Intervention de Arnaud Dechoux

Ce n'est effectivement plus un bon argument, sinon pour les aspects culturels.

La notion de souveraineté numérique est évidemment un sujet extrêmement important. Un acteur international comme Kaspersky a pu observer la montée de ces enjeux de souveraineté partout dans le monde. Le terme de souveraineté numérique n'est pas forcément celui qui est utilisé ailleurs, et l'on peut nous demander, en Russie ou dans d'autres pays, ce que signifie exactement cette notion, qui est surtout utilisée en Europe.

Le concept se décline selon nous à trois niveaux – la souveraineté des États, celle des organisations et celle des utilisateurs ou citoyens, avec des enjeux distincts. Pour ce qui est de la souveraineté des solutions et des services numériques, nous pensons à plusieurs grands principes. Sans surprise, elle implique pour les utilisateurs le contrôle complet de leurs données (savoir où elles vont, pouvoir choisir avec qui elles sont partagées). Du point de vue du commanditaire, que ce soit un État ou une entreprise, elle renvoie à la maîtrise et à la connaissance des solutions informatiques utilisées. Le Cigref soulignait que les outils informatiques sont censés faire ce qu'ils doivent faire, et rien d'autre. Nous adhérons pleinement à cette définition. Cela passe beaucoup par la transparence des éditeurs des solutions de cybersécurité ou d'autres solutions. La possibilité d'auditer le code source, que nous avons essayé de promouvoir par notre initiative mondiale de transparence, nous semble à cet égard un axe clef.

Vous avez mentionné le fait d'être ou non européen. Cela ne vous surprendra pas, mais la souveraineté doit selon nous, en vertu des valeurs européennes, passer par la libre concurrence et la non-discrimination. À ce titre, la nationalité d'origine de l'éditeur ne nous semble pas un élément pertinent. On peut bien sûr en tenir compte, mais elle doit être associée à d'autres facteurs, comme la confiance en l'éditeur, sa structure capitalistique, sa manière de gérer les données, l'assurance que l'on peut avoir que les données ne sont pas transmises.

Le dernier principe qui nous semble important pour qu'un État ou une entreprise puissent assurer leur souveraineté numérique est le fait que les prestataires de services ou de solutions respectent les valeurs européennes et coopèrent avec les autorités. Ce point est particulièrement important dans le secteur de la cybersécurité en particulier, où l'on voit beaucoup de coopérations entre les entreprises et les forces de l'ordre, pour des investigations conjointes ou pour du partage d'expertise plus généralement avec la société civile et le monde académique.

Pour ce qui est des opérations conjointes, citons l'exemple de la saisie du serveur de command and control d'un groupe cybercriminel par des forces de police : ces dernières peuvent faire appel à une société comme Kaspersky pour aider à l'analyse du serveur afin d'essayer de remonter à la source et de trouver des clefs de déchiffrement de rançongiciels. Une initiative a très bien fonctionné sur le sujet, la plateforme No More Ransom, lancée en 2016 par la police néerlandaise, Europol, Kaspersky et McAfee. Cette plateforme réunit aujourd'hui plus de cent soixante parties prenantes, dont beaucoup de polices européennes. La police et la gendarmerie françaises en font partie. L'objectif est de donner des clefs de déchiffrement gratuitement aux personnes victimes de rançongiciels. Cette plateforme est bien sûr moins utile aujourd'hui, puisque les rançongiciels sont désormais beaucoup plus ciblés et complexes qu'auparavant. Il s'agit en tout cas d'un bon exemple de partenariat qui fonctionne.

En conclusion sur la souveraineté numérique, la non-dépendance vis-à-vis d'un fournisseur unique nous paraît un élément important pour un État ou une entreprise. En l'occurrence, la cybersécurité est un secteur relativement fragmenté, à la différence de celui de l'hébergement cloud. Il existe de nombreuses solutions, européennes ou non, permettant à un État de choisir au mieux et de ne pas être pieds et poings liés avec un éditeur. La question n'est pas tout à fait la même.