mardi 4 octobre 2022

Qu’en reste-t-il de la souveraineté numérique à l’ère des cyber-menaces ?

Dans un monde aux frontières poreuses, où le temps s’accélère et l’espace se rétrécit, l’internaute, ce cybercitoyen qui déambule dans les méandres des algorithmes sans attaches territoriales ni nationales…est-il vraiment conscient des nouveaux enjeux que soulève cette ère du tout-digital ?

Tout est désormais numérisé, digitalisé, virtualisé, délocalisé. Une myriade de données sont générées chaque milliseconde par les individus, les entreprises et les collectivités.

Dans un monde hyperconnecté où les frontières s’effacent et les pouvoirs régaliens de l’Etat s’affaiblissent, la société s’est délocalisée dans les espaces immatériels ; les données sont transférées, collectées, analysées, stockées, archivées, mais parfois fuitées, volées, dérobées, divulguées, vendues ou tout simplement supprimées. Or, ces données aussi précieuses que le pétrole et l’or, ne sont-elles enfin qu’une fraction de notre existence, une partie intégrante de notre identité?

Ces données sont de plus en plus cruciales voire vitales quand elles appartiennent à des entreprises, à des administrations ou encore à l’État ! Cet enjeu est d’autant plus stratégique et alarmant lorsque ces données sont hébergées en dehors du territoire national et soumises à des législations permissives, peu respectueuses de la vie privée et même liberticide !

A la recherche d’une « souveraineté » numérique perdue, les Etats et les acteurs économiques du monde se mobilisent et mobilisent leurs moyens financiers, technologiques et humains, pour sécuriser davantage leurs données en misant notamment sur le cloud souverain.

I. De la souveraineté étatique à la souveraineté numérique

On ne peut pas appréhender le sujet de la sécurité des données sans parler du cloud et de la souveraineté numérique.

1/ Aperçu historique et contexte

Le Cyberspace a réclamé son indépendance depuis les années 90. John Perry Barlow l’avait déjà dit en 1996, “Gouvernements du monde industriel, je viens du cyberspace. Vous n’êtes pas les bienvenus parmi nous. Vous n’avez pas de souveraineté où nous nous rassemblons”. Cet extrait, n’est pas  une fiction littérature! C’est la déclaration de l’indépendance du cyberspace, une indépendance au moins apparente pour ne pas dire déguisée. Internet échappe ainsi à l’emprise des lois étatiques et par conséquent de la souveraineté de l’Etat.

Si la souveraineté correspond, dans une acception classique et stricte, au pouvoir suprême exercé par un État indépendant, libre à s’autodéterminer, sur un territoire à l’égard d’une population, cette liberté d’autodétermination n’a cessé de s’éclipser depuis que les géants américains ont imposé leurs conditions d’utilisation et leurs normes, remettant en cause la notion classique de souveraineté et donnant lieu à une nouvelle forme de souveraineté, dorénavant aussi importante que la souveraineté classique, à savoir la souveraineté numérique.

La mondialisation s’est déployée au profit des grandes puissances technologiques qui ont établi leur hégémonie numérique. Les Etats sont concurrencés par les GAFAMI (Google, Apple, Facebook, Amazon, Microsoft, IBM), mais aussi par leur pendant chinois, les ATBXH (Ali Baba, Tencent, Baidu, Xiaomi, Huawey). Il faut préciser qu’en matière de cloud, on parle maintenant des hyperscalers, une nouvelle notion utilisée pour désigner les géants américains et chinois fournisseurs de services de cloud.

2/ La ruée vers le nuage s’accélère ..

Si le numérique a été créé pour échapper à l’emprise de l’étatique, les Etats sont aujourd’hui conscients de la nécessité de reprendre leur souveraineté en main et d’être les maîtres de leurs données, de leurs espaces numériques, à l’abri de toute intrusion étrangère.

C’est tout l’enjeu du cloud souverain qui s’inscrit dans cette logique de protection de la souveraineté numérique et de sécurisation des données. Aujourd’hui, plus que jamais, le cloud est au cœur des enjeux stratégiques de l’évolution technologique. Et seulement, un cloud souverain peut répondre à ces enjeux multidimensionnels de la transformation digitale.

A l’aube d’une éventuelle guerre de données et dans un contexte marqué par une transformation digitale à son comble et par l’accroissement des cyber-menaces, il est légitime de poser les questions suivantes : Où en est-on en matière de sécurité des données ? Et dans quelle mesureles data-centers traceront-ils les nouveaux contours de la souveraineté numérique ?

Si la notion du cloud n’est pas nouvelle et remonte au début des années 2000, la protection des données sur fond de souveraineté numérique en Tunisie est par contre un nouvel enjeu plus récent, surtout que la Tunisie est en retard sur la digitalisation des entreprises du secteur public et de l’administration tunisienne.

Dans ce contexte, il est à mentionner que la stratégie nationale de cybersécurité adoptée en 2019 a été élaborée en tenant compte des nouveaux défis relatifs à la souveraineté des données selon  une approche multi-acteurs impliquant les organismes publics, le secteur privé, la société civile, et le milieu académique. La cybersécurité des données est aussi l’un des axes du Plan national stratégique” Tunisie numérique 2021-2025”, pour la création d’un climat de confiance numérique, qui passe obligatoirement par la sécurisation des données, et le renforcement de la souveraineté numérique de la Tunisie.

Les entreprises tunisiennes du secteur privé ont entamé leur migration vers le cloud à mesure où une infrastructure adaptée a été mise en place, particulièrement suite à l’implication des trois opérateurs de télécommunications dans cette ruée vers le Cloud. 

Des data-centers ont été construits à cet effet et les services cloud se sont diversifiés et différenciés au gré d’une demande croissante due, entre autres, à l’évolution du secteur IT en Tunisie et à l’accélération de la transformation digitale. 

Or, il est permis de s’interroger sur la pertinence de faire appel aux services d’un fournisseur de cloud (cloud provider) local au moment où des géants de la tech comme AWS, Azure et Google (les big 3 cloud platforms) offrent d’ores et déjà des services de cloud séduisants et profitables pour les entreprises dans les quatre coins du monde? 

II. Le cloud souverain, pour se protéger de l’extraterritorialité des législations intrusives

Quels risques encoure-t-on en hébergeant ses données chez les entreprises américaines du cloud computing? La réponse semble évidente.Les entreprises qui optent pour l’hébergement des données chez un prestataire américain, y compris chez une filiale étrangère (française, tunisienne, suisse, brésilienne etc.), peuvent être soumises au droit américain, un droit extraterritorial qui s’applique au-delà des frontières des Etats-Unis dès qu’une personne physique ou morale de nationalité américaine se trouve impliquée. 

AWS (détenu par Amazon), Google Cloud Platform et Azure (appartenant à Microsoft), ces trois géants sont, à l’instar des autres entreprises américaines, soumis  au PATRIOT ACT et au Cloud Act. 

  1. Le Patriot Act :Providing Appropriate Tools Required to Intercept and ObstructTerrorism est une loi fédérale adoptée au lendemain des attentats terroristes du11 septembre 2001. En vertu de cette loi, les services de sécurité américains, peuvent accéder à des données informatiques détenues par les particuliers et les entreprises américaines, nonobstant leur emplacement territorial, sans autorisation préalable, dans le cadre d’une enquête terroriste. Dès lors que vous choisissez d’héberger vos données chez une entreprise américaine, ou une filiale tunisienne par exemple d’une entreprise de droit américain, vos données seront à la portée des autorités américaines en application du Patriot Act.
  • Le Cloud Act : Le ClarifyingLawful Overseas Use of Data Act ou encore “La loi clarifiant l’usage légal des données hébergées à l’étranger” permet à la police et à la justice américaine de consulter, dans le cadre d’une investigation criminelle, les données hébergées et stockées par une société de droit américain en dehors du territoire américain et sans informer la personne concernée. Le Cloud Act, considéré comme « un permis officiel d’espionnage industriel », a fait naître de vives critiques partout dans le monde et particulièrement en Europe où AWS, Google Cloud et Azure détiennent à eux seuls 70 % des parts du marché européen du cloud! Malgré les conditions prévues par le Cloud Act et régissant cette “ingérence numérique américaine”, la situation reste d’une grande insécurité numérique et juridique et met en péril non seulement les secrets d’affaires, la vie privée des personnes et la confidentialité des données, mais avant tout la souveraineté des Etats face à l’hégémonie américaine.

III. Le cloud souverain, gage de confidentialité et de sécurité numérique

Tout d’abord, le cloud souverain est un modèle de stockage de données et de déploiement d’applications qui garantit à la fois la sécurité et la transparence des données qui seront à l’abri de tout contrôle ou ingérence étrangère. Comme les opérations d’hébergement et de stockage de ces données sont  effectuées dans la limite du territoire national et conformément à la législation locale, le cloud souverain permet d’esquiver l’application des lois américaines dont notamment le Cloud Act et le Patriot Act, et plus généralement il permet d’être à l’abri de l’emprise de tout droit intrusif mettant à mal la vie privée des personnes et les données sensibles des entreprises et de l’Etat.

Cette alternative est aujourd’hui la solution la plus sûre en termes de transparence dans la gestion des données. Le cloud souverain est un gage de confidentialité et de sécurité numérique. Une fois vos données stockées en Tunisie chez un cloud provider tunisien, elles seront soumises à la seule législation tunisienne. 

1/ Les données doivent être hébergées et stockées en Tunisie…

Pour parler d’un cloud souverain, il faut que les opérations de production, de transport, de stockage et de traitement des données soient réalisées sur le territoire tunisien. Les data centers doivent garantir la disponibilité, la confidentialité et l’intégrité des données, grâce à une localisation physique et une très haute qualité de connexion internet. 

La souveraineté du cloud est a priori liée à l’emplacement physique des data-centers sur le territoire national. Autrement dit, le prestataire doit disposer d’infrastructures localisées en Tunisie.Le cloud souverain garantit de ce fait un niveau de sécurité élevé par rapport aux fournisseurs de la solution publique situés à l’étranger  Encore faut-il qu’il réponde à d’autres exigences légales et réglementaires.

2/ … et soumises à la législation locale en vigueur en matière de respect des données et de sécurité informatique

Il faut ensuite que les services offerts par le cloud soient juridiquement encadrés. Jusqu’à présent, on ne trouve que quelques projets embryonnaires portant sur le cloud-computing en Tunisie. Des textes de portée générale continuent à être appliqués à cette matière et doivent être respectés par les opérateurs technologiques impliqués.

  • La loi organique n°2004-63 du 27 juillet 2004, portant sur la protection des données à caractère personnelle est le socle législatif de la protection des données en Tunisie. Au niveau institutionnel, c’est l’Instance Nationale de Protection des Données personnelles (INPDP) instituée en vertu de la même loi, qui veille au respect de la législation en vigueur relative à la protection de ces données.
  • Quant à la cybersécurité des données, c’est l’ANSI (Agence Nationale de la Sécurité Informatique) créée en 2004 qui est chargée de surveiller les systèmes informatiques et réseaux publics et privés. L’ANSI œuvre à développer un climat de confiance des technologies de l’information à travers, entre autres, le Centre d’assistance et de soutien en matière de sécurité informatique, le tunCERT (Tunisian Computer Emergency Response Team / Équipe de réponses aux urgences informatiques).
  • Un arsenal juridique a été élaboré pour renforcer la sécurité informatique en Tunisie, notamment  dans le secteur public. On cite en premier lieu, la loi n° 2004-5 du 3 février 2004, relative à la sécurité informatique. Conformément à la loi 2004-5, tout exploitant d’un système informatique ou réseau, doit informer immédiatement l’ANSI de toutes attaques, intrusions et autres perturbations susceptibles d’entraver le fonctionnement d’un autre système informatique afin de lui permettre de prendre les mesures nécessaires pour y faire face.  La loi relative à la sécurité informatique  soumet égalementles systèmes informatiques et les réseaux relevant des divers organismes publics à un régime d’audit obligatoire et périodique de la sécurité informatique. Cet audit obligatoire périodique de la sécurité informatique est régi par le décret n° 2004-1250 du 25 mai 2004, fixant les systèmes informatiques et les réseaux des organismes soumis à l’audit obligatoire périodique de la sécurité informatique.
  • Enfin, la Circulaire n°24 du 5 novembre 2020 a créé un Comité de sécurité pour renforcer les mesures de sécurité des systèmes d’information dans les établissements publics. Cette circulaire rappelle que les sites web et les services électroniques desdits établissements doivent être hébergés en Tunisie.
  • Pour les grandes applications de l’Etat tunisien, il importe de noter que le Centre National de l’Informatique (CNI), dispose d’un data center pour l’hébergement de ces applications. Il dispose d’une infrastructure composée d’équipements matériels, logiciels, réseau et de sécurité offrant un service d’hébergement sécurisant les données et les applications et garantissant  la disponibilité et l’accès aux différentes applications.Rappelons dans ce sens, qu’il est interdit d’héberger les données à caractère personnel traitées par des personnes morales publiques hors du territoire tunisien. C’est ce que prévoit l’article 46 du Projet de loi organique n° 25/2018 relatif à la protection des données à caractère personnel qui n’a pas, jusqu’aujourd’hui, vu le jour malgré les initiatives de relance de ce projet de loi par l’INPDP auprès de la commission parlementaire des droits et libertés du Parlement dissous… Cette restriction s’applique également  à l’hébergement des données à caractère personnel relatives à la santé.

3/ De quelques standards et normes internationaux pour un cloud souverain localement sécurisé

Sur le plan technique, les entreprises du cloud computing doivent mettre à la disposition de leurs clients un cloud agile, flexible, puissant, et sécurisé pour pouvoir se positionner sur des créneaux à forte valeur ajoutée et offrir des services non moins performants que les géants du cloud pour cibler les entités qui traitent des données sensibles. 

Certaines normes internationales de référence doivent être respectées par les data-centers. La norme la plus connue est la certification ISO 27001. Elle spécifie, selon le site de l’ISO, les exigences relatives aux systèmes de management de la sécurité des informations (SMSI). Sa mise en œuvre  facilite le management de la sécurité d’actifs sensibles tels que les données financières, les documents de propriété intellectuelle, les données relatives au personnel ou les informations confiées par des tiers. Cette certification assure la sécurité des données face aux risques de cyber-menaces. 

En France par exemple, on trouve plusieurs certifications délivrées par l’ANSSI dont la certification SecNumCloud, pour distinguer les opérateurs cloud qui respectent les bonnes pratiques en matière de sécurité. La qualification est adaptable aux différentes offres : SaaS (Software as a Service), PaaS (Plateform as a Service) et IaaS (Infrastructure as a Service)

Un nouveau label appelé “Cloud de confiance” a été lancé par le gouvernement français l’année dernière, en complément de la certification SecNumCloud et sécurisant à la fois techniquement et juridiquement les services cloud utilisés par les entreprises françaises. 

IV. Un cloud national tunisien..un projet embryonnaire mais ambitieux ! 

Invité du deuxième podcast de l’épisode Cloud Talk (publié sur www.thd.tn), Hamza Gallaoui, chargé de projet au ministère des Technologies de la communication et de la Transformation digitale a indiqué au sujet du projet du cloud national, que ce projet n’a pas pour objectif de construire un data center mais de capitaliser,  comme on lit sur le site du ministère des TIC, sur les data centers existants pour créer une infrastructure virtualisée. Ce qui permettra d’offrir à l’ensemble des structures administratives des services industrialisés garantissant un bon niveau de disponibilité et assurant la continuité de service dans une perspective de confiance numérique.

Il semble, selon Gallaoui, que la Tunisie optera pour un modèle hybride, c’est-à-dire, combinant cloud privé et cloud public. Si les applications sensibles sont exécutées à partir de logiciels directement téléchargés sur un terminal ou bien un serveur (solution On premise), les autres sont hébergées sur un cloud public. Ce modèle est le plus souple dans la mesure où il assure la sécurité, l’évolutivité et la rentabilité.En termes de souveraineté, cette solution permet un total contrôle sur les données identifiées comme sensibles.Le secteur privé sera la dynamo du projet du cloud national, grâce à sa longue expertise dans le domaine du cloud-computing.

V. Perspectives comparatistes : vers un cloud souverain européen

Pour réduire la dépendance européenne aux technologies américaines, un méta-cloud européen baptisé « Gaia-X » soutenu par la France et l’Allemagne a vu le jour pour trouver une espère de gouvernance commune sur les sujets du cloud. Il s’agit d’un projet européen regroupant une vingtaine d’entreprises allemandes et françaises, qui a pour objectif de mettre en place un cloud alternatif aux clouds américains, respectueux du Règlement général  sur la protection des données du 27 avril 2016 (RGDP) et qui échappe aux dispositions du Cloud Act.

Dans un document publié en décembre 2021 par Gaia-X et signé par FrancesscoBonfglio intitulé « Vision et stratégie », Gaia-X permettra aux acteurs européens d’acquérir une part substantiellement plus élevée du marché de l’économie numérique’ d’ici 2025, et pourront ainsi  ‘’concurrencer à l’échelle les hyperscalers’’.Gaia-X, ce grand projet d’envergure européenne mais aussi internationale, n’est qu’un nouveau pas pour reconstruire la souveraineté numérique de l’Europe.

Quid d’un cloud souverain africain ?

 « Il est permis de rêver. Il est recommandé de rêver », nous répond Louis Aragon…

Ecrit par : ESSLEM HAJ SESSI

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Derniers Numéros