Les enjeux habituels liés à la sécurité des données des entreprises ont progressivement glissé sur de nouveaux territoires qui dépassent largement les cadres business traditionnels. Or, s'il faut saluer certaines avancées récentes, l'Europe peine encore à affirmer son positionnement. Il est urgent qu'elle accélère ses actions et s'engage réellement dans la compétition technologique mondiale.
La sécurité : inquiétude n°1 des entreprises
Demandes de rançon, fuites de données, offensives de phishing ciblées, mais aussi attaques étatiques coordonnées, guerres économiques, souveraineté nationale… Pour les entreprises, la sécurité informatique est devenue une hydre, monstre mythologique qui les fige et ralentit leur transformation digitale, désormais bien identifiée comme facteur clef de leur compétitivité.
Seul problème aujourd'hui : les entreprises ne sont pas armées pour répondre à un certain nombre de préoccupations sécuritaires qui sortent clairement de leur champ opérationnel. Préserver la sécurité des postes de travail est en effet une chose que les DSI prennent couramment en charge, gérer l'éventualité de menaces internationales engagées par des nations étrangères ou s'interroger sur l'intégrité des données hébergées sur des Clouds internationaux en sont une autre. S'il revient aux entreprises d'agir pour faire face aux risques de premier niveau, dits de proximité, ce sont les états et l'Europe qui doivent prendre en charge les seconds.
Après un départ poussif, l'ENISA serait-elle en train de rattraper son retard ?
Ce contexte d'incertitude et d'insécurité est la conséquence d'un vide créé par la difficulté de l'Europe à s'engager dans le traitement coordonné des cyber-menaces. Depuis 2004, l'Union Européenne s'organise sous l'égide de l'ENISA. Mais ce n'est que depuis mi-2019, avec l'adoption du règlement européen Cybersecurity Act, qu'elle a pris la pleine mesure de son rôle en matière de cybersécurité, d'indépendance stratégique et de souveraineté numérique européenne.
L'ENISA a notamment mis à consultation, en décembre 2020, un projet de certification des fournisseurs de Cloud, reposant sur trois niveaux de contraintes [1] . Ce programme est enfin une bonne nouvelle, car s'il ne va pas attaquer la position dominante des hyperscalers comme Google, Amazon et Microsoft, il va considérablement réduire le ticket d'entrée bureaucratique pour les autres acteurs. Aujourd'hui, ils sont encore contraints d'obtenir une certification par pays, selon des critères différents, ce qui est à la fois chronophage et coûteux.
L'urgence d'engager les entreprises européennes dans cette nouvelle géopolitique du Cloud
Les enjeux de cybersécurité sont désormais mondiaux, tout comme les infrastructures Cloud. Les technologies n'ont plus de frontières et les espaces numériques ont redessiné la cartographie mondiale faisant émerger une nouvelle géopolitique du Cloud. La problématique de sécurisation des données peut-elle encore être la prérogative d'Etats-Nations ? Non, car nous sommes désormais face à de super acteurs du numérique tels que la Chine, la Russie, les USA. Le Cloud est en outre le terrain de jeu de géants qui se sont affranchis depuis longtemps de toute forme de dépendance à leur nation d'origine.
L'Union Européenne peut (et doit !) renforcer son poids technologique dans ce nouvel échiquier international. C'est d'ailleurs toute l'ambition du projet de méta-Cloud européen Gaia-X. Programme de partage de data entre industriels européens à l'origine, Gaia-X a pour objectif la mise en place d'espaces de stockage sécurisés de ces données communes (pour éviter que ce partage de données entre industriels européens ne soit hébergé sur un Cloud international). Par extension, c'est donc la question de la souveraineté européenne des informations qui est abordée.
La force technologique de l'Union Européenne doit être d'attractivité et offrir, de par son poids, un terrain de négociation pour contraindre les acteurs internationaux à définir un cadre mondial permettant un nouvel équilibre des puissances numériques. L'idée est donc de créer des ponts d'abord au sein de l'Union Européenne, puis plus largement à l'échelle internationale.
Ces projets européens, aussi ambitieux qu'essentiels, ne pourront se faire qu'avec le concours de tous les industriels. Ce sont en effet eux qui vont pouvoir dynamiser le programme, en identifiant et définissant les données à partager, ainsi que les contraintes et services associés, ce en allant plus loin que les lois existantes de commerce international. Cela permettra de poser les bases de la certification Gaia-X. Les acteurs de l'IT et leurs technologies Cloud s'imposent alors comme des leviers majeurs de la compétitivité et de la souveraineté européenne.