Dossiers
Chroniques
Guides et carnets
Évènements
Tech In Sport
Green Tech Leaders
Alliancy TV
Alliancy Elevate
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Innovation
Alliancy Studio
Alliancy Le Mag
Arnaud Martin, vice-président du CESIN, revient sur le sommet franco-allemand « Digital Sovereignty » et détaille sans détour les enjeux de souveraineté, les dépendances critiques, les limites réglementaires et les travaux lancés autour de l’indice de résilience numérique.
Que retenez-vous des annonces du sommet franco-allemand de Berlin et du signal envoyé sur la souveraineté numérique européenne ?
Le principal message est vraiment le signal, porté au plus haut niveau par Friedrich Merz et Emmanuel Macron. Ils affirment qu’il y a un alignement, un réel alignement, à la fois sur le constat actuel et sur les enjeux de reprise en main de la souveraineté numérique au niveau européen. Certains ont qualifié cette réunion de « moment schumannien », comme lorsque Robert Schuman avait fait sa déclaration de création de la CECA (Communauté européenne du charbon et de l’acier). Seule l’Histoire pourra le dire, mais le fait que cette allusion ait été formulée, notamment par l’ambassadeur de France à Berlin, traduit une véritable prise de conscience. Le signal est fort, c’est le premier point. Ensuite, le message associé est que retrouver notre autonomie stratégique passera par l’excellence des solutions techniques européennes et leur passage à l’échelle. Pour cela, plusieurs prérequis ont été annoncés. Il faut d’abord du financement pour faire passer les entreprises et solutions à l’échelle. Puis, la simplification d’un certain nombre de réglementations, perçues comme un frein à l’innovation. Enfin, le passage à l’échelle ne fonctionnera que par des achats et la commande publique a un rôle essentiel à jouer.
Le sommet représente-t-il un tournant stratégique ou plutôt un premier jalon qui doit être consolidé ?
Je dirais un peu entre les deux. Le chancelier allemand a prononcé l’expression « die digitale Souveränität », qui n’avait jamais été utilisée par un chancelier allemand. Olaf Scholz, en particulier, n’aurait jamais juxtaposé ces deux mots. Cela montre qu’un vrai élan est donné. Les mots ont un sens. Dans ce sommet, ils ont été prononcés en allemand, en anglais et en français, avec la même signification. C’est un lancement réel, mais cela devra se concrétiser en actions. Certaines ont déjà été annoncées, notamment des investissements en Allemagne autour des data centers, ainsi que des partenariats, comme celui entre SAP et Mistral AI pour utiliser l’IA dans la supply chain. Néanmoins, pour que ce mouvement soit transformateur, il faudra des actions concrètes et des commandes concrètes sur des solutions européennes. Un rendez-vous a été fixé dans six mois pour vérifier l’évolution de la situation. Il y a donc beaucoup d’attente.
Pourquoi la maîtrise des infrastructures critiques devient-elle aujourd’hui si urgente ?
Pour générer des start-up et scale-up capables de devenir des licornes, et peut-être des géants du marché, il faut qu’elles reposent sur des infrastructures de base de confiance. Si les solutions innovantes reposent uniquement sur AWS ou Google Cloud, il est difficile de prétendre qu’elles maîtrisent leur chaîne de bout en bout ou qu’elles ne dépendent pas technologiquement de fournisseurs américains. Nous remettons donc les fondamentaux au centre. Sans maîtrise du stockage, des données et des accès, il est impossible de construire des solutions qui passeront à l’échelle. Cela rejoint une initiative présentée la veille pour fédérer toutes les solutions européennes existantes et voir lesquelles peuvent s’allier, car le marché est fragmenté. Pour faire émerger des leaders, il peut y avoir de la croissance organique, mais aussi de la croissance inorganique. Les regroupements ne sont pas un sujet tabou. C’est l’objet de l’initiative Eurostack : regrouper les forces vives, identifier les solutions existantes et les promouvoir.
Quelles sont aujourd’hui les dépendances technologiques qui pèsent le plus sur la résilience opérationnelle ?
Il y a trois priorités mais à des niveaux très différents. Le cloud, d’abord. Sans infrastructure cloud souveraine, ce sera compliqué de bâtir des solutions innovantes. Aujourd’hui, notre plus gros acteur européen, OVHcloud, est un poid plume par rapport aux mastodontes américains. Ensuite, l’IA. Nous sommes en retard, les modèles actuels sont extrêmement chronophages, énergivores et nécessitent des investissements colossaux. De ce fait, ils ne seront peut-être pas des modèles pérennes. Heureusement, nous avons un leader européen, Mistral. Le retard n’est donc pas béant comme sur le cloud et pourrait être compensé par des innovations. C’est particulièrement vrai dans l’IA B2B, où les besoins portent sur des modèles spécialisés plus fiables et adaptés aux processus d’entreprises. Enfin, le quantique. Sur ce point, tout reste à écrire. Personne n’a d’avance. La recherche européenne est au meilleur niveau. Il n’y a aucune raison que le premier ordinateur quantique soit chinois ou américain. Il peut être européen. On a déjà des initiatives comme Lucy de Quandela et des entreprises françaises comme Alice & Bob, avec des approches totalement en rupture. Dans le post-quantique, des algorithmes comme Falcon, issus de Dassault Systèmes et Thales, ont déjà émergé. Dans le chiffrement post-quantique, des algorithmes européens se sont imposés dans les processus de standardisation mondiaux. Cela prouve que la recherche européenne trouve sa place et peut atteindre le meilleur standard.
Où les organisations rencontrent-elles le plus de complexité réglementaire ?
La principale difficulté provient du millefeuille réglementaire. Certaines réglementations sont déjà déclinées, d’autres pas encore, comme NIS2 en France. Les très grosses structures peuvent absorber cette complexité grâce à des équipes juridiques et des experts cyber. Mais pour une entreprise de quelques centaines de personnes, la tâche est énorme. Il y a donc un vrai enjeu de simplification continue. La réglementation fait partie de l’ADN européen et véhicule des valeurs fortes. En revanche, il ne faut pas penser qu’elle est le seul levier pour limiter les effets des géants américains ou l’arrivée de produits très bon marché venant de Chine. L’innovation, l’excellence technique et le passage à l’échelle sont essentiels. Les premières simplifications annoncées après le sommet, dans l’Omnibus IA et RGPD, vont dans le bon sens. Décaler l’applicabilité du règlement et simplifier certains points est positif. En revanche, certaines simplifications, comme la centralisation des déclarations d’incidents, auront un impact limité : à la Caisse des Dépôts, cela représente une dizaine d’incidents par an. En comparaison, la gestion des fournisseurs représente environ mille fournisseurs à évaluer chaque année. C’est là que l’effet levier serait bien plus significatif.
La cybersécurité a semblé peu mise en avant lors du sommet. A-t-elle été oubliée ?
La cybersécurité suscite moins de retentissement que l’intelligence artificielle ou la souveraineté numérique. Mais, dès qu’on creuse les sujets, elle revient. C’est un prérequis dans la bouche des DSI et des CTO : il ne peut pas y avoir de résilience sans cybersécurité. Lors des side events, plusieurs initiatives l’ont démontré. L’indice de résilience numérique comporte une composante cyber. Le framework cloud de la Commission européenne comprend un critère sécurité. Même sans annonces directes, la cybersécurité était présente dans tous les contenus dès qu’on entrait dans le détail. Je ne pense pas que la cybersécurité soit la préoccupation numéro une du président de la République actuellement. Notre ministre du numérique, Anne le Hénanff, en revanche, a une expérience directe, notamment via la loi résilience et le périmètre DORA. Ce qui compte, c’est que les bonnes personnes, dans les entreprises, aient cette conviction. Il est plus important que les DSI, les COMEX et les dirigeants soient convaincus que la cybersécurité est un sujet clé, plutôt que cela soit reste confiné dans les discours politiques.
Quels leviers sont essentiels pour accélérer l’émergence de solutions souveraines compétitives ?
Le rapport Draghi et l’Union des marchés des capitaux ont plusieurs fois été cités. L’état des lieux expose une épargne européenne énorme dormant sur les comptes bancaires, alors qu’elle suffirait largement à financer l’innovation numérique, et même au-delà, comme la défense. Mais elle n’est pas mobilisée. Ce capital est très peu mobilisé, contrairement à ce qui se fait outre-Atlantique avec des modèles fondés sur la capitalisation. De plus, les capitaux traversent très peu les frontières. À peine 19 % des investissements français vont vers des start-up allemandes, et inversement. Pour des enjeux européens, c’est une véritable limite. Nous savons financer des start-up jusqu’au scale-up, via des séries A ou B, de quelques dizaines de millions d’euros. Mais, dès qu’il faut atteindre ou dépasser la centaine de millions, nous ne savons plus faire. C’est pourtant indispensable si l’on veut faire émerger des acteurs capables de rivaliser avec les géants technologiques actuels.
Les organisations françaises sont-elles prêtes à soutenir davantage des solutions européennes, même émergentes ?
Cela dépendra de leur appétence au risque. Cette appétence pourra évoluer si les COMEX disposent d’un indicateur permettant de mesurer leur niveau de dépendance technologique. Aujourd’hui, ils n’ont pas toujours conscience que la totalité des fonctions critiques repose sur des briques non souveraines. En rendant cette dépendance visible, les décisions peuvent changer. En rendant cette dépendance visible, les décisions peuvent changer. Si le niveau est jugé trop élevé, ce qui sera probablement le cas dans de nombreuses organisations, cela peut faire bouger les lignes et entraîner un message clair venant des dirigeants. Ils pourront donner des mandats plus larges aux DSI et directeurs des risques pour amorcer l’adoption de solutions européennes, même plus petites au départ, mais avec un modèle économique plus stable que certaines solutions américaines dont les prix augmentent régulièrement.
Dans quelles technologies ou segments l’effort d’investissement doit-il être prioritaire pour garantir une autonomie réelle ?
Le collaboratif est un segment incontournable, tant il existe un monopole total. Les outils Office, la messagerie, la visioconférence : l’hégémonie Microsoft y est incontestable et c’est un sujet monumental, même s’il ne relève pas directement du CESIN. Impossible d’ignorer cet “éléphant dans la pièce”. Quant à la cybersécurité, plusieurs domaines sont critiques. Le SIEM (système de gestion des informations et des événements de sécurité) doit voir émerger un acteur capable d’être une alternative crédible à Splunk. Sekoia monte en puissance, mais il faudra l’accompagner dans cette montée en maturité. L’EDR (détection et réponse des terminaux) est un autre marché dominé par les acteurs américains et israéliens. Deux alternatives françaises existaient, dont l’une, Tetris, est aujourd’hui en difficulté ce qui renforce la nécessité de soutenir les solutions restantes. Le troisième sujet est l’IAM (gestion des identités et des accès), très complexe à remplacer car interconnectée avec tous les processus de l’entreprise. Enfin, il faut mentionner l’annuaire d’entreprise. Sans alternative à l’Active Directory de Microsoft, qu’il s’agisse celui interne à Windows Server ou, en ligne, d’Azure, il sera impossible d’adosser des solutions techniques réellement souveraines. C’est une brique fondamentale qui conditionne tout le reste.
Pourquoi est-il indispensable de mesurer objectivement l’autonomie numérique des organisations ?
Le rapport du Cigref a permis d’obtenir un premier état des lieux, pourtant il repose principalement sur des hypothèses macro. Le fait qu’il soit autant repris montre surtout qu’il n’existe pas d’autres chiffres. Il souligne l’urgence de fiabiliser les données. Sans elles, on reste dans l’intuition. Nous devons, au contraire, opter une réflexion cartésienne : connaître la situation, définir une ambition, mesurer l’atteinte de cette dernière. C’est tout l’intérêt de disposer d’un indicateur comme l’indicateur de résilience numérique (IRN). Le choix du terme “résilience” plutôt que « souveraineté” permet également d’éviter de détourner le débat sur des questions sémantiques, alors que le contenu traité reste le même.
Quels sont les premiers enseignements des travaux sur l’indicateur de résilience numérique (IRN) ?
J’y participe avec ma casquette Caisse des Dépôts, et deux de nos filiales, Docaposte et RTE, font partie des pilotes. Les travaux avancent. Nous avons de bonnes bases pour définir ce qu’il faut faire et ne pas faire. Nous ne mesurerons pas la totalité du patrimoine informationnel lors de la première itération, et ce n’est pas un problème. Une application utilisée par les collaborateurs pour réserver un bureau ou une place de parking, par exemple, n’a pas vocation à être souveraine, car elle n’empêche pas l’entreprise de fonctionner. Les efforts doivent porter sur les fonctions critiques. Dans le cadre de DORA, la Caisse des Dépôts en a identifié onze. C’est sur ces fonctions critiques que nous réalisons le travail de recensement du niveau de dépendance, grâce à l’IRN. La pondération des indicateurs, comme pour le framework cloud européen, reste à définir. Mais nous sommes sur du concret. J’espérais une convergence pour le 25 décembre, mais ce sera probablement pour janvier.
Quel rôle joue le Cesin dans l’accompagnement de ses membres face à ces enjeux de souveraineté, de dépendances technologiques et de pression réglementaire ?
Le RSSI ne doit pas se voir plus grand qu’il n’est. Il est contributeur et ambassadeur du sujet, mais la souveraineté numérique doit être portée au niveau du COMEX et du Conseil d’administration. Le rôle du Cesin est d’aider les membres à se situer dans cette dynamique. Les RSSI évoluent dans un domaine où l’Europe dispose de nombreuses solutions performantes, avec un niveau de pénétration supérieur à d’autres segments numériques comme le collaboratif. Ils peuvent démontrer l’existence d’alternatives crédibles et fonctionnelles, et que des start-up ou scale-up cyber peuvent passer à l’échelle. Dans l’IRN, la composante cyber est essentielle. Une solution européenne très souveraine, mais incapable de résister à une attaque, ne renforcera pas la résilience de l’entreprise, même si elle arbore un drapeau bleu-blanc-rouge ou européen. La cybersécurité doit donc jouer son rôle protecteur, mais aussi permettre l’intégration de toutes les solutions de résilience opérationnelle.
Quels messages souhaitez-vous adresser à la communauté cyber dans ce contexte géopolitique tendu actuel ?
Plutôt que d’expliquer pourquoi nous serions pessimistes sur un certain nombre de sujets, je préfère affirmer que nous sommes optimistes. Le point de départ est grave, et le constat l’est autant, mais nous avons toutes les raisons de l’être. Il faut aller de l’avant et déclencher des actions, plutôt que de se demander pourquoi cela ne fonctionnerait pas. Cela va fonctionner.
