Description
Cet épisode utilise le tableau "Le Radeau de la Méduse" comme une métaphore des défis liés au cloud computing et à la souveraineté numérique.
Lien vers le podcast "polysécure" à propos de la sortie de cloud : https://polysecure.ca/posts/episode-0x520.html#0478573b
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Le Radeau de la Méduse est un tableau réalisé par Théodore Régéricault entre 1810 et 1819. Cette œuvre monumentale est bien plus qu'une simple peinture, mais elle est aussi une œuvre politique. Ce tableau s'inspire d'un fait divers tragique survenu en 1816, le naufrage de la fréguette La Méduse. Après avoir échoué au large du Sénégal, 180 survivants furent abandonnés sur un radeau de fortune. Leur calvaire a duré 13 jours. Privé de nourriture et d'eau. Seuls 15 d'entre eux ont survécu dans des conditions effroyables. Il a même été question de cannibalisme. Pour Géricault, ce drame représentait une occasion unique de dénoncer l'injustice et l'incompétence des élites. Le capitaine du navire, Hugues de Roy de Chemarée, choisit pour des raisons politiques plutôt que pour ses compétences. Un cas qui incarne ce favoritisme si critiqué dans la France de cette époque. Il faut se souvenir qu'à ce moment-là, nous sommes en pleine restauration. Les royalistes reprennent le pouvoir avec quelques mauvaises habitudes, comme celle de nommer des personnes à des postes clés, non pour leurs compétences, mais à cause de leur appartenance politique. Regardons maintenant la composition de l'œuvre. Géricault capture un moment précis, celui où les survivants aperçoivent enfin un navire à l'horizon. Leur dernier espoir. La scène est d'une intensité saisissante. Au centre, les corps des naufragés entrelacés en une pyramide humaine qui semble tendre désespérément vers le ciel. Chaque personne exprime une émotion différente, l'épuisement, le désespoir, mais aussi l'espoir fragile. Géricault a étudié des corps dans une marque pour représenter la souffrance avec un réalisme glaçant. Il a également choisi une palette sombre, presque terreuse, qui amplifie le drame et guide notre regard vers le point lumineux, qui est, dans le tableau, le navire salvateur à l'horizon. D'ailleurs, la technique employée par le peintre provoque un obscurcissement continuel de la toile, ce qui la rendra à terme... totalement sombre. Et malheureusement, ce processus n'est pas réversible. Mais ce tableau ne se limite pas simplement au récit tragique. Il symbolise l'humanité face à l'adversité. Il critique aussi une société inégalitaire et met en lumière les laissés pour compte. C'est une œuvre profondément engagée qui, à cette époque, a fait scandale au salon de 1819. Pourtant, elle est aujourd'hui considérée comme un chef-d'œuvre. Mais un détail a toute son importance. C'est la présence tant espérée de l'Argus. C'est le navire qui sauva les quelques rescapés du radeau surnommé la machine Tiens donc, un regard attiré vers le ciel, une machine plantée au milieu de l'océan, un naufrage politique, un sauveur sur la ligne d'horizon, faut-il y voir une allégorie du cloud souverain ? Tout en cybersécurité peut avoir son importance. Mais l'avènement du cloud et son utilisation de plus en plus intensive a, d'une certaine manière, ajouté une contrainte supplémentaire. C'est la question de la souveraineté. Et c'est précisément le sujet que je souhaite développer avec vous aujourd'hui. Pour bien comprendre cette problématique, il faut comprendre la dépendance qu'on a envers cette technologie. Le cloud est un changement de paradigme dans la gestion de son système d'information. C'est-à-dire qu'à la place de gérer votre système d'information vous-même, vous allez déléguer cette gestion à un tiers. Mais cette délégation est bien plus complexe qu'il n'y paraît, car il faut maîtriser le cloud. La différence qu'il existe entre utiliser un cloud et gérer son infrastructure soi-même, C'est un peu comme aller au restaurant ou faire à manger soi-même. D'ailleurs, si vous avez envie de mieux comprendre les raisons qui ont poussé certaines entreprises à sortir du cloud, je vous conseille l'écoute de l'épisode du podcast Polysecure intitulé Sortir du cloud J'ajouterai le lien en commentaire de cet épisode comme d'habitude. Quand vous cuisinez vous-même, vous maîtrisez tout le processus. L'approvisionnement des denrées, la recette de cuisine, la technique de cuisson et le service à table. Quand vous allez au restaurant... Vous allez commander ce qu'il y a sur la carte et ce que vous avez commandé va vous être servi. Mais dans ce cas, vous n'avez pas accès à la cuisine, ni à la chaîne d'approvisionnement et encore moins à la recette de cuisine. Vous faites confiance au restaurateur. Oui,
c'est une petite question.
Oui, madame. Qu'est-ce que c'est que la crêpe gigi ? Eh bien la crêpe gigi c'est une fine couche de sarrasin saisie dessus-dessous et parsemée de pétales de rose tiède. C'est délicieux ! Ah oui, certainement. Je vais vous prendre une crêpe au sucre avec une bière. Ah non, non, non, je m'excuse, monsieur. Nous ne faisons pas cela ici. Vous êtes trompé d'établissement. Vous avez toutes nos crêpes sur la carte. Vous avez de la pâte, vous avez du sucre. Alors avec la pâte, vous faites une crêpe, puis vous mettez du sucre dessus. Qu'est-ce que fait ce type-là ? On croit rêver ! C'est vrai, on se dit qu'il se croit celui-là, tête de con ! Bon, il n'y a qu'on ne le voit plus, ici, hein ! Qu'est-ce qui se passe ? Oh, ben c'est encore une crêpe au sucre ! Ma pépette, hein ! Mais qu'est-ce qu'elle me dit, la pépette ? Et bien pour le cloud, il en va de même. Vous faites confiance aux fournisseurs et à ces technologies. Mais en faisant cela, vous allez déléguer cette responsabilité sans pour autant avoir suffisamment de contrôle. Et c'est là que le problème de la dépendance intervient. Et par conséquent, le cloud devient de plus en plus un enjeu de souveraineté. Car que faire en cas de retournement de situation ? Si des fournisseurs majeurs décident soudainement d'arrêter leur service, alors bien évidemment il est possible de revenir en arrière et de sortir du cloud. Faut-il encore avoir imaginé et prévu ce cas de figure ? Pour mieux comprendre l'évolution de cette problématique, je vous propose de faire l'historique des choix politiques à propos du cloud. Pour ce faire, je vais m'appuyer, entre autres, sur l'article intitulé Le cloud computing de l'objet technique à l'enjeu géopolitique écrit pour la revue géographique et géopolitique Herodot, par Clotilde Beaumont et Amel Katouradza. L'une des premières apparitions du cloud dans le discours politique français remonte à fin 2009. lorsque le gouvernement constate la montée en puissance des acteurs industriels américains dans ce domaine. François Fillon, alors Premier ministre, explique en janvier 2010, au sujet de l'informatique en nuages, Force est de constater que les Nord-Américains dominent ce marché qui constitue pour autant un enjeu absolument majeur pour la compétitivité de nos économies, pour le développement durable et même, j'ose le dire, pour la souveraineté de notre pays. C'est donc pour concurrencer les entreprises américaines et développer la croissance industrielle qu'un premier projet de cloud national, dit cloud souverain, est lancé dans le cadre du programme d'investissement d'avenir. Son développement, alors envisagé comme une centrale numérique de confiance, est essentiellement perçu comme une opportunité économique et doit conduire à l'émergence d'un acteur industriel français du cloud. Basé sur un partenariat entre public et privé, Le projet bénéficie de fonds gouvernementaux et doit associer les entreprises françaises. Il est concrétisé en mai 2012 sous le nom d'Andromed, par l'association des entreprises Thales, Dassault Systèmes et Orange. Ces entreprises ont une envergure internationale, mais sont encore novices dans le domaine du cloud. En décembre 2011, suite à des désaccords importants avec Orange, Dassault Systèmes quitte Andromed. L'éditeur de logiciels s'associe en février 2012 avec SFR pour proposer une offre concurrente, avant d'annoncer son retrait définitif du projet en avril 2012. Il a décidé malgré cela de continuer la démarche gouvernementale du cloud souverain. Le projet initial Andromed est scindé en deux initiatives distinctes, CloudWatt et NumEnergy. CloudWap, réuni avec Orange et Thales, est numérgi et mené par SFR et Bull. En 2015, Orange rachète les parts de l'État ainsi que celles de Thales et prend le contrôle de CloudWatt. Tandis que Numergy est entièrement racheté par SFR. Ces rachats marquent l'échec du projet gouvernemental. La mise en place d'un cloud souverain a échoué, essentiellement parce que les décideurs politiques avaient une mauvaise compréhension de la technologie. Le fonctionnement technique du cloud et la diversité des offres n'ont pas été correctement envisagées. L'environnement industriel a été mal appréhendé et les acteurs privés mal identifiés. Et le plus important est que l'objet technique a été pensé indépendamment du contexte économique et social. dans lequel il s'inscrit. La demande pour une offre souveraine était encore trop faible et les instructions étatiques quant à l'utilisation du cloud computing par les acteurs publics n'étaient pas suffisamment claires quand elles n'étaient pas simplement inexistantes. Les potentiels cas d'usage n'ont pas non plus été pleinement considérés et les services proposés se limitaient à de l'hébergement. Par ailleurs, la scission du projet initial a fragilisé les propositions, alors que le marché se répartissait déjà entre les entreprises américaines Amazon et Microsoft et quelques fournisseurs de cloud nationaux comme OVH et Gandhi. La volonté étatique de créer de toutes pièces une offre cloud a donc été menée au détriment des acteurs déjà implantés. Aussi, CloudWatt et Numergy ont manqué de moyens pour se mettre au niveau des autres offres durant la première moitié de 2010. La crise économique s'éloigne, mais les faiblesses de la base industrielle française dans le domaine du numérique préoccupent le gouvernement. L'économie tertiaire est désormais essentiellement numérique et son cœur géographique n'est pas en Europe mais aux Etats-Unis. Les conséquences de cette dissymétrie globale sont économiques mais aussi politiques et stratégiques. Elles prennent une nouvelle dimension à l'été 2013 avec les révélations d'Edward Snowden concernant la surveillance de masse opérée par la NSA, rendue possible par le Patriot Act. C'est dans ce contexte qu'en 2013, le gouvernement présente les 34 plans de la nouvelle industrie française. Ce programme, porté par le ministre de l'économie, du redressement productif et du numérique, Arnaud Montebourg, doit permettre d'identifier les priorités de la politique industrielle pour la France et les marchés mondiaux, particulièrement porteurs. Le cloud computing figure parmi les 34 plans. Il fait l'objet d'une dizaine de mesures dont la feuille de route a été validée en juin. Le choix des acteurs industriels impliqués dans le plan cloud computing diffère de celui opéré 4 ans plus tôt. Le projet est piloté par Octave Clava, directeur général d'OVH, et Thierry Breton, PDG d'Atos, deux entreprises reconnues dans le secteur. Tandis que le gouverneur Fillon souhaitait construire ex nihilo une industrie du cloud, la démarche de 2013 à 2014 s'appuie donc cette fois-ci sur des compétences d'entreprises spécialisées elles-mêmes en relation avec d'autres industriels et syndicats professionnels français du secteur. Ce bascule traduit à un premier recul quant aux enseignements à retirer des difficultés rencontrées par Andromède dès 2012. Les acteurs politiques semblent progressivement prendre conscience que le cloud est une technologie complexe, maîtrisée par quelques acteurs industriels spécifiques. Le plan cloud prévoit notamment la création d'un label européen de sécurité par l'Agence Nationale de Sécurité des Systèmes d'Information, l'ANSI, prémisse d'une sécurisation de la technologie. Le développement d'infrastructures et d'une fiscalité favorable à l'installation des data centers en France et en Europe est également mis en avant dans une démarche souveraine. Et ceci en continuité avec le projet d'Andromède et la vision du gouvernement précédent. La notion de souveraineté reste associée à une perspective économique, puisqu'il s'agit, selon le ministre, de renforcer notre souveraineté sur les données personnelles tout en dynamisant la compétitivité de nos entreprises. La stratégie adoptée est néanmoins peu lisible. L'accent est mis sur la croissance du secteur cloud, mais l'absence de projections à long terme doit être notée. Le calendrier de la feuille de route ne va pas au-delà de 2015. En outre, le plan cloud computing est inséré au milieu d'autres priorités non hiérarchisées, aussi bien numériques qu'écologiques et sociales. Cependant, ce document témoigne d'une approche davantage systémique du cloud. Il présente une vision plus inclusive qui commence à placer le cloud dans le paysage politique, industriel et social de l'époque. Cet élan est toutefois freiné par l'échec du projet gouvernemental de cloud souverain, qui semble avoir entamé l'enthousiasme politique naissant que soulevait l'informatique en nuages. Le gouvernement se détourne un temps de la technologie qui n'évoque que frileusement à des rares occasions. C'est pourtant à cette époque, entre 2014 et 2018, que les postures stratégiques françaises sur les questions du numérique se consolident. Le cloud est en effet complètement absent de la stratégie numérique du gouvernement présentée le 18 juin 2015 par le Premier ministre. Manuel Valls. Cette stratégie se voit en plan d'action pour le MIEC français. Mais le manque de discrimination et de hiérarchisation des mesures contribue à la production d'un document qui apparaît confus et peu opérationnel pour appuyer le lancement de la stratégie numérique du gouvernement français. Une consultation nationale pilotée par le CNN, le Conseil national du numérique, a été menée depuis fin 2014. Le rapport de cette consultation fait, lui, mention du cloud. mais essentiellement en traitant du sujet personnel et individuel de la technologie. De la même façon, si l'ANSI évoque le cloud dans sa stratégie nationale de la sécurité du numérique d'octobre 2014, il ne le fait qu'en référence aux travaux de certification de sécurité pour un cloud commun avec l'Allemagne. Il n'est en tout autre aucune mention du cloud, ni dans le livre blanc sur la défense et la sécurité nationale de 2013, ni dans la revue stratégique de défense et de sécurité nationale de 2017. Alors que les réflexions sur le numérique progressent beaucoup à cette époque dans le cercle de la défense. Le cloud est davantage présent dans le programme d'industrie du futur mené par Emmanuel Macron, alors ministre de l'économie et de l'industrie du numérique. Ce programme, lancé le 18 avril 2015, est présenté en mi-2016. Il est une actualisation de l'initiative conduite par Arnaud Montebourg et se veut la matrice de la nouvelle France industrielle. Le cloud est principalement abordé sous l'entrée économique des données en ligne directe avec le plan Cloud Computing de 2013. Les projets menés dans ce cadre le sont toujours sous la direction de Thierry Breton et d'Octave Clabat, rejoint par la suite par Gérard Rouquerolle, président de Terratech. Le document fait par ailleurs appel à l'état d'avancement des travaux. Depuis la présentation de la feuille de route en février 2015, l'ANSI a lancé le label Secure Cloud, qui vise à évaluer les garanties de sécurité proposées par un prestataire. Et en juin 2015, et mise à disposition un guide de bonne pratique sur l'utilisation du cloud dans les collectivités territoriales. Le programme industriel du futur s'appuie notamment sur l'étude technologique clé de 2020. publié en mai 2016. Cette étude de prospectif conduit tous les cinq ans par la direction générale des entreprises, la DGE, cherche à déterminer les technologies stratégiques des cinq à dix prochaines années. Le cloud est deux fois plus présent dans les éditions 2015 que celle de 2011. Il est pourtant moins mis en avant dans la version actualisée du programme Nouvelle France Industrielle que dans la version originale où l'informatique en UH faisait l'objet d'un plan à part entière. Toutefois, il est davantage intégré dans une continuité technologique que dans la version générale. et amorce une vision qui sera développée dans les trois années suivantes. En effet, dans le document de 2016, le cloud est plusieurs fois repris, présenté en relation avec d'autres technologies émergentes, telles que les big data et les supercalculateurs. À partir de 2018, l'accélération significative des travaux autour du cloud témoigne d'évolutions importantes dans les représentations des acteurs publics. Le gouvernement engage d'ambitieuses politiques de transformation numérique au sein desquelles le cloud occupe une place cruciale. Ceci fait transparaître une prise de conscience quant à la complexité de l'objet, son besoin de sécurisation et son importance stratégique. Cette nouvelle représentation découle en partie de l'évolution du contexte international. Au cours de la seconde moitié des années 2010, les affaires impliquant la manipulation, la divulgation et la confiscation des données numériques se sont multipliées. Les conséquences politiques à la dimension stratégique des données et les technologies relatives à leur hébergement et leurs traitements sont apparus au grand jour, tandis que la sphère politique et publique tente d'appréhender l'informatique en nuage, son adoption par le secteur privé, et grand public se poursuit. Les pratiques évoluent et le CLAD bénéficie autant qu'il contribue à servir la croissance de l'informatique et la plateformisation de l'économie. Cette évolution explique en partie le saut conceptuel qui semble avoir lieu entre 2015 et 2018. Alors qu'il était considéré en 2016 comme une technologie à maîtriser et un signal faible, le cloud apparaît soudainement en 2018 dans les textes officiels, comme déjà bien implanté dans l'environnement numérique quotidien. C'est sous l'aspect sécuritaire que le cloud fait d'abord l'objet d'une attention particulière au sein de la revue Stratégie et Défense de février 2018, qui lui consacre une section entière. Le document explique la nature juridique, technique et de la technologie. économique et sociale des risques inhérents à l'utilisation de l'information en nuage et pointent des dangers sur la souveraineté nationale. Cette position nouvelle peut être lue comme le début d'une sécurisation du cloud au sens développé par Barry Bunzai et Olly Weaver. Selon eux, la classification d'un problème comme enjeu de sécurité ne dépend pas seulement des risques constatés, mais aussi à un acte de pouvoir permettant aux acteurs politiques de redéfinir des priorités stratégiques et de mobiliser des moyens d'action dont ils ne disposeraient pas autrement. Ainsi, si les questions en 2010 et 2014 de renforcer la souveraineté nationale, ce sont désormais les menaces portées à la souveraineté qui sont mises en exergue. Plus qu'une opportunité économique et industrielle à saisir, le cloud devient une priorité stratégique dans les rapports officiels et les projets politiques. Pour sécuriser la technologie, la revue stratégique insiste sur les solutions telles que les chiffrements et la certification de l'ANSI. et propose des mesures permettant d'encourager le développement d'une base industrielle nationale et européenne. Néanmoins, seule une stratégie nationale harmonisée et commune à tous les États et à toutes les entités de l'État peut permettre d'assurer une sécurité maximale. L'établissement d'une politique étatique globale de recours au cloud est ainsi préconisé par le Revue stratégique de la cyberdéfense. Alors que les organismes gouvernementaux mettent en œuvre la stratégie du cloud de l'État, Les inquiétudes face aux risques liés à la nature étrangère des principaux fournisseurs de services et au manque d'alternatives nationales sont toujours autant présents dans les discussions. L'adoption par l'administration Trump en 2018 du Cloud Act a ravivé ces craintes. Le Cloud Act contraint effectivement les fournisseurs de services américains, par mandat ou assignation, à fournir aux autorités américaines les données demandées stockées sur leur serveur, qu'ils soient situés aux États-Unis, dans un pays étranger ou en France. Le besoin de protéger des données de ce type de loi à dimension extraterritoriale se fait de plus en plus présente. C'est à ce moment même que le cloud de confiance fait son apparition. Le cloud de confiance a d'abord été annoncé en février 2019 par Bruno Le Maire, ministre de l'économie et des finances. Simplement comme un cloud sécurisé. Il a ensuite été baptisé cloud national stratégique deux mois plus tard. Destiné à héberger des données françaises et européennes, ce cloud pourra faire l'objet d'un partenariat franco-allemand. Selon Bruno Le Maire, OVHcloud et Hatscale, filiales de Dassault Systèmes, ont été mandatés par le ministre pour formuler des propositions dans ce sens avant la fin 2019. Le rapport du Sénat sur la souveraineté numérique d'octobre 2019 explique que le cloud de confiance permettra de proposer aux entreprises, ainsi qu'à la puissance publique, des offres diversifiées, performantes et sécurisées. Il est ajouté que, contrairement au projet de cloud souverain, l'initiative vise, dans un marché qui a aujourd'hui atteint une bonne maturité, à s'appuyer sur des fournisseurs et des offres déjà exposées au marché. Il n'est plus besoin de revenir sur les avantages et les risques du cloud, mais c'est maintenant son encadrement, son déploiement et son usage qui occupent les esprits. La compétitivité de la France sur les solutions d'hébergement IAS est connue, mais force est de constater son retard sur les services. Les auditions conduites par la commission d'enquête soulignent des difficultés à rivaliser quantitativement avec les fournisseurs déjà implantés. Mais elle insiste également sur la possibilité de proposer une offre qui se différencierait qualitativement. La France et les pays européens pourraient faire de la confiance leur fer de lance et cibler un marché qui ne connaît pas actuellement d'alternative aux géants américains asiatiques. Le rapport suggère ainsi de promouvoir les offres au cloud européen, se diversifier sur leur niveau de confiance. Nous sommes maintenant en fin 2024, et qu'en est-il de la situation avec le cloud ? L'INISA, l'agence dont le but est d'améliorer la cybersécurité en Europe, travaille depuis 2020 sur le projet de certification du cloud de confiance, c'est le UCS. Il doit promouvoir la sécurité du cloud à travers un processus visant à renforcer l'indépendance de l'Europe face à des Etats-Unis et à une Chine qui s'enfoncent dans un nouveau protectionnisme. Cependant, accolé à la sécurité technique, on trouve la sécurité juridique. Et là, tout le monde n'est pas d'accord. La France, surtout accompagnée avec l'Espagne et l'Italie, milite pour une sécurisation élevée, avec des critères exigeants, y compris en se positionnant pour une interdiction totale de l'extraterritorialité. En d'autres termes, les données européennes restent en Europe. Et tout est dit de cette situation avec le commentaire de Guillaume Poupard ancien directeur de l'ANSI. Force est de reconnaître qu'une majorité d'États membres de l'Union européenne a clairement d'autres priorités que le développement de l'Europe numérique. Certains ne veulent surtout pas prendre le risque de réduire leur entrée fiscale, d'autres sont prêts à tout pour continuer à vendre des voitures de luxe ou importer du GNL. Beaucoup ont pour priorité, et c'est légitime, leur protection militaire par l'OTAN dans un contexte géopolitique particulièrement tendu. Sans juger, force est de reconnaître que la sécurité du cloud et de nos données pèsent malheureusement bien peu. Et hop ! Pas de combat, pas de blessure. C'est tout... C'est un combat mais... psychologique ? Non, non, qu'est-ce qui se passe dans la tête ? Ouais, je vois ce qu'il veut dire... Psychologique ? Non, psychologique c'est tout ce qu'il y a à la campagne, non ? À la campagne ? Ouais, les céréales, les machins... Agricole ? Ah ouais, agricole. D'autres pays, comme le Luxembourg, ont pris la décision de prendre le taureau par les cornes et d'investir sans attendre. C'est le cas de Clarence, qui est le premier cloud souverain non connecté à Internet d'Europe. Je pense qu'il est illusoire de penser que l'on peut créer un cloud sans dépendance technologique, et qu'il y a donc par construction une dépendance. Mais avec qui avoir cette dépendance ? Qui choisir comme partenaire ? Qu'arrivera-t-il avec la nouvelle administration Trump ? Sommes-nous actuellement sur le radeau de la Méduse en étant sur le cloud ? Faut-il voir l'Argus comme le cloud souverain et penser qu'il nous sauvera de notre condition précaire ? Je vous laisse juge. Un petit détail intéressant à propos du Radeau de la Méduse est que dans les personnages du tableau figure Eugène Delacroix, qui a posé pour Géricault. Il est l'auteur du très célèbre tableau La liberté guidant le peuple Peut-il y voir un signe du destin dans cette histoire de cloud ? Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à main grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner des commentaires. proposer des sujets qui vous semblent pertinents. Et surtout, n'oubliez pas, pour certains, la cybersécurité est un enjeu de vie de mort. C'est bien plus sérieux que ça.
Description
Cet épisode utilise le tableau "Le Radeau de la Méduse" comme une métaphore des défis liés au cloud computing et à la souveraineté numérique.
Lien vers le podcast "polysécure" à propos de la sortie de cloud : https://polysecure.ca/posts/episode-0x520.html#0478573b
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Le Radeau de la Méduse est un tableau réalisé par Théodore Régéricault entre 1810 et 1819. Cette œuvre monumentale est bien plus qu'une simple peinture, mais elle est aussi une œuvre politique. Ce tableau s'inspire d'un fait divers tragique survenu en 1816, le naufrage de la fréguette La Méduse. Après avoir échoué au large du Sénégal, 180 survivants furent abandonnés sur un radeau de fortune. Leur calvaire a duré 13 jours. Privé de nourriture et d'eau. Seuls 15 d'entre eux ont survécu dans des conditions effroyables. Il a même été question de cannibalisme. Pour Géricault, ce drame représentait une occasion unique de dénoncer l'injustice et l'incompétence des élites. Le capitaine du navire, Hugues de Roy de Chemarée, choisit pour des raisons politiques plutôt que pour ses compétences. Un cas qui incarne ce favoritisme si critiqué dans la France de cette époque. Il faut se souvenir qu'à ce moment-là, nous sommes en pleine restauration. Les royalistes reprennent le pouvoir avec quelques mauvaises habitudes, comme celle de nommer des personnes à des postes clés, non pour leurs compétences, mais à cause de leur appartenance politique. Regardons maintenant la composition de l'œuvre. Géricault capture un moment précis, celui où les survivants aperçoivent enfin un navire à l'horizon. Leur dernier espoir. La scène est d'une intensité saisissante. Au centre, les corps des naufragés entrelacés en une pyramide humaine qui semble tendre désespérément vers le ciel. Chaque personne exprime une émotion différente, l'épuisement, le désespoir, mais aussi l'espoir fragile. Géricault a étudié des corps dans une marque pour représenter la souffrance avec un réalisme glaçant. Il a également choisi une palette sombre, presque terreuse, qui amplifie le drame et guide notre regard vers le point lumineux, qui est, dans le tableau, le navire salvateur à l'horizon. D'ailleurs, la technique employée par le peintre provoque un obscurcissement continuel de la toile, ce qui la rendra à terme... totalement sombre. Et malheureusement, ce processus n'est pas réversible. Mais ce tableau ne se limite pas simplement au récit tragique. Il symbolise l'humanité face à l'adversité. Il critique aussi une société inégalitaire et met en lumière les laissés pour compte. C'est une œuvre profondément engagée qui, à cette époque, a fait scandale au salon de 1819. Pourtant, elle est aujourd'hui considérée comme un chef-d'œuvre. Mais un détail a toute son importance. C'est la présence tant espérée de l'Argus. C'est le navire qui sauva les quelques rescapés du radeau surnommé la machine Tiens donc, un regard attiré vers le ciel, une machine plantée au milieu de l'océan, un naufrage politique, un sauveur sur la ligne d'horizon, faut-il y voir une allégorie du cloud souverain ? Tout en cybersécurité peut avoir son importance. Mais l'avènement du cloud et son utilisation de plus en plus intensive a, d'une certaine manière, ajouté une contrainte supplémentaire. C'est la question de la souveraineté. Et c'est précisément le sujet que je souhaite développer avec vous aujourd'hui. Pour bien comprendre cette problématique, il faut comprendre la dépendance qu'on a envers cette technologie. Le cloud est un changement de paradigme dans la gestion de son système d'information. C'est-à-dire qu'à la place de gérer votre système d'information vous-même, vous allez déléguer cette gestion à un tiers. Mais cette délégation est bien plus complexe qu'il n'y paraît, car il faut maîtriser le cloud. La différence qu'il existe entre utiliser un cloud et gérer son infrastructure soi-même, C'est un peu comme aller au restaurant ou faire à manger soi-même. D'ailleurs, si vous avez envie de mieux comprendre les raisons qui ont poussé certaines entreprises à sortir du cloud, je vous conseille l'écoute de l'épisode du podcast Polysecure intitulé Sortir du cloud J'ajouterai le lien en commentaire de cet épisode comme d'habitude. Quand vous cuisinez vous-même, vous maîtrisez tout le processus. L'approvisionnement des denrées, la recette de cuisine, la technique de cuisson et le service à table. Quand vous allez au restaurant... Vous allez commander ce qu'il y a sur la carte et ce que vous avez commandé va vous être servi. Mais dans ce cas, vous n'avez pas accès à la cuisine, ni à la chaîne d'approvisionnement et encore moins à la recette de cuisine. Vous faites confiance au restaurateur. Oui,
c'est une petite question.
Oui, madame. Qu'est-ce que c'est que la crêpe gigi ? Eh bien la crêpe gigi c'est une fine couche de sarrasin saisie dessus-dessous et parsemée de pétales de rose tiède. C'est délicieux ! Ah oui, certainement. Je vais vous prendre une crêpe au sucre avec une bière. Ah non, non, non, je m'excuse, monsieur. Nous ne faisons pas cela ici. Vous êtes trompé d'établissement. Vous avez toutes nos crêpes sur la carte. Vous avez de la pâte, vous avez du sucre. Alors avec la pâte, vous faites une crêpe, puis vous mettez du sucre dessus. Qu'est-ce que fait ce type-là ? On croit rêver ! C'est vrai, on se dit qu'il se croit celui-là, tête de con ! Bon, il n'y a qu'on ne le voit plus, ici, hein ! Qu'est-ce qui se passe ? Oh, ben c'est encore une crêpe au sucre ! Ma pépette, hein ! Mais qu'est-ce qu'elle me dit, la pépette ? Et bien pour le cloud, il en va de même. Vous faites confiance aux fournisseurs et à ces technologies. Mais en faisant cela, vous allez déléguer cette responsabilité sans pour autant avoir suffisamment de contrôle. Et c'est là que le problème de la dépendance intervient. Et par conséquent, le cloud devient de plus en plus un enjeu de souveraineté. Car que faire en cas de retournement de situation ? Si des fournisseurs majeurs décident soudainement d'arrêter leur service, alors bien évidemment il est possible de revenir en arrière et de sortir du cloud. Faut-il encore avoir imaginé et prévu ce cas de figure ? Pour mieux comprendre l'évolution de cette problématique, je vous propose de faire l'historique des choix politiques à propos du cloud. Pour ce faire, je vais m'appuyer, entre autres, sur l'article intitulé Le cloud computing de l'objet technique à l'enjeu géopolitique écrit pour la revue géographique et géopolitique Herodot, par Clotilde Beaumont et Amel Katouradza. L'une des premières apparitions du cloud dans le discours politique français remonte à fin 2009. lorsque le gouvernement constate la montée en puissance des acteurs industriels américains dans ce domaine. François Fillon, alors Premier ministre, explique en janvier 2010, au sujet de l'informatique en nuages, Force est de constater que les Nord-Américains dominent ce marché qui constitue pour autant un enjeu absolument majeur pour la compétitivité de nos économies, pour le développement durable et même, j'ose le dire, pour la souveraineté de notre pays. C'est donc pour concurrencer les entreprises américaines et développer la croissance industrielle qu'un premier projet de cloud national, dit cloud souverain, est lancé dans le cadre du programme d'investissement d'avenir. Son développement, alors envisagé comme une centrale numérique de confiance, est essentiellement perçu comme une opportunité économique et doit conduire à l'émergence d'un acteur industriel français du cloud. Basé sur un partenariat entre public et privé, Le projet bénéficie de fonds gouvernementaux et doit associer les entreprises françaises. Il est concrétisé en mai 2012 sous le nom d'Andromed, par l'association des entreprises Thales, Dassault Systèmes et Orange. Ces entreprises ont une envergure internationale, mais sont encore novices dans le domaine du cloud. En décembre 2011, suite à des désaccords importants avec Orange, Dassault Systèmes quitte Andromed. L'éditeur de logiciels s'associe en février 2012 avec SFR pour proposer une offre concurrente, avant d'annoncer son retrait définitif du projet en avril 2012. Il a décidé malgré cela de continuer la démarche gouvernementale du cloud souverain. Le projet initial Andromed est scindé en deux initiatives distinctes, CloudWatt et NumEnergy. CloudWap, réuni avec Orange et Thales, est numérgi et mené par SFR et Bull. En 2015, Orange rachète les parts de l'État ainsi que celles de Thales et prend le contrôle de CloudWatt. Tandis que Numergy est entièrement racheté par SFR. Ces rachats marquent l'échec du projet gouvernemental. La mise en place d'un cloud souverain a échoué, essentiellement parce que les décideurs politiques avaient une mauvaise compréhension de la technologie. Le fonctionnement technique du cloud et la diversité des offres n'ont pas été correctement envisagées. L'environnement industriel a été mal appréhendé et les acteurs privés mal identifiés. Et le plus important est que l'objet technique a été pensé indépendamment du contexte économique et social. dans lequel il s'inscrit. La demande pour une offre souveraine était encore trop faible et les instructions étatiques quant à l'utilisation du cloud computing par les acteurs publics n'étaient pas suffisamment claires quand elles n'étaient pas simplement inexistantes. Les potentiels cas d'usage n'ont pas non plus été pleinement considérés et les services proposés se limitaient à de l'hébergement. Par ailleurs, la scission du projet initial a fragilisé les propositions, alors que le marché se répartissait déjà entre les entreprises américaines Amazon et Microsoft et quelques fournisseurs de cloud nationaux comme OVH et Gandhi. La volonté étatique de créer de toutes pièces une offre cloud a donc été menée au détriment des acteurs déjà implantés. Aussi, CloudWatt et Numergy ont manqué de moyens pour se mettre au niveau des autres offres durant la première moitié de 2010. La crise économique s'éloigne, mais les faiblesses de la base industrielle française dans le domaine du numérique préoccupent le gouvernement. L'économie tertiaire est désormais essentiellement numérique et son cœur géographique n'est pas en Europe mais aux Etats-Unis. Les conséquences de cette dissymétrie globale sont économiques mais aussi politiques et stratégiques. Elles prennent une nouvelle dimension à l'été 2013 avec les révélations d'Edward Snowden concernant la surveillance de masse opérée par la NSA, rendue possible par le Patriot Act. C'est dans ce contexte qu'en 2013, le gouvernement présente les 34 plans de la nouvelle industrie française. Ce programme, porté par le ministre de l'économie, du redressement productif et du numérique, Arnaud Montebourg, doit permettre d'identifier les priorités de la politique industrielle pour la France et les marchés mondiaux, particulièrement porteurs. Le cloud computing figure parmi les 34 plans. Il fait l'objet d'une dizaine de mesures dont la feuille de route a été validée en juin. Le choix des acteurs industriels impliqués dans le plan cloud computing diffère de celui opéré 4 ans plus tôt. Le projet est piloté par Octave Clava, directeur général d'OVH, et Thierry Breton, PDG d'Atos, deux entreprises reconnues dans le secteur. Tandis que le gouverneur Fillon souhaitait construire ex nihilo une industrie du cloud, la démarche de 2013 à 2014 s'appuie donc cette fois-ci sur des compétences d'entreprises spécialisées elles-mêmes en relation avec d'autres industriels et syndicats professionnels français du secteur. Ce bascule traduit à un premier recul quant aux enseignements à retirer des difficultés rencontrées par Andromède dès 2012. Les acteurs politiques semblent progressivement prendre conscience que le cloud est une technologie complexe, maîtrisée par quelques acteurs industriels spécifiques. Le plan cloud prévoit notamment la création d'un label européen de sécurité par l'Agence Nationale de Sécurité des Systèmes d'Information, l'ANSI, prémisse d'une sécurisation de la technologie. Le développement d'infrastructures et d'une fiscalité favorable à l'installation des data centers en France et en Europe est également mis en avant dans une démarche souveraine. Et ceci en continuité avec le projet d'Andromède et la vision du gouvernement précédent. La notion de souveraineté reste associée à une perspective économique, puisqu'il s'agit, selon le ministre, de renforcer notre souveraineté sur les données personnelles tout en dynamisant la compétitivité de nos entreprises. La stratégie adoptée est néanmoins peu lisible. L'accent est mis sur la croissance du secteur cloud, mais l'absence de projections à long terme doit être notée. Le calendrier de la feuille de route ne va pas au-delà de 2015. En outre, le plan cloud computing est inséré au milieu d'autres priorités non hiérarchisées, aussi bien numériques qu'écologiques et sociales. Cependant, ce document témoigne d'une approche davantage systémique du cloud. Il présente une vision plus inclusive qui commence à placer le cloud dans le paysage politique, industriel et social de l'époque. Cet élan est toutefois freiné par l'échec du projet gouvernemental de cloud souverain, qui semble avoir entamé l'enthousiasme politique naissant que soulevait l'informatique en nuages. Le gouvernement se détourne un temps de la technologie qui n'évoque que frileusement à des rares occasions. C'est pourtant à cette époque, entre 2014 et 2018, que les postures stratégiques françaises sur les questions du numérique se consolident. Le cloud est en effet complètement absent de la stratégie numérique du gouvernement présentée le 18 juin 2015 par le Premier ministre. Manuel Valls. Cette stratégie se voit en plan d'action pour le MIEC français. Mais le manque de discrimination et de hiérarchisation des mesures contribue à la production d'un document qui apparaît confus et peu opérationnel pour appuyer le lancement de la stratégie numérique du gouvernement français. Une consultation nationale pilotée par le CNN, le Conseil national du numérique, a été menée depuis fin 2014. Le rapport de cette consultation fait, lui, mention du cloud. mais essentiellement en traitant du sujet personnel et individuel de la technologie. De la même façon, si l'ANSI évoque le cloud dans sa stratégie nationale de la sécurité du numérique d'octobre 2014, il ne le fait qu'en référence aux travaux de certification de sécurité pour un cloud commun avec l'Allemagne. Il n'est en tout autre aucune mention du cloud, ni dans le livre blanc sur la défense et la sécurité nationale de 2013, ni dans la revue stratégique de défense et de sécurité nationale de 2017. Alors que les réflexions sur le numérique progressent beaucoup à cette époque dans le cercle de la défense. Le cloud est davantage présent dans le programme d'industrie du futur mené par Emmanuel Macron, alors ministre de l'économie et de l'industrie du numérique. Ce programme, lancé le 18 avril 2015, est présenté en mi-2016. Il est une actualisation de l'initiative conduite par Arnaud Montebourg et se veut la matrice de la nouvelle France industrielle. Le cloud est principalement abordé sous l'entrée économique des données en ligne directe avec le plan Cloud Computing de 2013. Les projets menés dans ce cadre le sont toujours sous la direction de Thierry Breton et d'Octave Clabat, rejoint par la suite par Gérard Rouquerolle, président de Terratech. Le document fait par ailleurs appel à l'état d'avancement des travaux. Depuis la présentation de la feuille de route en février 2015, l'ANSI a lancé le label Secure Cloud, qui vise à évaluer les garanties de sécurité proposées par un prestataire. Et en juin 2015, et mise à disposition un guide de bonne pratique sur l'utilisation du cloud dans les collectivités territoriales. Le programme industriel du futur s'appuie notamment sur l'étude technologique clé de 2020. publié en mai 2016. Cette étude de prospectif conduit tous les cinq ans par la direction générale des entreprises, la DGE, cherche à déterminer les technologies stratégiques des cinq à dix prochaines années. Le cloud est deux fois plus présent dans les éditions 2015 que celle de 2011. Il est pourtant moins mis en avant dans la version actualisée du programme Nouvelle France Industrielle que dans la version originale où l'informatique en UH faisait l'objet d'un plan à part entière. Toutefois, il est davantage intégré dans une continuité technologique que dans la version générale. et amorce une vision qui sera développée dans les trois années suivantes. En effet, dans le document de 2016, le cloud est plusieurs fois repris, présenté en relation avec d'autres technologies émergentes, telles que les big data et les supercalculateurs. À partir de 2018, l'accélération significative des travaux autour du cloud témoigne d'évolutions importantes dans les représentations des acteurs publics. Le gouvernement engage d'ambitieuses politiques de transformation numérique au sein desquelles le cloud occupe une place cruciale. Ceci fait transparaître une prise de conscience quant à la complexité de l'objet, son besoin de sécurisation et son importance stratégique. Cette nouvelle représentation découle en partie de l'évolution du contexte international. Au cours de la seconde moitié des années 2010, les affaires impliquant la manipulation, la divulgation et la confiscation des données numériques se sont multipliées. Les conséquences politiques à la dimension stratégique des données et les technologies relatives à leur hébergement et leurs traitements sont apparus au grand jour, tandis que la sphère politique et publique tente d'appréhender l'informatique en nuage, son adoption par le secteur privé, et grand public se poursuit. Les pratiques évoluent et le CLAD bénéficie autant qu'il contribue à servir la croissance de l'informatique et la plateformisation de l'économie. Cette évolution explique en partie le saut conceptuel qui semble avoir lieu entre 2015 et 2018. Alors qu'il était considéré en 2016 comme une technologie à maîtriser et un signal faible, le cloud apparaît soudainement en 2018 dans les textes officiels, comme déjà bien implanté dans l'environnement numérique quotidien. C'est sous l'aspect sécuritaire que le cloud fait d'abord l'objet d'une attention particulière au sein de la revue Stratégie et Défense de février 2018, qui lui consacre une section entière. Le document explique la nature juridique, technique et de la technologie. économique et sociale des risques inhérents à l'utilisation de l'information en nuage et pointent des dangers sur la souveraineté nationale. Cette position nouvelle peut être lue comme le début d'une sécurisation du cloud au sens développé par Barry Bunzai et Olly Weaver. Selon eux, la classification d'un problème comme enjeu de sécurité ne dépend pas seulement des risques constatés, mais aussi à un acte de pouvoir permettant aux acteurs politiques de redéfinir des priorités stratégiques et de mobiliser des moyens d'action dont ils ne disposeraient pas autrement. Ainsi, si les questions en 2010 et 2014 de renforcer la souveraineté nationale, ce sont désormais les menaces portées à la souveraineté qui sont mises en exergue. Plus qu'une opportunité économique et industrielle à saisir, le cloud devient une priorité stratégique dans les rapports officiels et les projets politiques. Pour sécuriser la technologie, la revue stratégique insiste sur les solutions telles que les chiffrements et la certification de l'ANSI. et propose des mesures permettant d'encourager le développement d'une base industrielle nationale et européenne. Néanmoins, seule une stratégie nationale harmonisée et commune à tous les États et à toutes les entités de l'État peut permettre d'assurer une sécurité maximale. L'établissement d'une politique étatique globale de recours au cloud est ainsi préconisé par le Revue stratégique de la cyberdéfense. Alors que les organismes gouvernementaux mettent en œuvre la stratégie du cloud de l'État, Les inquiétudes face aux risques liés à la nature étrangère des principaux fournisseurs de services et au manque d'alternatives nationales sont toujours autant présents dans les discussions. L'adoption par l'administration Trump en 2018 du Cloud Act a ravivé ces craintes. Le Cloud Act contraint effectivement les fournisseurs de services américains, par mandat ou assignation, à fournir aux autorités américaines les données demandées stockées sur leur serveur, qu'ils soient situés aux États-Unis, dans un pays étranger ou en France. Le besoin de protéger des données de ce type de loi à dimension extraterritoriale se fait de plus en plus présente. C'est à ce moment même que le cloud de confiance fait son apparition. Le cloud de confiance a d'abord été annoncé en février 2019 par Bruno Le Maire, ministre de l'économie et des finances. Simplement comme un cloud sécurisé. Il a ensuite été baptisé cloud national stratégique deux mois plus tard. Destiné à héberger des données françaises et européennes, ce cloud pourra faire l'objet d'un partenariat franco-allemand. Selon Bruno Le Maire, OVHcloud et Hatscale, filiales de Dassault Systèmes, ont été mandatés par le ministre pour formuler des propositions dans ce sens avant la fin 2019. Le rapport du Sénat sur la souveraineté numérique d'octobre 2019 explique que le cloud de confiance permettra de proposer aux entreprises, ainsi qu'à la puissance publique, des offres diversifiées, performantes et sécurisées. Il est ajouté que, contrairement au projet de cloud souverain, l'initiative vise, dans un marché qui a aujourd'hui atteint une bonne maturité, à s'appuyer sur des fournisseurs et des offres déjà exposées au marché. Il n'est plus besoin de revenir sur les avantages et les risques du cloud, mais c'est maintenant son encadrement, son déploiement et son usage qui occupent les esprits. La compétitivité de la France sur les solutions d'hébergement IAS est connue, mais force est de constater son retard sur les services. Les auditions conduites par la commission d'enquête soulignent des difficultés à rivaliser quantitativement avec les fournisseurs déjà implantés. Mais elle insiste également sur la possibilité de proposer une offre qui se différencierait qualitativement. La France et les pays européens pourraient faire de la confiance leur fer de lance et cibler un marché qui ne connaît pas actuellement d'alternative aux géants américains asiatiques. Le rapport suggère ainsi de promouvoir les offres au cloud européen, se diversifier sur leur niveau de confiance. Nous sommes maintenant en fin 2024, et qu'en est-il de la situation avec le cloud ? L'INISA, l'agence dont le but est d'améliorer la cybersécurité en Europe, travaille depuis 2020 sur le projet de certification du cloud de confiance, c'est le UCS. Il doit promouvoir la sécurité du cloud à travers un processus visant à renforcer l'indépendance de l'Europe face à des Etats-Unis et à une Chine qui s'enfoncent dans un nouveau protectionnisme. Cependant, accolé à la sécurité technique, on trouve la sécurité juridique. Et là, tout le monde n'est pas d'accord. La France, surtout accompagnée avec l'Espagne et l'Italie, milite pour une sécurisation élevée, avec des critères exigeants, y compris en se positionnant pour une interdiction totale de l'extraterritorialité. En d'autres termes, les données européennes restent en Europe. Et tout est dit de cette situation avec le commentaire de Guillaume Poupard ancien directeur de l'ANSI. Force est de reconnaître qu'une majorité d'États membres de l'Union européenne a clairement d'autres priorités que le développement de l'Europe numérique. Certains ne veulent surtout pas prendre le risque de réduire leur entrée fiscale, d'autres sont prêts à tout pour continuer à vendre des voitures de luxe ou importer du GNL. Beaucoup ont pour priorité, et c'est légitime, leur protection militaire par l'OTAN dans un contexte géopolitique particulièrement tendu. Sans juger, force est de reconnaître que la sécurité du cloud et de nos données pèsent malheureusement bien peu. Et hop ! Pas de combat, pas de blessure. C'est tout... C'est un combat mais... psychologique ? Non, non, qu'est-ce qui se passe dans la tête ? Ouais, je vois ce qu'il veut dire... Psychologique ? Non, psychologique c'est tout ce qu'il y a à la campagne, non ? À la campagne ? Ouais, les céréales, les machins... Agricole ? Ah ouais, agricole. D'autres pays, comme le Luxembourg, ont pris la décision de prendre le taureau par les cornes et d'investir sans attendre. C'est le cas de Clarence, qui est le premier cloud souverain non connecté à Internet d'Europe. Je pense qu'il est illusoire de penser que l'on peut créer un cloud sans dépendance technologique, et qu'il y a donc par construction une dépendance. Mais avec qui avoir cette dépendance ? Qui choisir comme partenaire ? Qu'arrivera-t-il avec la nouvelle administration Trump ? Sommes-nous actuellement sur le radeau de la Méduse en étant sur le cloud ? Faut-il voir l'Argus comme le cloud souverain et penser qu'il nous sauvera de notre condition précaire ? Je vous laisse juge. Un petit détail intéressant à propos du Radeau de la Méduse est que dans les personnages du tableau figure Eugène Delacroix, qui a posé pour Géricault. Il est l'auteur du très célèbre tableau La liberté guidant le peuple Peut-il y voir un signe du destin dans cette histoire de cloud ? Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à main grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner des commentaires. proposer des sujets qui vous semblent pertinents. Et surtout, n'oubliez pas, pour certains, la cybersécurité est un enjeu de vie de mort. C'est bien plus sérieux que ça.
Share
Embed
You may also like
#39 : La carte de Piri REIS (NIST CSF, ISO 27001, CIS Controls, MITRE ATT&CK, etc)
HS 27 : Présentation du CLUSIL avec Line LAURET, Cédric MAUNY et Mathieu VAJOU
#38 : Le silence des agneaux (A propos de l'anonymisation et la pseudo-anonymisation des données)
#37 : Les sous-doués (L'importance de la formation en cybersécurité)
Description
Cet épisode utilise le tableau "Le Radeau de la Méduse" comme une métaphore des défis liés au cloud computing et à la souveraineté numérique.
Lien vers le podcast "polysécure" à propos de la sortie de cloud : https://polysecure.ca/posts/episode-0x520.html#0478573b
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Le Radeau de la Méduse est un tableau réalisé par Théodore Régéricault entre 1810 et 1819. Cette œuvre monumentale est bien plus qu'une simple peinture, mais elle est aussi une œuvre politique. Ce tableau s'inspire d'un fait divers tragique survenu en 1816, le naufrage de la fréguette La Méduse. Après avoir échoué au large du Sénégal, 180 survivants furent abandonnés sur un radeau de fortune. Leur calvaire a duré 13 jours. Privé de nourriture et d'eau. Seuls 15 d'entre eux ont survécu dans des conditions effroyables. Il a même été question de cannibalisme. Pour Géricault, ce drame représentait une occasion unique de dénoncer l'injustice et l'incompétence des élites. Le capitaine du navire, Hugues de Roy de Chemarée, choisit pour des raisons politiques plutôt que pour ses compétences. Un cas qui incarne ce favoritisme si critiqué dans la France de cette époque. Il faut se souvenir qu'à ce moment-là, nous sommes en pleine restauration. Les royalistes reprennent le pouvoir avec quelques mauvaises habitudes, comme celle de nommer des personnes à des postes clés, non pour leurs compétences, mais à cause de leur appartenance politique. Regardons maintenant la composition de l'œuvre. Géricault capture un moment précis, celui où les survivants aperçoivent enfin un navire à l'horizon. Leur dernier espoir. La scène est d'une intensité saisissante. Au centre, les corps des naufragés entrelacés en une pyramide humaine qui semble tendre désespérément vers le ciel. Chaque personne exprime une émotion différente, l'épuisement, le désespoir, mais aussi l'espoir fragile. Géricault a étudié des corps dans une marque pour représenter la souffrance avec un réalisme glaçant. Il a également choisi une palette sombre, presque terreuse, qui amplifie le drame et guide notre regard vers le point lumineux, qui est, dans le tableau, le navire salvateur à l'horizon. D'ailleurs, la technique employée par le peintre provoque un obscurcissement continuel de la toile, ce qui la rendra à terme... totalement sombre. Et malheureusement, ce processus n'est pas réversible. Mais ce tableau ne se limite pas simplement au récit tragique. Il symbolise l'humanité face à l'adversité. Il critique aussi une société inégalitaire et met en lumière les laissés pour compte. C'est une œuvre profondément engagée qui, à cette époque, a fait scandale au salon de 1819. Pourtant, elle est aujourd'hui considérée comme un chef-d'œuvre. Mais un détail a toute son importance. C'est la présence tant espérée de l'Argus. C'est le navire qui sauva les quelques rescapés du radeau surnommé la machine Tiens donc, un regard attiré vers le ciel, une machine plantée au milieu de l'océan, un naufrage politique, un sauveur sur la ligne d'horizon, faut-il y voir une allégorie du cloud souverain ? Tout en cybersécurité peut avoir son importance. Mais l'avènement du cloud et son utilisation de plus en plus intensive a, d'une certaine manière, ajouté une contrainte supplémentaire. C'est la question de la souveraineté. Et c'est précisément le sujet que je souhaite développer avec vous aujourd'hui. Pour bien comprendre cette problématique, il faut comprendre la dépendance qu'on a envers cette technologie. Le cloud est un changement de paradigme dans la gestion de son système d'information. C'est-à-dire qu'à la place de gérer votre système d'information vous-même, vous allez déléguer cette gestion à un tiers. Mais cette délégation est bien plus complexe qu'il n'y paraît, car il faut maîtriser le cloud. La différence qu'il existe entre utiliser un cloud et gérer son infrastructure soi-même, C'est un peu comme aller au restaurant ou faire à manger soi-même. D'ailleurs, si vous avez envie de mieux comprendre les raisons qui ont poussé certaines entreprises à sortir du cloud, je vous conseille l'écoute de l'épisode du podcast Polysecure intitulé Sortir du cloud J'ajouterai le lien en commentaire de cet épisode comme d'habitude. Quand vous cuisinez vous-même, vous maîtrisez tout le processus. L'approvisionnement des denrées, la recette de cuisine, la technique de cuisson et le service à table. Quand vous allez au restaurant... Vous allez commander ce qu'il y a sur la carte et ce que vous avez commandé va vous être servi. Mais dans ce cas, vous n'avez pas accès à la cuisine, ni à la chaîne d'approvisionnement et encore moins à la recette de cuisine. Vous faites confiance au restaurateur. Oui,
c'est une petite question.
Oui, madame. Qu'est-ce que c'est que la crêpe gigi ? Eh bien la crêpe gigi c'est une fine couche de sarrasin saisie dessus-dessous et parsemée de pétales de rose tiède. C'est délicieux ! Ah oui, certainement. Je vais vous prendre une crêpe au sucre avec une bière. Ah non, non, non, je m'excuse, monsieur. Nous ne faisons pas cela ici. Vous êtes trompé d'établissement. Vous avez toutes nos crêpes sur la carte. Vous avez de la pâte, vous avez du sucre. Alors avec la pâte, vous faites une crêpe, puis vous mettez du sucre dessus. Qu'est-ce que fait ce type-là ? On croit rêver ! C'est vrai, on se dit qu'il se croit celui-là, tête de con ! Bon, il n'y a qu'on ne le voit plus, ici, hein ! Qu'est-ce qui se passe ? Oh, ben c'est encore une crêpe au sucre ! Ma pépette, hein ! Mais qu'est-ce qu'elle me dit, la pépette ? Et bien pour le cloud, il en va de même. Vous faites confiance aux fournisseurs et à ces technologies. Mais en faisant cela, vous allez déléguer cette responsabilité sans pour autant avoir suffisamment de contrôle. Et c'est là que le problème de la dépendance intervient. Et par conséquent, le cloud devient de plus en plus un enjeu de souveraineté. Car que faire en cas de retournement de situation ? Si des fournisseurs majeurs décident soudainement d'arrêter leur service, alors bien évidemment il est possible de revenir en arrière et de sortir du cloud. Faut-il encore avoir imaginé et prévu ce cas de figure ? Pour mieux comprendre l'évolution de cette problématique, je vous propose de faire l'historique des choix politiques à propos du cloud. Pour ce faire, je vais m'appuyer, entre autres, sur l'article intitulé Le cloud computing de l'objet technique à l'enjeu géopolitique écrit pour la revue géographique et géopolitique Herodot, par Clotilde Beaumont et Amel Katouradza. L'une des premières apparitions du cloud dans le discours politique français remonte à fin 2009. lorsque le gouvernement constate la montée en puissance des acteurs industriels américains dans ce domaine. François Fillon, alors Premier ministre, explique en janvier 2010, au sujet de l'informatique en nuages, Force est de constater que les Nord-Américains dominent ce marché qui constitue pour autant un enjeu absolument majeur pour la compétitivité de nos économies, pour le développement durable et même, j'ose le dire, pour la souveraineté de notre pays. C'est donc pour concurrencer les entreprises américaines et développer la croissance industrielle qu'un premier projet de cloud national, dit cloud souverain, est lancé dans le cadre du programme d'investissement d'avenir. Son développement, alors envisagé comme une centrale numérique de confiance, est essentiellement perçu comme une opportunité économique et doit conduire à l'émergence d'un acteur industriel français du cloud. Basé sur un partenariat entre public et privé, Le projet bénéficie de fonds gouvernementaux et doit associer les entreprises françaises. Il est concrétisé en mai 2012 sous le nom d'Andromed, par l'association des entreprises Thales, Dassault Systèmes et Orange. Ces entreprises ont une envergure internationale, mais sont encore novices dans le domaine du cloud. En décembre 2011, suite à des désaccords importants avec Orange, Dassault Systèmes quitte Andromed. L'éditeur de logiciels s'associe en février 2012 avec SFR pour proposer une offre concurrente, avant d'annoncer son retrait définitif du projet en avril 2012. Il a décidé malgré cela de continuer la démarche gouvernementale du cloud souverain. Le projet initial Andromed est scindé en deux initiatives distinctes, CloudWatt et NumEnergy. CloudWap, réuni avec Orange et Thales, est numérgi et mené par SFR et Bull. En 2015, Orange rachète les parts de l'État ainsi que celles de Thales et prend le contrôle de CloudWatt. Tandis que Numergy est entièrement racheté par SFR. Ces rachats marquent l'échec du projet gouvernemental. La mise en place d'un cloud souverain a échoué, essentiellement parce que les décideurs politiques avaient une mauvaise compréhension de la technologie. Le fonctionnement technique du cloud et la diversité des offres n'ont pas été correctement envisagées. L'environnement industriel a été mal appréhendé et les acteurs privés mal identifiés. Et le plus important est que l'objet technique a été pensé indépendamment du contexte économique et social. dans lequel il s'inscrit. La demande pour une offre souveraine était encore trop faible et les instructions étatiques quant à l'utilisation du cloud computing par les acteurs publics n'étaient pas suffisamment claires quand elles n'étaient pas simplement inexistantes. Les potentiels cas d'usage n'ont pas non plus été pleinement considérés et les services proposés se limitaient à de l'hébergement. Par ailleurs, la scission du projet initial a fragilisé les propositions, alors que le marché se répartissait déjà entre les entreprises américaines Amazon et Microsoft et quelques fournisseurs de cloud nationaux comme OVH et Gandhi. La volonté étatique de créer de toutes pièces une offre cloud a donc été menée au détriment des acteurs déjà implantés. Aussi, CloudWatt et Numergy ont manqué de moyens pour se mettre au niveau des autres offres durant la première moitié de 2010. La crise économique s'éloigne, mais les faiblesses de la base industrielle française dans le domaine du numérique préoccupent le gouvernement. L'économie tertiaire est désormais essentiellement numérique et son cœur géographique n'est pas en Europe mais aux Etats-Unis. Les conséquences de cette dissymétrie globale sont économiques mais aussi politiques et stratégiques. Elles prennent une nouvelle dimension à l'été 2013 avec les révélations d'Edward Snowden concernant la surveillance de masse opérée par la NSA, rendue possible par le Patriot Act. C'est dans ce contexte qu'en 2013, le gouvernement présente les 34 plans de la nouvelle industrie française. Ce programme, porté par le ministre de l'économie, du redressement productif et du numérique, Arnaud Montebourg, doit permettre d'identifier les priorités de la politique industrielle pour la France et les marchés mondiaux, particulièrement porteurs. Le cloud computing figure parmi les 34 plans. Il fait l'objet d'une dizaine de mesures dont la feuille de route a été validée en juin. Le choix des acteurs industriels impliqués dans le plan cloud computing diffère de celui opéré 4 ans plus tôt. Le projet est piloté par Octave Clava, directeur général d'OVH, et Thierry Breton, PDG d'Atos, deux entreprises reconnues dans le secteur. Tandis que le gouverneur Fillon souhaitait construire ex nihilo une industrie du cloud, la démarche de 2013 à 2014 s'appuie donc cette fois-ci sur des compétences d'entreprises spécialisées elles-mêmes en relation avec d'autres industriels et syndicats professionnels français du secteur. Ce bascule traduit à un premier recul quant aux enseignements à retirer des difficultés rencontrées par Andromède dès 2012. Les acteurs politiques semblent progressivement prendre conscience que le cloud est une technologie complexe, maîtrisée par quelques acteurs industriels spécifiques. Le plan cloud prévoit notamment la création d'un label européen de sécurité par l'Agence Nationale de Sécurité des Systèmes d'Information, l'ANSI, prémisse d'une sécurisation de la technologie. Le développement d'infrastructures et d'une fiscalité favorable à l'installation des data centers en France et en Europe est également mis en avant dans une démarche souveraine. Et ceci en continuité avec le projet d'Andromède et la vision du gouvernement précédent. La notion de souveraineté reste associée à une perspective économique, puisqu'il s'agit, selon le ministre, de renforcer notre souveraineté sur les données personnelles tout en dynamisant la compétitivité de nos entreprises. La stratégie adoptée est néanmoins peu lisible. L'accent est mis sur la croissance du secteur cloud, mais l'absence de projections à long terme doit être notée. Le calendrier de la feuille de route ne va pas au-delà de 2015. En outre, le plan cloud computing est inséré au milieu d'autres priorités non hiérarchisées, aussi bien numériques qu'écologiques et sociales. Cependant, ce document témoigne d'une approche davantage systémique du cloud. Il présente une vision plus inclusive qui commence à placer le cloud dans le paysage politique, industriel et social de l'époque. Cet élan est toutefois freiné par l'échec du projet gouvernemental de cloud souverain, qui semble avoir entamé l'enthousiasme politique naissant que soulevait l'informatique en nuages. Le gouvernement se détourne un temps de la technologie qui n'évoque que frileusement à des rares occasions. C'est pourtant à cette époque, entre 2014 et 2018, que les postures stratégiques françaises sur les questions du numérique se consolident. Le cloud est en effet complètement absent de la stratégie numérique du gouvernement présentée le 18 juin 2015 par le Premier ministre. Manuel Valls. Cette stratégie se voit en plan d'action pour le MIEC français. Mais le manque de discrimination et de hiérarchisation des mesures contribue à la production d'un document qui apparaît confus et peu opérationnel pour appuyer le lancement de la stratégie numérique du gouvernement français. Une consultation nationale pilotée par le CNN, le Conseil national du numérique, a été menée depuis fin 2014. Le rapport de cette consultation fait, lui, mention du cloud. mais essentiellement en traitant du sujet personnel et individuel de la technologie. De la même façon, si l'ANSI évoque le cloud dans sa stratégie nationale de la sécurité du numérique d'octobre 2014, il ne le fait qu'en référence aux travaux de certification de sécurité pour un cloud commun avec l'Allemagne. Il n'est en tout autre aucune mention du cloud, ni dans le livre blanc sur la défense et la sécurité nationale de 2013, ni dans la revue stratégique de défense et de sécurité nationale de 2017. Alors que les réflexions sur le numérique progressent beaucoup à cette époque dans le cercle de la défense. Le cloud est davantage présent dans le programme d'industrie du futur mené par Emmanuel Macron, alors ministre de l'économie et de l'industrie du numérique. Ce programme, lancé le 18 avril 2015, est présenté en mi-2016. Il est une actualisation de l'initiative conduite par Arnaud Montebourg et se veut la matrice de la nouvelle France industrielle. Le cloud est principalement abordé sous l'entrée économique des données en ligne directe avec le plan Cloud Computing de 2013. Les projets menés dans ce cadre le sont toujours sous la direction de Thierry Breton et d'Octave Clabat, rejoint par la suite par Gérard Rouquerolle, président de Terratech. Le document fait par ailleurs appel à l'état d'avancement des travaux. Depuis la présentation de la feuille de route en février 2015, l'ANSI a lancé le label Secure Cloud, qui vise à évaluer les garanties de sécurité proposées par un prestataire. Et en juin 2015, et mise à disposition un guide de bonne pratique sur l'utilisation du cloud dans les collectivités territoriales. Le programme industriel du futur s'appuie notamment sur l'étude technologique clé de 2020. publié en mai 2016. Cette étude de prospectif conduit tous les cinq ans par la direction générale des entreprises, la DGE, cherche à déterminer les technologies stratégiques des cinq à dix prochaines années. Le cloud est deux fois plus présent dans les éditions 2015 que celle de 2011. Il est pourtant moins mis en avant dans la version actualisée du programme Nouvelle France Industrielle que dans la version originale où l'informatique en UH faisait l'objet d'un plan à part entière. Toutefois, il est davantage intégré dans une continuité technologique que dans la version générale. et amorce une vision qui sera développée dans les trois années suivantes. En effet, dans le document de 2016, le cloud est plusieurs fois repris, présenté en relation avec d'autres technologies émergentes, telles que les big data et les supercalculateurs. À partir de 2018, l'accélération significative des travaux autour du cloud témoigne d'évolutions importantes dans les représentations des acteurs publics. Le gouvernement engage d'ambitieuses politiques de transformation numérique au sein desquelles le cloud occupe une place cruciale. Ceci fait transparaître une prise de conscience quant à la complexité de l'objet, son besoin de sécurisation et son importance stratégique. Cette nouvelle représentation découle en partie de l'évolution du contexte international. Au cours de la seconde moitié des années 2010, les affaires impliquant la manipulation, la divulgation et la confiscation des données numériques se sont multipliées. Les conséquences politiques à la dimension stratégique des données et les technologies relatives à leur hébergement et leurs traitements sont apparus au grand jour, tandis que la sphère politique et publique tente d'appréhender l'informatique en nuage, son adoption par le secteur privé, et grand public se poursuit. Les pratiques évoluent et le CLAD bénéficie autant qu'il contribue à servir la croissance de l'informatique et la plateformisation de l'économie. Cette évolution explique en partie le saut conceptuel qui semble avoir lieu entre 2015 et 2018. Alors qu'il était considéré en 2016 comme une technologie à maîtriser et un signal faible, le cloud apparaît soudainement en 2018 dans les textes officiels, comme déjà bien implanté dans l'environnement numérique quotidien. C'est sous l'aspect sécuritaire que le cloud fait d'abord l'objet d'une attention particulière au sein de la revue Stratégie et Défense de février 2018, qui lui consacre une section entière. Le document explique la nature juridique, technique et de la technologie. économique et sociale des risques inhérents à l'utilisation de l'information en nuage et pointent des dangers sur la souveraineté nationale. Cette position nouvelle peut être lue comme le début d'une sécurisation du cloud au sens développé par Barry Bunzai et Olly Weaver. Selon eux, la classification d'un problème comme enjeu de sécurité ne dépend pas seulement des risques constatés, mais aussi à un acte de pouvoir permettant aux acteurs politiques de redéfinir des priorités stratégiques et de mobiliser des moyens d'action dont ils ne disposeraient pas autrement. Ainsi, si les questions en 2010 et 2014 de renforcer la souveraineté nationale, ce sont désormais les menaces portées à la souveraineté qui sont mises en exergue. Plus qu'une opportunité économique et industrielle à saisir, le cloud devient une priorité stratégique dans les rapports officiels et les projets politiques. Pour sécuriser la technologie, la revue stratégique insiste sur les solutions telles que les chiffrements et la certification de l'ANSI. et propose des mesures permettant d'encourager le développement d'une base industrielle nationale et européenne. Néanmoins, seule une stratégie nationale harmonisée et commune à tous les États et à toutes les entités de l'État peut permettre d'assurer une sécurité maximale. L'établissement d'une politique étatique globale de recours au cloud est ainsi préconisé par le Revue stratégique de la cyberdéfense. Alors que les organismes gouvernementaux mettent en œuvre la stratégie du cloud de l'État, Les inquiétudes face aux risques liés à la nature étrangère des principaux fournisseurs de services et au manque d'alternatives nationales sont toujours autant présents dans les discussions. L'adoption par l'administration Trump en 2018 du Cloud Act a ravivé ces craintes. Le Cloud Act contraint effectivement les fournisseurs de services américains, par mandat ou assignation, à fournir aux autorités américaines les données demandées stockées sur leur serveur, qu'ils soient situés aux États-Unis, dans un pays étranger ou en France. Le besoin de protéger des données de ce type de loi à dimension extraterritoriale se fait de plus en plus présente. C'est à ce moment même que le cloud de confiance fait son apparition. Le cloud de confiance a d'abord été annoncé en février 2019 par Bruno Le Maire, ministre de l'économie et des finances. Simplement comme un cloud sécurisé. Il a ensuite été baptisé cloud national stratégique deux mois plus tard. Destiné à héberger des données françaises et européennes, ce cloud pourra faire l'objet d'un partenariat franco-allemand. Selon Bruno Le Maire, OVHcloud et Hatscale, filiales de Dassault Systèmes, ont été mandatés par le ministre pour formuler des propositions dans ce sens avant la fin 2019. Le rapport du Sénat sur la souveraineté numérique d'octobre 2019 explique que le cloud de confiance permettra de proposer aux entreprises, ainsi qu'à la puissance publique, des offres diversifiées, performantes et sécurisées. Il est ajouté que, contrairement au projet de cloud souverain, l'initiative vise, dans un marché qui a aujourd'hui atteint une bonne maturité, à s'appuyer sur des fournisseurs et des offres déjà exposées au marché. Il n'est plus besoin de revenir sur les avantages et les risques du cloud, mais c'est maintenant son encadrement, son déploiement et son usage qui occupent les esprits. La compétitivité de la France sur les solutions d'hébergement IAS est connue, mais force est de constater son retard sur les services. Les auditions conduites par la commission d'enquête soulignent des difficultés à rivaliser quantitativement avec les fournisseurs déjà implantés. Mais elle insiste également sur la possibilité de proposer une offre qui se différencierait qualitativement. La France et les pays européens pourraient faire de la confiance leur fer de lance et cibler un marché qui ne connaît pas actuellement d'alternative aux géants américains asiatiques. Le rapport suggère ainsi de promouvoir les offres au cloud européen, se diversifier sur leur niveau de confiance. Nous sommes maintenant en fin 2024, et qu'en est-il de la situation avec le cloud ? L'INISA, l'agence dont le but est d'améliorer la cybersécurité en Europe, travaille depuis 2020 sur le projet de certification du cloud de confiance, c'est le UCS. Il doit promouvoir la sécurité du cloud à travers un processus visant à renforcer l'indépendance de l'Europe face à des Etats-Unis et à une Chine qui s'enfoncent dans un nouveau protectionnisme. Cependant, accolé à la sécurité technique, on trouve la sécurité juridique. Et là, tout le monde n'est pas d'accord. La France, surtout accompagnée avec l'Espagne et l'Italie, milite pour une sécurisation élevée, avec des critères exigeants, y compris en se positionnant pour une interdiction totale de l'extraterritorialité. En d'autres termes, les données européennes restent en Europe. Et tout est dit de cette situation avec le commentaire de Guillaume Poupard ancien directeur de l'ANSI. Force est de reconnaître qu'une majorité d'États membres de l'Union européenne a clairement d'autres priorités que le développement de l'Europe numérique. Certains ne veulent surtout pas prendre le risque de réduire leur entrée fiscale, d'autres sont prêts à tout pour continuer à vendre des voitures de luxe ou importer du GNL. Beaucoup ont pour priorité, et c'est légitime, leur protection militaire par l'OTAN dans un contexte géopolitique particulièrement tendu. Sans juger, force est de reconnaître que la sécurité du cloud et de nos données pèsent malheureusement bien peu. Et hop ! Pas de combat, pas de blessure. C'est tout... C'est un combat mais... psychologique ? Non, non, qu'est-ce qui se passe dans la tête ? Ouais, je vois ce qu'il veut dire... Psychologique ? Non, psychologique c'est tout ce qu'il y a à la campagne, non ? À la campagne ? Ouais, les céréales, les machins... Agricole ? Ah ouais, agricole. D'autres pays, comme le Luxembourg, ont pris la décision de prendre le taureau par les cornes et d'investir sans attendre. C'est le cas de Clarence, qui est le premier cloud souverain non connecté à Internet d'Europe. Je pense qu'il est illusoire de penser que l'on peut créer un cloud sans dépendance technologique, et qu'il y a donc par construction une dépendance. Mais avec qui avoir cette dépendance ? Qui choisir comme partenaire ? Qu'arrivera-t-il avec la nouvelle administration Trump ? Sommes-nous actuellement sur le radeau de la Méduse en étant sur le cloud ? Faut-il voir l'Argus comme le cloud souverain et penser qu'il nous sauvera de notre condition précaire ? Je vous laisse juge. Un petit détail intéressant à propos du Radeau de la Méduse est que dans les personnages du tableau figure Eugène Delacroix, qui a posé pour Géricault. Il est l'auteur du très célèbre tableau La liberté guidant le peuple Peut-il y voir un signe du destin dans cette histoire de cloud ? Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à main grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner des commentaires. proposer des sujets qui vous semblent pertinents. Et surtout, n'oubliez pas, pour certains, la cybersécurité est un enjeu de vie de mort. C'est bien plus sérieux que ça.
Description
Cet épisode utilise le tableau "Le Radeau de la Méduse" comme une métaphore des défis liés au cloud computing et à la souveraineté numérique.
Lien vers le podcast "polysécure" à propos de la sortie de cloud : https://polysecure.ca/posts/episode-0x520.html#0478573b
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Le Radeau de la Méduse est un tableau réalisé par Théodore Régéricault entre 1810 et 1819. Cette œuvre monumentale est bien plus qu'une simple peinture, mais elle est aussi une œuvre politique. Ce tableau s'inspire d'un fait divers tragique survenu en 1816, le naufrage de la fréguette La Méduse. Après avoir échoué au large du Sénégal, 180 survivants furent abandonnés sur un radeau de fortune. Leur calvaire a duré 13 jours. Privé de nourriture et d'eau. Seuls 15 d'entre eux ont survécu dans des conditions effroyables. Il a même été question de cannibalisme. Pour Géricault, ce drame représentait une occasion unique de dénoncer l'injustice et l'incompétence des élites. Le capitaine du navire, Hugues de Roy de Chemarée, choisit pour des raisons politiques plutôt que pour ses compétences. Un cas qui incarne ce favoritisme si critiqué dans la France de cette époque. Il faut se souvenir qu'à ce moment-là, nous sommes en pleine restauration. Les royalistes reprennent le pouvoir avec quelques mauvaises habitudes, comme celle de nommer des personnes à des postes clés, non pour leurs compétences, mais à cause de leur appartenance politique. Regardons maintenant la composition de l'œuvre. Géricault capture un moment précis, celui où les survivants aperçoivent enfin un navire à l'horizon. Leur dernier espoir. La scène est d'une intensité saisissante. Au centre, les corps des naufragés entrelacés en une pyramide humaine qui semble tendre désespérément vers le ciel. Chaque personne exprime une émotion différente, l'épuisement, le désespoir, mais aussi l'espoir fragile. Géricault a étudié des corps dans une marque pour représenter la souffrance avec un réalisme glaçant. Il a également choisi une palette sombre, presque terreuse, qui amplifie le drame et guide notre regard vers le point lumineux, qui est, dans le tableau, le navire salvateur à l'horizon. D'ailleurs, la technique employée par le peintre provoque un obscurcissement continuel de la toile, ce qui la rendra à terme... totalement sombre. Et malheureusement, ce processus n'est pas réversible. Mais ce tableau ne se limite pas simplement au récit tragique. Il symbolise l'humanité face à l'adversité. Il critique aussi une société inégalitaire et met en lumière les laissés pour compte. C'est une œuvre profondément engagée qui, à cette époque, a fait scandale au salon de 1819. Pourtant, elle est aujourd'hui considérée comme un chef-d'œuvre. Mais un détail a toute son importance. C'est la présence tant espérée de l'Argus. C'est le navire qui sauva les quelques rescapés du radeau surnommé la machine Tiens donc, un regard attiré vers le ciel, une machine plantée au milieu de l'océan, un naufrage politique, un sauveur sur la ligne d'horizon, faut-il y voir une allégorie du cloud souverain ? Tout en cybersécurité peut avoir son importance. Mais l'avènement du cloud et son utilisation de plus en plus intensive a, d'une certaine manière, ajouté une contrainte supplémentaire. C'est la question de la souveraineté. Et c'est précisément le sujet que je souhaite développer avec vous aujourd'hui. Pour bien comprendre cette problématique, il faut comprendre la dépendance qu'on a envers cette technologie. Le cloud est un changement de paradigme dans la gestion de son système d'information. C'est-à-dire qu'à la place de gérer votre système d'information vous-même, vous allez déléguer cette gestion à un tiers. Mais cette délégation est bien plus complexe qu'il n'y paraît, car il faut maîtriser le cloud. La différence qu'il existe entre utiliser un cloud et gérer son infrastructure soi-même, C'est un peu comme aller au restaurant ou faire à manger soi-même. D'ailleurs, si vous avez envie de mieux comprendre les raisons qui ont poussé certaines entreprises à sortir du cloud, je vous conseille l'écoute de l'épisode du podcast Polysecure intitulé Sortir du cloud J'ajouterai le lien en commentaire de cet épisode comme d'habitude. Quand vous cuisinez vous-même, vous maîtrisez tout le processus. L'approvisionnement des denrées, la recette de cuisine, la technique de cuisson et le service à table. Quand vous allez au restaurant... Vous allez commander ce qu'il y a sur la carte et ce que vous avez commandé va vous être servi. Mais dans ce cas, vous n'avez pas accès à la cuisine, ni à la chaîne d'approvisionnement et encore moins à la recette de cuisine. Vous faites confiance au restaurateur. Oui,
c'est une petite question.
Oui, madame. Qu'est-ce que c'est que la crêpe gigi ? Eh bien la crêpe gigi c'est une fine couche de sarrasin saisie dessus-dessous et parsemée de pétales de rose tiède. C'est délicieux ! Ah oui, certainement. Je vais vous prendre une crêpe au sucre avec une bière. Ah non, non, non, je m'excuse, monsieur. Nous ne faisons pas cela ici. Vous êtes trompé d'établissement. Vous avez toutes nos crêpes sur la carte. Vous avez de la pâte, vous avez du sucre. Alors avec la pâte, vous faites une crêpe, puis vous mettez du sucre dessus. Qu'est-ce que fait ce type-là ? On croit rêver ! C'est vrai, on se dit qu'il se croit celui-là, tête de con ! Bon, il n'y a qu'on ne le voit plus, ici, hein ! Qu'est-ce qui se passe ? Oh, ben c'est encore une crêpe au sucre ! Ma pépette, hein ! Mais qu'est-ce qu'elle me dit, la pépette ? Et bien pour le cloud, il en va de même. Vous faites confiance aux fournisseurs et à ces technologies. Mais en faisant cela, vous allez déléguer cette responsabilité sans pour autant avoir suffisamment de contrôle. Et c'est là que le problème de la dépendance intervient. Et par conséquent, le cloud devient de plus en plus un enjeu de souveraineté. Car que faire en cas de retournement de situation ? Si des fournisseurs majeurs décident soudainement d'arrêter leur service, alors bien évidemment il est possible de revenir en arrière et de sortir du cloud. Faut-il encore avoir imaginé et prévu ce cas de figure ? Pour mieux comprendre l'évolution de cette problématique, je vous propose de faire l'historique des choix politiques à propos du cloud. Pour ce faire, je vais m'appuyer, entre autres, sur l'article intitulé Le cloud computing de l'objet technique à l'enjeu géopolitique écrit pour la revue géographique et géopolitique Herodot, par Clotilde Beaumont et Amel Katouradza. L'une des premières apparitions du cloud dans le discours politique français remonte à fin 2009. lorsque le gouvernement constate la montée en puissance des acteurs industriels américains dans ce domaine. François Fillon, alors Premier ministre, explique en janvier 2010, au sujet de l'informatique en nuages, Force est de constater que les Nord-Américains dominent ce marché qui constitue pour autant un enjeu absolument majeur pour la compétitivité de nos économies, pour le développement durable et même, j'ose le dire, pour la souveraineté de notre pays. C'est donc pour concurrencer les entreprises américaines et développer la croissance industrielle qu'un premier projet de cloud national, dit cloud souverain, est lancé dans le cadre du programme d'investissement d'avenir. Son développement, alors envisagé comme une centrale numérique de confiance, est essentiellement perçu comme une opportunité économique et doit conduire à l'émergence d'un acteur industriel français du cloud. Basé sur un partenariat entre public et privé, Le projet bénéficie de fonds gouvernementaux et doit associer les entreprises françaises. Il est concrétisé en mai 2012 sous le nom d'Andromed, par l'association des entreprises Thales, Dassault Systèmes et Orange. Ces entreprises ont une envergure internationale, mais sont encore novices dans le domaine du cloud. En décembre 2011, suite à des désaccords importants avec Orange, Dassault Systèmes quitte Andromed. L'éditeur de logiciels s'associe en février 2012 avec SFR pour proposer une offre concurrente, avant d'annoncer son retrait définitif du projet en avril 2012. Il a décidé malgré cela de continuer la démarche gouvernementale du cloud souverain. Le projet initial Andromed est scindé en deux initiatives distinctes, CloudWatt et NumEnergy. CloudWap, réuni avec Orange et Thales, est numérgi et mené par SFR et Bull. En 2015, Orange rachète les parts de l'État ainsi que celles de Thales et prend le contrôle de CloudWatt. Tandis que Numergy est entièrement racheté par SFR. Ces rachats marquent l'échec du projet gouvernemental. La mise en place d'un cloud souverain a échoué, essentiellement parce que les décideurs politiques avaient une mauvaise compréhension de la technologie. Le fonctionnement technique du cloud et la diversité des offres n'ont pas été correctement envisagées. L'environnement industriel a été mal appréhendé et les acteurs privés mal identifiés. Et le plus important est que l'objet technique a été pensé indépendamment du contexte économique et social. dans lequel il s'inscrit. La demande pour une offre souveraine était encore trop faible et les instructions étatiques quant à l'utilisation du cloud computing par les acteurs publics n'étaient pas suffisamment claires quand elles n'étaient pas simplement inexistantes. Les potentiels cas d'usage n'ont pas non plus été pleinement considérés et les services proposés se limitaient à de l'hébergement. Par ailleurs, la scission du projet initial a fragilisé les propositions, alors que le marché se répartissait déjà entre les entreprises américaines Amazon et Microsoft et quelques fournisseurs de cloud nationaux comme OVH et Gandhi. La volonté étatique de créer de toutes pièces une offre cloud a donc été menée au détriment des acteurs déjà implantés. Aussi, CloudWatt et Numergy ont manqué de moyens pour se mettre au niveau des autres offres durant la première moitié de 2010. La crise économique s'éloigne, mais les faiblesses de la base industrielle française dans le domaine du numérique préoccupent le gouvernement. L'économie tertiaire est désormais essentiellement numérique et son cœur géographique n'est pas en Europe mais aux Etats-Unis. Les conséquences de cette dissymétrie globale sont économiques mais aussi politiques et stratégiques. Elles prennent une nouvelle dimension à l'été 2013 avec les révélations d'Edward Snowden concernant la surveillance de masse opérée par la NSA, rendue possible par le Patriot Act. C'est dans ce contexte qu'en 2013, le gouvernement présente les 34 plans de la nouvelle industrie française. Ce programme, porté par le ministre de l'économie, du redressement productif et du numérique, Arnaud Montebourg, doit permettre d'identifier les priorités de la politique industrielle pour la France et les marchés mondiaux, particulièrement porteurs. Le cloud computing figure parmi les 34 plans. Il fait l'objet d'une dizaine de mesures dont la feuille de route a été validée en juin. Le choix des acteurs industriels impliqués dans le plan cloud computing diffère de celui opéré 4 ans plus tôt. Le projet est piloté par Octave Clava, directeur général d'OVH, et Thierry Breton, PDG d'Atos, deux entreprises reconnues dans le secteur. Tandis que le gouverneur Fillon souhaitait construire ex nihilo une industrie du cloud, la démarche de 2013 à 2014 s'appuie donc cette fois-ci sur des compétences d'entreprises spécialisées elles-mêmes en relation avec d'autres industriels et syndicats professionnels français du secteur. Ce bascule traduit à un premier recul quant aux enseignements à retirer des difficultés rencontrées par Andromède dès 2012. Les acteurs politiques semblent progressivement prendre conscience que le cloud est une technologie complexe, maîtrisée par quelques acteurs industriels spécifiques. Le plan cloud prévoit notamment la création d'un label européen de sécurité par l'Agence Nationale de Sécurité des Systèmes d'Information, l'ANSI, prémisse d'une sécurisation de la technologie. Le développement d'infrastructures et d'une fiscalité favorable à l'installation des data centers en France et en Europe est également mis en avant dans une démarche souveraine. Et ceci en continuité avec le projet d'Andromède et la vision du gouvernement précédent. La notion de souveraineté reste associée à une perspective économique, puisqu'il s'agit, selon le ministre, de renforcer notre souveraineté sur les données personnelles tout en dynamisant la compétitivité de nos entreprises. La stratégie adoptée est néanmoins peu lisible. L'accent est mis sur la croissance du secteur cloud, mais l'absence de projections à long terme doit être notée. Le calendrier de la feuille de route ne va pas au-delà de 2015. En outre, le plan cloud computing est inséré au milieu d'autres priorités non hiérarchisées, aussi bien numériques qu'écologiques et sociales. Cependant, ce document témoigne d'une approche davantage systémique du cloud. Il présente une vision plus inclusive qui commence à placer le cloud dans le paysage politique, industriel et social de l'époque. Cet élan est toutefois freiné par l'échec du projet gouvernemental de cloud souverain, qui semble avoir entamé l'enthousiasme politique naissant que soulevait l'informatique en nuages. Le gouvernement se détourne un temps de la technologie qui n'évoque que frileusement à des rares occasions. C'est pourtant à cette époque, entre 2014 et 2018, que les postures stratégiques françaises sur les questions du numérique se consolident. Le cloud est en effet complètement absent de la stratégie numérique du gouvernement présentée le 18 juin 2015 par le Premier ministre. Manuel Valls. Cette stratégie se voit en plan d'action pour le MIEC français. Mais le manque de discrimination et de hiérarchisation des mesures contribue à la production d'un document qui apparaît confus et peu opérationnel pour appuyer le lancement de la stratégie numérique du gouvernement français. Une consultation nationale pilotée par le CNN, le Conseil national du numérique, a été menée depuis fin 2014. Le rapport de cette consultation fait, lui, mention du cloud. mais essentiellement en traitant du sujet personnel et individuel de la technologie. De la même façon, si l'ANSI évoque le cloud dans sa stratégie nationale de la sécurité du numérique d'octobre 2014, il ne le fait qu'en référence aux travaux de certification de sécurité pour un cloud commun avec l'Allemagne. Il n'est en tout autre aucune mention du cloud, ni dans le livre blanc sur la défense et la sécurité nationale de 2013, ni dans la revue stratégique de défense et de sécurité nationale de 2017. Alors que les réflexions sur le numérique progressent beaucoup à cette époque dans le cercle de la défense. Le cloud est davantage présent dans le programme d'industrie du futur mené par Emmanuel Macron, alors ministre de l'économie et de l'industrie du numérique. Ce programme, lancé le 18 avril 2015, est présenté en mi-2016. Il est une actualisation de l'initiative conduite par Arnaud Montebourg et se veut la matrice de la nouvelle France industrielle. Le cloud est principalement abordé sous l'entrée économique des données en ligne directe avec le plan Cloud Computing de 2013. Les projets menés dans ce cadre le sont toujours sous la direction de Thierry Breton et d'Octave Clabat, rejoint par la suite par Gérard Rouquerolle, président de Terratech. Le document fait par ailleurs appel à l'état d'avancement des travaux. Depuis la présentation de la feuille de route en février 2015, l'ANSI a lancé le label Secure Cloud, qui vise à évaluer les garanties de sécurité proposées par un prestataire. Et en juin 2015, et mise à disposition un guide de bonne pratique sur l'utilisation du cloud dans les collectivités territoriales. Le programme industriel du futur s'appuie notamment sur l'étude technologique clé de 2020. publié en mai 2016. Cette étude de prospectif conduit tous les cinq ans par la direction générale des entreprises, la DGE, cherche à déterminer les technologies stratégiques des cinq à dix prochaines années. Le cloud est deux fois plus présent dans les éditions 2015 que celle de 2011. Il est pourtant moins mis en avant dans la version actualisée du programme Nouvelle France Industrielle que dans la version originale où l'informatique en UH faisait l'objet d'un plan à part entière. Toutefois, il est davantage intégré dans une continuité technologique que dans la version générale. et amorce une vision qui sera développée dans les trois années suivantes. En effet, dans le document de 2016, le cloud est plusieurs fois repris, présenté en relation avec d'autres technologies émergentes, telles que les big data et les supercalculateurs. À partir de 2018, l'accélération significative des travaux autour du cloud témoigne d'évolutions importantes dans les représentations des acteurs publics. Le gouvernement engage d'ambitieuses politiques de transformation numérique au sein desquelles le cloud occupe une place cruciale. Ceci fait transparaître une prise de conscience quant à la complexité de l'objet, son besoin de sécurisation et son importance stratégique. Cette nouvelle représentation découle en partie de l'évolution du contexte international. Au cours de la seconde moitié des années 2010, les affaires impliquant la manipulation, la divulgation et la confiscation des données numériques se sont multipliées. Les conséquences politiques à la dimension stratégique des données et les technologies relatives à leur hébergement et leurs traitements sont apparus au grand jour, tandis que la sphère politique et publique tente d'appréhender l'informatique en nuage, son adoption par le secteur privé, et grand public se poursuit. Les pratiques évoluent et le CLAD bénéficie autant qu'il contribue à servir la croissance de l'informatique et la plateformisation de l'économie. Cette évolution explique en partie le saut conceptuel qui semble avoir lieu entre 2015 et 2018. Alors qu'il était considéré en 2016 comme une technologie à maîtriser et un signal faible, le cloud apparaît soudainement en 2018 dans les textes officiels, comme déjà bien implanté dans l'environnement numérique quotidien. C'est sous l'aspect sécuritaire que le cloud fait d'abord l'objet d'une attention particulière au sein de la revue Stratégie et Défense de février 2018, qui lui consacre une section entière. Le document explique la nature juridique, technique et de la technologie. économique et sociale des risques inhérents à l'utilisation de l'information en nuage et pointent des dangers sur la souveraineté nationale. Cette position nouvelle peut être lue comme le début d'une sécurisation du cloud au sens développé par Barry Bunzai et Olly Weaver. Selon eux, la classification d'un problème comme enjeu de sécurité ne dépend pas seulement des risques constatés, mais aussi à un acte de pouvoir permettant aux acteurs politiques de redéfinir des priorités stratégiques et de mobiliser des moyens d'action dont ils ne disposeraient pas autrement. Ainsi, si les questions en 2010 et 2014 de renforcer la souveraineté nationale, ce sont désormais les menaces portées à la souveraineté qui sont mises en exergue. Plus qu'une opportunité économique et industrielle à saisir, le cloud devient une priorité stratégique dans les rapports officiels et les projets politiques. Pour sécuriser la technologie, la revue stratégique insiste sur les solutions telles que les chiffrements et la certification de l'ANSI. et propose des mesures permettant d'encourager le développement d'une base industrielle nationale et européenne. Néanmoins, seule une stratégie nationale harmonisée et commune à tous les États et à toutes les entités de l'État peut permettre d'assurer une sécurité maximale. L'établissement d'une politique étatique globale de recours au cloud est ainsi préconisé par le Revue stratégique de la cyberdéfense. Alors que les organismes gouvernementaux mettent en œuvre la stratégie du cloud de l'État, Les inquiétudes face aux risques liés à la nature étrangère des principaux fournisseurs de services et au manque d'alternatives nationales sont toujours autant présents dans les discussions. L'adoption par l'administration Trump en 2018 du Cloud Act a ravivé ces craintes. Le Cloud Act contraint effectivement les fournisseurs de services américains, par mandat ou assignation, à fournir aux autorités américaines les données demandées stockées sur leur serveur, qu'ils soient situés aux États-Unis, dans un pays étranger ou en France. Le besoin de protéger des données de ce type de loi à dimension extraterritoriale se fait de plus en plus présente. C'est à ce moment même que le cloud de confiance fait son apparition. Le cloud de confiance a d'abord été annoncé en février 2019 par Bruno Le Maire, ministre de l'économie et des finances. Simplement comme un cloud sécurisé. Il a ensuite été baptisé cloud national stratégique deux mois plus tard. Destiné à héberger des données françaises et européennes, ce cloud pourra faire l'objet d'un partenariat franco-allemand. Selon Bruno Le Maire, OVHcloud et Hatscale, filiales de Dassault Systèmes, ont été mandatés par le ministre pour formuler des propositions dans ce sens avant la fin 2019. Le rapport du Sénat sur la souveraineté numérique d'octobre 2019 explique que le cloud de confiance permettra de proposer aux entreprises, ainsi qu'à la puissance publique, des offres diversifiées, performantes et sécurisées. Il est ajouté que, contrairement au projet de cloud souverain, l'initiative vise, dans un marché qui a aujourd'hui atteint une bonne maturité, à s'appuyer sur des fournisseurs et des offres déjà exposées au marché. Il n'est plus besoin de revenir sur les avantages et les risques du cloud, mais c'est maintenant son encadrement, son déploiement et son usage qui occupent les esprits. La compétitivité de la France sur les solutions d'hébergement IAS est connue, mais force est de constater son retard sur les services. Les auditions conduites par la commission d'enquête soulignent des difficultés à rivaliser quantitativement avec les fournisseurs déjà implantés. Mais elle insiste également sur la possibilité de proposer une offre qui se différencierait qualitativement. La France et les pays européens pourraient faire de la confiance leur fer de lance et cibler un marché qui ne connaît pas actuellement d'alternative aux géants américains asiatiques. Le rapport suggère ainsi de promouvoir les offres au cloud européen, se diversifier sur leur niveau de confiance. Nous sommes maintenant en fin 2024, et qu'en est-il de la situation avec le cloud ? L'INISA, l'agence dont le but est d'améliorer la cybersécurité en Europe, travaille depuis 2020 sur le projet de certification du cloud de confiance, c'est le UCS. Il doit promouvoir la sécurité du cloud à travers un processus visant à renforcer l'indépendance de l'Europe face à des Etats-Unis et à une Chine qui s'enfoncent dans un nouveau protectionnisme. Cependant, accolé à la sécurité technique, on trouve la sécurité juridique. Et là, tout le monde n'est pas d'accord. La France, surtout accompagnée avec l'Espagne et l'Italie, milite pour une sécurisation élevée, avec des critères exigeants, y compris en se positionnant pour une interdiction totale de l'extraterritorialité. En d'autres termes, les données européennes restent en Europe. Et tout est dit de cette situation avec le commentaire de Guillaume Poupard ancien directeur de l'ANSI. Force est de reconnaître qu'une majorité d'États membres de l'Union européenne a clairement d'autres priorités que le développement de l'Europe numérique. Certains ne veulent surtout pas prendre le risque de réduire leur entrée fiscale, d'autres sont prêts à tout pour continuer à vendre des voitures de luxe ou importer du GNL. Beaucoup ont pour priorité, et c'est légitime, leur protection militaire par l'OTAN dans un contexte géopolitique particulièrement tendu. Sans juger, force est de reconnaître que la sécurité du cloud et de nos données pèsent malheureusement bien peu. Et hop ! Pas de combat, pas de blessure. C'est tout... C'est un combat mais... psychologique ? Non, non, qu'est-ce qui se passe dans la tête ? Ouais, je vois ce qu'il veut dire... Psychologique ? Non, psychologique c'est tout ce qu'il y a à la campagne, non ? À la campagne ? Ouais, les céréales, les machins... Agricole ? Ah ouais, agricole. D'autres pays, comme le Luxembourg, ont pris la décision de prendre le taureau par les cornes et d'investir sans attendre. C'est le cas de Clarence, qui est le premier cloud souverain non connecté à Internet d'Europe. Je pense qu'il est illusoire de penser que l'on peut créer un cloud sans dépendance technologique, et qu'il y a donc par construction une dépendance. Mais avec qui avoir cette dépendance ? Qui choisir comme partenaire ? Qu'arrivera-t-il avec la nouvelle administration Trump ? Sommes-nous actuellement sur le radeau de la Méduse en étant sur le cloud ? Faut-il voir l'Argus comme le cloud souverain et penser qu'il nous sauvera de notre condition précaire ? Je vous laisse juge. Un petit détail intéressant à propos du Radeau de la Méduse est que dans les personnages du tableau figure Eugène Delacroix, qui a posé pour Géricault. Il est l'auteur du très célèbre tableau La liberté guidant le peuple Peut-il y voir un signe du destin dans cette histoire de cloud ? Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à main grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner des commentaires. proposer des sujets qui vous semblent pertinents. Et surtout, n'oubliez pas, pour certains, la cybersécurité est un enjeu de vie de mort. C'est bien plus sérieux que ça.
Share
Embed
You may also like
#39 : La carte de Piri REIS (NIST CSF, ISO 27001, CIS Controls, MITRE ATT&CK, etc)
HS 27 : Présentation du CLUSIL avec Line LAURET, Cédric MAUNY et Mathieu VAJOU
#38 : Le silence des agneaux (A propos de l'anonymisation et la pseudo-anonymisation des données)
#37 : Les sous-doués (L'importance de la formation en cybersécurité)