Le retour tragique de l’Histoire que représente cette guerre aux portes de l’Europe ne cesse de nous questionner, et remet en cause nécessairement les fondamentaux du mondialisme libre-échangiste. Nous sommes tous rappelés à la dure réalité, et payons cher nos dépendances multiples : dépendance énergétique au gaz Russe, même si les tensions sur ces marchés avaient démarré avant le conflit et dépendance militaire et sécuritaire aux Etats-Unis, un état que les Américains ont savamment entretenu, il est clair qu’une Europe faible avec des nations affaiblies arrange bien leurs affaires.
L’objectif de cet article n’est pas de traiter des aspects économiques et militaires que provoquent cette crise, mais de s’attarder sur notre indépendance numérique, que dis-je, de notre souveraineté numérique !
En quoi le sabotage de Nord Stream est-il un sujet d’inquiétude ?
Parmi les événements récents qui me font penser que la situation est plus urgente que l’on pourrait le penser, c’est le sabotage par un acteur (Russe ? Américain ?) étatique (compte tenu du mode opérationnel) du gazoduc Nord Stream 2 qui me parait le plus préoccupant… En effet, les deux forces qui s’opposent à travers l’Ukraine, les Etats-Unis et la Russie ont les moyens technologiques d’ouvrir un nouveau front sous les mers.
Force est de constater, que nous nous retrouvons avec une infrastructure internet (les câbles sous-marins) complètement vulnérable à une attaque du même type, même si a priori ces canaux d’échange de données seraient surveillés. Par-delà l’inquiétude, ces événements nous forcent à repenser notre développement économique et numérique. Réflexion indispensable, compte tenu que l’ensemble des acteurs économiques sont d’accord pour penser que la transformation digitale ou plutôt numérique en bon français, c’est la 4ème révolution industrielle.
Qu’est-ce qui serait à modifier ou changer dans l’approche actuelle du numérique ? De mon humble point de vue il serait nécessaire de changer de paradigme quand au cloud, et plus particulièrement la manie de passer presque exclusivement par les mêmes acteurs, les géants du numériques américains. En effet, la concentration des acteurs du cloud en une poignée de sociétés majoritairement américaines posent interrogation et pas uniquement dans le cadre des lois extraterritoriales américaines. Se posent aussi des questions de sécurités, il est en effet plus facile de concentrer ces attaques sur un ou deux acteurs pour avoir un bénéfice important. Par ailleurs la dernière faille de sécurité Teams (NetCost) qui permet ( ?) ou permettait de voir en clair les jetons de sécurité (mot de passe / identifiant pour simplifier), démontre que ces acteurs ne sont pas plus à l’abri d’une faille critique qu’un acteur plus petit, ou qu’un service IT internalisé.
L’autre point qu’il me paraît important de mettre en exergue, c’est que contrairement aux origines d’internet, décentralisation, fonctionnement en nœuds de réseaux, le cloud a centralisé et alourdi l’ensemble d’internet, obérant de façon significative ses capacités de résilience. En effet imaginez qu’une attaque sous-marine se produise sur plusieurs câbles importants reliant les continents, quel serait l’impact économique d’une telle attaque ? Lorsque l’on voit les effets qu’ont pu avoir un acte de malveillance / sabotage en France sur des câbles de fibre optique inter métropole (Effisyn SDS) on peut craindre le pire.
Quelles conséquences éventuelles ?
Vous imaginez sans peine les conséquences d’un tel sabotage et les défaillances en cascades qui pourraient toucher l’ensemble de nos activités économiques, car le numérique est partout. Défaillance de nos systèmes bancaires et financiers défaillance de nos systèmes d’information de gestion des vols, des trains, effondrement des chaînes d’approvisionnement, du commerce internet etc. (blackout)
Comme vous le constatez les conséquences pourraient être vertigineuses et ce malgré les mesures de continuité de services qu’ont dû prendre nombre d’acteurs importants, mais seront-elles suffisantes pour échapper à la catastrophe ?
Une fois le constat fait, quelles sont les actions à mettre en place ?
Il est des mesures qui relèvent des états. Elles sont d’ordre sécuritaire, et implique une surveillance renforcée de ces architectures critiques. Cependant, devant l’ampleur de la tâche, des « trous dans la raquette » sont plus que probable, et un état suffisamment velléitaire finira par trouver la faille. Il serait aussi de la responsabilité de l’état français de donner certaines orientations sur l’architecture de nos systèmes d’information et de télécommunication. Mettre en place des politiques favorisant des acteurs locaux, avec des systèmes moins concentrés et en réseau, permettrait d’envisager une architecture plus résiliente. Le principe de grid qui se met en place au niveau énergétique notamment lié aux énergies renouvelables, pourrait trouver un équivalent pour nos structure réseaux nationales.
Ensuite, il y a des mesures que chaque entreprise devrait être en mesure de prendre. Mettre en place des procédures de sauvegardes robustes avec des fournisseurs qui ne dépendent pas des liaisons transatlantiques par exemple. On peut aussi envisager de passer à des architectures dites multicloud, cela évide les risques liés à la dépendance à un fournisseur unique. Ces mesures par ailleurs ont aussi leur utilité pour des aspects de pure cybersécurité. Notre faiblesse sur ce plan ne peut rester en l’état !
Pour le long terme, ne faudrait-il pas repartir sur les basiques d’internet, résilience par la décentralisation tant au point de vue étatique qu’industriel ? Et plutôt que de partir sur du tout cloud chez les « scalers » retourner sur des parties de son SI internalisées, choisir des acteurs du cloud qui ont pensé leur architecture sur un mode décentralisé, comme par exemple KloudIci ? Cette remise en cause sera douloureuse pour beaucoup, car elle nécessite pour nombre d’entreprises d’acquérir des compétences nécessaires pour cette transformation, compétences souvent perdues à l’occasion de ces externalisations excessives, de mon point de vue. Par ailleurs, on peut imaginer que ces usages hybrides internalisation / externalisation, renforceront la capacité de l’entreprise à mieux maîtriser et gérer ses fournisseurs, par la ré-internalisation de ressources.
Un espoir à travers la crise ?
Comme toute crise que nous sommes amenés à traverser, les dangers existent, mais l’intérêt de cette crise est aussi de remettre l’ouvrage sur le métier, et d’apporter de nouvelles solutions plus résilientes et plus responsables en termes à la fois environnementaux mais aussi sociaux… Les questions soulevées par cette crise devraient permettre d’avoir une approche systémique des risques liés à la géopolitique. Les entreprises ne vivent pas en dehors du monde, monde complexe qui ne peut se résumer à des tableaux Excel et/ou des évaluations financières. Espérons que cette crise provoque une prise de conscience salutaire !