Publicité en cours de chargement...

Publicité en cours de chargement...

Réflexions autour de la souveraineté

07 fév. 2023 - 08:56,
Tribune - Cédric Cartau
Dans un récent et excellent article de La Tribune[1], Marc Sztulman, conseiller régional d’Occitanie et délégué au Numérique pour tous, s’interroge sur ce que sont ou ne sont pas la souveraineté et la confiance, en particulier autour des notions de Cloud. À titre personnel, je n’avais même pas connaissance de la différence entre ces deux idées (confiance versus souveraineté) car – selon moi – elles se recouvrent totalement. Il semble tout de même important de revenir sur quelques concepts.    

Marc Sztulman définit la souveraineté en opposition au droit : est souverain celui qui a la possibilité de déroger à la règle de droit. Quand les US opposent à l’Europe des lois extraterritoriales, l’entité qui gagnera la bataille sera souveraine, même si c’est sur un autre « objet de droit » que les siens propres. Dit autrement, est souverain celui qui a le plus gros canon. Soit, et l’on pourrait même le définir en creux, puisque, comme le disait Shakespeare, « la conscience n’est qu’un mot à l’usage des lâches, inventé tout d’abord pour tenir les forts en respect » ; est donc souverain celui qui se contrefiche de la conscience, ou du droit (ce qui est à peu près la même chose).

Quand les Occidentaux débarquent en Chine à la toute fin du xviiie siècle pour imposer des traités iniques, ou quand le commodore US Perry accoste au Japon en 1853 avec une flotte armée pour imposer la convention de Kanagawa, nul besoin de longues études de géopolitique pour savoir qui était souverain et qui se trouvait du mauvais côté du manche.

Là où cela se complexifie singulièrement avec l’IT, c’est lorsque l’on aborde la question de la souveraineté en tenant compte du modèle en couches (ou pile OSI). Fondamentalement, nous exploitons des logiciels, qui recourent à des formats logiques de données, implémentées sur des middlewares, le tout stocké sur des serveurs qui utilisent des firmwares, des OS, des chipsets, l’ensemble étant entreposé dans des datacenters alimentés avec de l’électricité. Si vous pensiez avant février dernier que les Gafam (couche logicielle en haut de la pile) nous tenaient par les sentiments, depuis les légers soucis d’approvisionnement de l’Europe en gaz (qui fait en grande partie tourner les centrales électriques de certains pays), vous réalisez que dans une grosse réunion des services techniques d’une entreprise lambda, le seul avec qui il faut éviter de se fâcher, c’est Dédé avec son bleu de travail et sa Gitanes maïs sur l’oreille qui a la main sur la manette de coupure totale de l’alimentation électrique de la boutique. Dit autrement, plus on est bas dans la pile OSI et plus on peut emm… de monde.

Ce qui signifie que la souveraineté ne s’envisage pas uniquement sur une ou plusieurs couches, mais sur la totalité : ça nous fera une belle jambe si on parvient à passer les SGBD en Open Source (bye bye Oracle !) si dans le même temps on reste pieds et poings liés avec un seul OS.

L’autre élément de complexité concerne la chaîne d’approvisionnement mondiale. Vous pouvez avoir vos propres mines de charbon, vos propres datacenters, vos propres OS, etc., il vous est presque impossible d’être certains que, dans la production d’un composant nécessaire pour faire tourner le tout, vous ne faites pas appel à une compétence ou à une ressource que vous ne maîtrisez pas. Les US ont beau maîtriser une bonne partie des couches, à un moment donné ils ont besoin de minerais (de terres rares notamment) qu’ils ne possèdent pas car l’essentiel des gisements se trouve… en Chine. Certes Biden et ses prédécesseurs font tout pour mettre des bâtons dans les roues en stoppant la fourniture de puces aux Chinois, mais à terme si les Chinois ont la volonté de constituer leur propre industrie du chipset (et ils l’ont), je ne parie pas un kopeck sur la victoire yankee, et les Ricains vont vite réaliser si ce n’est déjà fait que Dédé en bleu de travail est… Chinois. Petit indicateur, c’est cadeau : quand les US se mettront à invoquer devant les instances mondiales le respect du droit (donc la loi du plus faible), c’est qu’ils seront passés du mauvais côté du manche. Ce moment, s’il arrive, sera à peu près concomitant avec celui du déplacement, par Vanguard et BlackRock, de leur énorme montagne de flouze du S&P 500 vers le CSI 1000[2].

Le troisième élément de complexité dont il faut tenir compte, c’est le sable. Ou plutôt le grain de sable. Vous avez beau avoir un business plan de ouf pour vous construire votre petit monopole aux petits oignons, il se trouve toujours un enquiquineur pour vous flinguer tout cela avec trois euros six sous. Exemple : la portabilité des numéros de téléphones portables, avant quoi nous étions tous plus ou moins captifs de l’opérateur télécom. Un petit décret de rien du tout et voilà tous les clients qui se mettent à aller et venir comme bon leur semble, mince alors. Autre exemple : la volatilité inhérente à l’IT : BlackBerry en a fait l’amère expérience, et Zuckerberg avec son métavers risque aussi de se manger le tapis.

À partir de là, une fois que l’on a intégré ces trois contraintes (définition de la souveraineté, complexité inhérente au modèle en couches et caractère fugace des positions dominantes dans l’IT) et que l’on a admis que l’Europe n’a ni combustible ni terres rares (nous ne sommes même pas souverains dans la production de nos éoliennes et de nos panneaux photovoltaïques), la conclusion qui s’impose, la seule qui tienne la route, est que notre souveraineté passe par deux mesures de base : le rapatriement de ce qui peut l’être, et la division (diviser pour mieux régner) dans les couches qui ne le peuvent pas.

Concernant la première mesure, je ne saurais trop conseiller la lecture de l’édifiant ouvrage de Laurent Bloch Révolution cyberindustrielle en France, dans lequel l’auteur décrit la façon dont nos politiques ont méthodiquement et patiemment dézingué tout ce que la France comptait d’industrie dans les semi-conducteurs, appliquant ainsi la vision béate selon laquelle le marché mondial est le monde de Oui-Oui et des Bisounours en Stetson qui vont nous assurer la prospérité éternelle – amen. Bon, en même temps, quand je lis dans la presse la façon dont la France a progressivement perdu une bonne partie de ses compétences dans le nucléaire civil, je me rassure en me disant qu’on n’est pas les seuls dans l’IT à faire face à des décisions crétines.

Concernant la seconde mesure, à titre de boutade, tant qu’à se faire espionner, autant mixer les indiscrets. C’est une erreur d’avoir dégagé Huawei des marchés européens : le PCC[3] nous aurait espionnés sans vergogne, et alors ? Ça change quoi par rapport à la NSA ? Je suggère même d’équiper le ministère des Armées avec du chinois, l’Intérieur avec des Gafam et l’Éducation nationale avec de l’israélien : au moins, quand il y aura une fuite massive de données, selon qu’elle proviendra du Mossad ou de la CIA, on saura quel ministère aura été troué – et pour pas un rond en plus.

Plaisanteries mises à part, les mesures sont connues depuis des lustres. Privilégier les entreprises nationales, bloquer les ventes d’entreprises françaises de tech à des investisseurs étrangers (et ne venez pas me dire que c’est infaisable), imposer des formats ouverts (on a bien réussi à imposer l’USB-C même à Apple), diversifier les sources d’approvisionnement dans chaque couche du modèle OSI. La question n’est pas de savoir si tout cela est faisable (ça l’est), mais pourquoi on en est encore à ce genre de débat en 2023.


[1] https://www.latribune.fr/opinions/tribunes/le-cloud-de-confiance-ou-la-mort-du-souverain-941423.html?amp=1 

[2] Principal indice boursier chinois.

[3] Parti communiste chinois.

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.


 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Illustration Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

Illustration L’arnaque à l’arrêt de travail comme source de réflexion

L’arnaque à l’arrêt de travail comme source de réflexion

14 avril 2025 - 21:57,

Tribune

-
Cédric Cartau

Soupçonné d’avoir mis en place un site Web permettant d’acheter de « faux » arrêts de travail en quelques clics et pour 9 euros seulement, un jeune homme de 22 ans originaire des Landes est sous le coup d’une accusation et de poursuites diverses. Les faux arrêts de travail étaient générés automatiqu...

Illustration Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

08 avril 2025 - 07:19,

Tribune

-
Cédric Cartau

Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.