par Antoine Buat, président et co-fondateur de Digdash.
L’attaque des systèmes d’information de la mairie de Lille en avril dernier ou celle du CHU de Rennes cet été viennent nous rappeler que les institutions publiques restent des cibles privilégiées des pirates informatiques qui dérobent des données pour les revendre sur le darkweb ou demander une rançon pour leur restitution. Des informations personnelles tels que IBAN, dossiers médicaux, adresses électroniques, numéros de téléphone etc. font ainsi l’objet d’attaques de plus en plus fréquentes et de grande ampleur.
Au-delà des risques de violation, l’exposition des données questionne également alors que les discussions autour de la souveraineté s'accélèrent. En effet, de nombreuses institutions confient, parfois sans le savoir, leurs fichiers à des entreprises non-européennes ou même européennes mais les hébergeant sur des serveurs étrangers. Se pose alors la question de l’accès à ces informations, avec des lois comme le Cloud Act et le FISA états-uniens qui permettent au gouvernement d’accéder à n’importe quelle donnée stockée par un hébergeur américain, même en dehors de leur sol. Cela leur donne non seulement le pouvoir de les collecter, de les consulter mais aussi de les partager sans le déclarer. Problème : le monopole des géants américains tels que Amazon, Google et Microsoft pousse un très grand nombre d’entreprises et d’institutions publiques françaises à y héberger naturellement leurs données.
Nous voici donc confrontés à un réel enjeu géopolitique. Pourtant, qu’il s’agisse d’actions d’États étrangers ou de groupes cybercriminels, la souveraineté numérique, nationale mais aussi européenne, doit au contraire nous permettre de protéger les données des citoyens français. A l’instar de ce qu’il se passe pour un espace de défense terrestre, l’État a un rôle de premier plan à jouer mais il n’est pas le seul. En son sein, il défend cette souveraineté numérique à travers la Dinum dont le rôle est toutefois limité aux ministères et opérateurs gouvernementaux.
Mais prenons l’exemple des collectivités territoriales qui ne disposent pas, à ce jour, pour les accompagner, d’un organisme équivalent à la Dinum ce qui n’aide pas à la sensibilisation des élus et cadres territoriaux à la protection des données. Nous constatons alors que beaucoup reste à faire pour une réelle prise de conscience des risques.
Si les projets de datacenters de proximité peuvent sembler très coûteux, les alternatives proposées notamment par les éditeurs français restent sous-estimées face à la notoriété des géants américains. Les décideurs publics devraient plutôt, compte tenu des risques évoqués ci-dessus, revoir leurs choix de prestataires pour l’hébergement de leurs données et favoriser des sociétés locales, idéalement françaises, qui sont comme dans le logiciel, tout aussi performantes que des sociétés étrangères dont la puissance de feu financière et marketing les rend toutefois bien plus visibles.
Commenter cet article