- Speaker #0
NR dans l'air, parlant numérique, innovant responsable.
- Speaker #1
Bonjour à toutes et à tous et bienvenue dans ce nouvel épisode de notre podcast NR dans l'air par Hunter. Un podcast orienté vers l'avenir pour sensibiliser, partager et décrypter le numérique responsable. Ce podcast proposé par le pôle de compétitivité Hunter est soutenu par le programme Alt-Impact, comporté par l'ADEME, le CNRS et l'INRIA. Sa réalisation est rendue possible par la contribution de Capgemini, ainsi que celle des membres et partenaires du Pôle. Aujourd'hui, on aborde un sujet au cœur des enjeux actuels, celui de la souveraineté numérique. Il s'agit de la capacité pour un État, pour une organisation ou pour un individu à maîtriser ses données, ses outils et ses infrastructures numériques sans subir de dépendance vis-à-vis d'acteurs extérieurs. Dans le contexte actuel qui est marqué par des évolutions réglementaires, par des tensions géopolitiques et par des cyberattaques de plus en plus sophistiquées, la souveraineté numérique devient un enjeu stratégique majeur.
- Speaker #0
Faire du réseau. Coopérer.
- Speaker #2
Co-créer.
- Speaker #0
Accélérer. Innover.
- Speaker #2
Numérique responsable.
- Speaker #1
Pour en parler, j'ai le plaisir d'accueillir deux experts du sujet. Julien Anselme.
- Speaker #2
Bonjour.
- Speaker #1
Merci d'être avec nous aujourd'hui. Tu es le président du pôle de compétitivité Hunter et également directeur projet innovant au sein d'Orange. Merci d'avoir accepté l'invitation.
- Speaker #3
Avec plaisir.
- Speaker #1
À tes côtés, Guy Flamand.
- Speaker #0
Bonjour.
- Speaker #1
Bonjour Guy, merci également d'être avec nous aujourd'hui. Tu es le directeur du campus cyber Nouvelle-Aquitaine et avant d'intégrer ce campus régional, tu as travaillé dans différentes structures, notamment l'ANSI et aussi Technalia France. Et ce sont ces expériences professionnelles qui t'ont permis de comprendre que la cybersécurité et la souveraineté numérique sont finalement indissociables.
- Speaker #4
Tout à fait.
- Speaker #1
Merci encore à tous les deux d'être présents aujourd'hui. Pour commencer et rentrer directement dans le vif du sujet, piliers de la souveraineté numérique ?
- Speaker #4
Alors, les plus grands piliers, parce qu'en fait, c'est un sujet très vaste, qui s'appuie sur beaucoup de supports, mais les quatre principaux, à mon sens, sont d'abord petites déformations professionnelles, la sécurité numérique, donc la cybersécurité, comment est-ce qu'on contrôle son système d'information, comment on peut s'assurer que les attaquants n'y auront pas accès, donc ça c'est vraiment, pour moi, à la base, mais bon. C'est peut-être une déformation professionnelle, encore une fois. La deuxième, c'est la gestion de la donnée, tout bêtement. C'est savoir où elle est, par où elle transite, qui y a accès. Le troisième pilier, c'est l'indépendance par rapport aux grands fournisseurs d'accès aux outils numériques. C'est être en capacité de ne pas rester prisonnier de leur offre et être en capacité, si le besoin s'en fait sentir. d'aller vers un autre fournisseur. Cette indépendance-là, elle est très difficile à obtenir aujourd'hui parce que les offres principales sont très attractives en termes économiques et s'en affranchir, c'est souvent un surcoût qui est pour l'instant pas vraiment une des priorités des entreprises, d'accepter de payer peut-être un petit peu plus cher, mais pour être en capacité de changer de fournisseur plus tard si le besoin s'en fait sentir. Et puis le dernier qui est... Peut-être le premier, en fait, en ordre d'importance, c'est la gouvernance. C'est se rendre compte que c'est un sujet, tout bêtement, et décider de le prendre en compte dans la vie de l'entreprise tous les jours.
- Speaker #1
D'accord. Merci beaucoup, Guy. Julien, est-ce que tu souhaites compléter, rebondir, peut-être ?
- Speaker #3
Oui. Alors moi, je ne parlerai pas de trois piliers. Je parlerai plutôt d'une fusée à trois étages, parce que les couches s'enchaînent les unes après les autres. En matière de souveraineté, il y a d'abord un regard à avoir sur la souveraineté des infrastructures, la souveraineté physique. Puis ensuite, sans doute un regard sur la souveraineté des logiciels et à la fin, un regard sur la souveraineté des usages. Parce que, quelle que soit l'infrastructure et le logiciel que l'on nous donne, la responsabilité de l'individu reste centrale. Sur la souveraineté des infrastructures, le sujet ne date pas d'hier. On a eu des enjeux sur la 5G, par exemple, où on a quand même déjà eu quelques alertes. Je vous rappellerai le sujet avec Huawei. Donc nous, en Europe, et en particulier en France, on a plutôt préféré, sur le cœur de réseau, d'avoir un opérateur européen, c'est Nokia. même si on est un peu d'américains, Ericsson, sur les antennes et sur quelques enjeux périphériques autour de la 5G. Mais aujourd'hui, sur les infrastructures télécoms qui peuvent porter des sujets de souveraineté, on n'est pas si mal positionnés que ça. On maîtrise à peu près ce qu'on fait. Et bien sûr, la partie cyber que vient d'évoquer Guy est très présente dans cet aspect-là. On a un deuxième axe sur la souveraineté physique, celle des data centers. Et là, on a une méprise totale du sujet, je pense. Ce n'est pas parce que la donnée est en France qu'elle est souveraine. Ça c'est très important de l'avoir en tête. Les data centers, ils sont soumis à des lois d'extraterritorialité, celles du CloudHack que tout le monde a en tête, celles du FISA, qui fait qu'en fait, pour être un peu schématique, et ça permet d'imprégner la notion, pour moi un data center américain, c'est une ambassade. C'est-à-dire que c'est un espace d'extraterritorialité que l'on a sur notre territoire, et nos données, par définition, sont juridiquement sous la réglementation. américaine. Le droit, c'est binaire. Où on est souverain, où on n'est pas souverain, où on est sous réglementation européenne, où on est sous réglementation américaine, il n'y a pas d'hybridation possible. C'est très tranché là-dessus. Et puis sur la souveraineté technique, il y en a une qu'on n'aura pas parce qu'on l'a complètement perdue de vue, c'est la souveraineté sur la partie du hardware, des composants, des équipements, etc. Mais là, la souveraineté, tout le monde se tient par la barbichette. La Chine est devenue maître sur la partie des terres rares et elle domine le monde là-dessus. C'est un premier verrou qu'ils ont de leur côté. Mais on n'a pas à rougir, on a nous-mêmes notre propre verrou sur les technologies holographiques par exemple, avec une boîte hollandaise qui s'appelle ASML, que je trouve dans le bon sens, qui s'appelle ASML, et puis derrière, vous avez des factories comme TSMC, qui est une boîte qui est taïwanaise, qui maîtrise vachement la fonderie, et puis des acteurs au milieu Fabless qui sont un peu... un peu américain comme Nvidia qui est très présent en matière d'IA. Donc en fait, quand je dis qu'ils se tiennent par la barbichette, c'est que chacun a un bout de verrou et chacun va le jouer contre l'autre, mais tout le monde est perdant-perdant plus ou moins là-dessus. Donc c'est un équilibre par la force quelque part qui s'est mis en place sur cette partie-là du hardware. Mais nous en Europe, on ne sera pas souverain de grand-chose sur ce sujet-là. Le deuxième point, c'est la souveraineté logicielle. Celle-là, elle est un peu plus perturbante parce que bien évidemment, on a nos outils du quotidien. On a du Windows, on a du Microsoft 365, on a des outils métiers, que ce soit de l'Oracle, sur les data centers, on a du VMware qui permet de monitorer tous les data centers. Tous ces sujets-là, tous ces outils-là sont des outils américains, GAFAMISÉ, et en matière d'IA, la couche LLM est aussi une couche américaine. Ils sont vraiment très efficients, très efficients économiquement, très efficients dans l'usage, et ils ont pénétré nos marchés. Donc la question, c'est d'avoir conscience de nos dépendances et de savoir comment les amoindrir. On ne va pas faire de révolution sur cette partie-là. C'est savoir comment se prémunir de certaines fonctions, de certains kits switch, de certains risques, pour pouvoir se protéger. Et puis le dernier, sur les usages, il y a une partie bien évidemment qui est liée à l'individu. C'est vraiment la manière dont on va utiliser les IA. Mais on est obligé de suivre aussi les tendances d'usage et les marchés. Moi j'ai en tête le Shadow IA. Le Shadow IA, pour faire simple, c'est quand vos salariés utilisent des LLM grand public mettre vos données, travailler avec, interagir, faire des comptes rendus, des synthèses, etc. C'est une perte de maîtrise totale de la donnée qui se retrouve exposée à des LLM souvent américains, qui se retrouve exposée à des règles de droit qui ne sont pas du tout des règles européennes, ce que j'expliquais tout à l'heure. Et donc là, il faut quand même arriver dans nos entreprises à offrir des outils d'IA sur lesquels on arrive à gérer ce risque-là. Il y a aussi le fait que quand l'usage est là, on ne va pas aller contre, on ne va pas interdire, mais il faut prendre la vague. et donner les bons outils aux salariés pour qu'ils puissent les utiliser dans un cadre maîtrisé au niveau des DSI et au niveau informatique.
- Speaker #1
D'accord. Donc, si je résume, la souveraineté numérique, en fait, c'est allier la maîtrise des données, l'indépendance technologique et aussi, tu le disais, une gouvernance consciente des risques pour pouvoir équilibrer ce qu'on contrôle techniquement, ce dont on dépend aussi, et la manière dont on utilise nos outils. Maintenant qu'on a clarifié les bases, Concrètement, pour une organisation, quels sont les véritables enjeux derrière cette notion de souveraineté numérique ?
- Speaker #4
Il y a d'abord les enjeux technologiques, presque technologiques, presque purs. On voit qu'aujourd'hui, comme le disait Julien, les technologies sont concentrées chez ce qu'on appelle les hyperscalers, des entreprises très grosses qui sont en position de quasi-monopole sur le marché. Alors il y a Amazon, il y a bien évidemment Microsoft, Google. Ça crée un rapport de force qui est forcément défavorable à l'entreprise, qu'elle soit européenne ou n'importe où dans le monde d'ailleurs, mais principalement européenne puisque c'est notre sujet, et aussi des points de fragilité. Quand vous concentrez l'intégralité des données du monde sur trois opérateurs, Ils sont à la merci de la moindre défaillance, de la moindre attaque cyber aussi, c'est un peu mon sujet. Et on l'a vu notamment assez récemment, il y a eu un problème sur un outil de sécurité qui s'appelle CrowdStrike et qui a arrêté par le monde des centaines de milliers de systèmes d'information parce qu'une mise à jour a été passée de travers. C'est quand même un enjeu technologique très très fort. de voir qu'en quelques années, un peu moins d'une dizaine d'années, on a vraiment concentré l'intégralité du monde numérique sur quelques opérateurs et quelques technologies qui se comptent sur les doigts d'une main. Et ça, c'est extrêmement compliqué parce que de cette concentration, on a une fragilité technologique alors que les usages... quotidien de toutes les sociétés occidentales repose sur l'utilisation d'un outil numérique. Donc on devient très dépendant d'un outil qui devient de plus en plus fragile. Donc ça c'est un enjeu technologique qui est très très fort. Après il y a l'enjeu économique qui naît d'ailleurs de cette fragilité. Quand on est en situation quasi monopolistique, bien évidemment on fait des économies d'échelle. phénoménal. Et puis, on a une volonté de rentrer sur le marché de manière assez agressive, ce qui permet d'avoir des offres à des coûts très très bas. Et une fois que tout le monde est captif, on augmente. Ça s'est vu, tu prenais l'exemple de VMware tout à l'heure, Julien, ils ont augmenté leur tarif de 40% du jour au lendemain. Qu'est-ce que vous voulez faire quand vous êtes prisonnier de cette techno ? sachant qu'il n'y en a pas des tonnes non plus de technologies de virtualisation. Et puis, à ce moment-là, vous êtes prisonnier d'un modèle de tarification que vous ne maîtrisez pas et puis vous n'avez aucune force dans la négociation. Parce que les autres font pareil au même moment et à ce moment-là, vous vous retrouvez piégé. Donc oui, il y a un coût. Je le disais tout à l'heure, il y a un surcoût si vous voulez garder cette indépendance par rapport au fournisseur. Mais ce coût-là, il est bien, bien moindre que le coût de votre dépendance. Et ça, il faut que les dirigeants d'entreprise le comprennent. Et c'est aussi le coût que vous allez devoir supporter. Il y a le coût de cette dépendance, mais il y a aussi le coût du risque. Quand toutes les données de la Terre sont concentrées chez trois opérateurs, vous êtes quand même à la merci d'un incident majeur, voire d'une attaque, notamment par rançon logicielle, où là, les attaquants vont vous demander des centaines de milliers d'euros pour libérer vos données. Qu'est-ce que vous faites derrière ? Vous payez, vous ne payez pas ? Est-ce que vous avez fait rentrer le risque numérique dans toutes ses composantes, pas uniquement ? de sécurité pure et dure, mais aussi de souveraineté, comment vous faites pour répondre à cette crise qui vous prend toujours à contre-pied, toujours au mauvais moment, toujours là où c'est le plus critique pour vous ? Et donc, on voit qu'en fait, de tout ça, de toutes ces contraintes, à la fois technologiques, mais aussi économiques, le véritable enjeu derrière, c'est un enjeu de gouvernance. C'est à quel niveau dans l'entreprise ? sont traités ces sujets-là ? Déjà, un, est-ce qu'ils sont identifiés ? Deux, est-ce qu'ils sont traités ? Et trois, par qui ? Est-ce que c'est un sujet qui reste au niveau de la direction des systèmes d'information ? Ou est-ce que c'est un vrai sujet de la direction générale qui s'en empare et qui va essayer de maîtriser le risque numérique exactement comme elle traite le risque incendie ou les risques psychosociaux dans l'entreprise ? C'est le vrai sujet, à mon avis. sur les quelques années qui viennent, ça va être de replacer les enjeux de souveraineté numérique au vrai niveau dans l'entreprise. Et moi, j'invite tous les dirigeants d'entreprise qui nous écoutent à se poser la question, sans numérique, demain, vous faites quoi ? Parce qu'une journée sans numérique, c'est une journée sans informatique, c'est une journée, aujourd'hui, sans électricité, sans eau, sans transport, il n'y a plus rien. Il n'y a plus rien qui ne soit plus dépendant du numérique. Donc, en ayant ça en tête... Le niveau des enjeux, il est phénoménal. Et est-ce qu'un dirigeant d'entreprise ou de collectivité territoriale, parce que ça vaut pour le public aussi, quel dirigeant peut aujourd'hui se dire, ce risque-là, je ne le traite pas ?
- Speaker #1
En fait, ce qu'on comprend là, c'est que les risques numériques, ils ne proviennent pas forcément de technologies très complexes, mais comme tu le disais, d'un manque de contrôle des dépendances. d'un manque de contrôle des coûts et surtout des pratiques internes, ce qui peut, comme tu l'as rappelé, avoir des conséquences très lourdes.
- Speaker #4
Exactement.
- Speaker #1
Et justement, dans la continuité de ces enjeux, est-ce que cette souveraineté numérique, qui, on l'a compris, appelle les organisations à mieux maîtriser leurs outils, leurs données, ce n'est pas finalement une porte d'entrée très pertinente vers le numérique responsable ?
- Speaker #3
Alors là, je suis parfaitement d'accord. Oui, c'est sans doute même la meilleure porte d'entrée aujourd'hui vers le numérique responsable. Le numérique responsable, on l'entend et c'est normal, c'est son origine, comme étant quelque chose qui est là pour réfléchir sur l'impact écologique du numérique, au sens de la loi Rennes. Aujourd'hui, pour moi, dans le numérique responsable, il y a le mot responsable. Et donc responsable, c'est justement se poser ces questions de souveraineté et de cybersécurité qui sont derrière. On a la chance, je me faisais la remarque l'autre jour, d'avoir en France en particulier une énergie extrêmement responsable parce qu'elle est entièrement nucléaire. Donc les sujets de décarbonation pour le numérique sont déjà partiellement traités grâce à cette stratégie-là. Je vous rappelle aussi, et sans ironie, que le numérique est très dépendant de l'électricité. On a beau avoir la meilleure solution du monde, si on n'a pas d'énergie, on n'a pas de numérique. Donc le fait d'être très indépendant côté France... grâce au nucléaire en matière d'énergie, ça nous traite à la fois le sujet de la décarbonation et le sujet de la souveraineté énergétique pour nos infrastructures numériques. Donc ça c'est un point sur lequel on ne parle pas assez, je pense, qui est un point extrêmement critique par rapport à d'autres pays dans le monde. L'autre sujet, sur les numéros responsables, c'est effectivement la question de la souveraineté et aujourd'hui, alors elle est... on en parle beaucoup dans la presse, on pense même que le mot est devenu un buzzword. Moi, je suis assez ravi avec ça, en fait, le fait de parler de souveraineté, que l'État ait pris le sujet à bras-le-corps depuis le début de l'année. Plus on en parle, plus on crée la prise de conscience. Même si on est caricatural, moi, ça ne me gêne pas, je l'assume complètement. Il faut parler de souveraineté, il faut parler que les gens aient une vraie prise de conscience des dépendances qu'ils ont, et surtout, d'un point de vue pragmatique, comme d'un point de vue opérationnel, ils peuvent les maîtriser. Moi, j'appelle ça faire un pas de côté. Et surtout derrière, c'est y aller avec beaucoup de modestie. Parce que si on arrive en position de donneur de leçons là-dessus, les gens ne vont pas vous entendre. Changer une solution numérique, c'est complexe. Guy évoquait tout à l'heure VMware. On sait à quel point les entreprises en sont dépendantes. On sait à quel point VMware s'est mis dans une position de quasi-monopole et donc de maître chanteur. Les faits, on l'a vu, les prix ont flambé. On n'a aucune maîtrise tarifaire sur ce qui se fera en plus à l'avenir. Ça a flambé un peu l'an dernier, mais ça va continuer. Je vous rassure, ils vont se régaler. Et à côté, quand on va voir un DSI et qu'on lui dit « Est-ce que tu voudrais une autre solution ? » C'est un facteur de stress pour lui et il dit « Non, non, parce que ça marche. C'est dans tout mon SI. Toutes mes équipes sont formées. C'est un sujet qu'on maîtrise et on ne va pas prendre le risque parce que notre SI est tellement critique, tellement basé sur l'infrastructure. » On peut parler de... de centres de sécurité, de centres hospitaliers, etc., de centres d'État, il y en a plein qui sont sur VMware, qui gèrent un service critique et disent « mais non, moi je ne vais pas bouger une oreille aujourd'hui parce que ça marche, quitte à payer plus cher » . Et ça, on touche un peu le dur de l'opérationnalité, c'est-à-dire que même si on a des solutions plus souveraines, plus nationales, plus européennes, qui apparaissent, leur crédibilité, elle est toujours en défiance. Donc il faudra... petit à petit, aider ces entreprises à être plus présentes sur les marchés, les soutenir, pour qu'elles puissent effectivement commencer à contourner ces verrous stratégiques qui ont été créés et qui nous embarrassent fortement sur nos sujets de souveraineté.
- Speaker #1
Et ce que tu rappelles là, Julien, c'est vraiment qu'aujourd'hui, être responsable numériquement... Ce n'est pas que réduire son impact, mais c'est maîtriser ses dépendances, c'est maîtriser ses risques. Et on l'a dit, ils peuvent être géopolitiques, cyber ou même réputationnels. Et finalement, c'est ça la souveraineté numérique et c'est une composante essentielle du numérique responsable.
- Speaker #3
Oui, exactement. Depuis début 2025, on va dire que le révélateur géopolitique, on se l'est pris en pleine face, qu'il a été à la fois douloureux en termes de réveil, mais extrêmement efficace en termes de prise de conscience. On a très bien vu, dès le début de la guerre en Ukraine, ce que c'était que la logique de kill switch, parce qu'elle a été mise en œuvre. La Russie s'est retrouvée des logiciels métiers coupés et donc des infrastructures économiques en panne. C'est binaire en fait. Et on a compris que ça pouvait aussi nous arriver. Sur la partie logicielle, moi l'autre chose, je regardais ce qu'on appelle l'identification dans la pile Microsoft, où on s'aperçoit qu'en fait, depuis des années, Microsoft n'arrête pas de remonter. le niveau d'interaction entre ses serveurs centraux et le logiciel pour le démarrer. Donc petit à petit, ça ne s'est pas fait en une semaine ce truc-là, c'est depuis le début de 2010, ils ont commencé à augmenter petit à petit le nombre d'interactions. Aujourd'hui Microsoft le maîtrise complètement. Le droit d'utilisation quand vous démarrez votre PC. S'il coupe sa base en disant, tiens, tous les logiciels qui sont en France, clic, qu'il switche dessus la première requête, vous ne démarrez pas votre ordinateur. Je ne vous fais pas le dessin.
- Speaker #1
Et c'est une bonne transition, justement. Maintenant, si on parle de mise en œuvre concrète, sur qui et sur quoi peut s'appuyer une organisation qui veut s'emparer de ces sujets de souveraineté numérique et surtout, par quoi peut-elle commencer ?
- Speaker #4
Alors déjà, je pense que c'est très important de ne pas rester seul face à ces enjeux-là. Je l'ai dit tout à l'heure et Julien l'a rappelé, dans la négociation avec vos fournisseurs d'outils numériques, tout seul, vous n'y arriverez pas. Je pense qu'il faut vraiment que ce soit dans la recherche de solutions alternatives. dans la recherche d'offres qui soient à la hauteur de vos attentes. Julien le disait très justement, il y a des offres alternatives européennes qui sont préexistantes et puis il y en a d'autres qui sont en train de se monter. Il y a le défi de la confiance dans ces outils-là pour leur permettre de gagner des clients et de passer à l'échelle et d'offrir une vraie... offrent alternatives à ces grands monopoles essentiellement américains, mais aussi chinois, qui sont juste derrière. Et pour ça, l'information ne circule pas forcément très rapidement, et en tout cas pas au rythme auquel ces offres-là évoluent. Donc se tenir au courant, se tenir informé des alternatives, à VMware par exemple, puisqu'on en parle, Il y a Proxmox qui monte beaucoup en ce moment et qui est une alternative vraiment crédible. Mais il y a des enjeux autour de la formation. Tu en as parlé longuement, Julien, et c'est très bien. Il faut être accompagné dans toutes ces prises de décision, ces prises de renseignements, cette acculturation au sujet. Et il y a des gens dont c'est le métier depuis plusieurs années. Et Julien le disait, le réveil a été un petit peu brutal sur les enjeux de souveraineté, mais ça fait quand même plusieurs années, voire une dizaine d'années, qu'il y a des acteurs bien établis qui réfléchissent et qui travaillent, qui travaillaient à cette prise de conscience et qui travaillaient à l'émergence de solutions alternatives, que ce soit au niveau de l'État, au niveau des collectivités, au niveau de pôles de compétitivité comme... comme celui que Julien préside, au niveau des clusters et des réseaux de campus cyber pour la partie sécurité numérique. Le sujet cyber, en France, il y a plus que dix ans. Donc les solutions, les process, les méthodes, les réseaux d'information, tout ça existe. Simplement, il faut maintenant passer à l'échelle de cette prise de conscience. Donc c'est... Le premier conseil, c'est de ne pas essayer d'y aller seul. Pour ceux qui sont en région Nouvelle-Aquitaine, on a la chance d'avoir le Pôle Enter et le Campus Cyber pour accompagner les entreprises, mais aussi les collectivités qui sont intéressées par le sujet et qui veulent avancer avec toutes les informations dont elles auront besoin pour ça. Donc, je pense que le premier geste... Très opérationnel à faire, c'est cartographier ses dépendances. C'est, en fait, se poser la question de manière très objective, c'est je dépends de qui, et ce qui, est-ce qu'il est chez moi, chez un autre, quelle est la maîtrise que je peux avoir dessus ? Qu'elle soit géopolitique, si l'intégralité de vos systèmes numériques sont dans un pays étranger, quelle est la probabilité pour qu'on se fâche ? avec ce pays et qu'en mesure de rétorsion, il me coupe mes accès ? Ça, c'est une question qu'on ne s'est jamais posée avant il y a quelques mois, notamment quand ce pays-là est un allié de la France depuis plusieurs décennies. Mais il faut néanmoins se la poser. Mais c'est vrai aussi à un niveau plus local. Le prestataire informatique qui s'occupe de mes données, quelles sont mes relations contractuelles avec lui ? Quelles sont ses obligations ? Est-ce qu'il a prévu quelque chose en cas d'attaque ? Quelles sont les preuves de confiance ? qui peut me donner sur la qualité de son travail, sur la sécurité qui est apportée sur mon système d'information et mes données, quels sont les référentiels sur lesquels il se raccroche, est-ce qu'il est labellisé, est-ce qu'il est certifié, est-ce que... Voilà. Tout ça, en fait, cette cartographie des dépendances, elle est absolument essentielle et elle peut être assez rapide. C'est pas un travail qui est... Après, c'est proportionnel à la taille de l'entreprise. C'est sûr que ça va aller beaucoup plus vite dans une TPE que dans une... que dans une ETI ou un grand groupe. Néanmoins, c'est vraiment quelque chose qui est absolument essentiel pour reprendre la maîtrise. Parce que la souveraineté, c'est quoi en fait ? C'est une reprise de maîtrise sur ces outils. Et je rappelle, sur des outils dont on dépend aujourd'hui complètement. De la plus petite à la plus grande entreprise, on dépend aujourd'hui intégralement des outils numériques. De très, très, très rares exceptions près. Pour reprendre cette maîtrise de ces outils-là, il faut déjà les connaître. Il faut déjà avoir un inventaire, savoir qui s'en occupe, à qui ils sont, quelles sont les conditions tarifaires, quelles sont les conditions contractuelles. Est-ce qu'en signant chez Google, je pourrais récupérer mes données au bout de mon contrat ? Ce n'est pas sûr. Et combien ça va me coûter ? Combien de temps ça va me prendre ? Quel est le format dans lequel elles sont sauvegardées ? Toutes ces questions-là, il faut se les poser. Et c'est vraiment des sujets qui sont... très, très, très opérationnel. Là, on parle quasiment de logistique. C'est vraiment de l'inventaire, c'est de la revue de contrat. Alors, il y a des outils aussi pour aider à ça, bien évidemment. Et heureusement, parce que ça peut devenir très, très long et fastidieux. Mais on peut avancer très vite sur ces sujets-là et les modifier. On peut aussi demander, dans le cadre de renégociation de contrat, d'ajouter des clauses. qui permettent de sortir plus facilement d'une dépendance.
- Speaker #1
D'accord, donc ce que tu expliques, c'est finalement, l'enjeu déjà, c'est de s'entourer des acteurs compétents et dans un second temps, de cartographier ces données et ces dépendances. Et on le voit à travers vos réponses, il y a une multiplication et une émergence des outils et des leviers pour accompagner les organisations à renforcer leur souveraineté numérique. Et ça m'amène à une question. Est-ce que cette souveraineté numérique, elle n'est pas en train de rebattre les cartes en matière de décision d'achat, mais aussi d'offres proposées par les acteurs du marché ?
- Speaker #3
Alors oui, ça commence à avoir un impact. Alors côté acheteur, aujourd'hui, moi, je ne vois rien de concret arriver. Mais il y a fort à parier que dans la commande publique, par exemple, mais même dans les appels d'offres privés. Dans la commande publique, au lieu de se cerque-bouter dans les appels d'offres sur le prix, on rentre une once quelque part, une notion de souveraineté. La question, c'est toujours le même sujet, c'est-à-dire que la contrainte financière est forte pour tout le monde et que mettre un critère de souveraineté qui, fatalement, coûte un peu plus cher, est-ce que c'est financièrement acceptable ? Est-ce que ces critères-là vont être obligatoires ou juste suggérés ? On a tenté sur les éco-conditionnalités à une époque, on a vu que c'est pas allé bien loin. Oui, c'est incantatoire, oui, on se donne bon de conscience, mais financièrement, le directeur financier dit non, non, non, non, on reste sur un critère technique de prix. à plus de 60% dans les appels d'offres. Donc ça, c'est une question qui est politique, pour le coup, qui appartient au gouvernement. Comment on refait les règles d'appel d'offres ? Qu'est-ce qu'on impose ou pas ?
- Speaker #0
Moi, j'aurais tendance à dire que ça serait intéressant d'aller naturellement vers ce point-là, d'ancrer la souveraineté dans les marchés. Pour ce qui est des entreprises qui fournissent des services, oui, le sujet prend le pivot. Alors là, je vais parler au titre d'Orange, très clairement. D'abord, nous, en tant qu'opérateurs d'infrastructures critiques, on met en place nos propres critères de souveraineté. On a une filiale, Orange Cyber Défense, qui assure la sécurité de notre SI. On essaie de gérer nos dépendances. Alors, on n'est pas parfait du tout, du tout, du tout, mais on avance à grands pas. Et cette année, Christian Edman, notre DG... Elle a annoncé que c'était l'année de la souveraineté chez nous et on reprend tout notre SI pour le rendre plus souverain. Et côté client, on essaie aussi d'amener des solutions. Là, j'ai cité deux acteurs. On va parler de nos amis de Thales et de Google qui ont créé Sense. On va parler d'Orange qui a créé Bleu avec Capgemini. Ça permet d'avoir, d'utiliser d'un côté Google, d'autre côté l'environnement Microsoft et l'environnement Azure dans un espace un peu plus souverain. Alors, c'est dans les deux cas éminemment critiquable. Ce n'est pas la souveraineté absolue. Ce n'est pas le sujet d'ailleurs. Ce n'est pas le sujet d'être parfait, c'est le sujet de pouvoir permettre à nos clients de faire un petit pas pour être un peu plus protégés, très très modestement. Et pour moi, cette politique des petits pas, c'est des petits pas stratégiques qu'on fait à chaque fois. C'est-à-dire qu'on commence à décaler un peu le sujet de la dépendance dans un environnement qui accueille un peu mieux. Synth, par exemple, c'est Secnum Cloud. Alors, c'est critiqué, c'est critiquable aussi, etc. Mais au moins, c'est Secnum Cloud. C'est déjà au moins ce pas-là, quoi. Donc voilà, le pragmatisme ne fait qu'aujourd'hui. Ces produits souverains, comment dirais-je, un marché en phase 2 en capacité de les écouter et de payer un peu plus pour les accepter. Et plus la pression va monter sur la souveraineté, plus les gens vont être obligés de bouger dans ce sens-là. Et je trouve que la dynamique actuelle, elle a au moins ce mérite-là. On ne va pas arrêter les usages du jour au lendemain, on ne va pas basculer dans l'environnement à un autre comme ça en claquant des doigts. Mais si petit à petit on arrive à maîtriser nos dépendances et à remonter notre niveau de souveraineté, Je pense que c'est une méthode assez pragmatique et assez opérationnelle.
- Speaker #1
D'accord, donc concrètement, la souveraineté numérique peut aider à faire évoluer les décisions d'achat et c'est ça qui va finalement faire évoluer progressivement les solutions vers plus de maîtrise et de contrôle des dépendances. Et ce que tu rappelles, c'est que vraiment ça se fait de manière progressive, pas à pas et non pas brutalement.
- Speaker #0
Oui. Si je voulais donner une image, on ne cherche pas à faire tourner un petit bateau de 3 mètres, on fait tourner un porte-avions en la matière. Donc ça démarre lentement et ça s'accélère à la fin.
- Speaker #1
Très bonne image, parce que justement en parlant d'approche progressive et de démarche pas à pas, est-ce que vous, personnellement, vous êtes optimiste quant à la capacité de la France et de l'Europe à renforcer leur souveraineté numérique dans les prochaines années ?
- Speaker #0
Allez, je vais prendre la parole. Je pense qu'en fait... Tu poses la question comme s'il y avait un choix. Je pense qu'en fait, il n'y a pas de choix. On a vu que le numérique était devenu un levier politique, un levier de contraintes, et on nous l'impose comme ça. On nous l'a présenté en disant « voilà, j'ai une arme, c'est le numérique, vous n'êtes pas souverain, je vous maîtrise » . Et donc, politiquement, je pense que l'Europe, c'est insupportable. Alors, on ne le dit pas de manière aussi caricaturale que je le dis, mais on est en train, côté réglementaire, de prendre un peu des leviers de contraintes, des leviers de protection, et petit à petit... on va avancer à plus de souveraineté. Ce que je veux dire par là, c'est qu'il ne faut pas confondre le conjoncturel et le structurel. On est dans le conjoncturel quand on parle de manière incantatoire de souveraineté, mais on est dans le structurel quand on parle de réglementation européenne et de prise de conscience. Ce n'est pas à l'année qu'on réfléchit. C'est avec une vision stratégique moyenne en terme. Et j'espère, peut-être parfois un peu naïvement, peut-être parfois de manière un peu optimiste, mais qu'on a pris cette idée en tête et qu'on va la maintenir pendant un certain temps.
- Speaker #1
Très bien, merci Julien. Guy, est-ce que tu partages cette vision ?
- Speaker #2
En grande partie, je suis ce qu'on appelle un optimiste prudent. Il y a beaucoup de raisons d'être optimiste, on a cité quelques-unes, notamment en termes de réglementation. Certes, ce qu'un texte peut faire, un autre peut le défaire. Néanmoins, on s'inscrit quand même dans une tendance lourde, dans quelque chose qui se structure. On le voit, les textes européens se multiplient sur la sécurité numérique, sur la capacité des États à maîtriser leur dépendance numérique, et tout ça va évidemment dans le bon sens, et c'est quelque chose qui s'inscrit dans la durée, donc c'est ce qui me rend plutôt optimiste. Après, il y a le côté prudence. La menace, elle évolue plus vite que la réglementation. Donc il faut réussir à garder un rythme législatif suffisant pour coller à la menace, mais ce n'est pas le tout de faire des lois, il faut encore les rendre applicables. Et ça, c'est un vrai enjeu. Elles ne seront applicables que si elles sont compréhensibles. que si c'est économiquement raisonnable de les appliquer et que les gens jouent le jeu. C'est un petit peu le pendant de ce que tu disais tout à l'heure, Julien, en réponse à la question sur l'émergence des offres plus souveraines. Je comprends que les grands opérateurs européens y aillent prudemment, pas à pas, parce qu'il faut aussi tester la réception du marché. Si personne ne joue le jeu... On peut avoir l'offre la plus souveraine du monde, si personne ne l'achète, elle va s'éteindre. Donc il faut y aller progressivement. L'image du porte-avions est assez parlante sur ce point-là, parce que si on voit qu'effectivement ça prend, le succès commercial peut amener à des investissements supplémentaires qui permettent de renforcer la souveraineté, qui permettent d'alimenter une attractivité commerciale, etc. Et là, on rentre dans une boucle vertueuse qui peut nous permettre de s'accélérer. réussir à atteindre un objectif jamais de souveraineté totale, ça je vous renvoie aux premières minutes de nos échanges, il y a quand même quelques batailles qu'on a à peu près perdues, mais après on peut aussi revenir en position de force par la donnée et par le logiciel pour imposer des critères sur le matériel. C'est vraiment une boucle vertueuse qui est en train de se mettre en place, c'est ce qui fait que je suis optimiste. Je reste néanmoins prudent sur la mise en œuvre concrète au sein des entreprises, des organisations de ces évolutions. On va croiser les doigts.
- Speaker #1
C'est finalement une réponse assez nuancée. Tu le disais, les menaces évoluent très vite. Il faut derrière que la mise en œuvre et la mise en pratique suivent. Mais on va rester optimiste et on voit que la souveraineté numérique devient un enjeu stratégique, une priorité. que ce soit pour les organisations, mais aussi pour les États. Donc, on est optimiste et on regarde vers le futur. Merci à tous les deux pour vos réponses très complètes. C'était un plaisir d'échanger avec vous.
- Speaker #0
Merci.
- Speaker #1
On arrive à la fin de cet épisode, mais avant de se quitter, je vous propose une séquence express de questions posées par le groupe de travail Souveraineté Logiciel du Pôle Enter. Guy, acheter Souverain, est-ce que ça coûte plus cher ?
- Speaker #2
Ça ne coûte pas forcément plus cher sur la durée, même si bien évidemment ça impose des investissements de départ qui sont un petit peu supérieurs, notamment en termes de formation quand il s'agit de changer de technologie.
- Speaker #1
Julien, l'État peut-il se substituer aux éditeurs de logiciels open source ?
- Speaker #0
Non, je ne pense pas que ce soit une bonne idée. Que l'État soutienne, oui, mais que l'État se substitue, non. La logique de marché doit prédominer là-dessus.
- Speaker #1
Guy, selon toi... Que manque-t-il en priorité pour développer notre souveraineté ?
- Speaker #2
Une vraie prise de conscience opérationnelle. C'est bien évidemment nécessaire qu'au niveau politique, au niveau très stratégique, cette prise de conscience ait lieu. Maintenant, il faut que ça infuse vraiment dans la société parce que le vrai pilote du changement, c'est le consommateur.
- Speaker #1
Julien, Mistral sur Microsoft Azure, est-ce pragmatique ou contradictoire ?
- Speaker #0
Ça dépend, oui, Microsoft Azure.
- Speaker #1
Guy ? As-tu un antivirus sur ton smartphone ?
- Speaker #2
Non, parce que j'ai un usage raisonné et pleinement conscient.
- Speaker #1
Merci beaucoup à tous les deux. Encore un grand merci à Julien et Guy pour leur analyse qui permet d'y voir plus clair. Ce qu'on peut retenir de cet échange, c'est que la souveraineté numérique s'impose aujourd'hui comme une dimension essentielle du numérique responsable. On l'a dit, être responsable, ce n'est pas seulement limiter son impact environnemental ou social, mais c'est aussi comprendre et maîtriser ses dépendances, évaluer ses risques et surtout reprendre le contrôle. L'idée, c'est vraiment d'avancer de manière lucide et constructive, étape par étape, avec une vision de long terme et en faisant dès aujourd'hui les choix qui vont vraiment renforcer la souveraineté dans la durée. Si cet épisode vous a plu, vous pouvez nous laisser un avis ou un commentaire, ça nous aide vraiment à améliorer le podcast et à toucher plus de personnes intéressées par le sujet. Merci à vous de nous avoir écoutés et on vous donne rendez-vous sur notre site et sur LinkedIn pour découvrir les initiatives, les outils et les prochains rendez-vous du réseau.