Souveraineté numérique : des attaques récurrentes contre les logiciels libres européens
Image: Pixabay / CC0
Les «Annales des Mines» ont publié ce mois de septembre le numéro 23 de leur série «Enjeux numériques», intitulé «La souveraineté numérique: dix ans de débats, et après?». En ligne (PDF de 145 pages), ce numéro a une vingtaine d’auteurs, dont les contributions sont rangées dans trois parties: «Les constats multiples d’une souveraineté numérique déficiente», «Les maillons forts de la souveraineté numérique» et «Pistes et leviers d’action». Des lectures denses à méditer, dans lesquelles je signale plus particulièrement une contribution directement liée aux thèmes de ce blog: dans la première partie, Jean-Paul Smets, entre autres fondateur de l’éditeur de logiciels libres Nexedi, a écrit un texte, «Confiance numérique ou autonomie, il faut choisir» (p. 30 à 38 du PDF).
“Des conditions de marché défavorables aux logiciels libres”
Cet article est à lire en détail, mais pour en donner une idée, voici son résumé et quelques passages:
«Le numérique de confiance, le rôle exorbitant de l’Agence nationale de sécurité des systèmes d’information et l’inflation réglementaire européenne créent des conditions de marché défavorables aux nombreuses technologies européennes du numérique et aux logiciels libres. Ils accélèrent ensemble l’adoption en France de technologies américaines de cloud non immunes à des accès non autorisés par un État tiers. Ils augmentent le risque de panne générale en favorisant des offres de cloud centralisées peu résilientes. En matière de gestion du risque cyber, la notion de “transparence” offre une alternative à la “confiance” pour renforcer l’autonomie industrielle européenne dans le numérique sur une base technologique résiliente et immune à un accès non autorisé par un État tiers.»
Reprenant les critiques envers la stratégie française du cloud qu’il a déjà exprimées, Jean-Paul Smets souligne que deux ans après son annonce par Bruno Le Maire en mai 2021, «nos données hébergées sur des clouds américains ne sont pas protégées, que ce soit chez les grands opérateurs de santé comme Doctolib qui subit des fuites de données sensibles ou avec le Health Data Hub qui poursuit son activité en violation du Règlement général pour la protection des données (RGPD)».
«Le mécanisme clef de l’exclusion des marchés publics des offres technologiques européennes est la qualification “SecNumCloud” délivrée par l’Agence nationale de sécurité des systèmes d’information (ANSSI). (…) Ce que privilégie cette qualification, c’est avant tout la centralisation des infrastructures et la formalisation des procédures: centralisation de la gestion des risques, procédures d’agrément des fournisseurs, procédure de vérification d’antécédents des candidats à l’embauche, procédure de contrôle d’accès aux installations physiques, etc. Les grandes entreprises françaises du numérique excellent dans ce domaine, tout comme leurs consœurs à l’international.
Ce préjugé de l’ANSSI s’explique aussi par l’omission du tissu de PME européennes extrêmement compétitives dans le domaine du logiciel et dont les principaux clients sont à l’export. La société grenobloise VATES, éditeur du logiciel d’infrastructure XCP-NG, propose un équivalent français de VMWare, le logiciel propriétaire américain utilisé dans la quasi-totalité des clouds qualifiés “SecNumCloud” à ce jour. VATES réalise 95% de son chiffre d’affaires à l’export. Le projet scikit-learn, hébergé par la fondation INRIA, est le leader des outils d’apprentissage, l’une des branches les plus utilisées de l’intelligence artificielle. Il a parmi ses financeurs Microsoft, Fujitsu et le Boston Consulting Group.
Ensemble, les PME européennes sont capables de proposer des offres de cloud compétitives, pionnières et complètes, du IaaS au PaaS en passant par le edge computing industriel et la 5G virtualisée.”
“Des PME et des auteurs individuels principalement”
Or, souligne Jean-Paul Smets, «Les logiciels libres, en associant de nombreux développeurs à la création d’une œuvre partagée, sont une des formes les plus abouties de district industriel. Les logiciels libres sont créés et édités en Europe principalement par des PME et par des auteurs individuels, plus rarement par des organismes à but non lucratif. Leur sécurité s’appuie sur des mécanismes sociaux de confiance partagée fondés sur la reconnaissance mutuelle entre pairs et non sur des procédures bureaucratiques d’audit.»
«Ce n’est pas la première attaque récente contre les solutions libres européennes», note l’auteur, qui cite: «En 2021, la direction générale des Entreprises lançait un processus de rapprochement européen en vue de constituer des projets importants d’intérêt européen commun (PIIEC) dotés de larges subventions. Cependant, elle favorisait les grands intégrateurs français et omettait de nombreux fournisseurs européens de logiciels d’infrastructure de cloud. Les projets finalement validés, portés par des intégrateurs partenaires de Google, favorisaient les logiciels libres de Google plutôt que ceux d’éditeurs européens de logiciels libres équivalents. (…)
Le 24 janvier 2023, la direction interministérielle du Numérique (DINUM) organisait une réunion de promotion de solutions propriétaires de cloud pour les équipes de développement. Il existe pourtant une offre européenne compétitive de cloud libre dont la promotion auprès des administrations fait explicitement partie des missions de la DINUM conformément à la loi du 7 octobre 2016 pour une République numérique.»
“La transparence fluidifie le marché”
L’article expose aussi le cas du Cyber Resilience Act (CRA) proposé en 2022 par la Commission européenne, en cours d’élaboration, dont de nombreux acteurs français et européens ont pointé les risques qu’il ferait peser sur les ayants droit d’un logiciel libre. «Seule échappatoire pour l’ayant droit: céder son actif logiciel à une fondation de logiciel libre, le plus souvent américaine. Pour les autres, la Commission européenne estime dans son étude d’impact que cette régulation impliquera un minimum de 25.000 € de frais administratifs par logiciel et une augmentation de 30% des coûts de développement, un niveau bien trop élevé pour favoriser la croissance de l’écosystème des éditeurs de logiciels libres dont la Commission reconnaît pourtant la nécessité pour atteindre l’indépendance numérique.»
Sa conclusion: «Alors que la confiance produit de l’obscurité sur le marché, la transparence fluidifie le marché en évitant les phénomènes de concentration, d’entente ou de barrières non douanières. Alors que la confiance favorise les technologies américaines, la transparence accélère l’adoption des fournisseurs européens de technologies numériques dont le succès à l’export reste la meilleure démonstration de leurs avantages compétitifs et dont l’existence est indispensable à notre autonomie.»
Lire aussi
Risques du Cyber Resilience Act: “Le logiciel libre est une source de souveraineté” (Philippe Latombe) – 10 septembre 2023
Tribune : les technologies libres ou européennes de cloud sont-elles exclues des marchés publics en France? – 8 juin 2021
https://www.zdnet.fr/blogs/l-esprit-libre/souverainete-numerique-des-attaques-recurrentes-contre-les-logiciels-libres-europeens-39961570.htm#xtor=123456 Souveraineté numérique : des attaques récurrentes contre les logiciels libres européens