Arnaud MARTIN, Expert en Cyber Sécurité, Interviewé par Vincent BERTHELOT, Département gestion et innovation sociales à la RATP et Administrateur de l’OBS.
Vincent Berthelot (VB): Pouvez-vous m’expliquer ce qu’est la souveraineté numérique des données ?
Arnaud Martin (AM): La souveraineté est souvent associé à une « souveraineté d’état » ou de « nation ». La souveraineté est la qualité de l’Etat de n’être obligé ou déterminé que par sa propre volonté. Si l’on prend l’analogie germanique , il y a un constitutionnaliste allemand, Georg Jellinek, qui disait c’est la « Kompetenz-Kompetenz » c’est-à-dire « compétence de la compétence » , c’est le choix de décider soit de déléguer, de faire faire, soit de faire par soi-même, dans tous les cas même si on décide de déléguer pour rester souverain, il faut être en capacité éventuellement de savoir-faire soi-même pour ré-internaliser cette compétence.
Se pose la question sur l’industrie de la défense, sur bon nombre de sujets et, depuis une dizaine d’années à peu près, se pose la question de la souveraineté numérique et cette question-là, pour moi elle est primordiale. Est-on en capacité de maitriser encore un certain nombre de choses, sur le stockage des données, sur l’opération des différents réseaux… ?
Et c’est vraiment un sujet clef, qui est discuté jusqu’au niveau des comex, c’est un enjeu stratégique, de ce point de vue-là, on se doit de prendre des décisions en fonctions de ses valeurs, en fonction de son ADN.
VB : On le voit d’ailleurs, c’est un enjeu qui est devenu stratégique au niveau même des pays. On a beaucoup parlé ces derniers temps des cyberattaques. Si le sujet est moins médiatique, il y a aussi tout ce qui permet de faire grandir les IA, les Machine Learning grâce aux données. En quoi est-ce vraiment stratégique ? Peut établir une corrélation entre les pays et les entreprises ?
AM : C’est devenu stratégique ou ça l’a toujours été, dans le sens où les communications ont toujours été stratégiques, la maitrise de l’information a toujours été stratégique d’un point de vue étatique, pour avoir cette capacité de toujours savoir ce qui se passe globalement dans le monde, dans son entreprise.
Ce qui est un petit peu différent, c’est l’explosion en terme de données, que ce soit en terme de stockage sur un certain nombre de solution cloud, ou en terme d’explosion des solutions en mode software de service qui sont fournies.
La meilleure preuve de cette stratégie : j’aurai tendance à dire que si on regarde la valorisation boursière des 10 entreprises les plus importantes dans le monde, si on fait une photo entre maintenant et autour des années 2000, on voit que la technologie de l’information était, a toujours été au centre de ce sujet-là. On avait des IT&T, des Deutsche télécom, des Orange parmi les acteurs des années 2000, maintenant on est sur des Gafa ou des équivalents chinois en terme du top Ten sur la capitalisation boursière.
Cette notion est prégnante au niveau des entreprises, au niveau des états et on a un peu un effet de bord qui est de dire on a davantage de régulation, on commence à pointer un certain nombre de sujets pas forcément dans toutes les zones géographiques mais certains enjeux commence à se profiler comme la mise en place de la GDPR au niveau de l’Europe, un certain nombre de recommandations et je pense que là-dessus la France comme l’Allemagne d’un point de vue européen, entre le gdsn, l’anssi, le psi (homologue allemand) font attention à ce genre de choses.
Typiquement en terme de protection des SI, c’est d’une importance vitale ou d’une importance critique pour la nation par rapport à ces aspects de suprématie nationale. Clairement, je pense que la France est un pays en pointe, de ce point de vue. Il y a des réflexions globales au niveau Européen, il y a les visas et ça fait partie des sujets qui sont en train de bouger et pas pour les mêmes parce que l’on voit que ce monopole en terme de possession de la donnée aboutit aussi à l’émergence de quelques enquêtes préliminaires anti trust aux États-Unis et que ça atteint la souveraineté de l’état fédéral au sens USA qui potentiellement se rend compte qu’il perd pied par rapport à un certain nombre d’informations.
VB : Lorsque l’on regarde cette situation, on a l’impression d’un jeu de Légo avec comme base la souveraineté des données qui serait dépendante des états puis la souveraineté des données au niveau entreprise et enfin nous tous, notre souveraineté des données, ce que que l’on peut donner à l’entreprise soit en tant qu’employé ou en tant que citoyen.
AM : Légo, je ne sais pas parce que la métaphore Danoise sur la partie cybersécurité c’est pas forcément la meilleure nation, on va dire poupée russe comme ça on rejoint la sémantique Russe.
Tout ça pour dire, oui au niveau étatique, on vient d’en parler, je pense que c’est aussi un enjeu en terme de réflexion stratégique au niveau de l’entreprise. Je pense que c’est important que le Comex d’une entreprise décide ou en tout cas insuffle une direction par rapport à un certain nombre de choix qui sont des choix stratégiques qui doivent être assumés. Typiquement si le choix est dicté par le DSI, c’est plus simple, plus facile, la résilience est meilleure, je pense que la seule chose à dire est « virez le DSI !» . Si le RSSI de l’autre côté dit jamais en SaaS parce que ce n’est pas sécurisé, de la même façon, il faut virer le RSSI.
Après au milieu, il faut se poser les bonnes questions, quels sont les choix stratégiques, quel est l’ADN de l’entreprise et insuffler cette direction-là au plus haut niveau de l’entreprise.