Peu s'en souviennent encore, mais en 2011, la France se préoccupait au plus haut niveau de l'État de sa "souveraineté numérique", nous découvrions alors tout juste l'ampleur de la surveillance américaine à travers l'affaire Prism. Idée était alors lancée de consacrer deux grands projets de "cloud souverain". Sept ans après leur lancement en grandes pompes, où en sommes nous de notre souveraineté en matière de stockage des données sensibles et de cybersécurité ?
L'échec du cloud souverain professionnel
La localisation géographique des données est l'un des points hautement stratégiques dès lors que l'on aborde les problématiques posées par les données personnelles et certaines données sensibles (secrets industriels, données de santé, etc.), même si on a parfois tendance à oublier que ces données ne font pas que dormir sur des disques durs, elles transitent aussi. Cette localisation permet à l'État de s'assurer de garder un contrôle administratif ou judiciaire sur ces données, et si possible sur le propriétaire ou l'exploitant de l'infrastructure des données : il y a plus de chance de pouvoir coopérer ou faire fléchir une entreprise de télécom française dirigée par un français qu'une multinationale dont l'antenne locale est quasi virtuelle.Toutes les données ont de la valeur et les géants du web en ont de longue date fait leur coeur de métier (collecte, traitement, revente). L'hégémonie d'Apple IOS et de Google Android en mobilité a de fait contribué à populariser leurs offres clouds, souvent gratuites pour les particuliers.
Pour les offres professionnelles, ce sont Amazon (EC2 et Google qui se sont partagés, assez tôt le gros du marché en proposant des plateformes innovantes, dotées d'outils modernes axés sur la haute disponibilité et la scalabilité). Et jusqu'en décembre 2017, AWS et Azure n'avaient aucune infrastructure en France et même aujourd'hui elle reste modeste. A ce jour Google a 5 datacenters en Europe mais évite toujours la France.
Pour que des acteurs français puissent faire leur trou, le gouvernement avait alors annoncé porter un investissement de 225 millions d'euros à travers le projet Andromède lancé en 2011. Concrètement ce seront au final 75 millions d'euros que l'État injectera en échange d'une participation dans ces nouvelles entités. Si le budget en lui même n'est qu'un point de détail, il peut déjà sembler un peu léger face à la puissance de feu d'un Google ou d'un Amazon (CA Google 2011 : 29 milliards de $). Mais c'était loin d'être le seul problème. C'est en tout cas ce projet Andromède qui a donné naissance en 2012 à deux nouvelles entités censées incarner le cloud souverain : Cloudwatt (le projet porté par Orange et Thales) et Numergy (porté par SFR et Bull).
Le financement de l'État pour ces deux projets avait fait grincer des dents. Des hébergeurs historiques, disposant d'un savoir faire qui n'est plus à prouver en matière de cloud comme OVH, Gandi ou Online (Scaleway) s'il ne fallait citer qu'eux, dénonçaient déjà une forme de concurrence déloyale. Avec quelques années de recul toute déloyale soit cette concurrence, les critiques que portaient les professionnels sur cette démarche se sont averrées exactes. LÉtat n'a tout simplement pas financé les bons projets, pas les bons acteurs, du moins pas ceux qui avaient un savoir faire significatif dans ce domaine et qui le prouvent aujourd'hui en innovant et en investissant dans ces technologies. Ils ont une offre sérieuse, en développement actif et compétitive, tout ce à côté de quoi CloudWatt et Numergy sont passés.
Dés 2014, c'est la débandade, tout d'abord parce que les résultats financiers attendus ne sont pas au rendez-vous. Garantir la localisation des données sur le territoire national ne suffit pas, et des administrations continuent de contractualiser avec Google ou Amazon. L'un des deux clouds souverain, au bout de 12 mois d'exercices affichera un investissement de plus de 60 millions d'euros pour un chiffre d'affaire décevant. Mais la petite histoire ne s'arrête pas là. Le jeu des rachats a offert sur un plateau d'argent SFR au cablo opérateur luxembourgeois Altice (SFR Numéricable) dont on retrouve au capital, l'américain Carlyle et l'anglais Cinven... fin 2015 SFR-Numericable récupère la totalité du capital de Numergy et notre souveraineté en prend un coup. Ajourd'hui il n'est plus possible de souscrire à Numergy.
Plus tôt, en 2015, Orange récupérait également l'intégralité de la participation de Thales et de la Caisse des dépôts et des consignations dans CloudWatt. Les bilans de CloudWatt ne sont plus publiés depuis 2015 et là encore, il faut reconnaitre le flop.
Les particuliers délaissés
Après ce cuisant échec qu'il faut quand même relativiser un peu, parce que oui le cloud a bien été adopté par les professionnels, bien qu'il soit rarement "souverain", l'adoption par les particuliers des offres principalement américaines (Google, Amazon, Azure, iCloud, Dropbox, Mega...) demeure écrasante face à des solutions permettant un contrôle sur ses propres données. On a tout de suite envie de penser à Cozycloud, mais là encore l'utilisateur peu sensibilisé à l'offre lui permettant ce contrôle se tournera vers la solution proposée par son fournisseur d'accès Internet. On pense alors à SFR Cloud, au partenariat Bouygues avec Dropbox ou encore à Orange Cloud qui a récemment annoncé la fermeture de son service pour Juillet 2019.
Plus délicat maintenant, nous savons que les usages des professionnels en mobilité s'apparentent (trop) souvent à l'usage d'un particulier comme un autre. Le smartphone dans la poche, connecté à une batterie de réseaux sociaux, d'applications dans le cloud, d'espaces de stockage divers et variés dans lesquels cohabitent sauvegardes de photos de vacances et données confidentielles à caractère professionnel. Ces usages font que les frontières entre univers professionnel et vie personnelle sont devenues poreuses. S'il est difficile d'éduquer un décisionnaire d'une administration ou du privé pour qui le critère de la confidentialité des données n'est qu'un paramètre décisionnel parmi d'autres (et rarement le premier), il peut être plus judicieux de sensibiliser les utilisateurs finaux sur l'usage qu'ils font du numérique en général, de leurs terminaux mobiles, et sur la nécessité de cloisonner leurs activités en ligne.
A ce titre, la fermeture de services de clouds personnels publics est un mauvais signal, reste aux utilisateurs de se tourner vers des solutions de stockage en ligne qu'ils maitrisent, aux acteurs du cloud de militer pour la mise en oeuvre de bonnes pratiques, concernant notamment l'authentification forte et le chiffrement des données stockées en ligne. Les clouds publics à usage personnel posent définitivement une problématique supplémentaire malheureusement souvent oubliée, celle du cloisonnement des activités. Un acteur du cloud vend du stockage, du temps de calcul, il a donc un intérêt, par définition, à ce que vous lui confiez un maximum de données et que vous lui déléguiez un maximum de temps de traitement. Il arguera souvent d'une sécurité accrue et d'une meilleure résilience.
Une erreur stratégique portant sur la cible la plus faible qui impacte la plus forte
Cette réflexion nous amène à un dernier point : la nécessité de l'anonymat et du pseudonymat. Car si l'on a besoin d'être fortement authentifié lorsqu'il s'agit d'accéder à nos données personnelles, des stratégies efficaces de cloisonnement comme le sont le pseudonymat et l'anonymisation des données à des fins de protection du patrimoine informationnel (qu'il s'agisse de celui de son entreprise ou qu'il s'agisse de ses données personnelles) est nécessaire. En ce sens, la remise en question de l'anonymat en ligne est non seulement illusoire, mais particulièrement dangereuse. Pire, l'exemple sud coréen nous rappelle que l'échec peut également être constitutionnel comme ce fut le cas dans ce pays ou la loi a finalement été abrogée.
Si vous avez suivi le raisonnement, vous commencez peut-être à voir se dessiner la conclusion. En abandonnant le particulier aux offres embarquées par les applications mobiles et autres offres "OEM" des différents terminaux domestiques, nous faisons abstraction de toute forme de cloisonnement dans les comportements quotidiens :
carnets d'adresses partagés, données professionnelles côtoyant données personnelles, réutilisation de mots de passes, et maintenant dans le viseur du législateur, une obligation de déclaration d'identité réelle sur des plateformes "sociales", qui seront donc amenées à stocker ces données personnelles nominatives massivement, c'est à dire, constituer des fichiers de données personnelles nominatives, les stocker, ce pour une durée de fait indéterminée... une perspective inquiétante au regard de cette récente actualité concernant des millions d'utilisateurs de Facebook dont le mot de passe a été stocké en clair, sans chiffrement.
Nous déléguons déjà bien trop de choses à des plateformes qui se retrouvent alimentées par une masse de données dont nous ne voulons plus assurer le stockage et le contrôle, ce pour de "mauvaises raisons" d'ordre "pratique". La remise en question de la protection de l'identité réelle sur ces plateformes fait courir un risque supplémentaire aux utilisateurs. L'objectif de la levée de l'anonymat et du pseudonymat "par défaut" vise à faciliter l'attribution de la responsabilité en cas de délits, et le cas échéant à s'épargner des investigations couteuses à des fins de poursuite. Un autre risque bien connu est celui de l'autocensure. Cependant il est illusoire de penser qu'une telle mesure ne posera pas d'autres problèmes et que le remède ne sera pas à terme pire que le mal, car outre une explosion "prévisible" du délit d'usurpation d'identité, nous déroulerions un tapis rouge à quelques cybercriminels qui verront dans l'exploitation de ces données nominatives concentrées en des points multiples (avec donc une plus grande surface d'attaque) une mane encore plus lucrative que celle que nous leur offrons déjà.
Cette longue accumulation d'erreurs stratégiques pourrait à terme nous mettre en difficulté.
