Souveraineté numérique européenne : Microsoft se dit compatible

En fait. Le 19 mai, se sont tenues les 5es Assises de la souveraineté numérique, organisées par l’agence Aromates sur le thème cette année de « Quelle stratégie pour une 3e voie européenne ? ». Parmi les intervenants extra-européens : l’américain Microsoft, qui, par la voix de Marc Mossé, se dit eurocompatible.

En clair. Le directeur des affaires publiques et juridique de Microsoft – fonction que Marc Mossé (photo) a exercée pour la filiale française entre février 2006 et mai 2016 avant de passer à l’échelon européen (1) tout en restant basé à Paris et non au siège de Microsoft Europe à Dublin en Irlande –, était attendu au tournant. Lors de ces 5es Assises de la souveraineté numérique, le « M » de GAFAM a voulu montrer pattes blanches et démontrer que l’on pouvait être une « entreprise étrangère américaine » et être compatible avec la « souveraineté numérique européenne ». Antinomique ? Non. Marc Mossé, lui, parle de « ligne de crête » en rappelant les propos tenus par quatre femmes au pouvoir en Europe, Angela Merkel (chancelière d’Allemagne), Mette Frederiksen (Première ministre du Danemark), Sanna Marin (Première ministre de Finlande) et Kaja Kallas (Première ministre d’Estonie), dans une lettre adressée le 1er mars dernier à une cinquième femme de pouvoir, Ursula von der Leyen (présidente de la Commission européenne).

La souveraineté numérique, ce n’est ni exclure ni faire du protectionnisme
« La souveraineté numérique, c’est miser sur nos forces et réduire nos faiblesses stratégiques, et non pas exclure les autres ou adopter une approche protectionniste. Nous faisons partie d’un monde mondial avec des chaînes d’approvisionnement mondiales que nous voulons développer dans l’intérêt de tous. Nous sommes déterminés à ouvrir les marchés et à favoriser un commerce libre, équitable et fondé sur des règles ». Tout est dit. Et le directeur juridique de Microsoft Europe d’approuver : « C’est cette ligne de crête sur laquelle il faut être, qui renvoie à l’essentiel lorsque l’on parle de la souveraineté. C’est aussi la question de la règle de droit. La souveraineté, c’est la garantie par le droit de fonctions essentielles comme les valeurs européennes [auxquelles] les acteurs qui opèrent en Europe (et donc en France) doivent le plein respect ». Marc Mossé a aussi rappelé l’annonce faite le 6 mai par Microsoft qui s’engage à stocker et à traiter dans ses data centers en Europe – au nombre de treize dont trois en France – les données de ses clients, entreprises ou Continuer la lecture

Sécurité numérique : le Premier ministre plus que jamais en première ligne

Le Premier ministre est le régulateur de la sécurité numérique nationale. Le Conseil constitutionnel a confirmé en février dernier l’étendue de ses prérogatives et des garanties nécessaires en la matière. L’affaire « SolarWinds » appelle de telles garanties du côté des fournisseurs d’informatique en nuage.

Par Christophe Clarenc (photo), avocat, cabinet DTMV & Associés

La « transition numérique » de l’économie et des entreprises s’accompagne d’une démultiplication pandémique des violations et compromissions de sécurité des systèmes d’information (1), avec un flot continu de « fuites » massives de données, une industrialisation (à l’état de l’art) de l’exploitation des « failles » de sécurité, et une explosion des cyberattaques critiques. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) rapporte à cet égard un développement exponentiel à la fois des cyberattaques criminelles par rançongiciels et des menaces d’espionnage, de déstabilisation voire de sabotage à travers les attaques indirectes par rebond dans les chaînes de sous-traitance, d’approvisionnement et de partenariat industriels, dont la propre chaîne des fournisseurs de services d’informatique et d’infogérance en nuage. Le risque systémique d’attaques ciblées et vectorisées par la chaîne d’approvisionnement informatique est plus que confirmé par la campagne de cheval de Troie menée dans et à partir de la plateforme de gestion et de supervision informatique (Orion) du fournisseur américain SolarWinds, détectée en décembre dernier (2).

Chaîne de compromission « SolarWinds »
Par compromission des mises à jour logicielles distribuées par cette plateforme, cette attaque a infiltré et infecté en profondeur les systèmes de près de 18.000 de ses clients-utilisateurs, dont plusieurs départements de l’administration américaine (Pentagone, NSA, Trésor, Justice, Energie), de grands fournisseurs de services informatiques et de cybersécurité comme Microsoft et FireEye, et une série de grands comptes industriels aux Etats-Unis et en Europe. Reçue comme un « Pearl Harbour » de la « Supply Chain Security », cette affaire a soulevé aux Etats-Unis un tourbillon d’interrogations et d’investigations sur l’état des risques, des faiblesses systémiques, notamment réglementaires, et des défaillances individuelles de sécurité dans l’industrie et la chaîne d’approvisionnement « IT » (Information Technology). Microsoft a répondu que ce type de cyberattaque « sera la norme ». Le New York Times a révélé que les mesures et la politique de sécurité de SolarWinds étaient structurellement déficientes, notamment pour satisfaire aux exigences de profitabilité de ses investisseurs. L’agence Moody’s a considéré que l’affaire Continuer la lecture

Ursula von der Leyen : « Nous investirons 20 % du budget de NextGenerationEU dans le numérique »

La présidente de la Commission européenne, Ursula von der Leyen, première femme à ce poste, a prononcé le 16 septembre son premier discours sur l’état de l’Union européenne (exercice annuel) devant les eurodéputés qui étaient cette année réunis à Bruxelles. Edition Multimédi@ revient sur ses ambitions numériques.

Sur le budget total de 672,5 milliards d’euros du plan de
« redressement d’urgence » baptisé NextGenerationEU – « pour aider à réparer les dommages économiques et sociaux immédiats causés par la pandémie du coronavirus, soutenir une reprise économique et construire un avenir meilleur pour la prochaine génération » –, une part non négligeable de 20 % va être consacrée au numérique. Cela représente une enveloppe conséquente de 134,5 milliards d’euros.
Disons-le tout net : c’est sans précédent depuis que la Commission européenne existe, depuis qu’elle s’est réunie pour la première fois en janvier 1958 sous la présidence de l’Allemand Walter Hallstein, soit huit mois avant la naissance de sa compatriote Ursula von der Leyen (photo), qui est à ce poste exécutif depuis une dizaine de mois maintenant. Cette manne sera distribuée aux Vingt-sept sous forme de prêts (53,5 %) ou de subventions (46,5 %). « Les Etats membres peuvent préparer des plans de redressement et de résilience qui définissent un ensemble cohérent de réformes et de projets d’investissement public à mettre en œuvre jusqu’en 2026, afin d’être soutenus », a précisé la Commission européenne. La date limite de soumission des plans de relance par les pays européens intéressés est fixée au 30 avril 2021.

La France devra faire plus en faveur du numérique
Ursula von der Leyen (UVDL) compte sur les eurodéputés pour qu’ils votent « le plus rapidement possible » sur sa proposition législative, afin que le plan NextGenerationEU soit opérationnel « dès le 1er janvier 2021 ». Mais sans attendre, la présidente de l’exécutif européen a dit qu’elle encourageait les Etats membres à présenter leurs avant-projets de plan à partir du 15 octobre 2020, quitte à les finaliser par la suite. Paris a déjà fait savoir qu’il notifiera à Bruxelles, sans doute en octobre, son plan « France Relance » à 100 milliards d’euros présenté début septembre, dont à peine 7 % consacrés au numérique (1), et espère de l’Union européenne 40 milliards d’euros d’aides. Or la Commission européenne attend de chaque plan national au moins 20 % dans le digital. En effet, dans son guide d’orientation à destination des Etats membres (2), la Commission européenne souhaite que « chaque plan de redressement et de résilience comprenne un niveau minimum de 20 % des dépenses liées au numérique » – que cela soit dans la 5G, la 6G – déjà ! –, la fibre optique, la cybersécurité, la blockchain, l’informatique quantique, mais aussi l’éducation au numérique et l’amélioration des services publics grâce aux nouveaux outils numériques.

Réagir vite face à la domination des GAFAM
UVDL estime qu’il est grand temps de réagir face à la domination des GAFAM et de faire des années 2020 « la décennie numérique » de l’Europe qui doit « montrer la voie à suivre dans le domaine du numérique, sinon elle sera contrainte de s’aligner sur d’autres acteurs qui fixeront ces normes pour nous ». Pour entraîner les Vingt-sept, la présidente de la Commission européenne a été très clair : « Nous investirons 20 % du budget de NextGenerationEU dans le numérique. Nous voulons ouvrir la voie, une voie européenne, de l’ère numérique : une voie qui repose sur nos valeurs, notre force, nos ambitions mondiales ». Pour UVDL, l’Europe numérique passe par « la connectivité, les compétences et les services publics numériques », mais aussi par « le droit au respect de la vie privée et à la connectivité, la liberté d’expression, la libre circulation des données et la cybersécurité ». Elle appelle en outre les gouvernements à se référer aux indicateurs de l’indice européen DESI (Digital Economy and Society Index), dont l’état à 2019 a été publié en juin dernier. Par exemple, la France – notée 52,2 et positionnée à la 15e pace du DESI (3) – se situe légèrement en-dessous de la moyenne européenne qui est de 52,6.
Lors de son discours du 16 septembre, UVDL a exprimé le souhait de voir l’Union européenne se « concentrer sur trois domaines » :
• Les données. « En ce qui concerne les données à caractère personnel – dans le commerce entre entreprises et consommateurs – l’Europe a été trop lente et dépend désormais des autres. Il ne faut pas que cela se répète avec les données industrielles », a-t-elle prévenu, déplorant au passage que « 80 % des données industrielles sont collectées mais ne sont jamais utilisées ; c’est du gaspillage ». Aussi, dans le cadre de NextGenerationEU, sera créé un cloud européen « fondé sur Gaia-X », le projet de « cloud de confiance » franco-allemand annoncé en juin dernier et susceptible de fournir ses premiers services en Europe à partir du premier semestre 2021. Mi-juillet, le commissaire européen en charge du Marché intérieur, Thierry Breton, a évoqué un investissement de l’Union européenne de 2 milliards d’euros pour ce qu’il a appelé un « Gaia-UE » (4). Objectif : à la fois mettre en place un projet de cloud commun de données industrielles et créer une fédération européenne des infrastructures et services de cloud. « Les premiers appels à manifestation d’intérêt pour le programme “Europe numérique” (5) pourraient être lancés d’ici la fin de cette année », nous indiquet- on dans l’entourage de Thierry Breton.
• La technologie. La Commission européenne prévoit de proposer dès 2021 « un instrument législatif » encadrant l’intelligence artificielle, les algorithmes et la maîtrise des données à caractère personnel. « Qu’il soit question d’agriculture de précision, de diagnostics médicaux plus fiables ou de conduite autonome sécurisée, l’intelligence artificielle nous ouvrira de nouveaux mondes. Mais ces mondes ont aussi besoin de règles. Nous, en Europe, nous voulons un socle de règles qui place l’humain au centre. Les algorithmes ne doivent pas être une boîte noire, et il faut des règles claires si quelque chose tourne mal », a prévenu UVDL. Notamment, en matière d’identité numérique (e-ID), l’exécutif européen proposera « une identité électronique européenne sécurisée ». Pour la numérisation des entreprises, des aides seront octroyées à l’accélération des décisions et à leur exécution par l’automatisation basée sur l’intelligence artificielle. Cela passe en particulier par le financement de centres d’innovation numérique – Digital Innovation Hub (DIH) – pour soutenir la numérisation de l’industrie et du secteur public, y compris la justice.
• Les infrastructures. « Le coup de fouet que NextGenerationEU va donner à l’investissement est une occasion unique de stimuler la croissance jusqu’au moindre village. C’est pourquoi nous voulons concentrer nos investissements sur la connectivité sécurisée et sur le déploiement de la 5G, de la 6G et de la fibre », a assuré UVDL. Elle trouve d’ailleurs « inacceptable que 40 % des habitants des zones rurales n’aient toujours pas accès à une connexion à haut débit rapide ». Surtout que le confinement généralisé du printemps dernier a enclenché la dynamique du télétravail, de l’éducation à domicile, des achats en ligne ou encore des téléconsultations. L’Europe doit « revitaliser les zones rurales ». Il s’agit là de combler le fossé numérique qui s’est creusé entre zones rurales et zones urbaines, mais aussi de « remédier aux défaillances du marché en ce qui concerne le déploiement de réseaux à très haute capacité ».

Souveraineté digitale et « made in Europe »
Pour Ursula von der Leyen, « ce qui est en jeu, c’est la souveraineté numérique de l’Europe, à petite et à grande échelle ». Ainsi, le « made in Europe » technologique « nouvelle génération » bénéficiera d’investissements non seulement dans les microprocesseurs (6) mais aussi, moyennant 8 milliards d’euros débloqués, dans les superordinateurs. Côté services, la Commission européenne va présenter d’ici la fin de l’année sa proposition législative Digital Services Act (DSA) dans le but de mieux dompter les GAFAM. @

Charles de Laubier

Sécurité des systèmes d’information et des données personnelles : nul ne peut ignorer ses responsabilités

RSI, NIS, OSE, OIV, PSC, EBIOS, RGPD, SecNumCloud, … Derrière ces acronymes du cadre réglementaire numérique, en France et en Europe, apparaissent les risques et les obligations en matière de sécurité des systèmes d’information et des traitements de données personnelles.

Par Christophe Clarenc, avocat, Cabinet DTMV & Associés

Les rapports d’activité pour 2018 publiés mi-avril (1) par, respectivement, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le « régulateur de la sécurité numérique » en sa qualité d’autorité en charge de la cybersécurité nationale,
et la Commission nationale de l’informatique et des libertés (Cnil), en charge de la sécurité des traitements de données personnelles, offrent et permettent un tour d’horizon rapide des évolutions réglementaires et de l’état des responsabilités en la matière.

Une réglementation évolutive
Au plan réglementaire, on doit tout d’abord mentionner la loi n° 2018-133 du 26 février 2018, le décret 2018-384 du 23 mai 2018 et l’arrêté du 14 septembre 2018 qui sont venus assurer la transposition en France de la directive européenne du 6 juillet 2016, dite « NIS », sur la sécurité des réseaux et systèmes d’information (RSI) des
« opérateurs de services essentiels » (2) (OSE) et des grands « fournisseurs de services numériques » (3) (FSN). Cette réglementation est supervisée en France
par l’ANSSI et dans la ligne de son dispositif de protection des RSI des opérateurs d’importance vitale (OIV) (4). Elle soumet les OSE et les FSN pour la protection de leurs RSI critiques à un régime de « règles de sécurité nécessaires pour garantir un niveau de sécurité adapté au risque existant compte tenu de l’état des connaissances », et de déclaration des incidents et de contrôle.
Cette réglementation définit et prescrit pour les OSE l’ensemble des « mesures appropriées » pour tout à la fois prévenir, limiter l’impact et gérer les incidents et compromissions de sécurité. Les règles de sécurité prescrites pour les FSN sont établies dans un règlement d’exécution du 30 janvier 2018 (5). Ces règles et mesures sont définies dans cinq « domaines » : celui de la « gouvernance » des RSI concernés (6) (analyse de risque, politique de sécurité décrivant l’ensemble des procédures et
des moyens organisationnels et techniques de sécurité mis en oeuvre, homologation
et audits de sécurité, cartographie (7)) ; celui de leur « protection » (architecture, administration, identités et accès), celui de leur « défense » (détection et traitement des incidents) ; et celui de la « résilience des activités » (gestion de crise en cas d’incident de sécurité ayant un impact majeur sur la fourniture des services essentiels en cause). Ces règles établissent le champ et les mesures de référence de la protection responsable des systèmes d’information critiques.
On peut ensuite mentionner le règlement européen sur la cybersécurité (8), voté en mars 2019 par le Parlement européen, qui vient, d’une part, donner mandat permanent et compétences à l’ENISA, l’Agence européenne chargée de la sécurité des RSI (9), d’autre part, établir une cadre pour la mise en place d’un « système européen de certification de cybersécurité » pour les processus, produits et services des technologies de l’information et de la communication (TIC). Ce dispositif, qui pourrait devenir un ressort essentiel du « marché unique numérique », devra s’articuler avec
les compétences de souveraineté et les intérêts normatifs et industriels fondamentaux des Etats membres avancés dans ce domaine, dont la France avec l’ANSSI. Les deux chambres du Parlement français avaient émis fin 2017 alerte et réserve sur ce point.
Le dispositif prévoit que la Commission européenne proposera la liste prioritaire des processus, produits et services TIC susceptibles d’être soumis à ce système de certification et que la certification, structurée en trois « niveaux d’assurance » (élémentaire, substantiel et élevé) procédera par démarche volontaire des acteurs intéressés.

Référentiels et socle de conformité
L’ANSSI a présenté en 2018 sa méthode EBIOS Risk Manager de référence pour l’analyse des risques de sécurité numérique et l’élaboration d’un « socle de sécurité solide appliquant les référentiels pertinents vis-à-vis de l’état de l’art (10) et de la réglementation », en vue notamment d’un label de conformité pour les éditeurs de solutions logicielles de gestion des risques et de la conformité. Le « régulateur de
la sécurité numérique » s’est également intéressé spécifiquement à la sécurité des données personnelles, en faisant évoluer son référentiel SecNumCloud pour intégrer les exigences du règlement général sur la protection des données (RGPD) et en publiant pour la matière des recommandations (« commandements de base »,
« précautions élémentaires ») tirées et adaptées de son guide d’hygiène informatique. Ce référentiel SecNumCloud concerne les prestations de services d’informatique en nuage (PSIN). Il fait partie des référentiels d’exigences et de labellisation développés par l’ANSSI pour qualifier les « prestataires de services de confiance » (PSC) (11).

Incidents, risques et manquements
La Cnil a elle-même publié en 2018 un guide de sécurité des données personnelles (12), consolidant et développant ses recommandations antérieures. Elle souligne dans son rapport pour 2018 que les « mesures de précautions élémentaires » rappelées dans les recommandations de son guide et de celui de l’ANSSI permettent de prévenir ou de limiter l’impact de nombreuses violations de données personnelles et « doivent aujourd’hui être le socle minimum sur lequel toute organisation fait reposer son système d’information ». D’autant que le RGPD, entré en vigueur en mai 2018, « impose à tous les organismes qui traitent des données personnelles de mettre en place des mesures pour prévenir les violations de ces données » et de pouvoir « apporter la preuve de
leur conformité ». En effet, le RGPD place la « garantie de sécurité appropriée » des données personnelles parmi les « principes » de conformité et de responsabilité du traitement des données personnelles, avec la responsabilité de « mettre en oeuvre des mesures techniques et organisationnelles appropriées pour assurer et être en mesure de démontrer que le traitement est effectué conformément au règlement » (13). La mise en oeuvre du « socle de sécurité » recommandé aura ainsi vocation à constituer la preuve de la conformité à l’obligation de garantie de sécurité appropriée des données personnelles traitées, obligation de moyen renforcée et de moyens effectifs à l’état de l’art, en particulier dans le cadre de la notification obligatoire d’une violation de données susceptible de révéler non seulement un défaut de sécurité causal mais une politique de sécurité défaillante.
L’ANSSI rapporte la survenance en 2018 de 1.869 signalements d’événements de sécurité, dont 391 incidents (hors OIV) et 16 incidents majeurs, contre respectivement 2.435, 794 et 20 en 2017. Elle rappelle l’étendue et l’intensité constantes des menaces et des risques de cybersécurité (sabotage, déstabilisation, espionnage, captations, fraudes, etc.), en soulignant que l’espionnage est le risque qui pèse le plus fortement sur les organisations, à travers notamment des attaques indirectes exploitant des relations de confiance établies entre parties prenantes. Le rapport publié en mai 2018 par la Délégation interministérielle aux industries de sécurité et à la lutte contre les cybermenaces (DMISC) sur l’état de la menace numérique en 2018 présente un tableau instructif des attaques, des fraudes et des dommages enregistrés avec le développement notamment du « crimeas- a-service » (CaaS) et souligne le risque majeur des objets connectés, à la fois cibles et vecteurs d’attaques, dont la sécurité n’est souvent pas la préoccupation principale de leurs fabricants. Il note par ailleurs que si la grande majorité des entreprises françaises sont touchées par des cyberattaques et que la France est le deuxième pays au monde le plus affecté par les vols de données personnelles, « la sécurité représente moins de 5 % du budget IT dans près de deux tiers des entreprises ». La Délégation parlementaire au renseignement a pu constater dans son rapport publié en avril 2018 que le tissu économique français « pâtit encore d’une culture de sécurité, notamment informatique, très largement déficitaire ». Pour sa part, la CNIL mentionne la poursuite en 2018 de nombreux signalements de violations de données personnelles issues de failles de sécurité et la réception entre fin mai 2018 (entrée en vigueur du RGPD) et fin décembre 2018 de 1.170 notifications de violations à la suite principalement d’atteintes à la confidentialité. De son analyse de ces notifications, elle a constaté tout d’abord que plus de 50 % des violations avaient pour cause un acte externe malveillant (principalement par piratage cyber et secondairement par vol physique) et environ 17 % un acte interne accidentel (principalement par adressage à un mauvais destinataire et secondairement par publication non volontaire). Ensuite, que ces violations mettaient « en évidence des faiblesses des systèmes d’information ou des processus mis en oeuvre au sein des entreprises ».
Tout comme en 2017, la majorité des sanctions (7 sur 10) et les montants les plus élevés de sanctions pécuniaires prononcés par la Cnil en 2018 l’ont été pour des manquements à la sécurité et à la confidentialité des données des utilisateurs ou des clients (14). Ces montants restent néanmoins limités au regard de la gravité des manquements des atteintes constatées.

Sanctions des carences ou insuffisances
La Cnil souligne que ce ne sont pas les incidents de sécurité en tant que tels qu’elle
a sanctionnés, mais les carences ou les insuffisances manifestes dans les mesures prises pour assurer la sécurité, causales dans les violations constatées y compris dans les cas d’intrusions élaborées. Les motifs de manquement et les montants de sanctions pourraient se développer fortement sur la base du RGPD, et avec une meilleure répartition entre les différentes parties prenantes à la sécurité des traitements. Il sera également instructif de suivre le traitement par la DGCCRF du signalement que lui
a adressé la Cnil en novembre 2017, dans l’affaire de la sécurisation des jouets connectés (15), au regard des « enjeux de sécurité et de conformité qui persistent
en dehors du champ d’application de la loi “Informatique et Liberté” ». @

Le marché mondial du cloud est en plein boom, au risque d’échapper aux régulateurs nationaux

Les services de cloud dans le monde devraient franchir cette année la barre des 200 milliards de dollars. Les « as a service » (activité, infrastructure, application, logiciel, …) et les mégadonnées du Big Data font les affaires des prestataires du cloud computing, où les GAFAM s’en donnent à coeur joie.

« Les services en nuage bouleversent vraiment l’industrie.
Les prestataires bénéficient de plus en plus de stratégies cloud-first d’entreprises. Ce que nous voyons maintenant
n’est que le début. D’ici 2022, la croissance de l’industrie
des services infonuagiques sera près de trois fois celle de l’ensemble des services numériques », prévient Sid Nag (photo), vice-président analyste chez Gartner.

Stratégies de cloud-first, voire de cloud-only
Le marché mondial du cloud devrait encore progresser de 17,5 % durant cette année 2019 pour franchir la barre des 200 milliards de dollars, à 214,3 milliards précisément. C’est du moins ce que prévoit le cabinet d’études international Gartner, qui a fait part
de ses projections début avril. Cette croissance exponentielle à deux chiffres a de quoi faire pâlir d’autres secteurs numériques. A ce rythme, après les 200 milliards de dollars franchis cette année, la barre des 300 milliards sera allègrement dépassée en 2022.
Le segment le plus dynamique de ce marché en plein boom est celui du cloud des infrastructures systèmes, appelé IaaS (Infrastructure as a Service), suivi par le cloud des infrastructures d’applications, appelé PaaS (Platform as a Service). La troisième plus forte croissance est aussi celle du premier segment du marché des nuages numériques, à savoir le cloud des services logiciel, appelé SaaS (Software as a Service), qui pèse à lui seul 43,8 % du marché en 2018 et devrait même en représenter 44,6 % en 2022. « D’ici la fin de l’année, plus de 30 % des nouveaux investissements des fournisseurs de technologie dans les logiciels passeront du cloud-firstau cloud-only. Cela signifie que la consommation de logiciels sous licence continuera de chuter, tandis que les modèles de consommation en nuage par abonnement et le SaaS continueront de croître », prévoit Gartner. Les segments du cloud les plus techniques tels que les processus opérationnels, désignés par BPaaS (Business Process as a Service), et le management et la sécurité, désignés a fortiori par MSaaS (Management and Security as a service), continueront de progresser mais dans une moindre mesure par rapport aux autres segments. On retrouve ces tendances d’évolution du marché infonuagiques en France, qui devrait passer de 5,1 milliards de dollars/4,6 milliards d’euros en 2018
à 8,6 milliards de dollars/7,6 milliards d’euros en 2022 (voir tableau ci-dessous). Sur l’Hexagone comme ailleurs, SaaS est le plus gros segment, suivi du BPaaS, de l’IaaS, du PaaS, puis du MSaS.
Selon l’organisme de statistiques européen Eurostat, 26 % des entreprises de l’Union européenne (UE) – soit plus d’une sur quatre – ont acheté des services de cloud computing l’an dernier. La proportion est majoritaire chez les grandes entreprises
(56 %) et bien moindre chez les petites et moyennes entreprises (23 %). La première utilisation qui est faite de ces prestations à distance dans le « nuage informatique » concerne la messagerie électronique (69 %), suivie de près par le stockage des fichiers sous forme dématérialisée (68 %). Viennent ensuite la puissance de calcul achetée pour faire fonctionner leurs propres logiciels (23 %) et l’utilisation de logiciels dans le cloud pour gérer les informations sur la clientèle (29 %).
Pour les entreprises en Europe qui exploitent le Big Data, soit 12 % d’entre elles, les mégadonnées proviennent de sources de données variées : près de la moitié ont d’abord analysé les données de géolocalisation des appareils portables, tels que les smartphones, des connexions sans fil comme le Wifi ou le GPS (49 %). Ensuite, les mégadonnées sont issues des données générées par les médias sociaux et réseaux sociaux (45 %), de dispositifs ou de capteurs intelligents (29 %) ou encore de données provenant d’autres sources (26 %). Si aujourd’hui le Big Data est une expression dépassée par l’IA (l’intelligence artificielle), l’IoT (l’Internet des objets) ou encore la Blockchain, le cloud, lui, prospère tant que les données s’affirment de plus en plus comme le pétrole du XXIe siècle – comme l’a encore montré la 8e édition du Big Data Paris en mars dernier (1).

Amazon et Microsoft en tête, suivis de Google
Le nuage informatique permet aux entreprises de créer un « lac de données », ou Data Lake (stockage des données dans leurs formats originaux ou peu modifiés), à partir duquel l’analyse des données et de leur valorisation peut s’opérer (data mining, marchine learning, business intelligence, cognitive search, master data management, …). Plus de dix ans après que l’expression « Big Data » ait été prononcée – le 22 décembre 2008 dans leur livre blanc (2) par trois chercheurs universitaires de la Computing Research Association américaine –, le cloud est un marché multimilliardaire à la croissance insolente. On estime que le tournant du cloud-first a été pris au cours des années 2013-2016, avec les GAFAM qui se sont engouffrés sur ce marché porteur pour leur plus grand profit. Amazon vient de doubler ses bénéfice grâce au cloud sur le premier trimestre 2019. Sa filiale AWS (Amazon Web Services), qui compte parmi ses clients Apple, Netflix ou encore Pinterest, est le numéro un mondial du secteur. Microsoft arrive en deuxième position grâce à Azure. Google Cloud est aussi à l’offensive avec le Français Sébastien Marotte, son vice-président pour la région EMEA. Le géant du Net compte parmi ses clients européens Airbus, Alstom, Sky, BNP Paribas, Drouot Digital, GRDF, Philips ou encore Veolia (3). L’entrée en vigueur il y a près d’un an en Europe – le 25 mai 2018 – du règlement général sur la protection des données (RGPD) ne semble pas freiner les ardeurs des GAFAM qui ont plus que jamais la tête dans les nuages. « Le “Cloud Act” américain est-il une menace pour les libertés des citoyens européens ? », s’était interrogé l’avocat franco-américain Winston Maxwell dans Edition Multimédi@ après l’affaire controversée « Microsoft » (4). Le Cloud Act fut adopté aux Etats-Unis il y a plus d’un an maintenant (5) – promulgué le 23 mars 2018. Ce texte de loi fédéral et sécuritaire américain prévoit une base juridique permettant
au gouvernement des Etats-Unis de conclure des accords avec des gouvernements étrangers concernant l’accès aux données détenues par les prestataires de services américains, et vice versa. En clair : les autorités publiques et les agences de renseignement américaines sont en droit d’obtenir – des opérateurs télécoms, des fournisseurs d’accès à Internet (FAI) et des fournisseurs de services de cloud – des informations et/ou enregistrements stockés sur leurs serveurs, que ces données et contenus « soient localisés à l’intérieur ou à l’extérieur des Etats-Unis ».

Cloud Act américain et RGPD européen
En outre, ce Cloud Act permet aux Etats-Unis de passer des accords bilatéraux avec d’autres pays, lesquels pourront à leur tour obtenir des informations de la part des fournisseurs de services américains. Or l’article 48 du RGDP dispose que « toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international ». Mais dans son amicus brief de 2017 dans l’affaire « Microsoft » (6), la Commission européenne estime que le RGPD tolérait – malgré son article 48 – des transmissions de données notamment sur le fondement de l’intérêt légitime ou de l’intérêt public. @

Charles de Laubier