La souveraineté numérique, qu'est-ce que c'est ?

Le terme « souveraineté numérique » renvoie à la capacité d'une entreprise de contrôler ses ressources numériques, notamment la possibilité de choisir l'emplacement de ses données, le mode d'exécution de ses systèmes ainsi que les personnes qui y ont accès. 

Selon ce principe, ce sont les entreprises qui gèrent elles-mêmes leurs données et technologies au lieu d'en confier le contrôle à un fournisseur externe. 

La souveraineté numérique s'applique, entre autres, à l'infrastructure, à l'exploitation et aux charges de travail d'IA.

Découvrir nos solutions pour la souveraineté numérique

Le principe de la souveraineté numérique peut aussi bien s'appliquer aux entreprises qu'aux États. Certains pays ont adopté des lois qui définissent et mettent en application des contrôles numériques au sein de leurs territoires, comme le RGPD (règlement général sur la protection des données) dans l'Union européenne ou le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) aux États-Unis. Ces réglementations visent à protéger les consommateurs et la propriété intellectuelle, à préserver l'indépendance et la résilience ainsi qu'à réduire les risques. 

Cet article s'intéresse plus particulièrement à la souveraineté numérique des entreprises. 

Découvrir les stratégies de souveraineté numérique pour les opérateurs de télécommunications 

Pour mieux comprendre ce qu'est la souveraineté numérique, on pourrait prendre l'exemple de la différence entre l'achat et la location d'une voiture. La possession du véhicule offre plus de liberté, d'intimité, de flexibilité et d'indépendance que la location, mais impose d'engager des frais lors de l'acquisition, de gérer l'entretien et d'avoir un permis de conduire en cours de validité. 

À l'instar d'une voiture que l'on possède, la souveraineté numérique représente une grande responsabilité et demande beaucoup de travail. Elle reste néanmoins un investissement valable pour toutes les entreprises qui recherchent les avantages suivants : 

• Continuité des activités : lorsque la souveraineté numérique est mise en œuvre, les entreprises gardent le contrôle en cas d'incident au lieu de dépendre d'un fournisseur tiers. 

  Celles qui maîtrisent leurs systèmes peuvent assurer leur portabilité et leur interopérabilité. Cet avantage leur laisse la possibilité d'effectuer une migration lors d'une interruption imprévue ou d'accéder immédiatement aux logiciels, à l'assistance et aux modèles dans le pire des scénarios. Tous ces facteurs contribuent à assurer le bon déroulement des activités, conformément aux exigences des entreprises.

• Flexibilité vis-à-vis des fournisseurs : la souveraineté numérique permet de choisir librement des outils et services auprès de divers fournisseurs. 

  Lorsqu'elles contrôlent leur infrastructure, les entreprises peuvent réduire le risque de pannes, faciliter le changement de fournisseurs et multiplier leurs options.

• Gestion des risques : la souveraineté numérique contribue à protéger les infrastructures essentielles contre les perturbations externes et réduit l'exposition aux risques en amont.

  Le recours à des fournisseurs externes, qui ont leurs propres priorités, risque d'introduire des vulnérabilités indésirables. Les entreprises qui contrôlent leurs données, infrastructures et fournisseurs sont en mesure de limiter les dépendances susceptibles de générer des risques en matière de sécurité, de conformité ou de géopolitique. 

Pour résumer, la souveraineté numérique est une approche adaptée aux entreprises qui préfèrent « acheter leur voiture » et choisissent l'autonomie plutôt que les avantages pratiques qu'offre la location.

Passer une évaluation de l'état de préparation pour la souveraineté

La souveraineté numérique s'articule autour de quatre axes qui structurent le contrôle des ressources numériques.

1. La souveraineté des données implique de respecter la réglementation locale lors des étapes de création, de stockage et d'utilisation des données. Les données sont généralement soumises aux lois du pays dans lequel elles sont collectées ou traitées, même si ce sont les réglementations internationales qui s'appliquent parfois. C'est aussi le cas pour les modèles d'IA et les données d'entraînement. Les réglementations applicables diffèrent d'un pays à l'autre. 

   Par exemple, les données collectées en Allemagne doivent respecter les recommandations du RGPD. 

2. La souveraineté technique implique de contrôler l'assemblage des systèmes. Lorsque les technologies sont conçues pour être portables et interopérables, elles peuvent être déplacées entre plusieurs environnements et fonctionner avec d'autres outils. L'utilisation de normes ouvertes et de technologies Open Source contribue également à réduire la dépendance vis-à-vis de l'infrastructure ou des logiciels propriétaires d'un fournisseur unique. Cette approche simplifie l'adoption de nouveaux outils, le changement d'environnement et la modification de l'architecture sans repartir de zéro.

   Par exemple, lorsqu'une entreprise doit sélectionner les charges de travail à exécuter sur site et dans le cloud, elle n'est pas limitée par l'architecture d'un fournisseur. 

3. La souveraineté de l'exploitation implique de contrôler l'exécution des systèmes, leur accès ainsi que leur maintenance au quotidien. Les entreprises qui choisissent les méthodes d'exploitation, de gestion et de surveillance de leur infrastructure peuvent vérifier les droits d'accès aux systèmes et la fiabilité de leur exécution. 

   Par exemple, lorsque c'est l'équipe informatique interne qui contrôleles utilisateurs pouvant accéder aux systèmes, réagir en cas d'incident et effectuer des modifications instantanément, il n'est plus nécessaire d'attendre l'intervention d'un fournisseur. 

4. La souveraineté de l'assurance implique de garantir la sécurité et la fiabilité des technologies, ainsi que leur conformité avec les exigences de l'entreprise. Elle repose sur le test régulier des systèmes, la vérification de leur adéquation avec les exigences réglementaires locales, ainsi que des audits permettant de s'assurer que les politiques appliquées sont à jour. L'étape de vérification concerne également l'infrastructure informatique, les logiciels et l'exploitation.

   Par exemple, un professionnel de santé peut réaliser un audit de ses systèmes pour vérifier la confidentialité des données et le respect des exigences de la loi HIPAA (Health Insurance Portability and Accountability Act). 

Découvrir les différences entre la souveraineté numérique et la conformité

La souveraineté numérique consiste à conserver le contrôle des technologies au sein de l'entreprise, même en cas de collaboration avec des fournisseurs tiers. 

La souveraineté des données (l'un des quatre axes de la souveraineté numérique) encadre les données, y compris les modèles d'IA et les données d'entraînement, selon les réglementations des pays dans lesquels elles sont collectées, stockées ou traitées. Elle se situe à l'intersection entre la conformité réglementaire et la stratégie de l'entreprise. 

Les données doivent respecter les réglementations locales, même si la société mère ou certains datacenters de l'entreprise se situent dans un autre pays. Cette contrainte peut s'avérer délicate lorsque les données sont collectées à l'échelle internationale. 

Par exemple, une entreprise américaine qui dispose d'un site à Paris et qui collecte des données en France doit respecter les lois européennes comme le RGPD, même si la société mère se trouve aux États-Unis.

Il est important de différencier la souveraineté numérique de la souveraineté des données et de ne pas les confondre avec le terme « souveraineté du cyberespace », qui désigne le contrôle qu'exercent les États sur Internet au sein de leurs territoires à l'aide de lois et de mécanismes de censure. 

Par exemple, certains pays restreignent l'accès à des contenus qui peuvent être librement consultés ailleurs dans le monde. 

Il existe deux autres concepts importants en lien avec la souveraineté numérique et la gouvernance :

• Résidence des données : ce terme fait référence à l'emplacement physique des données. Dans l'exemple ci-dessus, la résidence des données est en France.
• Localisation des données : ce terme fait référence aux lois qui imposent de stocker et traiter certaines données dans les limites territoriales d'un pays. Dans l'exemple ci-dessus, l'entreprise américaine doit conserver les données collectées en France au sein de l'Union européenne ou appliquer les processus de transfert approuvés. 

Pour résumer, la souveraineté numérique donne aux entreprises le contrôle des décisions relatives à l'infrastructure et aux technologies, tandis que la souveraineté des données leur impose d'appliquer des réglementations spécifiques aux données locales. Ensemble, ces approches leur permettent de mener leurs activités à l'échelle internationale tout en limitant les risques de non-conformité.

Toutes les entreprises qui stockent, traitent ou transfèrent des données devraient intégrer la souveraineté des données dans leurs stratégies de sécurité, de confidentialité et de conformité réglementaire.

La souveraineté numérique séduit de nombreuses entreprises en raison du niveau de contrôle et de garantie qu'elle apporte. La supervision totale de l'environnement numérique permet de choisir comment gérer l'infrastructure, les données ainsi que la sécurité, et ce niveau d'autonomie contribue à améliorer les aspects suivants :

• Conformité réglementaire : la garantie de conformité avec les lois relatives aux données locales ainsi que le contrôle des transferts de données réalisé en interne permettent d'améliorer la sécurité dans son ensemble et d'assurer la continuité des activités.
• Résilience opérationnelle : les équipes responsables des plans de récupération après sinistre peuvent intervenir et ajuster les charges de travail sans attendre l'accord d'un fournisseur.
• Gestion des risques : en limitant l'utilisation de plateformes externes, les entreprises réduisent leur exposition aux pannes touchant les fournisseurs et clarifient les responsabilités en matière de sécurité.
• Visibilité sur les coûts : la souveraineté n'a pas d'effets directs sur les coûts, mais en améliorant la transparence, elle permet d'ajuster les ressources et le budget en conséquence.
• Gouvernance de l'IA et contrôle des modèles : au lieu d'externaliser complètement l'IA, les entreprises contrôlent les données d'entraînement, les mises à jour des modèles ainsi que la manière dont l'IA est déployée. Elles peuvent ainsi effectuer un réglage fin des modèles et personnaliser les systèmes d'IA pour qu'ils répondent à leurs besoins. Cette approche renforce également la sécurité, ce qui représente un réel avantage dans les secteurs hautement réglementés tels que la santé et les services financiers. 

L'augmentation du niveau de contrôle permet aux entreprises d'améliorer la flexibilité, de clarifier la gouvernance et de favoriser une stratégie plus viable à long terme.

Cependant, il n'est pas toujours pertinent de chercher à atteindre un niveau de contrôle maximal sur les technologies utilisées. Certaines plateformes sont plus adaptées au cloud public. C'est au niveau des charges de travail que les entreprises peuvent vouloir conserver leur pouvoir de décision et mettre en œuvre la souveraineté numérique.

Certaines entreprises renoncent à gérer en interne la maintenance de l'ensemble de leurs technologies car ce processus peut s'avérer très complexe, quelle que soit leur taille. 

La souveraineté numérique implique beaucoup de responsabilités : conformité, chaîne d'approvisionnement, résidence des données, IA, entre autres. Et plusieurs obstacles peuvent se présenter : 

• Coûts : la souveraineté numérique nécessite généralement un investissement initial et impose ensuite aux entreprises de gérer elles-mêmes l'infrastructure, les logiciels et les plateformes de gouvernance des données. Les architectures hybrides ou multicloud peuvent s'avérer coûteuses, mais permettent aux entreprises de préserver leur flexibilité lorsque les technologies évoluent. 

  Il est important de noter qu'il n'est pas nécessaire de recréer entièrement l'environnement pour mettre en place la souveraineté, mais qu'il faut prendre en compte les exigences associées dès la création de l'infrastructure. 

• Personnel compétent : il peut s'avérer difficile de former et financer une équipe compétente. Pour atteindre la souveraineté numérique, il est nécessaire de recruter des spécialistes locaux, notamment en ingénierie de la sécurité et des plateformes, capables de comprendre les cas d'utilisation propres à l'entreprise.
• Conformité réglementaire : les données proviennent souvent de différents pays, dont les réglementations se chevauchent ou se contredisent parfois. De plus, comme elles évoluent régulièrement, il est important pour les entreprises de se tenir informées pour éviter tout retard au niveau de l'exploitation et éliminer les risques en matière de sécurité.
• Dépendance vis-à-vis d'un fournisseur : certaines entreprises peuvent avoir du mal à abandonner les ressources numériques propriétaires d'autres fournisseurs sans perturber leurs activités. La migration doit être soigneusement planifiée et l'architecture bien conçue pour limiter les risques.
• Complexité organisationnelle : la collaboration entre les équipes chargées de l'informatique, de la sécurité, de la direction, des finances et des services juridiques est essentielle. Pour que la stratégie de l'entreprise fonctionne, elles doivent partager les mêmes priorités en matière de souveraineté. 

Selon le cas d'utilisation, la stratégie de souveraineté numérique n'impliquera pas les mêmes niveaux de contrôle et de complexité, donc les difficultés rencontrées lors de son exécution pourront varier. 

• L'infrastructure autogérée offre le meilleur niveau de contrôle, mais c'est aussi l'approche la plus coûteuse et celle qui demande le plus de maintenance.
• Les solutions de cloud souverain peuvent également coûter cher et imposer certaines limites définies par le fournisseur.
• Les architectures hybrides ou multicloud offrent le plus de flexibilité, mais elles complexifient l'exploitation et imposent des exigences de gouvernance différentes selon l'environnement.

On peut reprendre ici l'exemple de la différence entre l'achat et la location d'une voiture. Le choix d'une solution de souveraineté numérique implique un compromis : plus de contrôle et d'indépendance, contre moins de complexité et d'investissement initial.

Un cloud souverain est un environnement cloud conçu pour garantir trois niveaux de contrôle : l'emplacement des données, les réglementations à respecter et l'exploitant de l'infrastructure. 

• La souveraineté des données, associée à la résidence et à la localisation des données, définit l'emplacement de stockage ainsi que les modalités de déplacement des données pour respecter les exigences réglementaires locales.
• Le périmètre réglementaire détermine les lois qui doivent s'appliquer aux données ainsi que les personnes autorisées à y accéder. Il permet aussi de limiter l'accès par les États étrangers et les tiers tels que les équipes du fournisseur cloud qui gèrent les systèmes sous-jacents.
• Le contrôle de l'exploitation détermine qui exploite l'infrastructure. Il impose souvent l'exploitation locale de l'infrastructure, le recours à des équipes d'assistance régionales ainsi que des contrôles stricts d'identité et de gestion des accès. 

La souveraineté englobe de nombreux aspects. Certains clouds souverains privilégient la résidence des données tandis que d'autres intègrent des exigences plus strictes en matière d'accès et d'exploitation.

On pourrait facilement confondre le cloud souverain avec d'autres environnements courants, tels que le cloud hybride ou le multicloud. Toutefois, le cloud souverain n'est pas qu'une question de flexibilité, de conformité ou de chiffrement des données. 

L'infrastructure d'un cloud souverain facilite la mise en œuvre du contrôle des données, de l'exploitation et du périmètre réglementaire tout en apportant la flexibilité et l'évolutivité du cloud computing. Même si les clouds souverains assurent la protection et la conformité des données, les entreprises demeurent responsables de la gouvernance, de la configuration et des pratiques de sécurité internes. 

Lire l'article sur les engagements de Red Hat en matière de cloud souverain

Le terme « cyberrésilience » désigne la capacité d'une entreprise à éviter les attaques malveillantes, pannes du système ou perturbations de la chaîne logistique, mais aussi à se défendre et à reprendre ses activités en cas d'incident. Il s'agit d'un prérequis essentiel à la souveraineté numérique car sans contrôle des technologies, il est impossible d'en maîtriser totalement la protection. 

Voici les trois grandes étapes qui structurent la cyberrésilience :

• Prévention : cette étape permet d'identifier les vulnérabilités avant que des acteurs malveillants les exploitent. Les stratégies de sécurité proactive s'appuient sur des contrôles d'accès stricts, des architectures Zero Trust et la surveillance continue pour identifier les comportements inhabituels. Les vecteurs de risques sont souvent externes, mais ils peuvent aussi être internes.
• Défense : en cas de cyberattaque, l'objectif principal est d'empêcher toute propagation, tout d'abord en fermant l'accès aux technologies, puis en isolant les systèmes affectés. Dans la mesure du possible, il faut maintenir les fonctions essentielles pour l'entreprise dans les zones sûres.
• Récupération : les entreprises doivent prévoir une stratégie de récupération après sinistre qui couvre la restauration des systèmes à partir de sauvegardes fiables, la suppression des vulnérabilités existantes, la réparation des éléments altérés et l'élaboration d'un plan pour supprimer les faiblesses qui ont été exploitées lors de l'attaque. Durant cette étape, il est également important de rétablir la confiance des clients. 

Une infrastructure souveraine renforce la capacité à sécuriser, surveiller et restaurer les systèmes de façon autonome.

Lire l'article sur le règlement européen sur la cyberrésilience

L'IA souveraine applique les principes de souveraineté numérique aux systèmes d'IA tels que les plateformes, les modèles, les charges de travail et les données. Elle permet de contrôler les méthodes de développement, de déploiement et d'exploitation des systèmes d'IA pour qu'ils reflètent les valeurs de l'entreprise et respectent les exigences réglementaires.

Le déploiement de l'IA souveraine marque le passage de la location d'une IA à la possession de l'IA. 

L'IA souveraine permet aux entreprises de créer, de posséder et d'exploiter des modèles d'IA selon leurs exigences, plutôt que de payer pour utiliser les systèmes d'IA d'un géant de la technologie (comme OpenAI ou Google). 

L'IA souveraine n'impose pas forcément de détenir ses propres modèles. Elle laisse la possibilité d'héberger des modèles Open Source en interne, d'exécuter des systèmes d'IA dans une infrastructure qui respecte les exigences réglementaires locales ou d'en déployer dans un cloud souverain. 

La possession des modèles représente l'option la plus coûteuse, mais gérée correctement, elle est aussi celle qui offre le meilleur niveau de contrôle sur la confidentialité, la gouvernance et la propriété intellectuelle. 

Les technologies d'IA évoluent presque quotidiennement, ce qui pose de nouveaux défis pour la souveraineté numérique. Cette tendance renforce le besoin de gouvernance et change l'importance accordée au contrôle de l'infrastructure et des données.

En savoir plus sur l'IA souveraine

Nos solutions Open Source favorisent la souveraineté numérique en laissant le contrôle aux entreprises. Nos plateformes et services leur fournissent les outils nécessaires pour gérer leurs données et technologies. 

Parler à un représentant Red Hat

Nous concentrons nos efforts sur les éléments suivants :

• Transparence : les produits tels que Red Hat® AI, Red Hat Enterprise Linux® et Red Hat OpenShift® offrent la visibilité sur les logiciels nécessaire pour comprendre précisément le fonctionnement des systèmes.
• Architecture de cloud hybride : les applications peuvent s'exécuter dans tous les environnements (sur site, dans les clouds de fournisseurs tiers ou à la périphérie du réseau) sur la base d'une plateforme unique et cohérente.
• Interopérabilité : les entreprises restent totalement indépendantes des fournisseurs. Nous créons nos produits à partir de normes ouvertes qui permettent de mélanger et d'associer différents outils provenant de plusieurs fournisseurs pour répondre aux besoins de chaque entreprise.
• Innovation Open Source : les communautés de développeurs du monde entier perfectionnent sans cesse les projets Open Source, ce qui nous aide à améliorer nos produits. Cette approche favorise la diversité et l'ouverture d'esprit.
• Contrôle : la supervision des déploiements permet d'améliorer la souveraineté de l'exploitation. C'est en adaptant les déploiements et charges de travail à leurs besoins que les entreprises obtiennent les meilleurs résultats pour leurs cas d'utilisation. 

Les logiciels Open Source aident les entreprises de tous les pays à renforcer la souveraineté numérique, et nous proposons des solutions de souveraineté numérique aux clients du monde entier. 

Découvrir comment Red Hat soutient la souveraineté dans l'Union européenne