains » n’y font pas exception.
Le dernier rapport de Synopsys sur la sécurisation de la chaîne d’approvisionnement en logiciels libres révèle que les bibliothèques open source représentent en moyenne 77% du code des logiciels commerciaux. Ces bibliothèques comportent souvent des centaines de dépendances non mises à jour, contenant des failles de sécurité, y compris anciennes, et des conflits de licences… Le labyrinthe est autant un casse-tête technique que juridique avec les risques associés.
La règlementation des éditeurs et fournisseurs, une épée à double tranchant
Face à ces défis et à la menace croissante des cyberattaques, devenant la « nouvelle normalité », comme le souligne le chercheur Jonathan Guiffard, les États ont réagi. La mise en place de réglementations visant à améliorer la sécurité et les pratiques de développement des éditeurs et à renforcer la résilience globale des systèmes numériques s’accélère. Ces initiatives, telles que le Cyber Resilience Act, la Directive NIS 2 et la nouvelle Product Liability Directive en Europe, établissent des normes de sécurité plus élevées et responsabilisent davantage les fournisseurs de logiciels, passant d’une logique purement défensive à une logique de résilience.
L’exercice révèle les limites de cette approche de conformité. Même des éditeurs de premier plan, disposant de certifications et conformes aux normes les plus strictes, ne sont pas à l'abri de défaillances majeures. Microsoft, récemment critiqué pour ses pratiques de sécurité, est un autre exemple frappant. Hier comme aujourd'hui, et probablement demain, des incidents similaires se produiront, quel que soit leur origine, erreur humaine ou cyberattaque.
Par ailleurs, la nécessaire augmentation des exigences réglementaires pose un défi particulier pour les PME technologiques. Ces entreprises, limitées en ressources humaines et financières, ont une barrière à l’entrée plus forte que les plus grands acteurs pour réussir à se conformer aux mêmes règlementations. Cette situation peut paradoxalement favoriser une concentration accrue du marché, que ce soit dans les services Cloud ou en cybersécurité. Le cas du projet de certification européen pour les services Cloud, EUCS, est emblématique. Les vifs débats en cours sur l’inclusion du niveau le plus élevé, calqué sur le schéma français SecNumCloud, montrent le risque principal pour les PME européennes : la fragmentation potentielle des certifications et donc du marché, alors que le marché américain, plus mature au travers du programme FedRamp, compte déjà 338 entreprises, prêtes à se saisir de ce nouveau défi réglementaire.
Accepter et mieux gérer l’incertitude numérique
Les dirigeants doivent prendre conscience de cette incertitude et agir en conséquence. Une des questions à se poser, au-delà de l’adéquation du montant budget cyber et IT, c’est aussi sa répartition entre la protection et la résilience. D’après le Boston Consulting Group, la part du budget consacré à la réponse à incident et remédiation est de 20%, avec un délai moyen de 73 jours pour se rétablir après une cyberattaque. Un rééquilibrage est sans aucun doute nécessaire.
L’anticipation de la crise, avec la mise en place de plans de continuité d’activité (PCA) et de reprise d’activité (PRA), testés dans leur intégralité, avec des interlocuteurs et des processus bien identifiés sont incontournables. La diversification des solutions et des fournisseurs permettra également de réduire les dépendances technologiques, tout en constituant une opportunité de choisir des alternatives souveraines, en fonction des besoins et des enjeux.
Pour allier innovation et pratiques de cybersécurité optimales, doit-on aller moins vite, être moins « efficaces » ? Certains experts comme Bruce Schneier le souhaitent. Ce dernier rappelle que la qualité et la robustesse demandent des moyens humains et financiers supplémentaires, à l’image du projet Chaos Monkey chez Netflix provoquant des perturbations volontaires pour améliorer la robustesse. Le fonctionnement du marché technologique a tendance à privilégier la rentabilité à court terme, ce qui peut se refléter dans la conception, les architectures et leurs tests. Cela demande un changement de paradigme collectif, des régulateurs aux éditeurs et aux clients finaux, pour embrasser « l’inefficacité ».
Le risque zéro n’existe pas. Les infrastructures numériques présentent des vulnérabilités qu'il est essentiel de prendre en compte et d’anticiper. La souveraineté technologique représente avant tout un maillon à intégrer dans la chaîne stratégique au service de la résilience et de la protection des informations les plus sensibles.