Souveraineté numérique : qu'est-ce que cela implique pour les organisations ?

La souveraineté numérique ou souveraineté des données joue un rôle déterminant dans de nombreux projets au niveau de l’Union européenne et de ses États membres. Les inquiétudes exprimées dans le cadre des rapports de force à l’international et liées à l’évolution des chaînes d’approvisionnement en raison des pandémies et des conflits impliquent également un ajustement des stratégies au niveau mondial. En outre, la transformation numérique des écosystèmes et la coopération internationale constituent de nouveaux défis pour les États, les organisations et les citoyens, du fait notamment des différences en matière de protection des données et de la garantie de l’autodétermination informationnelle.

Alors que de nombreux projets de régulation, initiatives et financements sont mis en œuvre au sein de l’UE, les organisations se doivent désormais de se poser la question suivante : qu'est-ce que cela signifie pour nous ?

Les deux réponses classiques à cette interrogation sont les suivantes :
1) Les organisations sont confrontées à une complexité grandissante.

2) Cela dépend de leur situation. En effet, les conclusions et les mesures doivent être planifiées en fonction de la situation concurrentielle, du statu quo, de la culture, de la structure, du niveau actuel de transformation numérique et des dépendances liées à l’histoire de chacune d’entre elles.

Même si les termes « cloud souverain », « souveraineté numérique » ou « souveraineté des données » ont différentes significations, la définition du centre de compétences allemand Kompetenzzentrum Öffentliche IT correspond à une réflexion pragmatique. La souveraineté numérique est donc à prendre au sens large :

« la somme de toutes les capacités et opportunités des individus et des institutions d’exercer leur rôle dans le monde numérique de façon indépendante, autodéterminée et sécurisée ».

À un niveau individuel, la souveraineté numérique consiste donc à avoir la capacité et la volonté de façonner son propre avenir et sa propre situation de manière ciblée et proactive.

Des défis concrets

Le terme « souveraineté numérique » implique de mettre l’accent sur la technologie, le cloud, le développement de logiciels, la conformité et les audits.

Lorsque l’on prend un peu de hauteur, la première question qui se pose est de savoir comment la transformation numérique peut permettre de générer des avantages concurrentiels variés, mais toujours par la différenciation.

D’un point de vue commercial, la souveraineté numérique consiste d’abord à obtenir des avantages en termes de coûts, d’efficacité ou de concurrence, et à être capable de répondre, d’une manière rapide et raisonnable en termes de ressources, aux différents défis du marché, par exemple grâce à de nouveaux écosystèmes et partenariats, des services numériques complémentaires ou encore des stratégies multicanal.

Pour les organisations, les sujets associés à la souveraineté numérique tels que la cyberrésilience, les audits, les centres d’assistance, la gestion de la configuration et le green IT sont dans un premier temps synonymes de complexité et de mobilisation de ressources, dans un contexte marqué par un vieillissement de la main-d’œuvre et une pénurie de personnel qualifié et de spécialistes sur le marché du travail.

Pour résumer, les entreprises doivent se pencher sur les points suivants :

  • Avantages concurrentiels grâce à une stratégie de transformation numérique sur mesure et parfaitement conçue
  • Souveraineté technique (pas de dépendance vis-à-vis d'un fournisseur)
  • Indépendance opérationnelle
  • Souveraineté des données et localisation
  • Cyberrésilience
  • Conformité

Dans les cercles d’experts, l’attention se porte sur les efforts déployés au sein de l’UE pour couvrir, définir et adapter les thématiques évoquées à différents segments du marché au moyen d’un grand nombre de réglementations et de normes.

En ce qui concerne les banques et les assurances, la version actuellement discutée du règlement sur la résilience opérationnelle numérique exige que les audits de conformité ne soient plus (uniquement) basés sur la documentation, mais que le système en cours d’utilisation puisse être transféré d’une infrastructure (datacenter, hébergeur ou cloud) à une autre sous 48 heures. 

Ce nouveau niveau de réglementation et d’audit est synonyme de complexité accrue et nécessite davantage d’efforts (notamment pour les audits), mais contribue immédiatement à améliorer la cyberrésilience.

Dans la suite de notre billet, nous aborderons les sujets essentiels de la souveraineté technique, de l’indépendance opérationnelle et de la localisation des données afin d’étudier et d'approfondir d’autres thématiques dans de prochains articles.

Cloud et souveraineté numérique

Le credo est le suivant : pour être efficace, la transformation numérique doit aller de pair avec une exploitation sécurisée, une grande flexibilité, une virtualisation et une automatisation du réseau, du stockage ou du CPU, sans oublier la répartition des charges de travail sur ceux-ci ! Ce principe s’applique aux datacenters, aux infrastructures hyperscalers et aux nœuds de périphérie tels que les machines, les lampadaires ou les véhicules dans la logistique.

Par conséquent, le cloud joue un rôle fondamental en tant que modèle opérationnel dans la mise en œuvre de la transformation numérique et l’obtention de gains d’efficacité et de temps. Il permet également de disposer d’une infrastructure au sein des chaînes d’approvisionnement mondiales qui rend les plans et la conception des systèmes reproductibles, et ce au-delà des frontières de l’infrastructure elle-même.

Ces plans sont tout particulièrement utiles dans le domaine de la localité des données et de l’intégration des processus, que ce soit parce que les données doivent être traitées localement (Data Gravity, ou gravité des données) ou bien rester locales pour des raisons juridiques (Data Locality within Jurisdiction, ou localité des données dans la juridiction). Tous les aspects tels que les pistes d’audit et l’échange de données « cross security realm » sont également garantis, et ce de manière sécurisée et exhaustive.

Renforcer la marge de manœuvre numérique avec l’Open Source

Dans le domaine du cloud, l’Open Source joue un rôle important via les propriétés du modèle, qui répond et prend réellement en charge les exigences de base :

  • Documentation de l’interface via le code rendu public
  • Transparence et vérifiabilité des logiciels
  • Transparence grâce à des normes ouvertes
  • Interchangeabilité et évolutivité
  • Combinabilité
  • Modularité
  • Transparence du cycle de vie des produits

Dans le même temps, l’Open Source aide à répondre à l’exigence de souveraineté technique.

L’initiative Linux de Linus Torvalds est probablement (avec le serveur web Apache) l’un des projets phares sur la manière dont les communautés peuvent parvenir ensemble à une indépendance technologique, dans le sens où la technologie est librement accessible et peut être utilisée et développée librement dans un cadre plus large. Cet exemple illustre très bien le concept de souveraineté numérique.

Il existe aujourd’hui d’innombrables spécialistes et consultants sur le marché, différents prestataires et différentes distributions, mais aussi un écosystème de technologies et d’offres qui s’appuient sur ce travail et en tirent parti. Ces technologies sont disponibles dans le monde entier et sont développées, gérées et utilisées par des communautés, des organisations et des entreprises internationales.

La star du moment est sans nul doute Kubernetes, une technologie PaaS basée sur des conteneurs qui fonctionne également sous Linux et est compatible avec les mécanismes de sécurité et de gestion développés sous cet environnement. Il s’agit d’une véritable technologie cloud hybride ouverte, qui peut être utilisée dans des datacenters sur site, sur des dispositifs périphériques et des ordinateurs portables, mais aussi dans le cadre de différentes offres d’hébergement et infrastructures hyperscaler.

On retrouve là aussi des technologies de gestion qui permettent une fédération au sein de Kubernetes dans une configuration de cloud hybride ouvert et qui garantissent que les systèmes peuvent être installés et exploités de manière cohérente et sans dérive de la configuration – cela via l’infrastructure en tant que code.

Dans le cadre de la collaboration avec d’autres personnes et organisations, il faut d’abord trouver un dénominateur commun dans tout le travail réalisé. Les idées sont souvent testées, rejetées à nouveau, puis de nouvelles solutions sont trouvées.
Ce qui est particulier ici, c’est l’ouverture et la transparence du processus, mais aussi l’accent mis sur la création de solutions gérables, pragmatiques et utilisables.

Cette approche est motivée par l’obtention d’une valeur ajoutée et de capacités, et se traduit ensuite par des niveaux d’abstraction et des architectures grâce à la collaboration et aux diverses initiatives.

C’est alors qu’émergent des systèmes et des normes « de facto » ouverts, d’une qualité souvent bien différente en termes d’acceptation et de diffusion, mais aussi des concepts et normes qui peuvent être « de jure » ou basés sur des documents de réflexion et un « consensus volontaire ».

Mais pourquoi existe-t-il autant de technologies basées sur les principes de l’Open Source, notamment dans le secteur des infrastructures informatiques ?

Parce que la délégation des décisions en matière de conception, de la collaboration, de la maintenance et du développement promet un énorme gain d’efficience et d’efficacité, et qu’il n’y a généralement pas de différenciation de marché ici. L’Open Source permet de concentrer ses efforts sur la stratégie commerciale et de transformation numérique initiale.

(Une synthèse allant au-delà du cadre de cet article peut être retrouvée ici : https://www.opensourcerers.org/2021/08/16/a-primer-on-digital-sovereignty-open-source/)

Maîtriser les enjeux de souveraineté numérique grâce à trois partenaires forts

Il ne fait aucun doute que le modèle cloud est un disrupteur qui fournit une infrastructure de manière rapide et simple et qui, grâce à la standardisation, facilite et améliore la mise en œuvre des projets de transformation numérique tout au long du cycle de vie.

L’une des solutions apparemment les plus simples serait de s’appuyer sur un hyperscaler pour la fourniture de services cloud. Cependant, le concept de cloud ouvert et hybride permet de disposer d’un modèle plus flexible offrant davantage de contrôle sur les charges de travail utilisées dans le datacenter de l’entreprise ou par d’autres opérateurs.

C’est là qu’intervient l’offre d’Eviden (une entreprise d’Atos), Red Hat et Ionos :

Eviden Red Hat OpenShift propose, via son Eviden Framework Managed OpenShift, un module Sovereign-as-a-Service (SOaaS) innovant qui est notamment exploité dans les datacenters Ionos.

 

 

Illustration : Solution SOaaS d’Eviden sur la base de l’infrastructure cloud IONOS

Avec Managed OpenShift, Eviden propose une plateforme de développement d’applications basées sur le cloud et prend en charge les infrastructures de cloud privé, hybride et public. La solution souveraine fait partie du portefeuille « OneCloud » d’Eviden. Les clients d’Eviden peuvent utiliser le module comme une base pour d’autres produits de l’entreprise qui s’appuient sur des modules intelligents, prédéfinis et réutilisables dans les domaines du Big Data et de l’analyse :

• Le traitement du langage naturel (Natural Language Processing) est par exemple utilisé pour transcrire des procès-verbaux et des conversations

• L’automatisation robotisée des processus (Robotic Process Automation) joue un rôle important dans le déploiement d’environnements « citizen developer » pour l’automatisation des processus administratifs 

• L’apprentissage automatique (Machine Learning) est utilisé dans le cadre de la mise à disposition de modèles de services d’IA (analyse de données, modèles prédictifs, reconnaissance d’images)  

• L’analyse de la localisation (Location Analytics) permet de déployer, d’une manière sécurisée et conforme à la législation en matière de protection des données, des infrastructures de données géographiques complètes et leurs applications.

Étude d’un exemple pratique

En sa qualité de prestataire de services informatiques central pour la ville de Berlin, ITDZ Berlin exploite plusieurs clusters Red Hat OpenShift, qui jouent le rôle de plateforme stratégique pour le déploiement de processus spécialisés pour les utilisateurs internes de l’administration du Land de Berlin et les utilisateurs externes de ce dernier. Les environnements soumis à des exigences de sécurité différentes (publics/non publics) ont été séparés afin de répondre à ces différentes contraintes. Conformément à la recommandation de l’Office fédéral allemand de la sécurité des technologies de l’information (BSI), Red Hat OpenShift permettra à ITDZ Berlin de faire un choix éclairé entre plusieurs fournisseurs de cloud, d’agir de manière souveraine et de réduire sa dépendance vis-à-vis des hyperscalers. Les consultants, architectes et administrateurs système mis à disposition par Eviden soutiennent l’ITDZ Berlin dans le cadre de la planification, de l’optimisation, du développement et de l’exploitation des différentes plateformes OpenShift.

Conclusion

Les défis à relever pour parvenir à une plus grande souveraineté numérique sont nombreux. Outre les considérations et approches stratégiques liées à l’Open Source, la démarche d’Eviden, de Red Hat et de Ionos illustre la manière dont un écosystème existant peut offrir des options pour utiliser des technologies cloud concrètes de manière souveraine, dans le but d’exploiter tous les avantages d’une infrastructure cloud hybride ouverte et d’être en mesure de respecter les nombreuses réglementations actuelles et à venir, tout en ne perdant pas de vue les missions essentielles de l’organisation.

trendreport.de 

creativecommons.org