Christine Knackfuß-Nikolic, nouvelle Chief Sovereignty Officer de T-Systems, parle dans un entretien avec Jürgen Hill, rédacteur de DSI, des différents niveaux de la souveraineté digitale, des défis qui y sont liés pour les entreprises ainsi que des objectifs d’initiatives européennes comme Gaia-X et 8ra.
Ce que nous constatons dans l’interaction avec les clients, c’est que la notion de souveraineté n’est actuellement pas définie. Il y a une compréhension complètement différente, voire une incompréhension. Nous définissons trois niveaux différents de souveraineté, car la souveraineté se décline en nuances, en « Shades of Grey ». Le niveau de base est la souveraineté des données, c’est-à-dire que le stockage et le traitement des données sont soumis à la protection juridique du pays dans lequel l’entreprise a son siège social. L’objectif est de s’assurer qu’aucune des réglementations auxquelles les entreprises doivent se conformer dans ce pays n’est enfreinte. Je pense par exemple au règlement général sur la protection des données. La souveraineté des données signifie la capacité d’exercer un contrôle total sur ses propres données.
Le deuxième niveau est la souveraineté de l’entreprise. Il s’agit de savoir si, en tant qu’entreprise, j’ai une visibilité et un contrôle sur l’infrastructure critique ainsi que sur les processus opérationnels et si je peux les maintenir. En d’autres termes, puis-je guider les personnes qui exploitent le système et puis-je contrôler qui a accès au centre de données ? L’objectif est de protéger l’infrastructure physique contre les manipulations, de contrôler les droits d’accès et d’empêcher que le système soit piraté ou que les processus opérationnels soient interrompus.
Le troisième niveau est la souveraineté technologique. Celle-ci se réfère à la capacité d’acheter ou de produire soi-même du matériel et des logiciels à des conditions de marché équitables en cas de besoin.
Il y a différentes raisons à cela. L’attitude classique consiste à éviter la dépendance vis-à-vis d’un fournisseur pour empêcher qu’il puisse imposer ses prix. Cela se manifeste souvent dans l’interaction entre les entreprises et les hyperscalers, lorsque ces derniers augmentent leurs prix. Pour éviter cela, les entreprises ne devraient pas nécessairement se lier à un seul fournisseur, mais adopter une stratégie multi-fournisseurs. Cela permet de créer une situation de concurrence.
Notre expérience montre que l’on n’a pas besoin du même niveau de souveraineté pour chaque charge de travail. La souveraineté va de pair avec un prix plus élevé, car des ressources plus coûteuses sont utilisées, des normes de sécurité plus élevées et davantage de certifications sont nécessaires. Tout cela fait grimper les coûts. En outre, on perd généralement en fonctionnalité et en évolutivité. Cette décision de trade-off est la décision clé pour les DSI. Ils doivent atteindre, pour la charge de travail spécifique, la fonctionnalité et l’expérience client maximales au prix le plus bas possible, avec le niveau de souveraineté et de sécurité requis.
Un utilisateur doit penser en fonction de l’application. Car personne ne met en place un cloud juste pour avoir un cloud.
Christine Knackfuß-Nikolic, Chief Sovereignty Officer de T-Systems
De mon point de vue, c’est tout à fait recommandable. Un utilisateur doit penser en fonction de l’application. Car personne ne met en place un cloud juste pour avoir un cloud. Ce serait comme si j’achetais un cheval sans réfléchir au préalable au type d’équitation que je souhaite pratiquer avec lui. Là encore, je dois réfléchir au préalable à ce que je veux faire avec le cheval – dressage, saut d’obstacles, équitation western – et choisir le cheval adéquat en fonction de ces exigences. Tout ce battage sur la souveraineté est souvent mené par l’arrière et ne tient pas compte des besoins réels.
Oui, c’est exactement ce que vous faites. Un cas d’utilisation de base n’a souvent lieu qu’au niveau de la souveraineté des données, où la souveraineté opérationnelle et technologique n’est pas absolument nécessaire. Un tel exemple pourrait être le cloud d’un hyperscaler, mais qui respecte les droits des données comme le RGPD.
Le premier défi est la réception, l’utilisation des services souverains correspondants. C’est là que l’État peut apporter son aide en tant que client d’ancrage. Si l’on discute déjà de la possibilité de placer des données confidentielles sur le cloud d’un hyperscaler, comment une PME disposant de moins de compétences et de temps pourra-t-elle comprendre qu’elle doit le faire si le gouvernement ne le fait pas ? L’État doit jouer un rôle d’exemple pour stimuler l’utilisation de ces services.
Le deuxième défi est qu’un marché souverain à 100 % est économiquement difficile pour les fournisseurs d’infrastructures. Enfin, il est petit, mais nécessite des investissements importants. Cela peut changer si la demande augmente. En raison de la situation géopolitique actuelle, la demande est actuellement plus forte, ce qui crée une fenêtre d’opportunité. Le troisième thème, en particulier pour l’Allemagne et l’Europe, est la réduction de la bureaucratie et des silos. Si les processus d’approbation durent éternellement ou exigent des efforts énormes et que les forces nécessaires ne sont pas réunies, nous n’atteindrons pas la vitesse nécessaire.
Mais mon sentiment est que les conditions n’ont jamais été aussi bonnes qu’aujourd’hui. Si je pense par exemple au ministère du digital et à la volonté de réduire la bureaucratie. Il ne nous reste plus qu’à le mettre en œuvre. La volonté est là, et c’est aussi à chacun – consommateurs, entreprises et État – de faire avancer l’Europe et l’Allemagne en matière de souveraineté digitale.
Gaia-X et 8ra se distinguent par deux dimensions essentielles. 8ra est une infrastructure de cloud et d’edge computing dont l’objectif est de créer un environnement européen souverain et interopérable pour le traitement et le stockage des données, basé sur des normes ouvertes. Gaia-X, en revanche, est une initiative européenne visant à créer une infrastructure de données. Elle permet aux entreprises d’échanger des données de manière souveraine et sécurisée. Les deux se complètent donc. Le projet 8ra fournit les nœuds sécurisés, tandis que Gaia-X fournit les connexions entre eux.
8ra construit un continuum cloud-edge, un réseau de dizaines de milliers de nœuds. Un nœud peut être un grand cloud ou une puce sur un terminal. Ceux-ci sont reliés par-delà les frontières nationales. C’est là qu’intervient le terme de cloud roaming, que nous avons inventé. Comme pour la téléphonie mobile, où vous passez automatiquement au réseau d’un autre opérateur lorsque vous franchissez la frontière d’un pays, vous pouvez vous imaginer la même chose avec 8ra. Si vous êtes une PME avec des usines dans plusieurs pays européens, elles peuvent communiquer automatiquement entre elles car un service de cloud roaming est proposé.
Si nous, en tant qu’Europe, ne parvenons pas maintenant à maîtriser le processus de rattrapage digital, nous ne réussirons plus à le faire.
Christine Knackfuß-Nikolic, Chief Sovereignty Officer de T-Systems
Je pense que 8ra a l’avantage d’être né dans une autre « Window of Opportunity ». Pour moi, c’est un peu « maintenant ou jamais ». Si nous, en tant qu’Europe, ne parvenons pas maintenant à maîtriser le processus de rattrapage digital, nous ne réussirons plus à le faire. Cela donne le vent en poupe pour ces programmes, même si de nombreux intérêts doivent être triés. De plus, il ne faut pas que tout cela se perde à nouveau dans la bureaucratie. Il est urgent d’agir, car il nous a été clairement démontré qu’en tant qu’Européens, 80 % de la technologie provient de pays non européens et que nous sommes donc extrêmement dépendants. Nous n’aurons plus jamais de conditions aussi favorables. C’est pourquoi 8ra a de très, très bonnes chances d’y arriver et va également donner à Gaia-X un nouvel élan.
Tout dépend de ce que vous entendez par alternative. Ce que j’apprécie dans l’approche 8ra, c’est qu’elle n’aborde pas la question de manière naïve. Toutes les parties concernées sont conscientes que nous avons aussi besoin des hyperscalers. Ainsi, 8ra est une approche complémentaire qui crée des alternatives. Elle offre la résilience et l’indépendance là où elles sont nécessaires. Pour les charges de travail très souveraines ou lorsque l’échange de données est essentiel, il est possible de se passer des hyperscalers, mais de continuer à les utiliser ailleurs.
En premier lieu, les utilisateurs doivent analyser leurs charges de travail et les exigences de souveraineté et de sécurité dont ils ont besoin. La deuxième étape consiste à examiner – avec nous par exemple – l’offre du marché afin de trouver la meilleure infrastructure pour la charge de travail concernée. De nombreux utilisateurs qui n’ont poursuivi qu’une stratégie multi-fournisseurs avec des hyperscalers se demandent maintenant si cela est vraiment souverain lorsque, par exemple, la loi sur le cloud s’applique ou que des services sont désactivés. Ils se tournent alors vers une alternative d’hyperscaler européenne plus souveraine. Il existe aujourd’hui déjà de nombreuses offres sur le marché, comme notre T Cloud, à partir desquelles il est possible de composer une solution adéquate, d’autant plus que l’on travaille beaucoup sur la compatibilité et la capacité de migration.
