Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog

Publié par NOVIAL INSTITUTE SAS - Groupe NOVIAL - NOVIAL CONSULTING

Dans une délicate interdépendance avec les Etats-Unis et dans une difficile définition de son Cloud souverain, l’Union européenne semble encore jongler également en interne sur la gestion de ses données entre d’une part, un(e) Règlement Général sur la Protection des Données (RGPD) de conception française, certes bonne pour l’Europe mais qui en a eu besoin pour s’installer en France comme l’a dit son Président de la République devant le Parlement européen, et d’autre part la demande de quasi tous les autres pays, comme dans la défense et dans un grand nombre de domaines, de pouvoir également et ensuite monnayer les données, une sorte de label européen entre ceux qui voient un but et d’autres un stade mais qui doivent marcher ensemble sur leurs deux pieds avec des mots qui ont toute leur importance.

Reprenant sans doute certaines de nos propositions, réalités globales et orientations exprimées en juin 2019 à l‘ancienne commissaire européenne pour l’économie et la société digitale, transmises depuis à la Vice présidente et au commissaire en charge du numérique http://www.irce-oing.eu/2019/08/pour-un-fonds-europeen-sur-la-cybersecurite.html, ainsi qu’à travers une tribune sur la solidarité et la segmentation européenne http://www.irce-oing.eu/2020/06/intelligence-segmentation-imbrication-a-la-recherche-d-une-solidarite-et-d-une-certaine-autonomie-industrielle-et-economique-europee, et enfin en réponse au Cloud Act étasunien, non toujours bien compris, l’élaboration du Digital Service Act, comme du Digital Market Act, promis pour 2023 se doivent d’être à la fois contraignant et ouvert avec un cadre législatif et des mesures de sanction effectives à la façon d’un Buy European Act raisonné, affichant que tout le monde est le bienvenu avec ses savoirs et savoir faire, voire savoir être dans le respect des règles européennes, encore parfois à définir, afin d’offrir aux citoyens européens l'environnement le plus sûr et le plus compétitif du monde dans un respect, voire une concurrence intelligente comme rappelé par la récente escarmouche entre le Commissaire Breton et le dirigeant de Google.

Même si une certaine déception se fait ressentir chez certains acteurs qui se sont investis en comparaison d’efforts consentis, il est à constater certaines actions plus ou moins coordonnées mais qui, assemblées et bâties sur une approche globale de réalités même disruptives, peuvent montrer une certaine intelligence réactive au son du canon pour des objectifs spécifiques, mesurables, réalistes, réalisables, déterminées dans le temps.

Les actions et facilitations  institutionnelles, étatiques et territoriales :

Après la Cloud Initiative, les institutions doivent désormais également apparaitre plus structurantes que facilitatrices, sans décourager les bonnes volonté, dans une foison d’initiatives et de prises de position plus ou moins liées des états médiateurs, régulateurs, utilisateurs comme des entreprises, en évitant toute forme de cristallisations nationales, au profit d’une dynamique réellement européenne, certes unie dans la diversité avec un constat montrant que l’on retrouve encore une fois les Français, les Allemands et les autres, souvent avec ces derniers. Mais certains savent aussi faire valoir une certaine dynamique comme l’Estonie qui pourrait valoriser sa simplification administrative dans une dimension régionale mais aussi le Luxembourg avec sa volonté d’identité de nation numérique, dont cloud et PNR. Notons enfin une région Bretagne pilotant un projet Interreg avec plus d’une dizaine d’autres régions impliquées à travers l’Europe sur la sécurité.

Misons que ces imbrications puissent estomper la fragmentation constatée en agissant en segmentation comme pour Airbus, en confiance et répartition de capacité spécifiques, au-delà d’éléments nécessaires communs, dans une Europe unie en solidarité entre la politique de chaque état, pour lui-même ou pour le bienfait des autres, sans s’accrocher sur par exemple le « e » final de Concorde qui aurait aussi pu être mis entre parenthèses à la fin du mot pour mieux montrer ce label de coopération franco-britannique. La cybersécurité et le cloud peuvent aussi montrer l’exemple pour enfin comprendre le rôle des histogrammes montrant que chaque pays européen, pris individuellement, perdra peu à peu sa place dans le G8 à part peut-être l’Allemagne.

Mentionnons les efforts de la Commission européenne depuis la dernière législature et encore plus fortement depuis la nouvelle présidence avec uns vice-présidente et un commissaire chargés de l’ère digitale, ce dernier plus particulièrement des aspects industriels, jonglant entre  règlements et directives, avec une direction générale orientant son agence chargée de la sécurité des réseaux et de l'information (ENISA),  moins connue en France qu’EU-LISA, qui n’hésite pas à faire intervenir des agences gouvernementales étasuniennes, sans doute comme approche comparative lors de ses conférences ; sans oublier la très ancienne politique industrielle réalisée par la recherche européenne notamment avec le PCRD, puis H2020 et prochainement par Horizon Europe sur le thème de la sécurité avec parfois un décloisonnement entre points de contacts nationaux.

Mentionnons tous les groupes de travail nationaux dont interministériels, les agences nationales telles l’Agence nationale de la sécurité des systèmes d'information (ANSSI) en France et l’Office fédéral de la sécurité des technologies de l'information (BSI) en Allemagne avec chacune leur modèle et leur objectif de certification.

Les structurations industrielles :

Après l’impulsion des institutions par la constitution de consortia tels Cyber4Europe, Sparta, Echo, Concordia réunissant grands groupes, universités, organismes étatiques, laboratoires et PME http://www.irce-oing.eu/2020/03/cyber4europe-sparta-echo-concordia-les-grandes-plate-forme-cyber-europeennes.html,  après les travaux à l’intérieur du projet l’Important Project of Commun European Interest (IPCEI) avec notamment la participation du CEA, voici apparaître la création du cluster industriel GAIA-X, soutenu par les gouvernement français et allemand, avec une communication un peu plus européenne côté allemand, se définissant comme étant le Cloud européen, sorte de marquage CE demandant le respect de certains critères, surtout techniques sur le sol européen, pour soi-disant concurrencer les GAFA(M), dont il faut bien rajouter le M, en interdépendance interne avec des voix discordantes comme énoncées plus après.

Notons que GAIA-X invite également à travailler en interdépendance externe en invitant des entreprises non européennes, dont apparemment comme Google, du moment qu’elles partageant des objectifs de souveraineté et de disponibilité, comme pour la recherche européenne, sachant que la souveraineté numérique n’est pas encore officiellement affirmée par la Commission, ni par son agence exécutive dans ce domaine qui affiche ne pas pouvoir prendre position sur l’origine et la qualification des outils relationnels numériques largement utilisés désormais avec les restrictions de voyage liées à la crise sanitaire.

Peut-être s’agira-t-il aussi de définir si les GAFA(M) sont finalement apatrides ou s’ils sont liés aux Etats-Unis qui de toute façon n’apparaissent pas comme un ennemi ni même un concurrent déjà pour l’Allemagne, leader économique européen, ni pour l’Union européenne dans un lien transatlantique renforcé.

Peut-être faudra–il constater que le numérique et la cybersécurité ne sont pas des domaines stratégiques européens ou alors étasuno-européen pour faire face à la Chine, voire l’Inde, en passant par l’Organisation du Traité de l’Atlantique Nord (OTAN) et ses compétences que seule la France semble aussi vouloir ignorer. 

La coopération annoncée d’OVH avec Google, saluée par le secrétaire d’état français, désireux d’attirer sur le territoire français, et s’alignant avec l’Allemagne sur ce lien privilégié transatlantique n’est donc pas une surprise. Le ministre allemand initiateur du projet rappela néanmoins qu’il ne s’agira pas de concurrencer les super-espaces de stockage américains d'Amazon ou Microsoft tout en donnant un souhait d'offrir aux entreprises européennes une alternative aux fournisseurs de Cloud américains AWS, Google Cloud et Microsoft Azure, qui dominent très largement le marché du Cloud public, et de donner plus de visibilité aux offres européennes, rappelant les initiatives Juncker sur le Fond (de recherche industrielle) de Défense ne voulant surtout pas s'opposer à l'OTAN..

Mais peut-être faut-il constater que ces GAFA(M), plus forts de certains états, possèdent déjà une technologie trop en avance dont il faut profiter en interdépendance, comme le fait le moteur de recherche Qwant issu de l’open internet project dont le fondateur utilisait déjà la mémoire d’utilisation, luttant contre Google puis travaillant finalement avec pour éviter les luttes juridiques, certifié par les administrations françaises, repris par la Caisse des dépôts et Microsoft, se déclarant outil européen alors qu’il n’est que français pour l’Europe.

Par ailleurs, il est fait état de façon très fréquente du terme « fédéré » alors qu'un français et un allemand ne le comprennent pas de la même façon. Il en est de même avec le terme « souverain », sans doute connotation trop française et qui devrait être remplacé même s’il s’avance comme un bouclier national ou européen, voire plus large encore, ou une lance plus ou moins sacrée.

Au-delà de collaboration sur le même métier, GAIA-X vient de faire germer un partenariat entre le français OVHCLOUD a priori déclaré leader européen du cloud installé en France, dont le patron n’est d’ailleurs pas d’origine française, et l’allemand T-Systems pour proposer une offre cloud public ouvert et de confiance, dès 2021 en Allemagne et espérons en France offrant, aux clients de T-S de profiter de centre de données avec le réseau Deutsch Telekom, T-Syst fournissant son système de refroidissement par eau. Cette complémentarité est à saluer car d’une part elle aborde l’apport essentiel de l’énergie, sans la traiter entièrement avec un besoin également de source d’énergie pour éviter les pertes de données avec pourquoi pas Siemens ou Roll-Royce certes britannique, et d’autre part elle permet une possible connaissance mutuelle par segmentation, comme lors de la constitution de l’équipe d’Europe dans le programme ACCS de l’OTAN, en regardant les autres compétences nécessaires autres qu’électroniques pour les senseurs pour être complémentaires et plus forts ensemble. OVH doit par ailleurs consolider sa toile avec des participations européennes et non être un outil français pour l’Europe, comme nous le préconisions pour à Qwant avant d’être recapitalisé par la Caisse des dépôts et Microsoft.

S’agissant de la taxation financière des GAFA(M), qui ont multiplié leur chiffre d’affaires avec la crise, qui fonctionnent sans marges mais sur leur trésorerie comme les grands distributeurs alimentaires, qui divisent aussi les états européens avec toujours le même clivage, qui font aussi travailler de très nombreux libraires par des envois à coût réduit, la solution réside peut-être dans plus grande une incitation de solidarité financière même défiscalisée ou dans la recherche cyber, digitale et numérique sur le coup d’avance pour posséder immédiatement des remèdes aux attaques soudaines, d’autant plus avec l’euro numérique prochain.

Une réelle stratégie cyber et numérique pourrait faciliter et maintenir les relations entre entreprises et autres organisations. Ces structurations industrielles doivent enfin intégrer le couvage de projet comme le couvage de start up puis de PME par les groupes, et développer à la fois une approche de chasse en meute et de chasse en escadre. Les Entreprises de Taille Intermédiaire (ETI), doivent pouvoir adapter leur modèle et leur politique générale stratégique, structurelle, identitaire et décisionnelle, et seront la pierre angulaire entre les modèles français et allemand qui ne doivent pas forcément se copier mais s’imbriquer avec des dispositions communes entre les deux pays.

Misons enfin désormais pour des présences européennes renforcées dans les salons ou événements français comme déjà en partie au salon FIC de Lille ou peut-être enfin avec le pôle cyber de Bretagne.

Labels et certifications

Les labels, d’initiative volontaire, ainsi que les certifications, représentent des avantages pour structurer, en qualité et confiance, en tamisant le bon grain de l’ivraie opportuniste, avec des processus d’attribution et de vérification, permettant souvent de façon sous-jacente d’aider également les entreprises et autres organismes à découvrir une vraie relation client et fournisseur.

Les inconvénients existent aussi pour des mêmes causes d’audit ou de processus détourné de leur bon sens ainsi que pour des labels souvent politiques et territoriaux dit d’excellence pouvant cacher certaines réalités négatives d’imposition plus qu’adhésion et donc souvent d’incompétence ou d’incohérence comme nous l’avons vu dans les pôles de compétitivité.

De même n’oublions pas que les marchés publics ne doivent pas discriminer les entreprises n’ayant pas choisi de certification, comme par exemple ISO 9001 ou 14001, qui elles-mêmes souvent sont allées au-delà des normes demandées qui mobilisent temps et argent, et qui doivent pouvoir faire valoir une possible équivalence. Dans ce domaine, les projets relatifs au digital et la cyber sécurité doivent s’inspirer des exemples dans les autres domaines plus anciens et peuvent aussi les faire avancer.

Des initiatives voient le jour par l’intermédiaire d’autres organisations facilitatrices telles ECSO avec le label d’origine géographique « Cybersecurity made in Europe » pour l’instant plus IGP qu’AOP sans notion de certification sur les produits ou services. Ceci ne doit pas remplacer une nécessaire présence permanente et notamment industrielle française dans les séminaires bruxellois de l’ENISA. L’industrie française et ses PME ou start up reconnaissent trop se reposer sur l’ANSSI dont ce n’est pas le travail, mais peut-être aussi par directive. Les agences nationales française et allemande contrôlent et verrouillent l’agence européenne avec une certaine  rivalité et confiance relative entre l’ANSSI française qui certifie sur les habilitations et les personnes et le BSI allemand qui certifie plutôt sur le process, les outils et installations. Les deux approches mixtes de certification peuvent aussi être valorisées sous une approche de label d’éléments complémentaires, pourtant affiché, mais qui ne parvient pas à être mis en œuvre, et dont les responsables, avec également leurs personnalités, ne veulent pas venir parler, avec les mêmes réalités que d’autres agences européennes dont l’EASA. Ceci pourrait pourtant montrer l’exemple dans le cloud mais aussi ses applications dont les données de dossiers passagers (PNR) différents terre, air mer, et qui justement devraient par ailleurs être traités de façon globale pour avancer,  mais aussi dans beaucoup d’autres domaines dont la fiscalité où les visions diffèrent entre les états qui ne doivent pas rester divisés pour autant. Peut-être faut-il porter une fois de plus cela au niveau européen pour le voir enfin aboutir.

La finance structurante qui sera abordée plus après pourra également prévoir un label éthique pour l’origine des fonds mais également pour leur utilisation qui ne doit pas non plus empêcher l’innovation qui elle-même peut aussi utiliser un label qualité de prise de considération des projets antérieurs en terme d’optimisation de temps et d’argent.

En terme d’optimisation des approches, nous pourrions aussi imaginer l’exemple des labels cloud en lien avec la santé, la notion de Partenariat Public Privé, le dual civil-militaire et/ou public-privé mais également le portage et/ou de couvage entre groupe et PME, qui ne sont pas obligées de vivre par des prises de participation mais trouver le lien bénéfique pour tous comme sait le faire par exemple Dassault System. Peut aussi se poser l’opportunité des liens labellisés avec l’usine du futur ou 4.0, la transformation digitale, le Smart Data et l’Intelligence Artificielle avec des structures et des moyens adaptés aux tâches voulues, que certains analysaient comme étant la base de GAIA-X, avec aussi un risque de mélange selon certains spécialistes.

S’agissant de certification qui reste également volontaire, il n’existe pas encore au sein de l’UE, de notion de fiabilité sur les outils et aucun regard sur le portage d’origine, désireuse de ne pas mettre de frontières donc en cohérence avec GAIA-X ou la recherche. Notons le règlement (UE) 2019/881 qui prévoit que l'UE fournira des programmes de certification à l'échelle de l'UE sous la forme d'un ensemble complet de règles, d'exigences techniques, de normes et de procédures. De tels systèmes, une fois adoptés au niveau de l'UE, pour des produits, services ou processus spécifiques, seront valables et également reconnus dans tous les États membres de l'UE. Comme dans d’autres domaines, actuellement, le paysage de la certification de cybersécurité des produits et services TIC dans l'UE est toujours assez dispersé car il existe un certain nombre d'initiatives nationales et également internationales, telles que les soi-disant critères communs (CC) pour l'évaluation de la sécurité des technologies de l'information. Notons aussi l’accord de reconnaissance mutuelle (ARM) sur la sécurité des systèmes d'information (SOG-IS) avec un prochain premier schéma à être rédigé dans le cadre du cadre de certification de cybersécurité de l'UE.

Les systèmes européens de certification de cybersécurité pourraient permettre à la fois des auto-évaluations de la conformité comme pour le marquage CE et des certifications, l'évaluation étant effectuée par des organismes d'évaluation de la conformité tiers. Suite notamment à nos recommandations, une « smart » certification à trois niveaux d'assurance est prévue et chacun d'eux fournira une rigueur et une profondeur correspondantes de l'évaluation du produit TIC, du service TIC ou du processus TIC sans forcément différencier la taille ni les capacités de l’entreprise. Grâce à l'auto-évaluation de la conformité, seul le niveau d'assurance de base peut être atteint, tandis que pour les certifications, un niveau d'assurance de base, substantiel ou élevé peut être atteint. Le processus de certification, contrairement à l'auto-évaluation de la conformité, respecte les dispositions du règlement (CE) 765/2008 qui définit les exigences en matière d'accréditation et de surveillance du marché.

Comme pour le marquage CE, dans le cadre du règlement susmentionné, chaque État membre nommera un organisme national d'accréditation (NAB), qui délivrera des certificats d'accréditation aux organismes d'évaluation de la conformité (OEC). L'accréditation peut être délivrée aux organismes d'évaluation de la conformité pour un ou plusieurs programmes de certification de cybersécurité spécifiques, pour une durée maximale de cinq ans et peut être renouvelée par la suite. Pour chaque système européen de certification, les autorités nationales notifieront à la Commission européenne les organismes d'évaluation de la conformité qui ont été accrédités. Compte tenu de la validation à l'échelle de l'UE du cadre de certification de cybersécurité de l'UE et des certificats délivrés, un producteur ou fabricant d'un produit TIC, d'un service TIC ou d'un processus TIC peut demander un processus d'évaluation par tout organisme d'évaluation de la conformité accrédité dans l'UE.


Pour autant, comme pour le marquage CE avec certains retours d’expérience négatifs dans le domaine de la santé, il conviendra d’éviter les risques d’impacts industriel, les failles de processus avec préjudices potentiels ou réels de certaines décisions institutionnelles pour les entreprises. Les agences nationales devront s’engager à aider leurs industriels à être orientés vers d’autres organismes ou à obtenir un délai de mise aux normes, sans annulation de l’historique, s’il se trouvent en difficulté notamment avec un organisme notifié choisi en Europe ailleurs que dans leur pays. En cas de problème, il conviendra de pouvoir s’adresser à l’ENISA en cas de litige. Il est néanmoins rappelé que dans le marquage CE, les industriels ou fournisseurs de services peuvent eux-mêmes certifier s’ils s’en pensent en capacité et que le marquage ne peut être apposé que s’il existe une réglementation ou une contrainte européenne sur le sujet.

Contractualisation européenne

Une politique de préférence européenne raisonnée pourrait se compléter d’un « buy-cyber-act » européen avec néanmoins prise en compte des limites juridiques de la certification et des labels énoncés plus avant et avec la création d’une agence de style OCCAR dans l’armement pour la gestion des grands projets, en relation avec l’ENISA. Avec un management fort, elle pourrait notamment passer des appels d’offre en réclamant un budget attribué directement aux PME, dont un quota minimal issu de pays différents du maître d’oeuvre. Concernant le marché, il pourrait être intéressant d'inclure l'offre cyber européenne dans les échanges de compensation, essentiellement à l'étranger, car théoriquement interdites en Europe, peut-être avec un traitement spécial pour les GAFA(M) comme exposé plus avant.

Finance structurante

Enfin, la partie financière de haut de bilan, et sans doute la plus importante, doit également intégrer tous ces éléments, voire en être aussi un élément structurant de l’écosystème au-delà de la pure notion de profit ou de gestion de risque.

Est apparue récemment l’ »European cybersecurity investment platform » regroupant des fonds comme ACE Management (France),  Adara Ventures (Lux), ecapital entrepreneurial partners ag (Allemagne), KPN Ventures (Pays Bas), P101 (Italie), Primomoglio SGR (Italie), TIIN Capital B.V (Pays Bas) et Vendep Capital (Finlande) qui peuvent être appréciés comme étant de véritables acteurs de politique industrielle avec leurs objectifs et réalités, notamment calendaires, qu’il convient d’encourager pour soutenir le tissu industriel européen.

Ils doivent tenter d’agir dans une recherche de segmentation, de solidarité et de relative autonomie industrielle et économique intelligente.

Cette approche financière doit aussi répondre à la dynamique de gouvernance actuelle avec la constitution d’un vrai fonds de fonds européen garanti, voire abondé par les institutions, désormais capable d’une signature unique européenne pouvant accompagner en garantie mais aussi en capital, comme le Conseil européen de l’Innovation (EIC) le fait dans le recherche sur des entreprises « non bancable » allant jusqu’à plus de 25% si stratégiques, avec qu’avec un taux de rentabilité réclamé plus bas, comme a su le faire la Caisse des Dépôts et de consignation. Les fonds doivent également intégrer la volonté des groupes de prises de participation dans des PME européennes.

 

François CHARLES

Président de l’I.R.C.E. www.irce-oing.eu

Président de NOVIAL CONSULTING, Conseil en stratégie, management intelligence économique www.novialgroup.fr

 

Pour être informé des derniers articles, inscrivez vous :

Commenter cet article