Pendant 2 jours, du 7 au 8 février 2022, se tient la conférence "Construire la souveraineté numérique en Europe, dans le cadre de la présidence de la France au conseil de l'Europe. Objectif: Dresser un état des lieux des questions numériques et des règles émises par l'U.E en matière de Cloud, de cybersécurité et de protection des données.
Face à la multiplication des menaces dans le cyberespace, la conférence s’interroge sur l’émergence d’un modèle européen de cyber-sécurité, à travers des initiatives législatives européennes (révision de la directive NIS sur la sécurité des réseaux et des systèmes d'information), mécanismes de solidarité accrue entre les États membres, et renforcement d’un tissu industriel (GAIA-X ; cloud de confiance ; schéma de certification européen de l’Agence Européenne de cyber-sécurité - ENISA).
Le cloud est en effet devenu une question stratégique dominé par les acteurs américains. Alors comment les opérateurs cloud européens peuvent tirer leurs épingles du jeu? Quelle sera la chaîne de valeur du Cloud européen?
Premier constat: La souveraineté implique la capacité à pouvoir choisir son infrastructure de Cloud. La question cruciale est de comprendre qui détient et qui gère les données.
Les enjeux du marché Cloud et de la data sont en effet conséquents pour l'Europe.
Le conseil national du numérique estime que d'ici à 2030, les flux de données inter-entreprises augmenteront de 15%. Il est donc important au delà des règles, de promouvoir des solutions de cloud sécurisées, au sein desquelles les données sont protégées des dispositions extraterritoriales.
Lorsque les données sont transférées au delà de l'U.E se pose la question de l'accès aux données par des gouvernements étrangers. "La CNIL française est très moteur sur l'accompagnement des opérateurs pour l'hébergement des infrastructures sur des cloud européens sécurisés avec des données localisées en Europe et par des entreprises européennes" a ainsi confirmé la directrice de la CNIL, Marie-Laure Denis.
La définition de la souveraineté, c'est la liberté de choix
Que penser des grands partenariats construits autour du Cloud de confiance entre hyperscalers US et opérateurs français. Pour la CNIL, le constat est clair. Ces enjeux de partenariats sont prometteurs. Oui, mais sous réserve que la sécurité des données soit opérée en Europe.
Pour le président de Gaia-X, Francisco Bonfiglio, les enjeux ne se jouent pas uniquement au niveau IT mais bien autour de la donnée. Et de prôner la fédération des infrastructures et services Cloud au niveau européen. Mais alors pourquoi avoir accepté en ses membres des acteurs non européens? "Tous nos membres veulent pouvoir jouer sur le terrain européen et c'est pour cela qu'il nous faut bâtir des règles interopérables" a commenté le CEO.
L'idée d'un indice de confiance Cloud permettant d'évaluer les meilleurs fournisseurs a même été évoqué.
Souveraineté et protection des données.
Le thème de souveraineté et de protection des données a également été largement défendu par le commissaire européen à la justice, affirmant qu'il faut d'urgence réduire la dépendance numérique dans le domaine du Cloud.
Le nouveau règlement DGA- Data Governance Act- serait-il la nouvelle pierre angulaire de la protection des données?
Pour la direction de la politique de sécurité et de défense du service européen pour l'action extérieure (SEAE): il faut en effet plus de transparence autour des données publiques et stratégiques, notamment en matière de santé. Pour créer la confiance, il faut aussi éviter les situations monopolistiques.
Il faut réduire la dépendance numérique dans le domaine du Cloud et développer la capacité technologique de l'Europe. Didier Reynders, Commissaire européen à la justice.
Au terme de "souveraineté numérique", l'ENISA -Agence européenne chargée de la sécurité des réseaux et des systèmes d'informations- lui préfère le terme "d'autonomie stratégique". Bien sur l'Europe a besoin de coopération mais elle a aussi besoin d'équilibrage. Il faut pouvoir assurer les mécanismes de sécurité et de protection des données et notamment pour les services les plus critiques." a ainsi expliqué Juhan Lepassaar, directeur général de l'agence européenne.
Le schéma de certification de l'ENISA se construit autour de la transparence et de plusieurs niveaux d'évaluation, en mode auto-déclaratif à un premier niveau, certifié par des tiers, mais aussi en mode security by design pour les services d'importance vitale.
Côté cybersécurité, il est à noter qu'un exercice européen est actuellement mené et doit prendre fin le 21 février : l'utilisation de tous les mécanismes européens de cybersécurité sont simulés ainsi que les mécanismes d'assistance mutuelle et la réponse apportée sur le plan politique.
Comments