« Souveraineté », changement de statut

La souveraineté est un levier majeur de différenciation et d’indépendance  

Conformité, localisation, indépendance technologique, sécurité contractuelle… Longtemps considérée comme un impératif défensif, la souveraineté numérique change de statut. NRB la concrétise dans une approche de résilience

On passe du « pourquoi » au « comment faire », expliquent Marc Delincé, Digital Architect, NRB, et Yves Cornet, Head of Data Services, NRB, à l’issue du webinaire « La souveraineté des données : un réel objectif, mais comment l’atteindre ? »

Aujourd’hui, nous sommes comme un fumeur qui voudrait arrêter de fumer, mais qui continue de s’acheter un paquet de cigarettes chaque matin !  Une récente étude Ipsos Digital le montre de manière éclatante. Si 78 % des décideurs européens affirment reconnaître l’importance des outils souverains pour l’indépendance stratégique de l’Europe, seuls 32 % en font un critère dans leurs décisions d’investissement. Ils seraient même 37 % à encore ignorer où sont hébergées leurs données. La situation est d’autant plus sensible que 80% des dépenses des organisations pour des logiciels vont encore dans les poches d’acteurs non-européens…

Pratique, pas dogmatique

Par souveraineté il faut entendre la capacité à choisir, comprendre et agir de manière autonome, alors que la résilience est la capacité à s’adapter et à se remettre des perturbations. « Le but n’est pas de promouvoir un repli technologique ou de mettre fin à l’utilisation de toute solution étrangère, mais d’aider les organisations à mieux comprendre leurs fragilités pour agir plus efficacement, précise Marc Delincé. Nous approchons la question de la souveraineté de façon pratique, pas dogmatique. »

Historiquement, NRB a toujours été souveraine. De par la localisation de ses data centers en Belgique, les données de ses clients sont soumises aux législations et réglementations belges et européennes. NRB répond de ce fait aux réglementations telles que NIS2 ou GDPR. De même, SophIA, sa solution d’IA générative, a été conçue pour être sécurisée et souveraine, garantissant que les données sensibles ne quittent pas l’environnement contrôlé par le client.

IA, examiner chaque maillon de la chaîne

SophIA, précisément, est un bon exemple. Comme le note Yves Cornet, « l’IA ne se résume pas à des algorithmes et à des données. C’est le pouvoir, le contrôle et la souveraineté ! »

De fait, les modèles d’IA nécessitent d’énormes quantités de données pour leur entraînement, souvent sensibles ou personnelles. La domination des géants américains et chinois dans ce domaine crée une vulnérabilité stratégique pour les entreprises européennes. Le Cloud Act, rappelons-le, permet aux autorités des États-Unis d’accéder aux données stockées par des entreprises américaines, même si ces données sont physiquement hébergées en Europe. Enfin, l’opacité des algorithmes pose des questions de transparence et de confiance, sans compter les biais potentiels.

« Il s’agit d’examiner attentivement chaque maillon de la chaîne, continue Yves Cornet. Car la souveraineté réelle s’obtient uniquement lorsque l’ensemble des composants, depuis le modèle d’IA jusqu’à l’infrastructure matérielle et au cloud, répond aux exigences de sécurité et de contrôle définies par l’Europe. »

SecNumCloud, le top !

Prochaine étape, la qualification SecNumCloud -considérée comme la plus évoluée dans le domaine du cloud. NRB prévoit d’introduire son dossier de candidature avant la fin de l’année et vise la qualification pour le milieu de l’année prochaine.

Les exigences sont fortes et viendront compléter la certification ISO 27001 que l’entreprise possède déjà. De fait, NRB coche les cases les plus importantes, comme l’hébergement des données exclusivement dans l’Union européenne, la protection des données avec des mécanismes de chiffrement avancés ou la surveillance continue.

Globalement, se basant en partie sur le référentiel ISO27001, SecNumCloud ajoute des éléments, telle que la fourniture de certificat européen.

La souveraineté, un levier de différenciation

« Renforcer la confiance est un exercice permanent. Pour les entreprises qui gèrent des informations privées ou sensibles et des données personnelles, il est impératif d’anticiper les futures menaces de sécurité telles que le décryptage par des ordinateurs quantiques. Nous y travaillons », continue Marc Delincé.

La PQC représente la voie la plus prometteuse pour se prémunir contre la menace quantique. La transition vers des algorithmes post-quantiques est un chemin de 4 à 5 ans, qui impactera l’intégralité de l’écosystème numérique. Il est donc important de s’y consacrer maintenant, car c’est dans ce même délai que les premières attaques seront efficaces. D’ailleurs, le risque est bien réel avec le concept de « Harvest Now / Decrypt Later ». C’est, pour NRB, un enjeu majeur.

Enfin, NRB sera un des premiers acteurs à introduire l’IRN (Indice de Résilience Numérique) d’origine française, qui permet de mesurer les dépendances sur tous les volets du numérique : logiciels, données, infrastructures, actifs technologiques, compétences internes, gouvernance et résilience aux chocs.

L’idée ? Positionner la résilience numérique au coeur de la souveraineté européenne. « Ce sera un véritable bilan de santé des systèmes d’information qui repose sur des critères techniques, humains, et organisationnels, conclut Marc Delincé. La souveraineté sera alors un levier majeur de différenciation et d’indépendance pour nos entreprises et organisations. »