Le Livre Blanc

La souveraineté numérique : le fondement de la cybersécurité et de la cyberdéfense



Aurélie Luttrin, Présidente de Nomolex Performance, membre de la CyberTaskForce

Loin du protectionnisme dans lequel certains de ses défenseurs voudraient l’enfermer, la souveraineté numérique est le fait pour un Etat, une entreprise de détenir la pleine gouvernance de ses données et de ne dépendre économiquement, technologiquement et juridiquement d'aucun autre Etat ni entreprise pour le stockage, la captation, la protection et l'exploitation des données produites sur son territoire.




En conséquence, seuls deux éléments cumulatifs sont nécessaires à son effectivité

  •  la maîtrise des données sur le plan technologique,
  • l’absence de contraintes économiques et juridiques de la part d’un tiers

Nul besoin du concept de nationalité.

Si la souveraineté est, ab initio, liée à la protection des données puisqu’elle permet au producteur de données d’en avoir la pleine maîtrise et d’éviter toute captation indue par un tiers, elle est pourtant, de facto, rarement intégrée aux concepts de cybersécurité et de cyberdéfense. Pire, elle est décorrélée de ces principes comme si aucun lien de dépendance n’existait.

La cybersécurité se définit communément par la protection défensive et offensive des systèmes d’information en prenant en compte aussi bien les contenants, à savoir les infrastructures que les contenus à savoir les données. La cyberdéfense quant à elle, renvoie à « l’ensemble des mesures techniques et non techniques permettant à un Etat de défendre dans le cyberespace les systèmes d’information jugés essentiels ».
 

Au regard de ces définitions, nous constatons que les termes de cybersécurité et de cyberdéfense renvoient à la notion sous-jacente de cybercriminalité.

Or, considérer la cybersécurité et la cyberdéfense comme de simples réponses à la cybercriminalité est très réducteur.

En effet, aujourd’hui nous sommes dans une guerre mondiale des données où certains Etats comme les Etats-Unis, n’hésitent pas à utiliser leur propre système législatif pour capter des données d’autres Etats ou d’entreprises nationales ou étrangères, et ce afin de renforcer leur pouvoir et inféoder d’autres Etats, entreprises ou populations.

Le fameux CLOUD Act[[1]]url:#_ftn1 en est le parfait exemple.

De même, certaines entreprises françaises ou étrangères n’hésitent pas, dans le parfait respect du RGPD[[2]]url:#_ftn2 , à capter des données territoriales, captations et utilisations qui peuvent avoir des répercussions délétères sur les citoyen.ne.s en ce qu’elles privent les collectivités territoriales et l’Etat de la capacité à améliorer leurs services publics, à développer de nouveaux outils d’optimisation  et à devenir des tiers de confiance dans l’usage des données de leur population
 
[[1]]url:#_ftnref1 Clarifying Lawful Overseas Use of Data Act. Cette loi, adoptée en 2018, porte sur la surveillance des données personnelles et permet à l’administration américaine de contraindre les fournisseurs de services américains, par mandat ou assignation, à transmettre les données demandées, que celles-ci soient stockées sur des serveurs aux États-Unis ou dans des pays étrangers.
 
[[2]]url:#_ftnref2 Le règlement n° 2016/679, dit règlement général sur la protection des données (RGPD), est un règlement adopté par le Parlement européen le 27 avril 2016 et constitue le texte de référence en matière de protection des données à caractère personnel.Il renforce et unifie la protection des données pour les individus au sein de l'Union européenne.

De l’impérieuse nécessité d’une cybersécurité et d’une cyberdéfense augmentées

Sans maîtrise des données, point de sécurité ni de défense dignes de ce nom, peu importe le caractère légal ou non de la captation par un tiers. Dès lors qu’il y a captation par un tiers et un lien de dépendance technologique, juridique ou économique, la protection de nos territoires, des citoyen.ne.s n’est pas assurée.
C’est pourquoi, il convient d’appréhender les notions de cybersécurité et cyberdéfense à l’aune de la souveraineté numérique.
Ainsi, la cybersécurité augmentée pourrait être définie comme la lutte contre :
  • toute intrusion illégale dans des systèmes d’informations
  •  toute captation, exploitation de données légales qui iraient à l’encontre des intérêts du producteur de données et de sa population.
La cyberdéfense augmentée, quant à elle, pourrait renvoyer à l’ensemble des mesures techniques et non techniques assurant la défense des systèmes d’information jugés essentiels ainsi que la gouvernance des données.  
 

La cybersécurité et la cyberdéfense augmentées : un devoir de sécurité nationale et le nouveau fondement de la démocratie

Elargir les définitions de la cybersécurité et de la cyberdéfense n’est pas un débat vain d’experts mais un véritable devoir de sécurité nationale.
La donnée est le nouveau pouvoir de notre siècle. Sa maîtrise est désormais nécessaire à l’exercice du pouvoir politique.

Sans prise en compte de la souveraineté numérique dans la définition de la cybersécurité et de la cyberdéfense nos dirigeant.e.s ne pourrons ni gouverner efficacement ni protéger nos concitoyen.ne.s. En effet, si les outils déployés pour protéger et défendre les intérêts de notre pays et de nos territoires ne permettent pas une gouvernance de nos systèmes d’information, quelle protection attendre en cas de pillage légal ou illégal de notre savoir-faire industriel, de nos secrets d’Etat ?
De même, quelle confiance la population pourrait-elle avoir en des territoires qui ne peuvent pas protéger ses données personnelles ?
Maîtriser les données d’un territoire c’est maîtriser sa population. Dans notre démocratie, le peuple a confié l’exercice de son pouvoir à des représentants qui ont désormais la lourde responsabilité de protéger les données du peuple.

 

Faisons en sorte que notre contrat social ne soit pas mis à mal. Faisons de la cybersécurité et de la cyberdéfense augmentées les piliers de notre démocratie, il y va de la survie de nos libertés fondamentales.


Auteur : Aurélie Luttrin, Présidente de Nomolex Performance, membre de la CyberTaskForce

Le Livre Blanc | Coup d'oeil Programme 2020 | La newsletter