Tout le monde le répète : la transformation numérique des entreprises belges présente des perspectives de croissance dans tous les secteurs de notre économie. Une étude Statista datant de la fin de l'année 2019 donnait la mesure de l'importance des revenus du marché des services " cloud " en Belgique : 625 millions d'euros en 2018 et près de 926 millions l'an prochain.
...

Tout le monde le répète : la transformation numérique des entreprises belges présente des perspectives de croissance dans tous les secteurs de notre économie. Une étude Statista datant de la fin de l'année 2019 donnait la mesure de l'importance des revenus du marché des services " cloud " en Belgique : 625 millions d'euros en 2018 et près de 926 millions l'an prochain. Big data et intelligence artificielle font des données un actif stratégique dont le potentiel fait parfois oublier le caractère sensible. Les citoyens européens sont aujourd'hui mieux protégés dans l'exploitation de leurs traces numériques grâce au RGPD (règlement général de protection des données) mais les entreprises ne sont pas logées à la même enseigne, toujours tributaires de prestataires majoritairement américains. Ainsi, le marché du cloud européen est aujourd'hui dominé par des acteurs comme Amazon, Google, Microsoft, Dropbox, Box, Citrix et Apple. Face au risque d'espionnage (industriel, étatique) et aux cyberattaques, les responsables informatiques des entreprises se retrouvent désormais face à un tournant historique de leur mission : sécuriser le périmètre de leurs infrastructures, de plus en plus éparpillées et interconnectées. En jeu : la souveraineté des données, confidentielles ou pas. Le Cloud Act ( Clarifying lawful overseas use of data act) est une loi fédérale américaine promulguée début 2018. Elle permet aux forces de l'ordre et aux agences de renseignement américaines d'obtenir des informations stockées sur des serveurs appartenant à des opérateurs et des hébergeurs américains, peu importe que ces serveurs soient situés sur le sol des Etats-Unis ou ailleurs dans le monde. Ces " grandes oreilles " de l'Oncle Sam ont été largement associées aux risques qui pèsent sur la vie privée des utilisateurs finaux, mais la confidentialité des données stratégiques de nos entreprises a encore rarement été placée au centre du débat. Les choses changent car les enjeux sont fondamentaux, comme l'explique Frank Karlitschek, CEO de Nextcloud, une solution européenne de cloud souverain utilisée notamment par le gouvernement allemand : " Il faut comprendre qu'en hébergeant des données auprès d'une entreprise en dehors de l'Union européenne, qu'elle soit américaine, russe ou chinoise, les data de cette entreprise tombent immédiatement dans le giron d'une juridiction étrangère ". Dans le cas qui nous occupe, le Cloud Act donne concrètement la possibilité au gouvernement ou à la justice américaine d'accéder aux données d'une PME belge, même si celles-ci sont bien hébergées en Belgique par un acteur américain. " Et il se peut que vous n'en sachiez jamais rien, même s'il faut mettre au crédit de Google une volonté d'un peu mieux informer ses utilisateurs via le 'rapport de transparence', dit-il. D'ailleurs, quel intérêt ont ces entreprises à vous informer d'un accès à vos données ? " Nombre d'acteurs se posent désormais en alternative aux solutions américaines, OVH en tête. La seule entreprise européenne à se classer dans le top 10 mondial du cloud a été fondée près de chez nous, à Roubaix (France). Rebaptisée OVH Cloud fin 2019, elle entend désormais se poser en rempart contre les géants chinois et américains. Volonté identique pour Nextcloud, un cloud open source créé en Europe et rebaptisé Nextcloud Hub il y a peu pour mieux se poser en solution de cloud sécurisée et souveraine aux hébergeurs américains. Frank Karlitschek, le CEO met en avant la capacité de contrôler la partie hébergement : " Si vous hébergez vos données en Europe en utilisant notre solution, vous pouvez le faire dans votre data center ou opter pour l'un de nos hébergeurs partenaires ". L'entreprise, basée à Stuttgart, a placé la sécurité au centre de sa communication et des enjeux : " Par défaut, les données sont protégées de bout en bout par un système de cryptage. Cela signifie que même les administrateurs n'ont pas accès aux données ou que le département RH ne peut pas lire les documents édités par les services financiers ". Ce discours sur les données hébergées est bien optimiste, mais qui nous dit qu'il est vrai ? " Notre code source est ouvert. Il est open source et n'importe qui peut l'auditer, ce qui n'est pas le cas d'Office 365 de Microsoft, répond Frank Karlitschek. Il n'y a pas de porte dérobée chez nous. C'est un élément essentiel pour la sécurité. " Depuis plus de 10 ans, à Watermael- Boitsfort, ContactOffice édite une suite de travail collaboratif qui représente une alternative à Office 365 et GSuite de Google. Outre la messagerie, l'application offre des fonctions de carnet d'adresses, de calendrier et d'hébergement de données. Mailfence en est une version " durcie " et sécurisée, proposée à des tarifs relativement proches de ceux pratiqués par les géants américains : entre 2,50 et 25 euros par mois. Patrick De Schutter, cofondateur et managing director, explique sa stratégie : " Nous faisons partie d'un mouvement croissant de services tels que DuckDuckGo ou Signal qui offrent une réponse aux individus et aux entreprises qui veulent quitter les solutions dites Gafam ". L'avantage d'être hébergé en Belgique ? " Le respect strict et inconditionnel des données confidentielles. " Mailfence a aujourd'hui séduit l'Ordre des barreaux francophones et germanophone de Belgique, mais aussi nombre d'entreprises hors Europe. " Parce que nous disposons d'un bouclier : le RGPD et la législation européenne sur la vie privée, explique le directeur. Soyons lucides : le Cloud Act, c'est l'ombre de la NSA et de la CIA sur les données de nos citoyens et de nos entreprises. Si l'une des agences de renseignement le juge nécessaire, elle demandera aux entreprises américaines de lui fournir des données spécifiques... qu'elle obtiendra. " Patrick De Schutter avance la nécessité absolue de conscientiser au plus haut niveau sur l'importance d'une solution souveraine. " C'est aux entreprises de choisir ce qui est le mieux pour elles, dit-il. Elles doivent être conscientes que l'hébergement de données d'entreprise dans un service de cloud américain tiers peut conduire à une catastrophe potentielle pour elles. " La Suisse entend, elle, se poser en forteresse absolue non seulement face aux Etats-Unis mais également face à certaines législations européennes. Ainsi, depuis 2013, trois anciens ingénieurs du Cern ont décidé de créer Protonmail, un service de courriel disposant d'un chiffrement automatique. Un très haut niveau de confidentialité, lui aussi reposant sur des bases open source mais officiellement audité. Problème : la solution, qui évolue lentement, est loin d'être aussi complète que les équivalents développés par Microsoft, Google, IBM, Zimbra ou Amazon. Elle est aujourd'hui adoptée par des activistes et des journalistes mais peu de structures professionnelles de grande ampleur s'y aventurent. C'est dans ce sillon que le suisse Infomaniak a lancé, en février dernier, kDrive, un cloud qui " respecte la vie privée pour stocker ses données et collaborer en ligne ", avec des ambitions bien plus larges. Les fichiers sont chiffrés et sauvegardés en triple sur des serveurs basés exclusivement dans le pays. Le " nuage " a clairement identifié sa cible (Dropbox, Google Drive, OneDrive) et fournit une suite de productivité européenne (OnlyOffice) permettant aux entreprises de se passer des solutions Google Drive ou Microsoft Office. KDrive est la première étape d'une ambitieuse stratégie dont l'objectif est clair : créer " une vraie alternative aux Gafam ". Dans sa feuille de route 2020, Infomaniak affirme vouloir rapidement rapprocher sa solution WorkMail de kDrive et de lancer une alternative open source à Slack, dont la prolifération dans les entreprises européennes peut elle aussi poser une menace pour la confidentialité de données. Les nouveaux banquiers suisses de nos données profitent de leur situation géographique et juridique avantageuse, comme le confirme Marc Oehler, COO d'Infomaniak : " Notre motivation, c'est que le respect de la vie privée est un principe non négociable. C'est pour cela que nous développons nos propres centres de données et nos propres services : afin de ne jamais avoir à faire de concessions sur ce que l'on pourrait appeler nos valeurs ". L'entreprise ne souhaite pas non plus déprendre d'investisseurs étrangers : elle appartient toujours à ses fondateurs et à ses employés. Quant aux données des clients, particuliers comme entreprises, elles sont et " resteront stockées dans (leurs) propres data centers ".