Le campus cyber (9 salariés) est bien placé pour mesurer les enjeux de la souveraineté de ses données, mais est-il lui-même un cordonnier bien chaussé ?
Oui ! Toutes les solutions que l’on utilise sont françaises ou européennes quand elles ne peuvent être françaises. Les seules exceptions sont les ordinateurs et le système d’exploitation Linux, en open source. Les mails sont aussi hébergés en France, avec les mêmes contraintes que pour les autres entreprises : trouver des solutions qui reproduisent les façades des solutions américaines auxquelles ont été biberonnés les jeunes que nous recrutons (type Outlook ou Gmail).
À quel(s) critère(s) êtes-vous le plus vigilant quant aux data centers : leur technologie, leur emplacement, leur nationalité, le prix de la prestation ?
Les prix sont toujours une contrainte. Mais ce à quoi on fait surtout attention est ce qui va avoir une influence sur notre capacité à récupérer nos données, leur confidentialité et leur disponibilité. Ce qui importe c’est la position géographique de l’hébergeur et la nationalité de celui qui le gère. C’est ce qui le rend perméable ou non à des lois extraterritoriales et à la géopolitique mouvante. On l’a vu pendant le Printemps arabe où beaucoup de données là-bas ont fuité. C’est comme mettre vos bijoux dans un coffre à la banque, il est important de savoir où ils sont et qui veille. Quant à la technologie, le critère de choix tient davantage à la capacité de l’hébergeur à en changer, à s’adapter.
Est-ce que la question d’un cloud souverain est toujours abordée en cas de cyberattaque ?
Cela fait systématiquement partie de nos conseils post-incident. Les incidents majeurs nécessitent a minima une remise à niveau de la sécurité, et parfois de reconstruire l’ensemble du système. Autant en profiter.
Est-ce plus cher d’héberger ses données en France et est-ce long de basculer son cloud ?
C’est un peu plus cher mais vraiment à la marge. Parce que de la même manière qu’on profite d’un déménagement pour trier, quand on bascule son système ou qu’on le reconstruit on le redimensionne. Quant à la durée, ce qui est long, c’est de s’extraire des grosses solutions monopolistiques, de sortir de l’hégémonie américaine qui fait tout pour compliquer la démarche. Heureusement, le droit européen progresse, il existe aujourd’hui un droit à la réversibilité de l’hébergement de données.
"Un hébergement français ne protège pas de tout mais en cas d’incident les interventions sont plus rapides."
Existe-t-il aujourd’hui suffisamment de data center en France si toutes les entreprises choisissaient d’y migrer ?
Si toutes devaient migrer du jour au lendemain, nous n’aurions pas assez de place de stockage. Mais si c’est progressif sur 1 à 3 ans, je ne suis pas inquiet. Il y a de très gros projets. Et technologiquement, en termes de logiciels, nous avons déjà tout ce qu’il faut.
Que dites-vous aux chefs d’entreprise pour leur faire peur et les inciter au cloud souverain ?
Nous ne leur faisons pas peur, du moins pas tout de suite, mais nous pouvons les confronter à des scénarios, issus de cas vécus par des entreprises de la région. Cela peut être simplement une messagerie hackée, ouvrant l’accès à des RIB que le hacker modifie. Si l’opérateur est français, c’est réglé en un coup de fil parce qu’il vous connaît, s’il est américain les procédures de récupération de compte peuvent prendre des semaines. Un hébergement français ne protège pas de tout, mais en cas d’incident les interventions sont plus rapides. Quand l’hébergeur de données comptables Coaxis (à Marmande dans le Lot-et-Garonne) s’est fait attaquer par un groupe cybercriminel international en décembre 2023, 400 000 entreprises se sont retrouvées dans l’incapacité d’éditer les bulletins de paie, de clôturer les comptes etc. Coaxis a retrouvé son fonctionnement en 6 semaines, mobilisant de nombreux acteurs y compris de l’État comme le service des impôts. C’est long, mais à la hauteur de l’attaque, et surtout bien moins que les 3 à 5 mois si elle avait été à l’étranger.
