Après la cybersécurité et les migrations cloud, les projets d’IA provoquent, à leur tour, une recherche de souveraineté, de transparence, d’indépendance et d’autonomie.
La session plénière du Forum Cloud+Security 2024 que j’ai eu l’honneur et le plaisir d’animer le 9 octobre à Paris Expo réunissait Guillemette Jahn, chargée de mission à l’ACN (Alliance pour la Confiance Numérique), Stéphane Darget, fondateur de 42k.io et du magazine Cyberun (à gauche sur la photo), et Anthony Duplantier, membre du CEFCYS et fondateur de Cyber Ethic (à droite).
Si la confiance numérique ne se décrète pas, comment l’instaurer ? Même réunis, les outils d’infrastructure ouverts, standards et les certifications de prestataires ne garantissent pas un socle applicatif performant, sûr, économique, stable et durable. En revanche, co-construire ses infrastructures avec des experts à l’écoute devrait contribuer à atteindre ces objectifs.
Chasser les dépendances technologiques
La cybersécurité, le cloud et l’IA fourmillent de solutions et d’outils… N’oublions pas les hommes ni les femmes qui les conçoivent, les installent et les exploitent. Il s’agit d’adopter un même langage et une même culture, de tendre vers une forme d’indépendance et de confiance entre les équipes, tout en chassant le shadow IT, les verrouillages et dépendances de logiciels.
Pour Guillemette Jahn, « La directive NIS 2 responsabilise les chefs d’entreprise. Elle va contribuer à sécuriser la chaîne d’approvisionnement, à gagner en transparence et en résilience. »
Anthony Duplantier ajoute : « la confiance vient avec l’indépendance vis-à-vis des fournisseurs et de leurs briques technologiques. Il faut cerner, avant tout, ce que l’on attend de chacun, et mesurer les risques derrière chaque élément. »
Il rappelle qu’un logiciel de sécurité reste un logiciel. Il est donc faillible et exige d’apporter un grand soin à sa configuration, puis à sa supervision.
Stéphane Darget renchérit : « le cloud de confiance est une partie du problème et de la solution. Avant tout, il faut réfléchir aux ressources que l’on doit protéger, sans oublier de vérifier l’expertise et la maturité des concepteurs, des intégrateurs, et des infogérants. »
Faute d’indépendance totale, il ne faudrait pas alourdir la somme de dépendances de son système d’information, à chaque mise à niveau. Des contrôles réguliers s’imposent donc par infrastructure, moyen d’accès et service SaaS complémentaire.
Un chantier de mordernisation pharaonique ? C’est la raison pour laquelle 42k.io a réuni 80 professionnels de la cybersécurité pour créer et partager un référentiel européen aidant à cerner la valeur ajoutée de chaque service, du point de vue de la souveraineté.
La souveraineté peut varier dans le temps
Ce critère de souveraineté reste important car il garantit le respect d’un cadre réglementaire et une approche culturelle commune.
Cependant, les intervenants du Forum Cloud ont signalé que l’apport de capitaux étrangers ou une acquisition étrangère peuvent rapidement bousculer la confiance initialement établie envers un acteur né en France ou en Europe.
En outre, le respect de valeurs éthiques, environnementales et sociales devient un facteur de confiance, avec ses propres métriques à prendre en compte et à surveiller.
« Après le cloud et la cybersécurité, la question des IA de confiance se pose déjà, » observe Guillemette Jahn qui, au sein de l’ACN, ouvre des perspectives vers plus de transparence dans ce domaine.