Afterwork du 17 novembre 2022 SOUVERAINETÉ DIGITALE: ENJEUX ET COMPÉTENCES
Flyer Afterwork du HUB Futur des Jobs 17.11.22 
Souveraineté digitale: enjeux et
compétences
Jeudi 17 novembre s’est déroulé, dans les locaux de Spaces, au quai de l’Ile à Genève, un afterwork “Futur des jobs” organisé par la Fondation Nomads en partenariat avec la société IWG Suisse (Signature, Regus, Spaces). Cette table ronde, animée par la journaliste Irma Danon, réunissait Jean-Henry Morin, professeur en systèmes d’information à l’Université de Genève, Nathalie Feingold, fondatrice de npba, Fathi Derder, ancien conseiller national et Managing Director de la Swiss Digital Initiative, et Benoît Gerhard, Senior Director Security Labs & Services chez Kudelski Group. Les quatre intervenants ont échangé leur point de vue sur les défis qui se présentent aujourd’hui en Suisse en matière de souveraineté digitale et sur les actions à entreprendre pour y répondre, tant sur le plan juridique que politique ou économique.
Dès le début de cette table ronde, il apparaît que la Suisse a pris beaucoup de retard dans ce domaine. Et même si une prise de conscience se dessine peu à peu, les choses se font très lentement, notamment en raison du fédéralisme, qui nécessite des décisions dans 26 cantons différents, ce qui complique et ralentit considérablement le processus. La question est aussi de déterminer quel rôle l’Etat doit jouer dans ce domaine. Pour Fathi Derder, son rôle est essentiel, dans la mesure où le problème est transversal et demande une réponse globale. Aujourd’hui, le Conseil fédéral estime que l’Etat doit garantir la liberté de circulation des données tout en les protégeant au maximum. Mais le temps du politique étant beaucoup plus lent que celui du numérique, les solutions viennent aujourd’hui davantage du secteur privé, plus réactif, que de l’Etat.
Pour Jean-Henry Morin, qui préfère parler d’autonomie plutôt que de souveraineté, l’enjeu ne se limite pas aux données, mais concerne aussi les infrastructures, les compétences et la formation indispensables pour atteindre une autodétermination numérique. Il constate que, face à la fuite en avant du digital dont on est victime, on n’a rien vu arriver. Et il déplore que la Confédération, qui se situe pourtant au sommet d’innombrables rankings en matière d’innovation et de formation, n’ait pratiquement rien entrepris pour construire une infrastructure capable d’assurer cette autonomie, elle qui est pourtant actionnaire à 51% de Swisscom, à qui elle aurait pu confier un mandat visant à construire une infrastructure numérique nationale.
Nathalie Feingold, qui conseille des entreprises et leur expose l’importance d’acquérir une autonomie en matière numérique, constate qu’on vit dans un monde ébloui par les promesses du digital, mais très peu réceptif à tout ce qui questionne ce domaine.
Benoît Gerhard observe un changement dans les entreprises depuis deux ans environ. Si la plupart d’entre elles sont conscientes depuis de nombreuses années que des attaques sont possibles, ce n’est en effet que depuis peu qu’elles se rendent compte des risques réels pour la sécurité de leur infrastructure et de leurs produits, et donc de l’importance d’investir dans des mesures de protection adéquates. Avec la multiplication des appareils, toujours plus connectés, souvent utilisés autant au domicile que sur le lieu de travail, les risques ne cessent de croître. L’effort doit être constant et adapté en permanence. Il importe de cibler les actions visant à identifier si les appareils sont vulnérables, ceci après avoir défini les risques majeurs et les secteurs sensibles. Ces paramètres étant considérablement différents d’une entreprise à l’autre, il est impossible d’implémenter une parade unique. Une approche personnalisée donc doit être privilégiée.
Fathi Derder estime que les données de santé sont aujourd’hui essentielles. Leur partage représente un enjeu majeur pour la société. Il est donc impératif de les protéger, ce qui nécessite des infrastructures adéquates. Celles-ci devraient être mises en place par la Confédération, sans qu’elle attende que le secteur privé s’en charge, comme elle l’avait fait à la fin du XIXe siècle avec la création du réseau ferroviaire, dont elle n’avait pris le contrôle que très tard.
Jean-Henry Morin, Nathalie Feingold, Fathi Derder et Benoît Gerhard (de g. à dr.)
Or à l’heure actuelle, l’écrasante majorité des données sont hébergées et contrôlées par les sociétés américaines comme Microsoft ou Amazon. Ce qui pose un problème de souveraineté. Pour Nathalie Feingold, cette souveraineté est avant tout une question de volonté et de coût: on se tourne vers des géants du numérique, qui proposent des solutions peu onéreuses, sans se pencher suffisamment sur les conséquences en matière de données. Elle déplore le fait qu’on laisse potentiellement à des groupes étrangers l’accès à des masses de données d’intérêt national, mais pense que cette dérive est encore rattrapable, pour autant qu’il y ait une réelle volonté des décideurs dans ce sens. Le problème, pour Jean-Henry Morin, est que la Suisse n’a jamais fait de choix dans ce domaine, se laissant emporter par le tourbillon des innovations technologiques sans leur imposer un cadre légal et de gouvernance.
Fathi Derder évoque l’intérêt qu’il y aurait pour notre pays de réglementer ce domaine, par exemple pour protéger les nombreuses ONG qui y ont leur siège et travaillent dans les zones les plus instables de la planète, et dont les données très sensibles sont particulièrement convoitées par des pirates, des Etats et des services de renseignement. Pour lui, un cloud suisse pourrait protéger les victimes de guerre bien mieux que des serveurs hébergés par des sociétés privées aux Etats-Unis. Or la Confédération s’en remet au secteur privé, puis aux cantons, pour n’intervenir qu’en tout dernier recours. Il estime qu’elle devrait collaborer avec des partenaires privés spécialisés pour mettre sur pied cette infrastructure nationale, tout en doutant qu’elle puisse se passer des géants américains du numérique, en raison de leur avance considérable et des investissements massifs qu’ils font dans ce secteur, notamment pour la sécurité. Il faudrait alors que ces partenaires américains soient soumis au droit suisse afin de garantir que les données ne puissent être transmises à des tiers.
Nathalie Feingold insiste sur l’importance de la gestion des risques en matière numérique. Chaque entité doit identifier et évaluer ceux-ci de manière précise pour pouvoir les sélectionner et les gérer en connaissance de cause, par exemple par des couvertures d’assurance. Or il est très difficile de faire cette évaluation dans un domaine où tout évolue très vite. Pour Jean-Henry Morin, la formation est essentielle, mais elle ne suffit pas. Il faut aussi un accompagnement, qui devrait être du ressort de l’Etat. Celui-ci devrait assurer une responsabilité publique en la matière, or la Confédération estime que ce problème n’incombe qu’aux entreprises. Benoît Gerhard rappelle toutefois qu’elle a créé le Centre national pour la cybersécurité (NCSC, ncsc.admin.ch), auquel les entreprises et les citoyens peuvent s’adresser. D’autres organismes ont été mis sur pied par les autorités, prouvant leur prise de conscience et leur volonté d’aller de l’avant. Fathi Derder déplore toutefois l’absence d’une structure centralisée et la multiplication de petites entités pour faire face à la situation.
Que faire concrètement? Nathalie Feingold, persuadée que l’impulsion doit venir d’en haut, invite les chefs d’entreprise à s’intéresser de près à cette problématique, à connaître le genre de données que leur société renferme, où elles transitent, qui les utilise et à quelles fins, quelle est leur durée de vie. Des questions basiques qui permettent de définir le niveau de maturité digitale d’une entreprise. Benoît Gerhard plaide pour davantage de collaboration entre les secteurs public et privé, ainsi que pour l’adoption et la mise en œuvre rapides de systèmes standards définissant le niveau de sécurité à atteindre, ce qui nécessite une impulsion et un soutien politiques. Quant à Fathi Derder, il souhaite que les gros partenaires, privés d’abord, mais sous la supervision de l’Etat, œuvrent pour garantir une souveraineté numérique aux citoyens.
Pour sa part, Jean-Henry Morin appelle à encourager la responsabilité numérique auprès des entreprises. Ce qui peut être un vrai défi pour les PME. C’est pourquoi le Canton de Genève a développé une formation courte à leur intention, ainsi qu’un service (http://digital-responsibility.info) leur permettant d’évaluer leur niveau de maturité numérique et d’anticiper les démarches à entreprendre. Une initiative qu’il souhaiterait voir étendue au niveau national.