Numérique souverain : embrasser le modèle chinois sans sacrifier nos libertés individuelles

Souveraineté numérique : de quoi parle-t-on ?

D’exercer un contrôle étatique ou national sur les infrastructures, les données et les services cloud utilisés sur le territoire d'un pays. L’objectif : garantir que les données sensibles des citoyens, des entreprises et des institutions du pays restent sous le contrôle direct ou indirect du gouvernement national, plutôt que d'être stockées et gérées par des acteurs étrangers.

Concrètement, ni l’état, ni les entreprises, ni les citoyens ne souhaitent se faire espionner par une force étrangère, cet état de fait mis à jour par Edward Snowden. Tout le monde souhaite que ses données restent privées. Et le cas échéant, que les comportements délictueux exercés en France y soient jugés. Il appartient donc à cette pleine souveraineté française de défendre tous les intérêts français, qu’ils soient étatiques, privés, ou personnels.

Mais la réalité est toute autre

Post attentats de 2001, la loi antiterrorisme Patriot Act a été adoptée, autorisant l’administration américaine à accéder à tout moment – et sans autorisation judiciaire ! – aux données informatiques des entreprises ou citoyens qui ont un lien, quel qu’il soit, avec les États-Unis. Adoptée discrètement sous l’ère Trump, le Cloud Act vient élargir les possibilités autorisées par le Patriot Act.

Ajoutons à cela le fait que la majorité des ordinateurs sont équipés de hardware et de software américains. Cisco, Intel, Microsoft… et leurs produits made in USA ont été montrés du doigt pour leurs failles systèmes : les « backdoors », ces portes d’entrées secrètes qui permettent aux agences de renseignements et autres organisations des forces de l'ordre de s'introduire à distance dans les réseaux et le matériel informatiques.

En parallèle, les fameux cookies tiers intrusifs dont on pensait être débarrassés grâce au preux chevalier RGPD, ont revêtu leur habit de cookies « de première partie », biaisant les systèmes de filtre à hauteur de 30%.

Et la Chine dans tout ça ?

La protectionniste Chine, au-delà du pléonasme, a pris de nombreuses mesures pour réduire considérablement les menaces d’intrusion numérique.

En Terre du Milieu, la confidentialité n’est d’abord pas un problème majeur : vous n’avez rien à cacher à l’état chinois, pas même vos secrets intimes.

Pour empêcher les tentatives d’espionnage, le gouvernement chinois a mis en place ce que les internautes appellent la Grande Muraille Virtuelle, le Great Firewall ou GFW. Autrement dit, les moyens mis en œuvre pour censurer le web, par une multitude filtres qui bloquent l’accès de sites ou de réseaux sociaux, trackent les mots-clés sur les blogs et autres forums. Parfois même les messageries.

En termes de souveraineté, la Chine impose de devoir passer par un intermédiaire chinois, bloquant ainsi les lois extraterritoriales américaines. Et pour la sécurisation, les fabricants étrangers ne sont pas les bienvenus. Serveurs, systèmes d’exploitation, équipements réseau et processeurs, tout est sur le point de devenir made in China.

Une utopie en France ?

Si l’idée n’est pas de restreindre nos sacro-saintes libertés individuelles, une politique numérique très ambitieuse proche de la chine reste un modèle réaliste. Pour contrer l’espionnage, la première consisterait à renforcer l’ANSSI pour aider et sensibiliser les entreprises à se sécuriser. Des actions telles que la promotion ou l’obligation d’utiliser des protocoles et des systèmes sécurisés et la sécurisation des seraient essentielles. Par ailleurs, Interdire des cookies trackeurs et appliquer sanctions plus sévères en cas de négligence permettrait de renforcer la confidentialité.

La sécurisation des données pourrait être rendue possible par la promotion d’acteurs français tels que Stormshield pour les réseaux, Clip-os, développé par la même ANSSI, pour les systèmes d’exploitation et enfin favoriser la recherche et fabrication de cartes-mères et processeurs franco-français. Processeurs franco-français qui sont loin d’être un doux rêve, les architectures de processeur ARM, RISC-V et openPower se prêtant bien à la francisation de nos infrastructures sans grand effort. La souveraineté aux yeux de la loi pourrait passer par la promotion du SecNumCloud en aidant encore plus les entreprises qui souhaitent se certifier.

En un mot comme en cent, l’effort technologique n’est pas un mur infranchissable. L’effort pour les DSI, RSSI, architectes… consiste à sensibiliser mais aussi à promouvoir l’usage de solutions et de clouders certifiés secNumCloud de droit français.

Si certaines possibilités technologiques permettent à contrario de lutter contre la criminalité, ne pas entreprendre d’actions concrètes en faveur de notre sécurité et du respect de notre vie privée, c’est aller à l’encontre de la protection de nos intérêts vitaux et économiques.