Infralliance a été co fondé par trois opérateurs d’infrastructures numériques : Telehouse, Terralpha et France IX Services. Le think et Do tank est ouvert à d’autres opérateurs.
Préalablement à toute approche relative à la souveraineté numérique, il convient de rappeler que l’Ingénierie d’infrastructures consiste en un assemblage maitrisé des offres et des techniques proposées par les nombreux acteurs et partenaires de la chaine de valeur. Ce point fondamental sous-tend que la souveraineté des données passe par la maitrise des niveaux d’Infrastructure.
(Au-delà du risque, le lien entre souveraineté et Résilience est très important.)
Trois points sont ainsi capitaux :
La complexité de la souveraineté numérique ne s’arrête toutefois pas à ces dispositions. Des considérations plus ou moins spécifiques, selon le métier et la position que l’on occupe dans cette industrie, peuvent être prises en compte.
A titre d’exemple, France-IX a choisi Nokia pour le renouvellement de son cœur de réseau, notamment pour répondre aux demandes de ses clients américains qui exigeaient des solutions (non chinoises) susceptibles de garantir la qualité de support et un transit sûr et résilient des flux.
Le chemin / continuum de la donnée doit être parfaitement connu pour faire face à d’éventuelles erreurs humaines, défaillances techniques ou actes de malveillance. C’est pour cela que nous demandons systématiquement aux opérateurs avec lesquels nous collaborons, les fichiers KMZ des parcs de nos clients. Nous pouvons ainsi vérifier si les fibres sont enterrées, protégées ou si elles passent à proximité d’endroits potentiellement sensibles. Tout est contrôlé de manière à évaluer la fiabilité de l’installation (tests optiques).
Puisque les flux de nos clients qui passent par notre plateforme d’interconnexion sont variés, évolutifs et la plupart du temps non prédictibles, nous garantissons un niveau de fiabilité très élevé et fournissons les plus hauts niveaux de SL (Services Levels), cohérents avec la nature et la sensibilité des services qui passent « dans les tuyaux ». Nous assurons le circuit entre le vendeur et l’acheteur.
Nous prenons en considération le niveau de services du vendeur jusqu’à l’acheteur : quelle bande passante ? quel niveau de disponibilité ? Certaines demandes (au taux de fiabilité désiré de 100%) peuvent déboucher sur la configuration de deux circuits infrastructurels différents de bout en bout, afin de garantir la disponibilité et la résistance à tous types de problèmes.
La protection des données étant au premier rang de notre vision de la souveraineté, nous nous sommes également mis en conformité avec le RGPD des données de nos clients, nécessaires à la réalisation de nos prestations. Nous avons fait évoluer nos process internes (enregistrés dans notre cahier des registres), no(s) système(s) d’information dont notre messagerie mais également notre site Internet. Nous avons également invité nos prestataires à montrer patte blanche sur l’ensemble de ces aspects.
Le réalisme est tout aussi essentiel que tout ce qui précède : La fiabilité absolue d’une infrastructure coûte une fortune et ne peut garantir à aucun moment un retour sur investissement. Il faut trouver un compromis raisonnable entre résilience et optimisation. Eviter d’avoir des infrastructures qui seraient tellement résilientes qu’elles en deviendraient inutiles, superflues et déraisonnables tant sur le plan financier qu’écologique.
Chez France-IX, nous avons banni les architectures « Full Mesh » pour privilégier au niveau national et régional, des infrastructures en double étoile, les plus optimales pour avoir cet effet [résilience X redondance], sans consommer trop d’électricité et de ressources.
Enfin, de manière plus générale, il faut avoir en tête que :
Avec Infralliance, nous prônons en ce sens la transparence des informations, une obligation de publication de la part des opérateurs. Je souhaite ainsi une accessibilité facilitée pour les clients.
La souveraineté numérique est un enjeu crucial pour garantir notre autonomie dans nos choix. Avec l’avènement du numérique, notre indépendance spirituelle, intellectuelle et matérielle dépend de plus en plus de notre aptitude à maîtriser les données, les applications et les infrastructures numériques. Par exemple, le réseau social TikTok a une capacité d’influence considérable sur les valeurs et les comportements, qui peut dépasser celle véhiculée par les livres ou les discours. C’est pourquoi les données et les applications sont très surveillées, que ce soit en termes de propriété intellectuelle ou d’implication des Etats dans les opérations de rachats. Les infrastructures le sont, quant à elles, un peu moins.
On ne peut que « tendre » vers la souveraineté numérique. En ce sens il est important de distinguer les éléments critiques pour notre autonomie de ceux qui ne le sont pas. Certains éléments ou composants dans le continuum de la donnée ne sont pas forcément stratégiques. A titre d’exemple, le choix d’une prise fabriquée en Chine n’est pas un élément décisif en la matière et n’impliquera pas interception, modification ou destruction des données.
La souveraineté doit être envisagée à l’échelle européenne plutôt que nationale, car les enjeux numériques ne connaissent pas de frontières.
Plusieurs leviers permettront de renforcer notre autonomie numérique : la prise de conscience de l’importance du sujet, la mise en place de politiques publiques adaptées, la localisation des compétences, la chaîne d’approvisionnement sans oublier la qualité des acteurs dont la survie et le mode de financement peuvent se jouer sur une ligne européenne tout en ayant une présence à l’international
Dans le même temps, il faut reconnaître les obstacles à l’accès à cette souveraineté. Faire coexister différents continuums de donnés sur des sujets à forts enjeux est complexe. Peu d’organisation ont des mécanismes permettant d’identifier les différentes typologies de données en fonction du niveau de risque et peuvent ensuite les orienter sur des continuums spécifiques. Une organisation avertie a plusieurs hébergements pour garantir la sécurité de ses données mais rares sont celles (à l’exception des grandes entreprises) qui ont des messageries différentes (classification C4 et C1) en fonction de l’importance des données échangées. Pour exemple, la métadonnée d’une photo peut être une donnée névralgique si cette dernière renseigne la localisation d’un équipement stratégique.
Il faut donc pouvoir classifier une donnée pour la protéger en fonction de sa sensibilité en y intégrant les limites d’usages liées à sa classification. La travail du CSF (Comité Stratégique de la Filière Industries de sécurité) est en ce sens décisif.
Les solutions proposées doivent être facilement paramétrables pour ne pas alourdir le quotidien de l’utilisateur et caractérisées par une triple facilité : détection, décision et mise en œuvre.
Dans tous les cas, il est illusoire de viser une architecture numérique 100% européenne. Il y aura toujours des arbitrages à faire notamment entre la robustesse de l’infrastructure et la sensibilité des données. Il est essentiel d’identifier les niveaux où nous avons besoin de plus d’alternatives, de solutions et de fonctionnalités dans le continuum de la donnée. C’est là l’un des objectifs d’Infralliance : identifier des espaces où des idées et des voies d’innovation pourraient émerger, en se mettant à la place d’un capital risqueur en attente de ruptures pertinentes.
Aujourd’hui, la confiance dans les actions de chiffrements est quelque peu immodérée, notamment dans le secteur du cloud, mais le continuum n’est pas 100% européen, loin de là.
Avec l’informatique quantique, la fracture du chiffrement va permettre dans ce domaine des choses insoupçonnables. Lorsque le mur sera franchi, tout ce qu’on croyait à l’abri ne le sera plus. Une approche multifactorielle est plus que jamais nécessaire. A n’en pas douter elle passera par la souveraineté des infrastructures.
De nos jours, les acteurs de l’IT sont invités à piloter leur activité en tenant compte des risques. Le pilotage par le risque a créé une tendance significative sur le marché actuel, mettant en avant l’importance de la cybersécurité.
Chaque CTO est maintenant chargé de piloter les risques liés à la sécurité et à l’IT, ainsi que de veiller à la continuité de l’activité. Cette situation amène à une réflexion : quels sont les risques en termes de souveraineté applicables à l’IT ? Comment puis-je les répertorier de manière exhaustive ? Quels choix d’infrastructures dois-je faire ? Comment puis-je procéder, sachant que le risque et la résilience engendrent des coûts IT importants ?
Aujourd’hui, qualifier l’indépendance d’une structure IT par rapport à des entités étrangères est extrêmement complexe. L’IT est fragmentée en plusieurs couches d’abstraction, notamment dans le cloud, qui sont extrêmement attrayantes (pas de dépenses d’investissement) et utiles au quotidien (solutions fluides, flexibles, start & stop, tout-en-un). En réalité, le CTO s’expose à une perte de contrôle, en particulier en ce qui concerne la souveraineté et à l’extraterritorialité de certaines juridictions. Il est important de rappeler que la souveraineté commence par l’infrastructure, la couche la plus fondamentale, c’est-à-dire les fibres, les centres de données et les premiers équipements qui constituent les bases de l’internet. Ce sont ces bases qui pourraient être menacées en termes d’intégrité ou même prises sous le contrôle d’une entité étrangère à l’organisation.
En prenant du recul, il est aisé de se rendre compte que les grands blocs mondiaux, tels que les États-Unis et la Chine, qui dominent la technologie aujourd’hui, ainsi que les blocs de second rang, tels que l’Union européenne, le Japon, l’Inde et plus largement les BRICS, s’organisent pour mettre en place une approche à la fois juridique, sécuritaire et technologique de contrôle de l’IT, notamment en se concentrant sur les infrastructures.
Chaque CTO en France et en Europe doit prendre conscience qu’aujourd’hui, des blocs économiques étrangers contrôlent potentiellement les flux d’informations et la technologie que les CTO sont censés maîtriser.
Les blocs américains et chinois adoptent une attitude très offensive et protectionniste. Par exemple, citons le bloc américain qui a initié le Cloud Act, qui étend l’application de la législation américaine à toute infrastructure IT ou technologique, même si elle est opérée en dehors des frontières du pays. À la lumière de cet exemple, le CTO doit aujourd’hui faire face à de nombreuses failles pour piloter son infrastructure en tenant compte des risques.
Piloter le risque pour une personne responsable au sein d’une organisation signifie avoir le choix d’accepter ou de refuser les risques d’extraterritorialité des données, ainsi que la capacité de travailler et de gérer sur le long court en fonction du pays concerné, la résilience de son infrastructure et la façon dont il fait face à ces risques.
Comment ? En mettant en place des solutions adaptées qui permettent de répondre à ces différents risques, de les atténuer voire de les résoudre lorsque cela est possible. En faisant des choix de sécurité compatibles et cohérents avec la sensibilité des données.
Malgré les rapports de force actuels, il est toujours possible de collaborer avec des organisations américaines ou chinoises sur des aspects moins critiques ou moins sensibles à l’ingérence extraterritoriale. Cela évite la « balkanisation de l’internet », qui est particulièrement limitante sur le plan technologique.
Aujourd’hui, il existe des accords diplomatiques et sécuritaires entre les différents blocs. L’Europe et le Japon ont établi une alliance internationale et signé un pacte de bienveillance qui offre des garanties aux pays et à leurs entreprises en ce qui concerne la non-extraterritorialité des lois, le respect du RGPD, la non-espionnage des câbles sous-marins ou des infrastructures critiques, etc. Ces accords souverains peuvent évoluer avec le temps et nécessitent des mises à jour régulières.
Ces rapports de force et ces accords multilatéraux offrent aux CTO la possibilité de définir un gradient de risque entre les différents pays et de modifier certaines collaborations en évaluant et en notant le risque. Le CTO n’attribuera pas la même note de risque à un fournisseur japonais qu’à un fournisseur américain ou chinois. Il n’adoptera pas la même approche en matière de résilience avec un fournisseur japonais qu’avec d’autres fournisseurs non européens .
La participation unique d’une entreprise étrangère telle que Telehouse à la cofondation d’Infralliance est un exemple remarquable des relations entre l’Europe et le Japon. Cela montre aux parties prenantes américaines et chinoises un modèle vertueux de collaboration transfrontalière, offrant aux entreprises la possibilité d’être en sécurité et leur permettant de gérer les coûts liés aux risques et à la résilience de manière plus durable.
L’objectif est clair : faciliter les collaborations technologiques transfrontalières (import/export d’équipements ou de licences) tout en réduisant les risques, afin d’éviter des effets collatéraux tels que le « Trump Ban » sur les technologies et les télécommunications chinoises, dont tout le monde se souvient et dont le spectre continue à peser sur l’Europe.
Contrairement aux logiciels, la résilience nationale s’applique plus facilement aux infrastructures telles que les datacenters, qui sont des équipements plus facilement régulables localement. Le cadre juridique s’adapte au cadre du pays d’accueil, en harmonie avec la territorialité des autorisations. Les datacenters Telehouse assurent la résilience en s’appuyant sur des alternatives canadiennes, japonaises ou brésiliennes en cas de conflit entre blocs.
La relocalisation des infrastructures en Europe est également un enjeu important en matière de souveraineté numérique. Relocaliser le trafic Internet permet de redonner du « soft power » aux pays d’accueil en Europe. Lorsque les contenus sont localisés sur nos territoires, cela présente plusieurs avantages. Tout d’abord, sur le plan financier, cela réduit les coûts, car nous n’avons pas à les récupérer. Ensuite, sur le plan juridique, nous avons un meilleur contrôle, car ces contenus se trouvent sur notre territoire national, ce qui nous permet d’agir plus facilement. Enfin, cela favorise la diversité et le choix, car cela encourage la création de contenu local tout en incluant les contenus étrangers dont nous avons besoin.
Terralpha, filiale de SNCF Réseau créée en mai 2021, déploie un réseau alternatif ultra haut débit de haute fiabilité sur le territoire national. Son maillage unique lui confère une résilience, une sécurité et une souveraineté inédites grâce aux fibres optiques posées le long des artères ferroviaires. Pour répondre aux besoins émergeants du Edge Computing et afin de faciliter le développement des centres de données régionaux, Terralpha offre des solutions d’hébergement de DataCenters de proximité dites « Dalles Numériques » qui permettent aux acteurs du numérique un stockage et un traitement local des informations.
Telehouse est un des leaders des de l’hébergement en data center depuis plus de 30 ans. Forte d’un réseau de 46 sites sur 24 emplacements stratégiques dans le monde, couvrant tous les principaux centres financiers et noeuds commerciaux, Telehouse offre une connectivité et une portée mondiales à ses clients, qui ont accès à l’un des écosystèmes d’opérateurs les plus diversifiés en Europe : points d’échange internet, fournisseurs de services cloud, ISP, ASP et bien plus encore. Fournisseur mondial de colocation en data center, Telehouse est une filiale de KDDI, entreprise japonaise du Global Fortune 500, l’une des dix premières entreprises de télécommunications au monde.
France-IX Services est le premier fournisseur de services d’échange de trafic Internet en France, proposant des services d’interconnexion publics et privés par l’intermédiaire de ses points d’échange neutres (transporteurs et centres de données) à Paris, Marseille, Lille, Lyon, Grenoble et Toulouse ainsi que des services d’hébergement d’équipements, de NAP (Network Access Point), de bande passante (Wave, VLANs) ou encore de formation technique. Le groupe interconnecte plusieurs centaines d’acteurs (opérateurs de télécommunications, FAI, entreprises, fournisseurs de contenu et d’infrastructures de Cloud) et tous les autres réseaux Internet dans le monde entier avec un trafic important sur le marché français de l’Internet. Ses services s’adressent à toutes les organisations qui souhaitent optimiser leurs coûts et leur connexion Internet dans le cadre de leur transformation numérique. Fondée en juin 2010 avec le soutien de la communauté Internet française, France-IX Services compte aujourd’hui plus de 500 clients et porte les valeurs suivantes : neutralité, durabilité et amélioration constante de l’Internet. Pour plus d’informations, consultez le site web de France-IX Services.
