« TOUT le numérique américain en Europe est coupé jusqu’à nouvel ordre. Trop de dépendance, trop d’impunité. Les règles changent. #AmericaFirst », Donald J. TRUMP, President of the United States of America.
Après ce court message agressif posté par le président américain sur son réseau social Thrust, du côté du Vieux Continent, un lundi matin, les écrans s’allument mais quelque chose cloche : les messageries ne se synchronisent plus, les tableaux de bord cloud affichent des alertes muettes.
Un peu avant ce message menaçant, à Washington, un décret présidentiel est tombé dans la nuit. Sec, technique, presque invisible. Sous la menace de lourdes sanctions financières ou d’interdiction sur le territoire américain, les Gafam ont obéi à la Maison Blanche, comme ils l’ont toujours fait. Cette fois, la contrainte est plus importante qu’habituellement, étant donné la taille immense du marché européen. Après ce coup de nerf présidentiel, ils savent qu’ils vont perdre autour de 20 à 30 % de chiffre d’affaires et que c’est peut-être définitif.
Le cloud dans les choux
Concrètement, de l’autre côté de l’Atlantique, le premier jour de ce blackout numérique, rien ne s’arrête vraiment : les serveurs tournent, les données sont là, intactes. Puis, les mises à jour et notamment celles liées à la sécurité n’arrivent plus. Les certificats d’authentification expirent au fil des heures. Les modèles d’IA deviennent inaccessibles. Les réseaux sociaux sont disponibles, mais figés. Les influenceurs sont immédiatement aux abois ! La tension monte très rapidement et l’accès aux informations se complique.
Mais c’est surtout au niveau des services publics que le coup de massue est sévère. Dans les hôpitaux, les logiciels de planification basculent en mode dégradé. Malheureusement habitués aux cyberattaques, les hôpitaux parviennent à fonctionner, mais tout ce qui n’est pas jugé urgent est mis de côté. Ce qui ne relève pas de l’urgence vitale attendra… Mais combien de temps ? Les administrations perdent leurs messageries, leurs agendas et dossiers partagés. Les portails du fisc et de la sécurité sociale s’arrêtent. Au bout de quelques jours, les guichets saturent faute de personnel et de données accessibles. Dans les administrations et les infrastructures critiques, on repasse sur des procédures papier. Il est difficile de maîtriser le vent de panique qui monte.
Visio est la solution de visioconférence souveraine de l’État qui vient d’être annoncée. Elle est censée être en open source, fiable, sécurisée et hébergée en France. © La Suite Visio
J+1, les API et les contenus stockés dans le cloud sont maintenant inaccessibles, privant entreprises et citoyens de leurs données les plus importantes. Les secteurs de l’énergie et les transports fonctionnent toujours, mais « à vue », sans supervision en temps réel. Dans l’urgence, partout, les directions informatiques se mettent à improviser, souvent au prix du non-respect des normes de sécurité et de conformité.
Les cybercriminels, certaines entités étatiques et autres flibustiers du Web se régalent. La pêche est excellente et personne n’y peut rien. Ce n’est pas une panne globale, c’est pire : tout fonctionne encore, mais plus rien n’est fiable. C’est comme une lente évaporation. Et quand l’Europe réalise qu’elle doit migrer tout de suite vers d’autres systèmes, il est déjà trop tard pour le faire proprement.
Illégal, vulnérable, irréversible
Dans les cellules de crises, les mots-clés sont : illégal, vulnérable, irréversible. Ce scénario sombre montre notre dépendance aux Gafam.
Cette histoire, la Chine, avec Huawei l’a vécue partiellement, mais difficilement, avec l’interdiction d’accès aux services Google à partir de ses smartphones. Mais ce n’était que pour une grosse société, pas pour un pays entier, ni dans tous les domaines du numérique. Au final, cela a poussé la marque à créer son propre écosystème et réorienter ses stratégies.
Tout comme pour Huawei, pour une chute brutale de l’ensemble des services issus des Gafam, le choc ne viendrait pas de la coupure elle-même, mais de ce qu’elle révélerait : des infrastructures critiques construites sur des dépendances que l’on croyait réversibles et… qui ne le sont plus. L’effet de choc et de sidération, même envers des alliés historiques, c’est la nouvelle politique de l’administration Trump. Une politique où l’on doit imaginer l’inimaginable dans tous les domaines, même militaires.
« Jusqu’ici, tout va bien… »
Malgré des intentions et de nombreux discours sur la nécessité d’un numérique souverain, cette prise de conscience déjà ancienne ne se traduit pas vraiment en actions concrètes en Europe et en France.
Même si tout le monde sait que ce n’est pas du tout une solution d’avenir, par habitude et facilité, une grande majorité des services numériques repose bel et bien exclusivement sur les Gafam, qu’il s’agisse du cloud (70 % du marché), des OS (90 %), des recherches en ligne (89,9 % Google). Les dépenses annuelles des entreprises (260-265 milliards d’euros) en témoignent, personne n’est prêt à passer le cap, même si l’intention est là.
Pourtant face à cette vulnérabilité, la France et l’Europe disposent de solutions de remplacement solides. Mais pour le moment, les véritables acteurs européens n’occupent que des niches résiduelles, malgré une croissance notable de leurs revenus.
Outscale est la solution de cloud souverain proposée par Dassault Système. Ce n’est pas la seule en France. © Dassault Systèmes
Pour le cloud, qui est le gros problème de la dépendance, des acteurs européens comme Scaleway, OVHcloud ou Outscale proposent des infrastructures souveraines pour données sensibles. Elles disposent toutes de la certification SecNumCloud ou cloud de confiance. Airbus et la BCE expérimentent déjà ces solutions pour leurs services critiques. Mais c’est loin d’être le cas ailleurs où l’on s’est habitué à la simplicité, la fiabilité et la robustesse d’AWS. Difficile de migrer tout du jour au lendemain quand cela fonctionne bien. D’ailleurs, cela pourrait ne pas vraiment changer, même en cas de coupure totale des Gafam.
De façon paradoxale et puisque le vent tourne en ce sens, l’américain Amazon avec AWS cherche également à proposer des solutions cloud souveraines en Europe. Du côté de la bureautique et la collaboration, les suites OnlyOffice, Nextcloud, CryptPad ou LibreOffice Online permettent déjà de remplacer Microsoft 365 ou Google Workspace tout en gardant le contrôle des données. Enfin, les services de messagerie peuvent très bien basculer sur ProtonMail, Mailo ou Tutanota. Mais dans tous les cas, il faut tout réintégrer, changer d’habitude et c’est justement ce dont les utilisateurs ont horreur.
Mistral, l’IA souveraine qu’on ignore
Enfin, en intelligence artificielle, l’Europe et notamment la France ne sont pas les derniers, comme peut en témoigner le bon classement de l’IA de Mistral. Celle-ci vient d’être adoptée par les ministères des Armées au lieu des solutions américaines qui s’étaient déjà fait leur place dans certains cas. Il faut dire que la puissance de la communication américaine et l’avalanche de nouvelles versions combinées avec le financement colossal des acteurs de l’IA viennent injustement étouffer les atouts de Mistral et du chatbot LeChat. Si celui-ci est peut-être moins pertinent que ChatGPT comme agent conversationnel généraliste, il est souvent meilleur que les autres pour des tâches spécialisées, dont le codage. Mais ça, le public l’ignore face à l’omniprésence des mastodontes du secteur.
Pour ce qui est des réunions en visio, le ministre de la Fonction publique David Amiel vient tout juste d’annoncer la généralisation, d’ici 2027, d’une solution de visioconférence 100 % française pour l’administration. Elle s’appellera tout simplement « Visio » et elle est actuellement en développement. Même sur les réseaux sociaux, certaines alternatives européennes émergent : Mastodon, Pixelfed, ou Friendica permettent des échanges décentralisés et auto-hébergés.
Mais il est difficile de lâcher un réseau social que l’on alimente depuis des années et que l’on sait manipuler par cœur. Alors, c’est certes difficile, mais le sevrage des solutions américaines a donc déjà commencé, et c’est surtout le cas pour le cloud. La France reste cependant très loin du compte et c’est sans doute pire pour le reste des pays de l’Union européenne.
Érosion ciblée
Le problème de ces alternatives souveraines, c’est qu’elles restent toujours moins matures ou performantes que les Gafam. Autre souci : les migrations rapides sont impensables et coûteuses. Pour le moment, si un blackout total devait intervenir demain, la France et l’Europe seraient effectivement dans une impasse. En marge des rencontres sur la souveraineté numérique de ce lundi 26 janvier, Anne Le Hénanff, ministre déléguée chargée du numérique a avoué que pour le moment, « l’objectif est de cartographier nos dépendances et de les réduire pour gagner en résilience ». Autrement dit, nous ne sommes pas du tout prêts, mais nous y pensons très fort.
Il faut dire que le scénario extrême d’une coupure totale que Futura vient de dessiner est peu probable dans les faits. Même contraints, les Gafam assureraient sans doute une érosion ciblée et progressive, histoire de se laisser une chance en cas de revirement. Ces grosses firmes américaines n’ont pas intérêt à partir, mais en cas de décision politique, elles ne seraient de toute façon pas libres de rester.
Alors, la véritable urgence pour l’Europe n’est plus hypothétique : il s’agit d’accélérer la construction de cette souveraineté numérique avant même une dégradation ciblée. Et rien que pour ce scénario, c’est déjà presque trop tard. Mais, au-delà des services critiques, tels que le cloud ou les services des suites bureautiques, sommes-nous prêts à abandonner nos réseaux sociaux fétiches ou des services de divertissement comme Netflix ?