Face à la domination des géants américains du numérique (GAFAM) se pose la question de notre indépendance numérique.
La pandémie a mis en évidence les dépendances industrielles et numériques de l’Europe. Cette question hautement stratégique se traduit en termes de souveraineté numérique pour nos institutions, qui ont pris de nombreuses initiatives au sein de l’Europe.
Ainsi, la France inaugurait l’année dernière son label « cloud de confiance », qui passe par l’obtention d’un visa délivré par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) et la conformité aux exigences du futur schéma européen “European Cybersecurity Certification Scheme for Cloud Services”.
Mais avec 75% de l’offre cloud produite aujourd’hui par les GAFAM, l’autonomie ne peut s’affranchir, techniquement et stratégiquement, d’une collaboration avec les géants.
OVH, par exemple, concluait fin 2020 un partenariat avec Google Cloud et le projet de Cloud Européen Gaia-X inclut des entreprises chinoises et américaines parmi ses membres.
Face aux GAFAM et à défaut de garantir notre indépendance technologique, ces labels et cadres règlementaires permettent au moins de sécuriser juridiquement les accès aux données de nos systèmes d’information.
Qu’est-ce que l’indépendance numérique pour une entreprise ?
L’outil informatique a toujours été au cœur de la production du cabinet et, sur ce périmètre au moins, est globalement bien maîtrisé.
Mais le numérique et ses modes collaboratifs bouleversent cet équilibre : sur le plan économique et stratégique bien sûr (qui n’est pas mon propos ici) et sur le plan de la maîtrise de ces nouveaux outils.
Ces derniers émergent toujours plus nombreux des nouvelles technologies, avec parallèlement de plus en plus d’hébergement dans le cloud.
Comment préserver nos entreprises dans un tel environnement ?
- De la maîtrise de ses données
Lorsqu’on observe les usages, on s’aperçoit que le cabinet, s’il est généralement très attentif à l’hébergement de ses données, en optant pour des hébergeurs ou des solutions de cloud privés, ne l’est plus s’agissant des fichiers bureautiques, des échanges de fichiers ou de la messagerie.
Combien d’entre vous utilisent des Google Drive et autres One Drive ou des WeTransfer pour échanger des fichiers ?
Il s’agit là d’outils personnels, familiers pour nombre d’entre nous, mais qui utilisés professionnellement exposent clairement les données du cabinet, jusqu’à celle de ses clients, si on n’y prend pas garde.
Pour protéger ses données et en garder la maîtrise, le cabinet doit pouvoir bloquer ces usages et proposer des solutions alternatives faciles à utiliser, s’il ne veut pas voir ses collaborateurs ouvrir des accès sur ces sites grand public et y déposer des données confidentielles.
- De la (bonne) pratique numérique des collaborateurs
C’est un point clé de la maîtrise de ses données : si le collaborateur se crée un compte, indépendamment du cabinet, pour utiliser un service en ligne, ou s’il partage un accès avec un tiers extérieur au cabinet, ou laisse sans le vouloir ses identifiants lors d’un accès à un service externe, il est susceptible d’ouvrir la porte aux données du cabinet.
Pour limiter ce risque, le cabinet doit au moins établir une charte des usages numériques, qui définisse les droits et les règles précises d’utilisation de ces applications.
Mais comme pour l’échange de données, le cabinet doit aussi pouvoir fournir les outils dont les collaborateurs ont besoin pour éviter toute dérive.
C’est tout l’intérêt des applications métiers qui intègrent des solutions collaboratives, telle que la gamme Suite Expert que propose ACD, dont les accès au système d’information du cabinet sont sécurisés et dont le cabinet a l’entière maîtrise.
- De l’implantation de l’infrastructure
Le cabinet doit donc prendre les mesures techniques et organisationnelles nécessaires pour protéger et maîtriser ses données. Mais il doit aussi être vigilant quant aux choix des opérateurs.
Avec la tendance croissante à faire héberger ses données et ses applications pour se libérer des contraintes et du coût de la maintenance informatique, il est essentiel de savoir où sont réellement stockées ses données.
En les confiant à un opérateur hors Union Européenne, le cadre législatif européen ne les protègera plus et le cabinet n’aura aucun recours en cas de crise avec l’état dont relève l’opérateur.
Les récents évènements en Ukraine nous rappellent douloureusement que nous ne sommes jamais à l’abri de tels conflits.
Mais qu’un opérateur soit européen ne signifie pas pour autant que les serveurs qui hébergent les données sont en Europe. Nombre d’entre eux passent par des sous-traitants ou travaillent avec des partenaires qui eux-mêmes ont des sous-traitants.
D’ailleurs, le Règlement Général sur la Protection des Données (RGPD), entré en vigueur depuis 2018, ne s’y est pas trompé et conformise son respect en l’étendant à celui des éventuels sous-traitants de l’entreprise.
Il est donc essentiel de savoir si l’opérateur dispose de ses propres infrastructures et où se trouvent les serveurs.
- De la sécurisation de son exploitation
C’est un autre point de vigilance, et pas des moindres. Il y a des prérequis minimums en termes d’infogérance.
À l’échelle locale, lorsque le cabinet héberge lui-même son infrastructure, on observe déjà trop souvent des manquements, typiquement sur le cycle des sauvegardes. Celui-ci doit s’accompagner de contrôles réguliers et ses supports doivent être stockés en dehors des locaux, pour permettre à la fois une reprise ponctuelle sur certaines données, jusqu’à la mise en œuvre d’un Plan de Reprise d’Activité (PRA) le cas échéant.
S’agissant d’un opérateur, il est primordial de s’assurer de la qualité de ses services et de sa réactivité en cas de besoin. La redondance des données sur plusieurs serveurs, autant que possible sur des sites distincts, physiquement sécurisés bien sûr et à proximité des locaux où opèrent les techniciens de maintenance, sont autant de critères déterminants dans le choix du prestataire.
Les datacenters de COAXIS, par exemple, partenaire historique du Village Connecté avec ACD, sont situés dans le sud-ouest de la France et répondent parfaitement à ces critères d’implantation et de sécurisation, dans le respect du RGPD.
L’indépendance numérique n’est donc pas que l’affaire des états
Elle nous concerne tous au sein de nos entreprises. Il est de la responsabilité de tout dirigeant d’en être conscient et de se poser les bonnes questions, lors du déploiement de son infrastructure et des applicatifs qu’il met à la disposition de ses collaborateurs.
Voilà plus de 40 ans qu’ACD vous accompagne dans votre évolution numérique, plus de 30 ans pour ma part. Et j’espère que cet article vous aura apporté quelques éclaircissements sur les orientations à suivre pour préserver la nécessaire indépendance numérique de votre profession.
Par Thierry Banchetry, Directeur Produits ACD Groupe