De nos jours, les acteurs de l’IT sont invités à piloter leur activité en tenant compte des risques. Le pilotage par le risque a créé une tendance significative sur le marché actuel, mettant en avant l’importance de la cybersécurité.
L’infrastructure : composante centrale de la souveraineté numérique
Chaque CTO est maintenant chargé de piloter les risques liés à la sécurité et à l’IT, ainsi que de veiller à la continuité de l’activité. Cette situation amène à une réflexion : quels sont les risques en termes de souveraineté applicables à l’IT ? Comment puis-je les répertorier de manière exhaustive ? Quels choix d’infrastructures dois-je faire ? Comment puis-je procéder, sachant que le risque et la résilience engendrent des coûts IT importants ?
Aujourd’hui, qualifier l’indépendance d’une structure IT par rapport à des entités étrangères est extrêmement complexe. L’IT est fragmentée en plusieurs couches d’abstraction, notamment dans le cloud, qui sont extrêmement attrayantes (pas de dépenses d’investissement) et utiles au quotidien (solutions fluides, flexibles, start & stop, tout-en-un). En réalité, le CTO s’expose à une perte de contrôle, en particulier en ce qui concerne la souveraineté et à l’extraterritorialité de certaines juridictions. Il est important de rappeler que la souveraineté commence par l’infrastructure, la couche la plus fondamentale, c’est-à-dire les fibres, les centres de données et les premiers équipements qui constituent les bases de l’Internet.
Ce sont ces bases qui pourraient être menacées en termes d’intégrité ou même prises sous le contrôle d’une entité étrangère à l’organisation. En prenant du recul, il est aisé de se rendre compte que les grands blocs mondiaux, tels que les États-Unis et la Chine, qui dominent la technologie aujourd’hui, ainsi que les blocs de second rang, tels que l’Union européenne, le Japon, l’Inde et plus largement les BRICS, s’organisent pour mettre en place une approche à la fois juridique, sécuritaire et technologique de contrôle de l’IT, notamment en se concentrant sur les infrastructures.
Chaque CTO en France et en Europe doit prendre conscience qu’aujourd’hui, des blocs économiques étrangers contrôlent potentiellement les flux d’informations et la technologie que les CTO sont censés maîtriser.
Les blocs américains et chinois adoptent une attitude très offensive et protectionniste. Par exemple, citons le bloc américain qui a initié le Cloud Act, qui étend l’application de la législation américaine à toute infrastructure IT ou technologique, même si elle est opérée en dehors des frontières du pays. À la lumière de cet exemple, le CTO doit aujourd’hui faire face à de nombreuses failles pour piloter son infrastructure en tenant compte des risques. Piloter le risque pour une personne responsable au sein d’une organisation signifie avoir le choix d’accepter ou de refuser les risques d’extraterritorialité des données, ainsi que la capacité de travailler et de gérer sur le long court en fonction du pays concerné, la résilience de son infrastructure et la façon dont il fait face à ces risques.
Comment ? En mettant en place des solutions adaptées qui permettent de répondre à ces différents risques, de les atténuer voire de les résoudre lorsque cela est possible. En faisant des choix de sécurité compatibles et cohérents avec la sensibilité des données. Malgré les rapports de force actuels, il est toujours possible de collaborer avec des organisations américaines ou chinoises sur des aspects moins critiques ou moins sensibles à l’ingérence extraterritoriale. Cela évite la « balkanisation de l’Internet », qui est particulièrement limitante sur le plan technologique.
Aujourd’hui, il existe des accords diplomatiques et sécuritaires entre les différents blocs. L’Europe et le Japon ont établi une alliance internationale et signé un pacte de bienveillance qui offre des garanties aux pays et à leurs entreprises en ce qui concerne la non-extraterritorialité des lois, le respect du RGPD, le non-espionnage des câbles sous-marins ou des infrastructures critiques, etc. Ces accords souverains peuvent évoluer avec le temps et nécessitent des mises à jour régulières.
Ces rapports de force et ces accords multilatéraux offrent aux CTO la possibilité de définir un gradient de risque entre les différents pays et de modifier certaines collaborations en évaluant et en notant le risque. Le CTO n’attribuera pas la même note de risque à un fournisseur japonais qu’à un fournisseur américain ou chinois. Il n’adoptera pas la même approche en matière de résilience avec un fournisseur japonais qu’avec d’autres fournisseurs non européens.
La participation unique d’une entreprise étrangère telle que Telehouse à la cofondation d’Infralliance est un exemple remarquable des relations entre l’Europe et le Japon. Cela montre aux parties prenantes américaines et chinoises un modèle vertueux de collaboration transfrontalière, offrant aux entreprises la possibilité d’être en sécurité et leur permettant de gérer les coûts liés aux risques et à la résilience de manière plus durable.
L’objectif est clair : faciliter les collaborations technologiques transfrontalières (import/export d’équipements ou de licences) tout en réduisant les risques, afin d’éviter des effets collatéraux tels que le « Trump Ban » sur les technologies et les télécommunications chinoises, dont tout le monde se souvient et dont le spectre continue à peser sur l’Europe. Contrairement aux logiciels, la résilience nationale s’applique plus facilement aux infrastructures telles que les datacenters, qui sont des équipements plus facilement régulables localement. Le cadre juridique s’adapte au cadre du pays d’accueil, en harmonie avec la territorialité des autorisations. Les datacenters Telehouse assurent la résilience en s’appuyant sur des alternatives canadiennes, japonaises ou brésiliennes en cas de conflit entre blocs.
La relocalisation des infrastructures en Europe est également un enjeu important en matière de souveraineté numérique. Relocaliser le trafic Internet permet de redonner du « soft power » aux pays d’accueil en Europe. Lorsque les contenus sont localisés sur nos territoires, cela présente plusieurs avantages. Tout d’abord, sur le plan financier, cela réduit les coûts, car nous n’avons pas à les récupérer. Ensuite, sur le plan juridique, nous avons un meilleur contrôle, car ces contenus se trouvent sur notre territoire national, ce qui nous permet d’agir plus facilement. Enfin, cela favorise la diversité et le choix, car cela encourage la création de contenu local tout en incluant les contenus étrangers dont nous avons besoin.