Des DSI français inquiets de voir leur informatique en Russie s’arrêter car les logiciels sont américains

Jean-Claude Laroche, Cigref

La question de la souveraineté numérique préoccupe d’autant plus les entreprises françaises que la guerre en Ukraine fait désormais planer un arrêt possible des logiciels américains utilisés en Russie. C’est ce que pointe Jean-Claude Laroche, DSI d’Enedis et Président du Cigref, le Club informatique des grandes entreprises françaises. Il  a pris la parole à l’occasion de l’événement « Rencontres du digital et de la finance » organisé par l’Association Nationale des Directeurs Financiers et de Contrôle de Gestion (DFCG), le 8 avril.

Des adhérents du Cigref craignent de plus avoir de système d’information

« Nous avons pu constater que pour nos adhérents au Cigref qui ont une activité en Russie, si leur activité n’est pas sous le coup des sanctions, mais qu’elle utilise des logiciels, des systèmes d’exploitation ou bureautiques américains dans le Cloud, ils craignent de ne plus avoir de système d’information du jour au lendemain pour leur activité en Russie » prévient-il.
La question de la souveraineté s’exacerbe alors même que le Cigref considère qu’il ne peut pour sa part répondre qu’à certains points liés à cet enjeu critique. « La souveraineté n’est pas un attribut des entreprises mais une problématique étatique » affirme Jean-Claude Laroche.

« Un Cloud de confiance doit protéger contre l’extraterritorialité du droit de certains pays et faire jouer la concurrence »

Le Cigref préfère parler de confiance numérique. « En tant qu’acteurs économiques, ce qui nous intéresse c’est de maîtriser notre avenir, de protéger nos données et de faire du business. Cela ne se marie pas bien avec la notion de souveraineté » décrit-il. Le Cigref défend notamment la notion de Cloud de confiance pour la protection des données. « Un Cloud de confiance c’est un Cloud qui permette d’avoir une relation contractuelle équilibrée, qui permette de faire jouer la concurrence, d’être cyber protégé et qui nous protège contre l’extraterritorialité du droit de pays pour lesquels on ne souhaiterait pas que leurs lois leur donnent accès à  nos données de façon facile » détaille-t-il.

Le Cigref a défini un label et un référentiel dans ce sens, tout en reconnaissant que ce référentiel n’est pas souverain en tant que tel. « La souveraineté cela voudrait dire qu’y compris dans nos Data Centers toutes les technologies utilisées sont françaises ou européennes. On sait bien qu’aujourd’hui on est dépendant de A à Z » relève le responsable. « Nous ne fabriquons pas nos semi conducteurs, nous achetons nos PC portables en Chine, nos systèmes d’exploitation et nos systèmes bureautiques sont en général américains, les routeurs sont en général du Cisco ou c’est du matériel israélien » liste-t-il. C’est pour cela que le Cigref préfère ne pas utiliser le terme souveraineté. « Nous souhaitons surtout maîtriser nos opérations, nous protéger à travers des dispositifs qui nous permettent de le faire » dit-il.

Le juridique doit empêcher que les Américains ou les Chinois regardent les données

En dehors d’une guerre comme c’est le cas en Ukraine, l’enjeu de la souveraineté est plus généralement lié au Cloud Act américain. même si des tensions commerciales peuvent amener des mesures de rétorsion entre états. Pour les entreprises françaises l’objectif est de se protéger des textes de loi étrangers intrusifs. « A minima, ce que l’on souhaiterait c’est que les données sensibles des grands acteurs français soient hébergées en France ou en Europe, dans des conditions juridiques qui permettent de faire en sorte que des Américains ou des Chinois ne puissent pas s’appuyer sur leurs textes, leurs lois pour aller regarder ces données » explique Jean-Claude Laroche.  

« Les grands groupes, dans la bureautique, utilisent Office 365 de Microsoft ou la suite Google, donc des suites logicielles américaines »

Il salue la vision de l’hébergeur Scaleway, qui considère que la souveraineté consiste à avoir des Data Centers français, opérés par des entreprises françaises, et des logiciels gérés en France avec du personnel français. « Au Cigref, cela nous va très bien s’il y a des offres compétitives qui vont dans ce sens là. A terme cela peut être une solution qui nous intéresse » réagit le DSI. Reste que de nombreux obstacles demeurent. « Si vous regardez les grands groupes, dans la bureautique,  ils utilisent Office 365 de Microsoft ou la suite Google, donc des suites logicielles américaines. Alors comment fait-on si l’on n’a plus ce genre d’outils, car Scaleway ne propose pas cela, c’est un hébergeur » évalue-t-il.

L’idéal serait des solutions permettant l’usage de solutions étrangères tout en protégeant les entreprises françaises. L’initiative Bleu, issue de Orange, Cap Gemini et Microsoft, va dans le bon sens selon le Président du Cigref. « Bleu va absolument dans ce sens là. Mais pour nous Bleu n’est clairement pas une solution souveraine parce que Bleu va héberger des suites américaines. Même s’il s’agit d’une version spéciale mise à disposition par Microsoft, cela reste Microsoft » retient le DSI.

Même le chiffrement des données n’est qu’une solution partielle

Est-ce qu’un chiffrement des données de bout en bout pourrait résoudre ces difficultés ? « Oui, quand il s’agit d’hébergement de données et que vous avez les clés de chiffrement » répond Jean-Claude Laroche. « En revanche, si vous utilisez des logiciels qui sont hébergés à l’extérieur, souvent les éditeurs ne garantissent plus les fonctionnalités sur les données chiffrées, il faut qu’à un moment les données soient déchiffrées pour que cela marche » répond-il.

Le diable est souvent dans les détails. En témoigne, la mise au ban récente par la Cnil de la plateforme Google Analytics de suivi des sites web car celle-ci transfère des données aux Etats-Unis de son propre chef sans que les utilisateurs puissent l’empêcher. « La pratique de Google avec Google Analytics est très critiquable. Chez Enedis, nous ne l’utilisons pas précisément pour ce type de raison » conclut Jean-Claude Laroche. Les entreprises procèdent beaucoup par analyse de risque. Certaines ont considéré que l’intérêt d’utiliser Google Analytics prenait le pas sur le risque que son usage représentait. Mais toutes les entreprises n’ont pas les moyens de trouver une solution alternative et se trouvent dès lors en difficulté.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *