Cybersécurité : ici l'Europe

Dans un contexte de guerre hybride, l'Europe doit développer une filière solide en cloud computing et en cybersécurité.

1. Le risque d'embrasement au Moyen-Orient et les manœuvres chinoises autour de Taîwan intensifient les tensions géopolitiques

Les récents affrontements à Gaza et la réponse militaire d'Israël ont provoqué des vagues de réactions à travers le monde, renforçant les lignes de fracture entre les pays.
L’instabilité persistante au Moyen-Orient, marquée par des conflits tels que la guerre en Syrie, les tensions entre l’Iran et Israël, et les affrontements entre différents groupes régionaux, engendrent un climat de peur et d’incertitude. 

Cette situation n'est pas sans conséquences sur la scène géopolitique mondiale. Les États-Unis, traditionnellement perçus comme le garant de la stabilité dans la région, voient leur influence contestée non seulement par la Russie, qui s'implique de plus en plus dans les affaires du Moyen-Orient, mais également par la Chine, qui développe des relations économiques et militaires avec des acteurs régionaux.

En mer de Chine, les manœuvres militaires chinoises du mois d’Octobre rappellent si besoin était que Taïwan est pour Pékin, la 23e province du pays, et que Xi Jinping fait de la réunification, ou plutôt du rétablissement de la souveraineté chinoise sur l’île, une priorité. 
Au-delà des symboles de souveraineté nationale, la perspective d’une réunification ouvre surtout une opportunité stratégique et économique majeure.
En effet, la possession de Taïwan renforcerait la capacité de la Chine à projeter sa puissance navale et aérienne dans l'Asie-Pacifique, tout en diminuant l'influence des États-Unis et de leurs alliés dans cette zone.
Mais Taïwan est aussi et surtout un leader mondial dans la production de semi-conducteurs. Ces composants essentiels pour de nombreuses industries, notamment les technologies de pointe, et leur maîtrise renforcerait l’autonomie de la Chine dans des secteurs industriels essentiels tout en augmentant la dépendance de l’Europe à son égard. *

Cette polarisation accentue les rivalités entre blocs, exacerbant les tensions géopolitiques et rendant inévitable une course à l’armement sur le plan cybernétique, avec des implications directes pour la sécurité des nations européennes.

2. Ces tensions accrues se traduisent par un risque de guerre devenue hybride et un besoin urgent de maîtrise de notre cybersécurité

La montée des tensions géopolitiques et la fragmentation des alliances traditionnelles engendrent un contexte de guerre hybride, où les conflits ne se limitent plus aux affrontements armés classiques. Les cyberattaques, la désinformation et les manipulations politiques deviennent des armes stratégiques privilégiées. Les pays de l’Union européenne se trouvent exposés à des menaces diversifiées, allant de l’espionnage industriel à la perturbation des infrastructures critiques.

Des exemples récents, comme les cyberattaques contre des infrastructures énergétiques en Ukraine, mettent en évidence l'impact dévastateur de la guerre hybride. Ces attaques, souvent attribuées à des acteurs étatiques ou semi-étatiques, montrent comment les cyber-opérations peuvent paralyser des économies entières, désorienter les gouvernements et créer un climat de panique. 
La France, comme tout autre membre de l’Union Européenne, doit donc reconnaître que ces menaces sont réelles et que sa cybersécurité doit être renforcée pour faire face à ces défis.

3. L'Europe a besoin d'une filière Cloud computing souveraine pour garantir son autonomie stratégique

Nul ne contestera l’importance stratégique du cloud et son rôle dans la productivité et la compétitivité du secteur public comme privé ni la très forte dépendance des organisations à celui-ci.
Aussi la part de marché de soixante-dix pour cent que se sont arrogés Microsoft, Amazon et Google en Europe apparaît préoccupante et nous fait courir des risques dont la gravité  semble largement sous-évaluée par les pouvoirs publics.

Le risque de perte de souveraineté tout d’abord, l’Etat français, privé d’un accès total ou partiel au Cloud Computing en raison de divergences diplomatiques avec les Etats Unis, pourrait se voir priver de toute capacité d’action. 
Nous serions bien inspirés de nous rappeler, que le Cadre de protection des données UE-États-Unis (DPF) officiellement adopté par la Commission européenne le 10 juillet 2023 en remplacement de l'ancien bouclier de protection des données UE-États-Unis (Privacy Shield), invalidé en 2020, a été  négocié par Joe Biden conjointement aux discussions visant à renforcer l'approvisionnement de l'Europe en gaz naturel liquéfié (GNL) américain pour réduire sa dépendance au gaz russe en raison  du conflit russo-ukrainien. 
Il convient également de rappeler que dans le cadre d’un contrat avec un fournisseur de cloud la responsabilité de la protection des données du client est au mieux partagée (IaaS ou PaaS) et au pire déléguée (Saas).
Nul besoin de préciser que déléguer des responsabilités à des acteurs assujettis à des juridictions extérieures à l’Union européennes ne saurait présenter, en ces temps troublés,  des garanties suffisantes pour les clients contre les risques d’ingérence d’autorités étrangères dans les données.

Le second risque est d’ordre économique. 
Toute position hégémonique conduit nécessairement au renforcement du pouvoir de négociation du fournisseur dominant. 
Dans ce domaine, nous devrions tirer les leçons des conséquences financières désastreuses, tant pour nos entreprises que nos administrations, du rachat par Broadcom de VMWare, qui concentre pour l’heure quatre-vingt pour cent du marché de la virtualisation.
Le troisième est un risque de dépendance accrue et de désintermédiation progressive.
Si le choix d’entreprise sans usine, en vogue entre les années 1995 à 2015, s’est traduit par une désindustrialisation massive et sans précédent de la France, il y a fort à parier que le numérique sans cloud providers n’engendre des conséquences tout aussi fâcheuses pour notre autonomie numérique et notre économie à moyen terme.

Le dernier est sociétal.
Tout cloud provider de taille critique se doit de proposer des plateformes d’intelligence artificielle dans des domaines aussi variés que les modèles de traitement du langage naturel, les systèmes de vision par ordinateur, les algorithmes d'apprentissage profond ou les technologies de simulation et de modélisation.
Utiliser des algorithmes étrangers d’intelligence artificielle au prétexte de leur avance technologique est un raisonnement spécieux.
La maîtrise des algorithmes d'IA est cruciale pour préserver l'indépendance économique et stratégique d'un pays, protéger sa cybersécurité, et influencer les normes internationales.
Sans une maîtrise des algorithmes d’IA, l’Europe pourrait être incapable de réguler efficacement l’usage de cette technologie, notamment en matière de vie privée, d’équité, et de droits de l’homme.

4. Un cloud computing européen qualitatif et moins énergivore

Le meilleur des algorithmes d’IA ne vaut rien sans un volume de données adéquat. Disposant d’un volume de données qui avoisinera les 30 zettaoctets à l’horizon 2025 (respectivement 48,6 et 47,3 pour la Chine et les Etats Unis) l’Europe occupe une position forte mais distincte dans l'écosystème global des données. Le rapatriement des données européennes actuellement exploitées sur des plateformes américaines vers des clouds providers souverains est d’ailleurs de nature à bouleverser ce tiercé.
Plutôt que de se concentrer uniquement sur le volume de données, l’Europe met l'accent sur la qualité et l’interopérabilité des données, favorisant l’agrégation et l’analyse dans un cadre éthique et respectueux de la vie privée.

A titre d’exemples, l’Europe génère d'énormes volumes de données dans l’automobile, l’énergie ou l’aérospatiale ; notamment à partir de l'Internet des objets (IoT).
De nombreux pays européens ont de même des politiques de partage de données publiques (open data), permettant aux citoyens et aux entreprises d’accéder à des données dans des domaines variés que la santé, les transports ou les statistiques économiques.
Enfin, l'Union Européenne investit massivement dans la recherche en IA et en Big Data, par le biais de programmes comme Horizon Europe, et encourage le partage des données scientifiques pour améliorer la collaboration et l'innovation.

Cette approche privilégiant la qualité à la quantité de données disponibles pourrait positionner l’Europe comme un leader dans des domaines de niche, où la qualité et l'intégrité des données sont plus importantes que le volume et avec une empreinte environnementale minimisée.

5. La donnée objet de toutes les convoitises

C’est dans ce contexte de compétition exacerbé pour l’accès à la donnée que prennent place les discussions actuelles des Vingt-sept autour du projet européen de certification cloud EUCS (European Union Cybersecurity Certification Scheme for Cloud Services). L’objectif est de créer une certification cloud destinée à évaluer la sécurité des fournisseurs de services cloud à l’échelle européenne, à l’image de la qualification  SecNumCloud en France.
Plusieurs majors américains du Cloud Computing ont appelé l’Europe à «tourner le dos au protectionnisme numérique et d’éviter les politiques discriminatoires».
Comme le souligne Henri d’Agrain, Délégué Général du CIGReF, il est piquant de constater que ces «géants américains entretiennent volontairement une pernicieuse confusion entre les accès criminels et illégaux aux données sans explicitement qualifier de légaux les accès illégitimes qu’autorisent la section 702 du Foreign Intelligence Surveillance Act auxquels ils sont assujettis ».
Pourtant, force est de constater que la majorité des infrastructures cloud utilisées par les administrations et les entreprises européennes reposent sur des solutions américaines dans un monde où la dépendance à des solutions externes expose à des risques accrus. 
Par ailleurs, des chercheurs chinois de l’Université de Shangai ont révélé être parvenus à casser le chiffrement RSA de 22 bits à l’aide d’un ordinateur quantique canadien accessible via internet. De quelles garanties de confidentialité disposeront les clients européens, séduits par les sirènes des clouds chinois, lorsque ces derniers disposeront de la puissance de déchiffrement de 2048 bits communément utilisée et de la loi du renseignement chinois pour s’ingérer sans vergogne dans le patrimoine numérique des organisations clientes ?

En encourageant les alternatives cloud computing, IA et cybersécurité souveraines, en adoptant une approche systémique, l’Europe pourrait non seulement renforcer sa sécurité, mais aussi favoriser la compétitivité de ses entreprises sur le marché mondial.

Comme le soulignait déjà Catherine Morin-Desailly, Sénatrice de la Seine-Maritime, dans son rapport d’information réalisé au nom de la commission des affaires européennes en mars 2013, à défaut de changements majeurs de la stratégie industrielle et politique pour le numérique, l’Europe pourrait devenir une « colonie numérique » de deux autres continents.

6. La commande publique, unique planche de salut dans un contexte de réduction budgétaire

Bâtir une filière numérique souveraine dans un contexte de réduction budgétaire n’est pas une sinécure. Le budget 2025 de la France est assurément dans la catégorie des lois de finances les plus draconiens de l’histoire récente et les aides à l’innovation vont conséquemment se réduire à une peau de chagrin (aides à l’embauche JEI, CII ...).

Pour concrétiser cette ambition, il est urgent que les États européens flèchent massivement la commande publique vers des acteurs souverains de la cybersécurité et du cloud computing. 
En allouant des budgets significatifs à des initiatives locales, les gouvernements peuvent stimuler l’innovation, encourager le développement de nouvelles technologies et garantir la création d’emplois qualifiés, le tout en réduisant les dépenses publique dans le domaine du numérique et en s’assurant des recettes fiscales en retour.

Cette approche pourrait également conduire à des partenariats public-privé, favorisant le partage de connaissances et d’expertises. Des exemples de réussite existent, comme les initiatives en matière de défense, où des projets collaboratifs ont permis de développer des technologies de pointe. Une telle stratégie, appliquée au cloud computing, à l’IA et à la cybersécurité, pourrait permettre à l’Europe de se positionner comme un acteur incontournable sur le marché mondial.

7. La nécessaire consolidation de la filière cybersécurité

Pour que les acteurs de la filière numérique européenne atteigne une taille critique, l'État doit encourager la consolidation des acteurs existants. Dans un marché fragmenté, de nombreuses entreprises, bien que compétentes, peinent à rivaliser avec des géants internationaux. 
En soutenant des fusions et acquisitions stratégiques, l'État peut favoriser l'émergence d'acteurs robustes, capables d'offrir des solutions intégrées et d'investir dans la recherche et le développement. Cette consolidation permettrait également une mutualisation des ressources, améliorant ainsi l'efficacité et la rapidité d'innovation. En renforçant la filière de cette manière, l'Europe peut non seulement améliorer la résilience de ses organisations mais également figurer parmi les leaders dans le domaine des technologies numériques.

8. Le recours à l'open source pour accélérer le développement

Dans cette quête d'une filière cloud computing et cybersécurité forte, le recours à l'open source s'avère essentiel. Les solutions open source permettent aux entreprises et aux administrations de développer des fonctionnalités adaptées à leurs besoins spécifiques en un temps record. En favorisant la transparence et la collaboration, les projets open source peuvent bénéficier de l’expertise collective de développeurs et de chercheurs à travers le monde, ce qui permet d'identifier rapidement les vulnérabilités et d'améliorer continuellement les systèmes. L'open source réduit la dépendance à des fournisseurs uniques, permettant ainsi aux États européens de contrôler pleinement leurs infrastructures technologiques. En intégrant ces solutions dans leur stratégie, les acteurs européens peuvent non seulement accroître leur agilité face aux menaces, mais aussi renforcer l'innovation locale et accélérer la transformation digitale sécurisée des organisations avec des acteurs de confiance.

9. L’appel à la mobilisation générale

Face aux défis technologiques et géopolitiques contemporains, l'Europe doit impérativement adopter une stratégie numérique souveraine et concertée. La dépendance accrue aux solutions de cloud computing et aux infrastructures numériques étrangères expose les États européens à des risques économiques, de sécurité et de perte de souveraineté. 
Pour pallier cette fragilité, une série de mesures s’impose : favoriser l'essor d'une filière locale de cloud et de cybersécurité, encourager la consolidation des acteurs européens et promouvoir les solutions open source. 
En outre, les gouvernements doivent utiliser la commande publique pour soutenir ces secteurs stratégiques, allouant des ressources financières aux initiatives locales et aux partenariats public-privé. 
Grâce à cette mobilisation, l’Europe pourra renforcer son autonomie numérique, protéger ses données et devenir un leader mondial dans le domaine des technologies numériques. 
Une Europe souveraine dans le numérique ne se contenterait pas d'être un acteur parmi d’autres, mais un modèle de résilience et d'innovation éthique et éco-responsable, garantissant sa compétitivité dans un monde de plus en plus polarisé.