TOUJOURS PLUS DE VASSALITÉ NUMÉRIQUE, JUSQUE DANS NOS STRATÉGIES

Tout le monde le sait, les industries du vieux continent ne produisent que peu de logiciels ou de matériel dans les couches basses des systèmes d’information, sans parler de l’omniprésence américaine au pays virtuel des OS. Mais de là à perdre son hégémonie stratégique… On fait le point.

La Belgique, par l’intermédiaire de son centre de lutte contre la cybercriminalité (CCB)  a adopté le cadre NIST comme support à la  stratégie nationale de cybersécurité. Cela suscite des interrogations, voire des préoccupations de plusieurs experts. Alors que le NIST est sans aucun doute une norme réputée et fortement utilisée chez l’Oncle Sam, opter pour une norme américaine — qui plus est gratuite* — plutôt qu’une norme européenne ou internationale peut avoir des implications plus larges sur l’autonomie digitale de l’Europe à termes.

L’indépendance numérique est illusoire, quoique

L’indépendance numérique devrait être un idéal recherché par tout pays. Mais peut-on réellement parler d’indépendance à une époque où l’interdépendance technologique est la norme ? Pas si sûr. 

La nature même de nos échanges numériques repose l’interconnectivité. Une interconnectivité qui transcende les frontières, qui fait rêver les plus mondialistes. Les infrastructures, les services cloud, et même les plateformes de médias sociaux que nous utilisons chaque jour sont inextricablement liés, rendant toute notion d’indépendance numérique complexe, voire illusoire, en tout cas technologiquement parlant.

Il est donc complexe de parler d’indépendance numérique lorsque quelques entreprises technologiques, pour la plupart basées aux États-Unis ou en Chine, dominent le paysage digital. Ces entreprises définissent les standards, les protocoles et souvent les réglementations auxquelles le reste du monde doit se conformer.  Bref, elles mènent le jeu, imposant leurs règles.

La technologie n’est pas seulement une question de gadgets ou de services ; elle est intrinsèquement liée à l’économie mondiale et à la sécurité nationale. Les chaînes d’approvisionnement pour les composants technologiques sont complexes et étendues, rendant de nombreux pays dépendants les uns des autres pour leurs besoins technologiques, mais pas que.

L’illusion d’indépendance numérique, bien qu’elle puisse sembler insaisissable, sert un objectif essentiel. Elle pousse les nations et les organisations à développer leurs propres capacités technologiques, à investir dans la recherche et le développement, et à promouvoir l’innovation locale. En cherchant à atteindre cette indépendance, même de manière imparfaite, on renforce la résilience, la diversité et la compétitivité dans le paysage.

Reprendre le contrôle par la doctrine

Petit rappel. Une doctrine claire permet à tous les acteurs — qu’il s’agisse d’organismes gouvernementaux, d’entreprises ou de citoyens — de comprendre les priorités, les attentes et les limites établies par le pays en matière de cybersécurité, d’innovation technologique et d’utilisation du numérique. Cette compréhension commune facilite la collaboration et l’alignement des efforts. 

En définissant explicitement ce qui est acceptable et ce qui ne l’est pas dans le domaine numérique, la doctrine fournit le cadre adéquat pour évaluer les actions des autres nations, des entreprises et des individus. Cela permet d’identifier rapidement les transgressions et d’y répondre de manière appropriée.

Une doctrine bien conçue ne sert pas seulement à établir des limites ; elle peut aussi stimuler l’innovation en identifiant des domaines prioritaires pour la recherche et le développement. Elle peut guider les investissements publics et privés et encourager les partenariats stratégiques.

En établissant clairement sa position sur des questions clés telles que la propriété des données, la vie privée en ligne et les normes de cybersécurité, la nation est en mesure de se défendre contre les tentatives d’influence ou de contrôle extérieures. Une doctrine robuste peut donc servir de bouclier contre la féodalité numérique et les tentatives de domination par des acteurs technologiques majeurs ou des puissances étrangères.

En revanche, la création et la mise en œuvre d’une doctrine numérique solide ne sont pas des tâches aisées, il faut le reconnaître. Cela nécessiterait d’avoir une vision claire, de jouir d’une collaboration intersectorielle, le tout mû par une volonté politique si tant est qu’elle soit libérée des ingérences extérieures. Cependant, à l’époque où les enjeux numériques sont intrinsèquement liés à la souveraineté nationale, l’investissement dans une telle doctrine est non seulement un acte patriotique, mais aussi essentiel pour garantir que chaque nation puisse réellement reprendre le contrôle de son avenir numérique, et par destination, de son avenir tout court.

Comme dès lors atteindre ce but lorsque la stratégie est basée sur la doctrine des suzerains ? 

Valoriser l’international et non pas le supranational

L’approche française en matière de cybersécurité est un exemple éloquent de la manière dont un pays peut valoriser ses perspectives internationales tout en préservant sa souveraineté nationale. La clé de cette réussite réside dans le rôle pivot joué par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

L’ANSSI, en tant qu’autorité nationale en matière de cybersécurité, a développé une expertise reconnue nationalement et internationalement. Elle collabore régulièrement avec ses homologues étrangers, échangeant des informations, des meilleures pratiques et des stratégies pour faire face aux défis communs. Cette coopération internationale ne dilue pas la souveraineté française, mais, au contraire, la renforce.

Bien que fermement ancrée dans le contexte national, l’ANSSI joue un rôle actif sur la scène internationale. Elle participe à des forums mondiaux, contribue à l’élaboration de normes internationales et promeut la vision française de la cybersécurité. Cette approche internationale permet à la France de partager ses connaissances tout en apprenant des autres.

L’ANSSI a réussi à établir des partenariats solides avec des organisations internationales tout en préservant l’autonomie décisionnelle de la France. Elle illustre comment un pays peut s’engager activement à l’international sans se soumettre à une autorité supranationale.

L’une des contributions majeures de l’ANSSI à l’international est son engagement en faveur de la formation et du renforcement des capacités. En aidant d’autres pays à renforcer leurs compétences en matière de cybersécurité, la France favorise un environnement numérique plus sûr pour tous, tout en consolidant sa position de leader dans le domaine.  Elle prend donc une place sur l’échiquier cyber que certains désertent, faute de stratégie.

À travers l’ANSSI, la France a développé et promu des méthodes d’évaluation et de gestion des risques spécifiques à sa culture et à ses besoins, notamment MEHARI et EBIOS.

• MEHARI : méthode holistique de gestion des risques informatiques, conçue par le Club de la Sécurité de l’Information Français (CLUSIF). MEHARI offre un cadre complet pour évaluer les vulnérabilités, les menaces et leur impact potentiel, permettant ainsi une gestion des risques adaptée au contexte spécifique de chaque organisation.
• EBIOS : élaborée par l’ANSSI, la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est un outil de gestion des risques qui aide les organisations à identifier, analyser et traiter les risques liés à la sécurité de l’information. Cette méthode est largement utilisée par les administrations publiques et les entreprises françaises.

Ces méthodes incarnent la volonté française de conserver sa souveraineté en matière de stratégie cyber. Plutôt que de dépendre exclusivement de normes ou de cadres internationaux, la France a choisi de développer ses propres outils, adaptés à son écosystème et à ses besoins spécifiques. Cela ne signifie pas que la France rejette la coopération internationale, mais plutôt qu’elle reconnaît l’importance de disposer de ses propres outils pour garantir une sécurité optimale. Pour les entreprises françaises, l’adoption de ces méthodes signifie qu’elles peuvent s’appuyer sur des outils alignés avec la culture, les réglementations et les besoins nationaux, renforçant ainsi leur posture de sécurité tout en affirmant une souveraineté stratégique en matière de cybersécurité. C’est une forme de préférence nationale numérique que combattent certaines mouvances, dans quels buts, pour servir qui ?

L’exemple de l’ANSSI montre comment un pays peut naviguer avec succès dans le paysage complexe de la cybersécurité mondiale. En privilégiant une coopération internationale tout en préservant la souveraineté nationale, la France démontre que l’internationalisme, lorsqu’il est bien géré, peut être une force pour le bien sans compromettre les intérêts nationaux.

La souveraineté commence par le niveau stratégique

La souveraineté numérique est bien plus qu’un simple mot à la mode. Elle incarne la capacité d’une nation à exercer un contrôle autonome sur ses choix, ses infrastructures et ses données numériques. Et cette souveraineté commence incontestablement au niveau stratégique.

Tout comme la construction d’une forteresse commence par la pose des fondations, la souveraineté numérique commence par la définition d’une vision stratégique claire. Pour les nations, cela signifie identifier les priorités, les menaces et les opportunités dans le paysage numérique. Cette vision éclaire toutes les autres décisions et actions.

La souveraineté au niveau stratégique garantit que les décisions prises sont alignées sur les intérêts nationaux, plutôt que d’être influencées par des acteurs externes. Cela englobe tout, des normes et réglementations, comme le choix de l’ANSSI de développer EBIOS et MEHARI, à la sélection de partenaires technologiques.

Une stratégie souveraine met l’accent sur le développement de technologies et de compétences nationales. Plutôt que de dépendre de solutions étrangères, elle incite à investir dans la recherche et le développement locaux, renforçant ainsi l’indépendance et la compétitivité du pays sur la scène internationale.

Une stratégie souveraine en matière de cybersécurité prend en compte les spécificités culturelles, économiques et politiques du pays qui l’applique. Elle permet d’identifier et de protéger les actifs numériques critiques, les infrastructures vitales, les données des citoyens, mais aussi les entreprises qui créent, elles, la richesse de la nation.

La souveraineté stratégique ne signifie pas pour autant l’isolationnisme. Au contraire, elle positionne le pays pour interagir avec les autres nations dans un équilibre des forces et non dans la féodalité que connaît aujourd’hui la Belgique pour ne citer que cet exemple. Avec une stratégie claire en main, les nations peuvent entrer dans la danse des partenariats internationaux avec confiance, sachant qu’elles peuvent protéger leurs intérêts tout en collaborant pour le bien commun.

La souveraineté numérique, bien qu’elle s’étende à de nombreux domaines, trouve ses racines dans la stratégie. C’est à ce niveau que les choix fondamentaux sont faits, que les priorités sont définies et que la direction est donnée. En plaçant la souveraineté au cœur de leur stratégie, les nations, à l’instar de la France, affirment leur droit à l’autodétermination dans un monde numérique interconnecté. Qu’en est-il d’un pays qui choisit toujours la vassalité ? 

Pour conclure

La question de la souveraineté numérique rappelle à bien des égards le débat persistant sur une défense européenne autonome. Bien que l’idée d’une défense européenne unifiée soit séduisante pour beaucoup, sa réalisation s’est heurtée à l’omniprésence et à l’influence de l’OTAN, une entité supranationale qui, pour certains, outrepasse son rôle, empiétant sur un domaine fondamentalement régalien.

De la même manière, les nations européennes risquent de voir leur souveraineté numérique compromise si elles permettent à des entités supranationales ou à des normes étrangères de dominer le débat stratégique. C’est encore plus le cas lorsque certains États minent les efforts consentis par d’autres depuis l’intérieur. Tout comme la défense est un pilier de la souveraineté nationale, la capacité de contrôler, de protéger et d’exploiter ses propres ressources numériques est cruciale aujourd’hui. Celui qui affirmerait le contraire ferait preuve de la talibanisation de l’espace numérique.

L’exemple de la défense européenne met en évidence l’importance vitale de la souveraineté et de l’autodétermination. Dans le domaine numérique, les nations doivent rester vigilantes, apprendre des erreurs du passé et s’assurer qu’elles conservent le contrôle de leur avenir numérique. Seules les nations qui placent la souveraineté au cœur de leur stratégie numérique pourront vraiment prospérer et se protéger dans le paysage numérique mondialisé d’aujourd’hui.

* rien ne l’est jamais. Timeo Danaos Et Dona Ferentes