Découvrez à travers cet article, comment adopter une solution collaborative souveraine, un impératif face aux risques d’ingérence étrangère

En 2024, l’ANSSI est intervenue sur 4 386  événements de sécurité, soit 15 % de plus que l’année précédente. Cette hausse des cyberattaques s’inscrit dans un contexte géopolitique marqué par de multiples conflits ainsi qu’une défiance entre l’Union européenne et son allié historique, les États-Unis.

Dans ce climat tendu, les cybermenaces étrangères sont de plus en plus pressantes : dans son dernier panorama de la cybermenace , l’ANSSI déclare ainsi que les attaques à finalité d’espionnage sont celles qui ont le plus mobilisé ses équipes opérationnelles en 2024.

À ce titre, la souveraineté numérique s’impose plus que jamais comme un enjeu stratégique pour les organisations.

Quels sont les risques liés à l’utilisation d’outils non-souverains ?

C’est une réalité : certaines puissances étrangères mènent des actions d’espionnage et de déstabilisation contre les organisations françaises. Par exemple, entre 2023 et 2024, environ 25 % d es violations de données détectées dans l’UE ont été attribuées à des opérations financées par des pays tiers comme la Chine ou la Russie.  

La déstabilisation est souvent recherchée par l’intermédiaire de cyberattaques, notamment des ransomwares, afin de paralyser l’activité de l’organisation qui en est victime le plus longtemps possible. En revanche, l’espionnage est souvent mené de façon discrète, avec pour objectif principal la collecte d’informations sensibles.

Certaines réglementations extra-européennes permettent à des États d’accéder aux données des entreprises françaises ou européennes, lorsque celles-ci sont hébergées par des prestataires soumis à leur juridiction, même si les données sont stockées sur le sol européen. C’est notamment le cas du Cloud Act, du Patriot Act, du FCPA (Foreign Corrupt Practices Act) ou de la section 702 de la FISA (Foreign Intelligence Surveillance Act) pour les États-Unis. D’autres cadres réglementaires comme le PIPL en Chine intègrent également des mécanismes d’accès étatique aux données, sous couvert de sécurité nationale ou d’intérêt public.

Concrètement, le fait d’utiliser des logiciels, applications ou services IT proposés par des entreprises soumises à ces législations peut compromettre la confidentialité de vos données les plus sensibles. Par exemple, des transferts illégaux de données d’organisations françaises vers les États-Unis ont déjà été observés depuis des applications comme Zoom, Slack, ou Mailchimp.

 Le risque d’espionnage est donc avéré. Selon l’ANSSI, il est particulièrement important dans les secteurs des télécommunications, des transports, de la recherche, de la diplomatie ou encore de la défense. Les ONG, think tanks, ou les administrations publiques sont également concernés. Le vol de données sensibles comme la propriété intellectuelle ou des informations stratégiques peut potentiellement servir à alimenter les capacités technologiques, économiques ou militaires de puissances étrangères.

La dépendance à des solutions extra-européennes présente également des risques en cas de tension diplomatique. Par exemple, le fournisseur de la solution de messagerie étasunienne utilisée par la Cour Pénale Internationale a subitement empêché l’organisation d’accéder à ses services, suite à une demande de l’administration américaine. Au-delà de la confidentialité des données, l’utilisation d’outils non-souverains présente également des risques en matière de disponibilité.

Pourquoi adopter des solutions collaboratives souveraines ?

Les outils collaboratifs contiennent des données confidentielles (comme des documents stratégiques ou des informations client) et sont également utilisés pour échanger des informations sensibles entre collaborateurs. Il est essentiel de protéger ces données des législations extra-européennes. L’adoption de solutions collaboratives souveraines permet d’éliminer ce risque. Mieux encore : opter pour des outils souverains homologués par l’ANSSI garantit le plus haut niveau de sécurité face aux cyber menaces.

Il en va de même pour les terminaux mobiles, qui représentent un point d’entrée privilégié pour les cyberattaques. Là encore, une solution de sécurisation des appareils mobiles permet de protéger les données fois en transit et au repos, via des briques de sécurité comme le chiffrement de bout en bout ou un VPN souverain.

Il convient également de choisir des outils capables de garantir la transparence des flux de données est essentielle, afin d’avoir l’assurance que les informations sensibles ne quittent pas le périmètre défini sans contrôle. Sur ce point, il est important que les fournisseurs informent clairement leurs clients sur la localisation des données, les sous-traitants impliqués et les mesures mises en place pour les protéger : certaines entreprises exigent que les données ne soient traitées uniquement que par des outils souverains.

Les réglementations nationales et européennes intègrent désormais les risques liés à l’utilisation de technologies extra-européennes. Le RGPD impose que tout transfert de données vers des pays tiers soit encadré par des garanties adéquates (clauses contractuelles types, BCR). La Directive NIS2 exige une évaluation des risques liés aux tiers et prestataires IT critiques, ce qui implique de considérer les risques d’espionnage et de vol de données. Les OIV (opérateurs d’importance vitale) et certaines entités publiques sont tenus d’héberger leurs données auprès d’un fournisseur qualifié SecNumCloud par l’ANSSI. Il est également possible d’opter pour un hébergement on-premise ou un cloud public souverain en fonction de vos besoins et de vos contraintes. En résumé, recourir à des technologies et à des applications collaboratives souveraines facilite donc la conformité réglementaire.  

Dans un contexte où les attaques sont toujours plus ciblées  et sophistiquées, il est important de rassurer ses partenaires commerciaux (fournisseurs, prestataires, clients…) sur le niveau de sécurité de votre entreprise. Certains appels d’offres ou partenariats ne sont accessibles qu’aux organisations ayant adopté des solutions conformes aux critères de sécurité et de souveraineté exigés. Le déploiement de solutions souveraines et sécurisées permet ainsi de poser les bases d’une relation de confiance.

Enfin, le choix de solutions souveraines est aussi un engagement qui permet de soutenir des acteurs européens ou français innovants. Ce soutien crée de la valeur sur notre territoire et permet de proposer une alternative à la domination des géants de la tech américaine. Cela participe à la construction d’une véritable indépendance technologique européenne.

Les risques de vol de données et de cyber-espionnage n’ont jamais été aussi élevés et sont exacerbés par l’instabilité géopolitique croissante. Opter pour des technologies souveraines n’est plus une option, notamment en matière de collaboration et de mobilité.  Il s’agit aujourd’hui d’une nécessité stratégique pour garantir la confidentialité, la disponibilité et l’intégrité des données, renforcer la confiance avec ses partenaires, mais aussi pour faciliter sa conformité réglementaire aux nouvelles réglementations européennes.