Du ministre de la Défense au CCB en passant par Digitaal Vlaanderen : tout le monde a son mot à dire sur la cyberdéfense et la souveraineté. Seulement, tout le monde ne parle pas de la même chose. Si l’on dépasse la sémantique pour aller au cœur du sujet, que reste-t-il ?
La souveraineté numérique n’a rien à envier à l’IA en termes de facteur de battage médiatique. Le sujet est analysé en profondeur dans presque toutes les conférences et événements européens, et les départements marketing américains ont entre-temps adopté le récit de la souveraineté. Avec ce que le CISPE appelle le souveraineté-washing, ils positionnent leurs solutions résolument non européennes comme des balises de contrôle et de sécurité.
Souveraineté et sécurité vont de pair. Il n’est donc pas surprenant que le thème soit également largement abordé lors de la conférence CyberNova à Anvers. Ce qu’est précisément la souveraineté reste ici aussi sujet à discussion.
Sur terre, en mer et sur l’ordinateur
La conférence est en effet ouverte par le ministre de la Défense, Theo Francken. Il constate que la cybercriminalité a pris une nouvelle dimension ces dernières années : celle de la guerre au niveau étatique. « De ce fait, la cybersécurité s’est soudainement retrouvée à l’ordre du jour des départements de la défense du monde entier », déclare-t-il. M. Francken joue pleinement la carte de l’OTAN. En 2016, l’organisation du traité a déjà étendu ses domaines actifs (terre, mer et air) au cyberespace.
M. Francken voit les choses en grand, avec une Cyber Force militaire, qui a également des missions offensives. Dans le cadre de l’OTAN, il prédit que notre pays aidera à gagner la lutte numérique contre l’axe de l’autocratie. Juste après son discours, un bateau transportant des militaires passe sur l’Escaut, pour une mission sans rapport, renforçant ainsi involontairement son propos.
Miguel De Bruycker, chef du CCB, est moins serein que M. Francken en ce qui concerne la souveraineté numérique du pays, ainsi que les possibilités de la protéger. « Les États-nations concentrent leurs attaques sur les infrastructures critiques telles que l’énergie, les transports et les soins de santé. Le gouvernement et les services diplomatiques sont également visés. Nous nous concentrons beaucoup sur les drones et les navires, mais le cyberespace bénéficie-t-il réellement de la priorité adéquate ? » Il indique être quelque peu préoccupé à ce sujet.
Souverain, par rapport à qui ou à quoi ?
Dans son discours, M. Francken ne souffle mot du catalyseur de tout le débat sur la souveraineté : les États-Unis du président Trump, avec son Cloud Act qui permet au gouvernement d’obliger les entreprises américaines à partager des données, même lorsqu’elles sont conservées dans l’UE. Le fait que les États-Unis se soient comportés comme un partenaire versatile, non seulement au sein de l’OTAN mais aussi dans le domaine économique, n’entre pas en ligne de compte dans la rhétorique de guerre numérique.
Lors de la dernière conférence sur la sécurité à Munich, M. De Bruycker a passé une journée avec des directeurs européens de la cybersécurité, au cours de laquelle la moitié du temps a été consacrée à la souveraineté. « C’était apparemment un défi énorme au sein de l’UE », remarque-t-il.
« Mais il n’existe pas de définition standard de la souveraineté », poursuit-il. « Nous parlons de choses différentes. Il y a un aspect économique et un aspect national. Une approche holistique est nécessaire. »
Au-delà des frontières nationales
Une conversation sur la souveraineté risque rapidement de sombrer dans une discussion sur la géographie. Les services sont-ils situés dans l’UE ? Ce n’est en fait pas une question si pertinente, notamment parce que le Cloud Act ne respecte de toute façon pas ces frontières.
Koen Segers, directeur général de Dell Technologies en Belgique, a vu la discussion évoluer. « Au départ, il s’agissait surtout de savoir où se trouvaient les données, mais les gens ont un peu lâché prise sur ce point. La conversation porte désormais davantage sur la législation, ce qui est déjà beaucoup plus pertinent. En pratique, la souveraineté concerne selon moi surtout la résilience. » Par résilience, M. Segers fait référence à la capacité de pouvoir continuer à travailler lorsque quelque chose se produit.
Le déclin de l’efficacité
Jan Smedts, chef de Digitaal Vlaanderen, propose selon nous la définition la plus pertinente de la souveraineté. Elle se rapproche fortement de ce que dit M. Segers. « La souveraineté est une question de contrôle », affirme-t-il. « Pendant des décennies, nous avons vécu dans un contexte de confiance d’après-guerre. L’efficacité était le paramètre dominant, et nous avons tout optimisé en gardant à l’esprit les coûts et la commodité. »
Le résultat est visible : toute l’économie est entrelacée avec elle-même, et la gestion des entreprises dépend en grande partie d’entités étrangères. Il semble presque que le nœud soit impossible à dénouer, mais M. Smedts pense que c’est possible et nécessaire.
Reconquérir la propriété
« Nous avons sous-estimé le risque de dépendance », pense M. Smedts. « L’efficacité est la compétence d’hier. Aujourd’hui, l’agilité est plus importante. » Tout cela semble assez flou, jusqu’à ce que M. Smedts en vienne au fait : « Le prix de la souveraineté numérique est la refonte. Cela coûtera du temps, de l’argent et peut-être même des fonctionnalités, mais dans ce processus, nous reconquerrons la propriété de notre avenir numérique. »
M. Smedts plaide pour une désintégration structurelle basée sur la modularité. Le seul moyen d’obtenir la souveraineté numérique est de passer par des plateformes évolutives et modulaires basées sur des standards. Dans ce contexte, vous pouvez remplacer la fonctionnalité d’une partie par une alternative d’une autre. Il compare cela à la construction avec des Lego. « C’est plus lent que d’acheter quelque chose de prêt à l’emploi, mais c’est le prix que nous devons payer. »
La souveraineté est le contrôle de l’architecture et de la dépendance, de sorte que vous puissiez passer du plan A au plan B avec concentration et sans panique.
Jan Smedts, chef de Digitaal Vlaanderen
La construction modulaire offre des options, et les options apportent avec elles le pouvoir et le droit de décision. C’est à son tour ce qu’est la souveraineté : non pas si une solution provient de la partie X ou Y, mais si vous pouvez décider vous-même de remplacer la solution de la partie X par celle de la partie Y quand vous le souhaitez. « La souveraineté est le contrôle de l’architecture et de la dépendance, de sorte que vous puissiez passer du plan A au plan B avec concentration et sans panique », résume M. Smedts.
« Cyberbus »
Il est clair que l’Europe a encore du pain sur la planche pour évoluer dans cette direction. M. De Bruycker voit cependant des précédents dont nous pouvons tirer courage. « Autrefois, il y avait Boeing et McDonnell », raconte-t-il, en référence à l’industrie aéronautique. « Jusqu’à ce que les pays européens se réunissent et qu’Airbus voie le jour. Je pense que nous avons besoin d’un cyberbus. »
Au sens propre du terme, la souveraineté fait référence au pouvoir suprême et à l’indépendance. Ce que cela signifie dépend du contexte. Lorsque M. Francken parle du point de vue de la Défense, la souveraineté concerne la protection du pays. Cela se fait en pratique (et jusqu’à nouvel ordre) avec des partenaires dans le contexte de l’OTAN.
Une question de contrôle
La souveraineté au niveau des organisations qui consomment des services implique que le pouvoir suprême et l’indépendance doivent appartenir à l’organisation, et non aux services. Ce n’est pas le cas actuellement : si le président américain Trump se laisse convaincre demain d’interdire à AWS de fournir encore des services à l’UE, les entreprises sans alternative s’arrêteront. Le pouvoir appartient aux entreprises technologiques, dont l’Europe est dépendante.
Dans ce contexte, M. Smedts propose une vision pour une solution. La modularité ramène le centre de gravité du pouvoir vers les entreprises et les organisations. C’est plus complexe et moins efficace que d’acheter une solution globale, mais cela offre robustesse, agilité et autodétermination. Dans cette version de la souveraineté, il n’est d’ailleurs pas nécessaire de choisir exclusivement des solutions de l’UE, mais il doit exister des alternatives européennes valables vers lesquelles on peut basculer si nécessaire.