A propos de souveraineté numérique
Par Olivier Kempf le lundi 11 janvier 2021, 17:53 - Maitrise stratégique de l'information - Lien permanent
Le propos qui suit s'intéresse à ce que peut faire un décideur public pour favoriser une souveraineté numérique. En réfléchissant à la notion de géopolitique du numérique et de ses conséquences sur la France, un des mots clefs paraît être celui de souveraineté. Or, il est intéressant que ce substantif qui, dans une conception classique, était absolu (la souveraineté) s’est vu ajouter des adjectifs : celui de souveraineté numérique (à la suite d’un débat lancé au début des années 2010 par Pierre Bellanger et devenu aujourd’hui commun) mais aussi celui de souveraineté économique, lui aussi ancien : cependant, il était réservé à une certaine partie de l’échiquier politique et il a vu son emploi élargi à la suite de la pandémie de Covid 19, quand l’opinion s’est rendu compte de la dépendance industrielle de l’Europe envers la Chine.
Source
Quelques rappels sur la souveraineté
A l’origine, la souveraineté est un mot issu de la philosophie politique classique. Le terme a traversé les siècles pour reprendre en France un nouveau relief au cours de la seconde partie du XXe siècle. En effet, il est très lié à la puissance et le débat autour de cette notion de souveraineté est typiquement français et continue de contribuer à l’exception française. Entre la France première puissance militaire à la sortie de la 1GM (regardons ici le défilé de la victoire en 1919) et le désastre de 1940, la France a connu les extrêmes de la puissance. Ce traumatisme traverse le XXe siècle, d’autant qu’il a été renforcé par les échecs des guerres de décolonisation et de l’intervention de Suez en 1956.
Aussi le discours sur la souveraineté croise-t-il deux autres thèmes : celui de l’indépendance (qui est très proche de la souveraineté) et celui de la puissance. Ces trois mots font partie de l’ADN des armées dont c’est au fond une mission principale. Le général de Gaulle a réussi à construire un discours sur l’indépendance qui a convaincu une majorité de Français (souvenons-nos toutefois qu’il était très controversé en son temps et que l’unanimité que son nom rencontre aujourd’hui est largement posthume). L’indépendance a été assurée par une autre décision, celle de devenir une puissance nucléaire (décision prise, toutefois, sous la fin de la IVe République), mise en œuvre par l’armée. Au fond, l’armée nouvelle voulue par De Gaulle est celle qui permet d’assurer militairement l’indépendance du pays. Le consensus bâti autour du nucléaire en résulte.
Mais l’indépendance, sous le mot de souveraineté, a aussi été soulignée dans les institutions. Sans parler de la coutume constitutionnelle qui attribue un domaine réservé au Président de la République, observons que le mot de souveraineté est régulièrement employé dans la Constitution : tout d’abord, la souveraineté émane du peuple et c’est sur cette souveraineté populaire qu’est fondée notre démocratie. Mais la souveraineté est aussi la souveraineté extérieure (l’autre face de la souveraineté populaire) et rejoint en ce sens l’indépendance.
Insistons : dans cette conception originelle, la souveraineté est donc d’abord politique et repose sur des moyens militaires pour être garantie. Et puisque nous nous intéressons au numérique en général et au cyber en particulier, examinons plus précisément la question de la souveraineté numérique.
Critères de décision de la souveraineté numérique
A la différence de l’espace physique sur lequel repose la conception traditionnelle de la souveraineté (qui s’entend sur un territoire, celui-ci étant un espace occupé par ses habitants qui en revendiquent l’occupation), le cyberespace n’a pas de limites physiques évidentes. Cela ne signifie pas qu’il n’a pas de limites physiques, simplement qu’elles sont difficiles à appréhender. Aussi, pour les besoins de l’analyse, il nous semble qu’il faille considérer la souveraineté selon les trois couches du cyberespace : couche physique, couche logique, couche sémantique.
De même, il convient de s’interroger sur l’échelle pertinente : s’agit-il de l’échelle française ? de l’échelle européenne ? d’une éventuelle échelle occidentale ? Autrement dit encore, quel niveau d’interdépendance est -on prêt à accepter ? Or, le cyberespace ne bénéficie pas de l’arme ultime (la silver bullet) qui marche à tout coups et assure à son détenteur un pouvoir de destruction imparable sur son adversaire. C’est bien pour cela que tous les discours sur la cyberdissuasion nous paraissent reposer sur une compréhension erronée tant de la dissuasion nucléaire que de la nature du cyberespace et de la conflictualité qui s’y déroule. Dans le monde classique, celui de la souveraineté, l’arme nucléaire a apporté à la France ce qu’elle avait perdu : l’assurance de pouvoir éviter le désastre de 1940, ce qu’elle avait vainement essayer de chercher entre les deux guerres avec la ligne Maginot.
Cela signifie que dans le cyberespace, une sécurité absolue paraît impossible. Ce qui semble invalider la possibilité d’une action seulement solitaire : plus exactement, le traitement de la souveraineté cyber suppose de savoir étager ce qui reste de la responsabilité absolue de l‘échelon national. Cela ne peut être qu’un domaine réduit en volume (peu d’informations à protéger) aussi à cause des moyens nécessaire à mettre en œuvre pour assurer cette protection maximale. Nous sommes alors au cœur de souveraineté et la souveraineté militaire doit obtenir tous les moyens pour l’atteindre. Hormis ce petit échelon national, la question se pose alors de ce que l’on doit protéger en plus (quel périmètre) donc de ce qu’on doit partager relativement (quels moyens).
A titre d’exemple : faut-il conserver en France, en Europe, en Occident, une capacité de fabrication de semi-conducteurs les plus avancés ? si oui, quel en est le modèle économique ? S’il s’agit (c’est probable) d’un bien dual, comment s’assurer que ledit produit rencontre la faveur du public tout en étant rentable ? L’exemple choisi appartient à la couche physique mais on pourrait à l’envi reproduire le raisonnement sur les autres couches, en articulant le besoin, l’échelon géographique pertinent et l’équilibre économique. Il faut ici se méfier de nos visions colbertistes qui ont quand même, en matière de technologie, produits assez d’échecs pour que nous nous méfions de nous-mêmes. Mais l’on voit bien que ces questions sortent du champ de responsabilité du décideur militaire qui peut difficilement les influencer.
Enfin, une troisième série de facteurs vient compliquer l’analyse, il s’agit des évolutions technologiques. Une culture d’ingénieur aurait tendance à ne voir ici que de la science. Or, dans le numérique, ne considérer que les aspects techniques risque souvent d’aboutir à l’échec. Le minitel fut une belle aventure rencontrant un vrai succès populaire, mais sa conception centralisée ne résista pas à l’architecture décentralisée proposée par les Américains. Or, nous avions les ingénieurs (je pense à Louis Pouzin) qui avaient proposé et mis au point cette architecture décentralisée. Ainsi donc, l’innovation est aussi, forcément, une innovation d’usage. On peut mentionner les beaux mots de 5G, de quantique, d’IA, de blockchain, si on n’anticipe pas les usages on court à l’échec. La veille ne doit donc pas être seulement technologique, elle doit s’intéresser aux usages….
L’équation est donc extrêmement difficile. Plus exactement, une fois qu’on a défini le périmètre à défendre absolument, (le cœur de souveraineté que j’évoquais à l’instant), il va falloir travailler pour la sécurité du reste avec un oxymore : une souveraineté relative. Les politistes ont choisi des mots compliqués pour essayer de rendre ce paradoxe : interdépendance, autonomie stratégique, etc… Ce n’est pas très convaincant, d’autant que le décideur en dernier ressort fixera peu de directions claires.
Ici, il me semble qu’une boucle OODA est appropriée. Attention toutefois à ne pas vouloir l’accélérer car la vitesse ne nous semble pas le critère le plus pertinent. Mais il s’agit bien d’organiser une veille (orientation et observation) qui permette d’identifier (dans les trois couches) les points sensibles. Quel serait le critère de la sensibilité ?
- Cette innovation affecte-t-elle le cœur de souveraineté ?
- Si oui, comment y suppléé-je ?
- Sinon, est-elle suffisamment sensible pour que j’envisage de nouer des partenariats plus ou moins approfondis avec tel ou tel acteur ?
Nous voici ici au D de décider. La veille pour la veille n’est pas utile, la veille doit être effectuée aux fins d’action. Le chef doit exiger des comptes-rendus réguliers de la veille mais aussi des propositions de décision associées. C’est d’ailleurs pour cela aussi qu’il ne faut pas accélérer le rythme de la boucle OODA (contrairement à l’intuition de John Boyd). Ce processus est récurrent (à la différence de la bataille qui est temporaire) et il faut suivre le temps du chef (et donc ses disponibilités). La boucle OODA doit ici être lente.
L’action vient ensuite (là encore, la nécessité de l’action signifie que les points de veille ne doivent pas être trop rapprochés). Elle doit être suivie et surtout évaluée, car de ses résultats dépendent l’orientation du cycle suivant. Il faut donc des critères d’évaluation associés à chaque décision. Ces critères permettront de relancer la boucle sur le prochain cycle.
En conclusion, la souveraineté numérique semble impossible à atteindre (sauf pour un cœur très limité de cybersouveraineté nationale). On doit donc décider d’une souveraineté relative, tout paradoxale que soit l’expression. Cela suppose un dispositif de veille mais qui soit articulé sur des décisions, notamment de partage avec des alliés, dûment choisis et évalués.
O. Kempf
