Cybersécurité et souveraineté numérique

Cette question touche tout le monde. Elle vous touche en tant que prestataire de services, elle touche aussi vos clients. Ainsi donc, le sous-entendu est simple : Avec qui pouvons-nous travailler ? En qui pouvons-nous avoir confiance ? Elle est d’autant plus importante dans un contexte géopolitique troublé avec des actions de déstabilisation technologique venant de la Russie (nous allons tester vos limites) et une tentative d’hégémonie numérique américaine (nous allons tous vous sauver). La réalité est souvent plus complexe, comme en témoigne la déconnexion de comptes MS 365 de certains hauts responsables de la Cour pénale internationale à la suite de sanctions américaines.

Dans un contexte plus « mesuré », que faut-il retenir de cette question de souveraineté pour les membres EBEN dans leurs relations avec leurs clients ?

Tout d’abord, il faut rappeler que cet article ne tient pas compte de contraintes particulières à certains secteurs sensibles (défense, sécurité, …). Il ne traite pas des problématiques particulières des acteurs publics et de leur droit à protéger leurs intérêts vitaux en matière numérique. Si vous travaillez avec des acteurs spécifiques : Défense, Sécurité intérieure ou encore opérateurs particuliers comme des OIV ou des entités soumises à NIS2, alors vous devez impérativement analyser cette question avec vos clients et c’est d’ailleurs à eux de répondre à cette question.

Pour les autres, il faut rappeler que :

Il n’existe aucune disposition légale concernant la souveraineté numérique et encore moins cyber. Certes, tout le monde en parle, y compris au niveau européen pour savoir si, et comment, légiférer sur ce point. Mais, à ce stade, il n’y a rien ;
La réponse n’est donc pas dictée par la loi mais par un couple : technique / économique / juridique.
La question technique est une question primaire : Le produit ou le service cyber dont mon client a besoin peut-il être rendu de manière équivalente par un acteur français ou européen ? « Technique » voulant dire : capacités, fonctionnalités, robustesse, … mais aussi certification (ISO) ou qualification (PSCO qualifié par exemple).

Si la réponse est « non », la messe est dite. Il vous appartiendra de prévenir votre client que toute solution « souveraine » présentera des performances inférieures, à charge pour votre client de faire son choix.

Si la réponse est « oui », il existe des solutions souveraines mais alors la deuxième question devra être traitée : le coût.

Généralement, les prix sont dictés par le volume. Il n’est pas besoin de faire une école de commerce pour connaître l’équation de base : plus de clients = mutualisation des coûts = diminution du prix client.  Or il est clair que les grands acteurs (notamment américains) ont une longueur d’avance sur à peu près tous les services cyber, talonnés par quelques acteurs israéliens.

De fait, le prix guidera votre choix pour la fourniture d’infra ou de services à vos clients ou pour conseiller votre client vers telle ou telle solution. Ici encore, il faudra être clair et transparent pour permettre au client de faire un choix éclairé : C’est moins cher mais plus sensible !

Sur la partie « technique », il faut cependant ajouter une composante non négligeable en termes de service cyber : la disponibilité et la proximité.

Même si beaucoup de solutions de cyber sont en mode SaaS (il y a même des solutions de type SEaaS ou CSaaS), la proximité - notamment en cas d’attaque - est un élément clé. Là encore, il est important de bien prévenir le client sur les conséquences de disposer d’une solution de proximité.

Enfin, à technique et prix équivalents, le juge de paix sera la composante juridique. Pourquoi ?

D’abord, parce que le choix d’un prestataire pourra conduire, selon sa nationalité, à l’application de telle ou telle réglementation locale. Prendre un prestataire US, c’est prendre le risque de lui voir appliquer des textes comme le Cloud Act et donc permettre aux autorités américaines d’accéder aux données de vos clients. Rassurez-vous, ce qui est vrai pour les US est vrai aussi pour la Chine, l’Inde, Israël et j’en passe.

Choisir un prestataire hors France, c’est aussi souvent se voir appliquer des CGV ou des CGS soumises à un droit étranger et à une juridiction étrangère. Cela veut dire qu’en cas de conflit, vous devez, selon les cas, aller porter votre réclamation devant le juge californien (Good luck), celui de Bangalore (शुभकामनाएँ) ou de Tel-Aviv ( בהצלחה). Quant à engager une action rapide en cas de besoin (mode référé) avec un prestataire étranger, vous pouvez oublier…

En conclusion, la question de la souveraineté n’est pas qu’une posture politique, c’est aussi une question de « conseil » d’un professionnel (membre EBEN) vers son client. Cette question doit donc être traitée avec soin dans vos propositions commerciales afin que le client ne vous reproche pas, à terme, de ne pas avoir choisi le « bon » prestataire ou de ne pas l’avoir suffisamment conseillé en amont.

Je rappelle que dans le monde de l’informatique, la notion « d’obligation de conseil » est une notion complexe qui comporte : l’obligation d’informer (il existe ou non des produits pour répondre à votre besoin), de conseiller (le ou les produits les plus adaptés à vos risques sont ceux-ci ou ceux-là), mais aussi l’alerte (attention, si vous choisissez tel prestataire étranger, voici ce qui peut se passer) et la mise en garde (je ne saurais vous dire s’il y a un risque de choisir ou non un prestataire étranger, mais je vous invite à être prudent). Je crains fort, en tant qu’avocat, de voir se développer un contentieux autour de cette question…