L’année de tous les dangers… pour construire enfin une souveraineté numérique européenne ?

La fin de la naïveté ?

L’instabilité, notamment géopolitique, créée par les déclarations tonitruantes et à l’emporte pièce de l’actuel Président américain, et son impulsivité caractérisée ne sont pas non plus – ou ne devraient plus !- être une découverte pour les Européens. Donc, confier les yeux fermés la gestion de ses données à un acteur aussi puissant qu’un géant américain en imaginant que c’est une garantie absolue sur l’avenir, c’est faire preuve d’une confiance et d’un angélisme qui confine à la  naïveté.

Un homme aussi averti que Guillaume Poupard, ancien patron de l’Agence nationale de la sécurité des systèmes d'information (Anssi) avait déclaré lors d'une émission de France Info du 30 août 2017 : « je redoute tout le monde. J’ai l’habitude de provoquer en disant qu’on n’a pas d’amis. On a des alliés, mais pas d’amis. Tout le monde peut potentiellement attaquer tout le monde », disait-il alors. Cela avait pourtant le mérite d’être clair. Prémonitoire, ou simplement réaliste ? 

Les prémices existaient. Les lois américaines d’extraterritorialité sur le plan numérique, qui légalisent une « surveillance » par les Américains des données hors hors de leur sol pour des motifs de sécurité nationale américaine, existent depuis longtemps.

Le Patriot Act, loi anti terroriste votée par le Congrès en 2001 après le 11 Septembre, le Cloud Act (Clarifying Lawful Overseas Use Of Data Act), adoptée en 2018, et surtout le FISA Act (Foreign Intelligence Surveillance Act) voté par le Congrès americain en 1978, et dont la section 702 a été votée en avril 2024 pour deux ans, sous la présidence de Joe Biden, ne datent pas d’hier. Et, quand il était aux commandes, Barack Obama, pour enclin qu’il ait été à dialoguer et travailler avec les Européens, avait une notion bien arrêtée de la protection des intérêts américains. On ne peut donc pas dire que le sujet soit nouveau… Et l’Europe donne pourtant l'impression de se réveiller avec la gueule de bois.

Vers une prise de conscience, enfin ?

« C'est à nous, Européens, d'arrêter d'être naïf en croyant sur parole un PDG américain qui pourrait être fortement sanctionné s'il n'obéit pas aux exigences du gouvernement américain […]. C’était de la naïveté qu’il faut maintenant arrêter », estime avec pragmatisme Guireg Capitaine, consultant SSI indépendant qui conseille plusieurs entreprises en Bretagne. 

Une prise de conscience semble se dessiner. Sur le plan réglementaire et législatif, elle reste timide. La France bruisse depuis des années de proclamations enflammées sur la nécessité d’être une Nation « souveraine ». Philippe Latombe, Président de la Commission des Lois de l’Assemblée Nationale, ne cesse de défendre cette nécessaire « autonomie stratégique », inscrite en filigrane le projet de loi relatif « à la résilience des infrastructures critiques et au renforcement de la cybersécurité », présenté en Conseil des Ministres le 15 octobre 2024 et qui a pour objectif la transcription des directives NIS 2 .

Le député prône notamment d’ajouter au texte des articles qui inciteraient les entreprises à recourir au logiciel libre, afin de se dégager de l’hégémonie américaine sur les logiciels et services associés. Le texte, adopté par le Sénat le 12 mars 2025, a été transmis en première lecture à l’Assemblée Nationale. Les membres du groupe parlementaire Socialiste, Ecologique et Républicain ont fait voter un amendement qui favorise le recours à des infrastructures et solutions françaises ou européennes souveraines dans les orientations en matière de souveraineté numérique. 

« L'ambition de l'Union européenne de supprimer toute dépendance à l’égard des systèmes non européens d'ici 2030 semble devoir être réaffirmée au titre des priorités de notre stratégie nationale en matière de cybersécurité », précise l’objet de cet amendement. C’est un vœu pour l’instant pieux… et maigre, au regard du contexte. 

Une idée que Guireg Capitaine considère pourtant avec intérêt : « fonctionner sur des logiciels libres rend toujours plus souverain qu'utiliser des logiciels américains propriétaires. Mais il faudrait surtout une solution technologique complète souveraine européenne sur laquelle peuvent s'appuyer facilement tous les acteurs économiques européens souhaitant déployer des systèmes d'information, libre ou pas libre. C'est tout à fait réaliste de consommer moins de logiciel américains » reprend-il.

Et de relever que « nous avons de l'énergie pas chère en Europe grâce au nucléaire, des datacenters fiables, des bons ingénieurs et des bons cursus universitaires. Par contre, ca ne se fera pas tant qu'il n'y aura pas de commandes publiques / militaires souveraines. Cela demande une politique d'ensemble et pas seulement des prêts à taux 0 qui sont donnés au compte goutte ». 

Les professionnels : des réponses concrètes de diversification

Comme souvent, c’est au niveau de la société civile et des professionnels de la SSI que des réponses concrètes peuvent émerger. Cette situation a au moins le mérite de déclencher une prise de conscience chez les professionnels : « on perçoit de plus en plus une vraie préoccupation chez les responsables cyber et informatiques européens, qui sont inquiets et cherchent effectivement à trouver des solutions alternatives, et notamment européennes et souveraines », note à ce sujet Benoît Grünemwald, responsable des Affaires Publiques de l’éditeur d’antivirus slovaque Eset.

Suite à l’affaire de la CPI, des responsables d’administrations, notamment néerlandaises cherchent des solutions alternatives, et ont fait migrer leur messagerie sur Proton, une solution chiffrée Suisse. L’argument citoyen de choix sur une solution souveraine qui fait vivre l’économie nationale ou régionale est plus marquée dans les PME que dans les grandes structures, contraintes par des choix dictés par des directions achats, qui obéissent souvent elles-mêmes à des contrats négociés au niveau le plus haut par des directions générales… et parfois le gouvernement en place, avec les GAFAM.   

« Lorsque je propose de déployer les systèmes dans des entreprises comme Clever Cloud, basé à Nantes, plutôt qu'AWS, je tire souvent sur une corde sensible où le client est prêt à payer un peu plus pour faire vivre l'économie bretonne », note en souriant Guireg Capitaine.

D’autant que pas mal de responsables informatiques et cyber se posent la question du coût du renouvellement des licences et des solutions propriétaires : « une fois que les contrats sont conclus, les éditeurs font ce qu’ils veulent », note Alain Bouillé, délégué général et porte-parole du Cesin. Selon lui, « le contexte actuel a créé une prise de conscience généralisée et on commence à comprendre qu’il est idiot de mettre tous ses œufs dans le même panier ».

Un brin provocateur, il rajoute : «  l’actuel locataire de la Maison Blanche est le meilleur ambassadeur qui soit de la souveraineté ! C’est un boulevard qui s’ouvre pour les solutions européennes ». 

« En fait, il faut faire une distinction entre les grandes DSI qui ont été pendant des années liées aux acteurs américains, qui se posent effectivement la question de changer de solution, mais pour qui la réponse ne va être ni évidente, ni immédiate », précise Alain Bouillé,

Et dans le métier de la sécurité de l'information, ajoute-t-il, « on a l’habitude de travailler avec des briques de solutions disparates, et en même temps adaptées au cœur de métier et aux attentes spécifiques. Dans la SSI, les solutions pour être autonomes existent déjà depuis longtemps, sont implantées et ont fait leur preuve dans les entreprises. En fait, la question n’est pas de savoir si on fait et comment on fait, on sait faire. La question est d’évaluer et de savoir quel degré d’autonomie on souhaite pour nos données, et quel risque on prend si elles continuent d’être gérées par des acteurs américains dans un contexte politique aux États Unis et géopolitique international qui ne laisse plus de place à la naïveté. C’est, somme toute, une analyse de risque », conclut-il. 

Plus que jamais, en cybersécurité et de manière générale en IT, l’Europe est a la croisée des chemins et aux portes de l’Histoire. Aux Européens de le comprendre.