Souveraineté et résilience numérique

Pour un opérateur, construire des solutions de confiance consiste à assurer dans la durée la sécurité et la résilience de bout en bout pour garantir la disponibilité et l’intégrité de chaque donnée critique. La protection de l’information au long de son cycle de vie, de sa création à sa destruction, nécessite de réfléchir à une architecture d’ensemble et à assurer la cohérence des choix techniques et organisationnels. La souveraineté ne se réduit pas au seul choix des technologies mais embrasse la complexité des choix d’organisation et de capital humain.

Le numérique apporte aujourd’hui de nombreuses solutions à notre société en contribuant notamment à la continuité de l’activité, dans un contexte de crises mondiales majeures. Il est donc devenu un outil indispensable à notre quotidien. Mais le cyberespace est également un nouveau champ de conflictualités qui n’est plus réservé qu’aux États. Être résilient grâce au numérique est nécessaire mais disposer d’un numérique résilient, c’est indispensable !

Les défis de la 5G : plus de sécurité, plus de services

La téléphonie mobile se développe depuis les années 1980 au travers de standards qui apportent de plus en plus de services devenus indispensables à la vie courante. Tous les 10 ans, une génération technologique ringardise plus ou moins la précédente et la 5e génération n’échappe pas à ce principe. La « 5G » promet trois avancées majeures : un débit décuplé pour les utilisateurs ; la massification des objets connectés et, enfin, un faible taux de latence. Ces trois performances ont déjà permis des opérations chirurgicales à distance ou l’automatisation complète d’usines robots (Industrie 4.0).

Ces applications, essentiellement à visée professionnelle, sont toutes critiques et nécessitent un haut niveau de sécurisation alors même que l’architecture totalement virtualisée des réseaux est de plus en plus complexe et ouverte. Avec le recours aux technologies de virtualisation des fonctions réseau, le cœur de réseau de télécommunications n’est plus un monolithe technologique mais est ouvert avec des menaces pouvant provenir des téléphones eux-mêmes, des antennes mais également des partenaires exploitant les fonctions cœurs 5G ou du mobile Edge Computing1 partagé entre plusieurs opérateurs.

Pour répondre à de tels enjeux, avec une supply chain de plus en plus complexe (le nombre d’équipementiers diminue mais le nombre d’éditeurs de solutions virtualisées explose) la sécurisation du réseau consiste à accroitre la supervision de toutes ses couches (applications, signaux,...), à détecter et réagir très rapidement face aux menaces dans les diverses portions du réseau mobile grâce à l’intelligence artificielle et à intégrer des fonctions de sécurité dans les API2 ouvertes pour une sécurité homogène entre les composants des architectures distribuées.

Réseau 5G et Cloud sont des cousins proches du fait de l’utilisation des technologies informatiques les plus évoluées et sont parfaitement complémentaires pour offrir des services de bout en bout.

Cloud souverain, cloud de confiance : mythe ou réalité ?

Qu’est-ce que le cloud computing ? Le cloud correspond à un réseau d’infrastructures physiques hébergeant des serveurs reliés entre eux et conçus pour stocker, traiter des données, exécuter des applications. Il n’y a aucun doute sur le fait que le cloud présente énormément d’atouts. C’est d’ailleurs un vecteur d’innovation grâce à l’accès à des ressources informatiques infinies, depuis n’importe quel point du globe, tout en bénéficiant des dernières versions logicielles et en s’affranchissant des coûts de maintenance grandissants.

Data Center Orange Val De Reuil

Mais le cloud peut également être porteur de dangers : confier ses données à un tiers, dans un environnement physique et logiciel qui ne nous appartient pas, c’est aussi potentiellement prendre le risque de perdre le contrôle de ses données lesquelles pourraient être exploitées à notre insu. C’est là que la notion de « cloud souverain » prend tout son sens.

Tous les opérateurs cloud mettent en avant, dans leur communication, le caractère souverain de leurs offres, et ce, quels que soient le siège social de leur société mère, les technologies sur lesquelles ils s’appuient ou encore le niveau de service qu’ils peuvent proposer

La souveraineté dans le cloud continue à faire débat du fait de sa complexité et de la combinaison d’enjeux technologiques, réglementaires, géopolitiques.

Tous les arguments sont bons pour vanter le caractère souverain d’un cloud. Les partisans de la préférence européenne s’opposent à ceux qui sont convaincus de l’intérêt d’alliances technologiques mondiales. Certains misent sur la protection « physique » des données avec le chiffrement multiple. D’autres jouent sur l’ambiguïté de la localisation physique des données et l’illusion rassurante d’une souveraineté assurée par la proximité avec les datacenters. Mais dans ce dernier cas, c’est omettre la puissance de certaines lois extraterritoriales comme le Cloud Act américain.

Quelles que soient les définitions, la souveraineté dans le cloud est un sujet éminemment stratégique. Il touche à la protection de ce qui devient le carburant pour nos industries, nos administrations ou tout simplement le quotidien de chacun : la donnée.

Dire qu’il existe une unique réponse au cloud souverain pourrait être réducteur à partir du moment où il existe différents niveaux de sensibilité de la donnée, où son exploitation peut différer d’un cas d’usage à l’autre.

Il importe, avant tout, que l’utilisateur dispose de garanties intangibles quant à la maitrise de ses données en matière de cyber-protection, de transparence, de réversibilité et de protection juridique le cas échéant.

Une connaissance impérative de la valeur de ses données

Face à ces enjeux de valorisation commerciale et de maitrise de la données, les autorités politiques européennes ont pris le parti de protéger leur propriétaire avec une réglementation protectrice des données personnelles de plus en plus conséquente. C’est une forme d’aveu de perte de souveraineté de l’exploitation de la donnée. Au-delà de la réglementation et des obligations qui en découlent pour les opérateurs, il faut surtout apprendre à titre individuel ou à titre collectif, au sein des entreprises et des administrations, à connaitre ses données, c’est-à-dire à discerner celles qui sont réellement stratégiques.

Pour résister aux cybermenaces, les réglementations européennes souvent inspirées par l’exemple français sont de plus en plus contraignantes pour les opérateurs de réseau et de cloud qui s’adaptent pour mériter au quotidien la confiance de leurs clients. Cependant, il s’agit avant tout de reconquérir la souveraineté des services et pour cela des projets ambitieux sont nécessaires si possible à l’échelon européen pour bénéficier d’un marché d’une taille suffisante.

Pour conduire de tels projets en apparence très techniques, il faut en réalité déployer de nombreuses compétences dans des domaines variés car avant tout il s’agit de relever la combinaison des défis technologiques, juridiques, organisationnels et de compétences.