Par Jean-Claude LAROCHE, Président du Cigref
Dans un contexte géopolitique mouvant et instable, les fondamentaux de la sécurité numérique demeurent inchangés. Les entreprises et les administrations publiques doivent maintenir leur capacité à assurer la confidentialité, l’intégrité et la disponibilité de leurs données et des traitements associés. Leur compétitivité et leur performance opérationnelle sont désormais directement conditionnées par leur capacité à contrôler et maîtriser la sécurité de leurs activités dans l’espace numérique. Aujourd’hui, cette capacité à garantir ces fondamentaux est pour le moins bousculée par de multiples acteurs.
Au cours des dix dernières années, nous avons assisté à une croissance quasi exponentielle des agressions contre les entreprises et les administrations publiques dans l’espace numérique. La cybercriminalité s’est professionnalisée, industrialisée, mondialisée. Les cybercriminels disposent désormais de véritables réseaux économiques, constitués d’agents qui collaborent au gré des opportunités, en se répartissant les différentes fonctions de la « chaîne de valeur » dans une démarche de spécialisation : développeurs et éditeurs de codes malveillants, opérateurs d’infrastructures d’anonymisation, fournisseurs d’accès à des réseaux compromis, opérateurs de réseaux de machines zombies, intermédiaires de blanchiment des rançons, courtiers en données dérobées, etc. Cette économie du cybercrime se déploie à l’échelle planétaire à travers les méandres du dark web. Par ailleurs, les États eux-mêmes ont développé et institutionnalisé, depuis de nombreuses années, des capacités pour agir dans l’espace numérique, en développant leur aptitude à y mener des activités de souveraineté, et notamment de renseignement d’intérêt stratégique et économique. Les activités d’espionnage et de cyberguerre comptent parmi les risques majeurs identifiés par l’ANSSI.
Dépendance croissante vis-à-vis des grandes entreprises technologiques américaines
Dans ce contexte, la question de la perte d’autonomie technologique de l’Europe dans l’espace numérique, et de ses dépendances croissantes vis-à-vis des grandes entreprises technologiques américaines, occupe désormais une place centrale. Bien entendu, les États-Unis d’Amérique ne peuvent être considérés comme un ennemi, ni même comme un adversaire géopolitique. Les États-Unis, avec lesquels nous partageons tant de valeurs, à commencer par une attention particulière aux droits humains, à la démocratie, au droit international, sont à l’évidence un allié. Néanmoins, nous ne pouvons ignorer que les États-Unis sont et demeureront un concurrent économique qui utilise tous les instruments de la puissance pour favoriser ses entreprises.
Le poids des trois principaux hyperscalers américains n’a fait que croître sur le marché européen au cours de ces dernières années. En 2017, Microsoft, AWS et Google Cloud concentraient déjà, en Europe, environ 60 % de parts de marché. Aujourd’hui, ces mêmes MAG(1) préemptent plus de 70 % de ce marché, laissant aux opérateurs européens à peine 10 % de celui-ci. Ne nous y trompons pas : le cloud n’est pas, ou n’est plus, un sous-domaine du numérique. C’est celui qui commande désormais tous les autres. Les données sont au cœur de la transformation numérique, et le cloud est, à présent, un socle incontournable pour nos entreprises et nos administrations publiques. Par ailleurs, quasiment tous les champs de l’innovation et de la transformation numérique utilisent les environnements et les outils du cloud. Big Data, intelligence artificielle, calcul haute performance, réseaux télécom de nouvelle génération, informatique quantique, ces nouveaux territoires du numérique se développent dans les espaces, et avec la puissance de calcul et de stockage, que leur apporte le cloud.
Si l’Europe ne parvient pas à s’organiser pour maîtriser ses dépendances numériques, notamment sur le marché du cloud, si les démarches qu’elle a engagées, en matière législative et en termes d’investissement, ne produisent pas les effets escomptés à court terme, son économie sera confrontée, à l’horizon de la fin de la décennie, à des risques systémiques qui ne cessent de se renforcer.
Deux notamment doivent retenir notre attention.
- Le premier est un risque géostratégique qui engage directement la disponibilité des données et des systèmes d’information de nos entreprises et administrations publiques. Nul ne peut prétendre aujourd’hui caractériser la qualité des relations entre l’Union européenne et les États-Unis à l’horizon des prochaines administrations américaines. Que se passerait-il en cas d’entrave de nature politique sur l’accès de l’Europe aux ressources des cloud providers américains, lesquels préemptent plus de 70 % du marché continental, si ces entraves viennent à cibler une entreprise, un secteur d’activité, un État voire l’ensemble de l’UE ? Des précédents existent dans de nombreux domaines. Nous serions bien inspirés de ne pas oublier qu’un désalignement des intérêts entre membres de l’alliance transatlantique, même conjoncturel, est toujours possible et peut se traduire par des sanctions d’acteurs européens portant sur leur usage des technologies numériques.
- Le deuxième risque est d’ordre juridique. D’ores et déjà une réalité, il engage directement la confidentialité des données de l’Union européenne et de son économie. Il s’agit de nos dépendances à des législations non européennes à portée extraterritoriale, comme l’arrêt du 16 juillet 2020 de la CJUE l’a justement mise en exergue. Que ce soit, par exemple, la section 702 du Foreign Intelligence & Surveillance Act américain, pointée par la CJUE, ou la loi chinoise du 28 juin 2017 sur le renseignement national, ces législations autorisent les agences de renseignement de ces États à réaliser, légalement et secrètement, une collecte massive, a priori et sans mandat judiciaire, des données des personnes morales ou physiques étrangères dès lors que celles-ci, et les traitements associés, sont hébergés par leurs opérateurs nationaux normalement soumis à ces législations. Ces législations sont largement mobilisées, notamment par les États-Unis, pour déployer, de façon secrète mais légale, une intense activité d’intelligence économique avec des capacités technologiques jamais égalées dans l’histoire du renseignement américain. Du reste, nous ne pouvons pas en être surpris, notamment depuis juin 2013 et les révélations d’Edward Snowden sur les programmes de surveillance électronique de masse menés en coopération par les États-Unis, le Royaume-Unis, le Canada, l’Australie et la Nouvelle-Zélande, les fameux Five Eyes().
Ces risques sont systémiques et appellent des dispositions collectives et donc de nature politique pour s’en affranchir. L’Union européenne et ses Etats membres doivent se saisir de ces risques et leur apporter des réponses qui mobilisent les instruments de souveraineté dont ils disposent, en les articulant de manière cohérente. De ce point de vue, les débats en cours sur l’application du Digital Markets Act, sur la reprise dans le droit français du Data Act, sur l’adoption d’un schéma de certification européen protecteur pour les services de cloud computing, sont de la plus haute importance pour nos entreprises et notre économie.
«Les données sont au cœur de la transformation numérique, et le cloud est, à présent, un socle incontournable pour nos entreprises et nos administrations publiques.»
(1) Five Eyes : alliance des services de renseignement de ces cinq États, liés par un traité de coopération, et mis en lumière en 2013 par Edward Snowden.
