FIC Europe 2023. Le cloud computing à l’honneur de la 15e édition

Guillaume Tissier. Nous attendons 16 000 personnes, soit 15% de plus que l’année dernière. Notre visitorat sera également davantage international, en raison du développement qu’a pris l’événement en Europe ou à travers le FIC au Canada. En termes de fréquentation, nous assistons enfin à un rééquilibrage avec davantage d’utilisateurs finaux. Le FIC est en effet un événement d’écosystème rassemblant :

• les offreurs de solutions et de services, depuis l’éditeur logiciel jusqu’à l’assureur, en passant par les services et le conseil ;

• le monde public (au sens large avec les ministères, les administrations et les collectivités) ;

• les clients finaux, avec notamment la présence renforcée de RSSI (responsables de sécurité des systèmes d’informations) ;

• les centres de recherche et le monde académique.

L’objectif premier est de contribuer au renforcement des réponses opérationnelles, avec une mobilisation accrue de tous ces acteurs de l’écosystème. Il y a en effet une urgence qui ne se dément pas et qui, au contraire, se renforce. Il existe en effet des angles morts en matière de sécurité (collectivités, hôpitaux, PME…) qui sont encore plus attaqués que d’habitude.

La situation est donc en trompe-l’œil : la légère diminution quantitative des attaques qui ressort de certains études masque en réalité un renforcement de la menace parce que ce sont des attaques qui visent les angles morts, qui portent sur des organisations qui sont moins préparées que les grosses, et sur des points faibles de nos réseaux et systèmes d’information que sont par exemple les objets connectés ou les technologies opérationnelles. Et ce sont des attaques qui font plus mal qu’avant.

G.T. Oui bien sûr. L’idée est que le FIC européen et les FIC que nous créons se répondent entre eux. Nous cherchons à créer des ponts entre les écosystèmes. Et de la même façon que nous avons pu aller au Canada avec un certain nombre de partenaires français et européens, nous avons à l’inverse des partenaires canadiens et nord-américains qui viennent au FIC lillois.

Ce sont à la fois des acteurs privés côtés offreurs et clients finaux, mais aussi des acteurs publics.  Nous attendons ainsi plusieurs hauts responsables de l’agence canadienne de cybersécurité ou encore une délégation des Etats-Unis.

C’est important car cela contribue à l’internationalisation du FIC Europe. L’ensemble des FIC doivent interagir et se répondre lors de ces événements. L’objectif est de reprendre les recettes du FIC et de les adapter à la sauce locale. Il ne s’agit pas uniquement d’exporter la cybersécurité française ou européenne, mais bien d’avancer en étroit partenariat avec les associations et les acteurs locaux de la cybersécurité.

G.T. Cette année, nous avons choisi le thème du cloud computing car il y a une double actualité autour du sujet. Une première qui est d’ordre opérationnelle, avec un certain nombre de menaces qui touchent les grands clouds publics, dont la sécurité ne coule pas forcément de source. Les architectures multicloud et hybrides sont complexes, les fonctionnalités de sécurité proposées par les grands offreurs et les politiques de sécurité compliquées à appliquer, ce qui peut générer des failles de configuration.

La deuxième actualité est d’ordre stratégique, avec le sujet de la souveraineté numérique. Il y a ainsi des débats sur le futur schéma européen de certification de l’offre cloud, le SecNumCloud français version européenne. Voilà nos attentes sur le fond.

Le sujet du cloud souverain est compliqué. En France, nous avions d’abord parlé de cloud souverain avant d’en venir à parler de cloud de confiance. Quand on parle de cloud de confiance, c’est que tout le monde n’est pas à l’aise avec ce terme de « souveraineté »… Si nous avons en France toutes les briques technologiques et des acteurs très performants comme OVHCloud, les trois hyperscalers américains (Amazon Web Services (AWS), Google Cloud Platform (GCP) et Microsoft Azure), concentrent 70% du marché et bénéficient d’un effet de taille.

Au-delà de la souveraineté sur les technologies, le sujet est la souveraineté sur nos données. Nous savons bien aujourd’hui que la simple localisation en France ne suffit plus. C’est-à-dire que les données localisées en France, hébergées dans une société de droit français mais filiale d’un groupe de droit américain, rend les données vulnérables à l’extraterritorialité de certains droits.

Donc si l’on veut avoir une immunité pour les données les plus critiques, il faut garder le contrôle de l’entité juridique en question. Par ailleurs, même quand il s’agit d’une société française ayant un accord de licence avec une éditeur étranger, il faut encore s’assurer que les solutions sont déconnectées de leur souche étrangère, y compris en cas de mise à jour avec le fournisseur de la licence.

Nous voyons bien qu’au gré des relations internationales, des tensions peuvent apparaître. Il peut typiquement y avoir des sanctions qui pourraient par exemple interdire l’utilisation d’un logiciel dans une zone donnée. Une entreprise française mondiale utilisant un logiciel américain sous-licence pourrait demain se voir interdire d’opérer dans telle ou telle zone. Ce qui évidemment pose un problème sur le plan de la souveraineté.

Dans un monde globalisé et ouvert, la souveraineté en matière numérique, c’est finalement un curseur que l’on règle en fonction de ses besoins et de son analyse de risque. Ce n’est pas tranché, ce n’est pas blanc ou noir. Tout en sachant que la souveraineté totale est assez compliquée à avoir car bien souvent, nous ne pouvons pas maîtriser tous les composants, du matériel au logiciel.