Décryptons ensemble le concept de souveraineté numérique, un enjeu crucial pour les éditeurs SaaS comme Kls. Dans cet article, nous explorons en profondeur la manière dont Kls appréhende et assure cette souveraineté à travers ses décisions techniques et stratégiques.
Qu’est-ce que la souveraineté numérique ?
En tant qu’éditeur SaaS, la souveraineté numérique est un enjeu majeur. Mais qu'entendons-nous exactement par souveraineté numérique ?
Comme l’explique Aude Schoentgen dans son article Souveraineté numérique : des interprétations divergentes selon les États, les entreprises et les citoyens, il n’existe pas de définition universelle. Toutefois, on a tendance à se référer à la capacité d'un pays, d'une organisation ou même d'un individu à exercer un contrôle complet sur ses données, son infrastructure et ses technologies numériques. Cela implique une autonomie et une indépendance vis-à-vis des acteurs extérieurs dans la gestion et la protection de ces éléments vitaux.
Ainsi, contrairement à certaines idées reçues, cela ne concerne pas que l’hébergement des données, même si cela reste une composante importante du sujet.
Souveraineté des technologies
Si Kls met beaucoup l’accent sur la qualité de ses produits et leur co-conception, afin de fournir des solutions adaptées aux problèmes de ses clients, l'éditeur de logiciel se doit également de maitriser les technologies qu’il utilise.
Quand il s’agit d’en choisir une, Kls privilégie en premier lieu les briques open source (c'est-à-dire que le code source est disponible librement pour ceux qui le souhaitent) qui permettent plus de transparence. Parmi les autres critères importants, nous examinons :
- l’indépendance de l’équipe de développement,
- la popularité de la technologie,
- son utilisation dans le monde,
- ou encore la reconnaissance de la communauté envers elle.
Cela nous permet de nous assurer que nous ne nous enfermons pas dans des technologies sans avenir, trop fermées ou peu reconnues.
Nous pouvons aussi contribuer à l’amélioration de certaines technologies open source que nous utilisons, pour le bien de Kls et de la communauté.
Quand l’utilisation d’une technologie libre ou open source n’est pas pertinente, nous nous efforçons de limiter l’impact de notre choix sur le reste de l’application en séparant les différentes briques qui ont permis de la construire. Ainsi, en cas de nécessité ou si une solution plus pertinente émerge, nous minimisons l’effort qu’une migration vers celle-ci impliquerait. Ceci est indispensable si nous voulons nous assurer de la pérennité de notre offre dans les dizaines d’années à venir, l’écosystème étant fortement amené à évoluer avec l’émergence de nouvelles technologies et la fin d’autres.
Le dernier aspect qui relève de la souveraineté technologique concerne leur utilisation. Chez Kls, tous les développements sont faits en interne et le recours à des prestataires externes est très rare. Quand cela arrive, ils sont intégrés à notre équipe et leur travail systématiquement revu par des personnes de Kls. Ainsi, nous gardons la maitrise des technologies sous-jacentes à notre produit, le Desk Kls, mais également de leur utilisation.
Souveraineté de l’infrastructure
Par construction, Internet est mondial, tout est relié. Logiquement, il est donc possible de répartir son infrastructure sur plusieurs continents sans que cela pose de problème technique.
Néanmoins, les actualités de ces dernières années, que ce soient les conflits ou la pandémie de la COVID-19, n’ont pas manquées de nous rappeler que les équilibres mondiaux sont fragiles et que les relations entre les pays peuvent se tendre.
Dans ce contexte, nous avons fait le choix de localiser notre infrastructure dans l'Union européenne. L’ensemble de nos serveurs et des services que nous utilisons pour notre plateforme sont situés dans les régions de Paris et de Dublin. Ainsi, non seulement nous respectons la RGPD en évitant les transferts de données hors Union européenne, mais nous limitons aussi l’emprise géographique de notre service. Nous restons également dans un environnement restreint dans lequel nous pouvons avoir confiance et qui diminue les risques d’indisponibilité que les grandes distances accentuent.
Cela ne signifie pas que l'accès à Kls Desk se limite à l’Europe. Étant accessible via Internet, elle reste disponible sur tous les continents.
Mais alors, pourquoi ne pas utiliser un hébergeur européen ?
Si nous avons choisi de mettre notre infrastructure chez AWS, ce n’est pas pour les multiples avantages qu’ils mettent en avant (même si nous en profitons) mais parce qu’à l’heure actuelle, aucun hébergeur européen ne propose une offre de sécurité aussi complète à des prix qui restent raisonnables pour une société comme la nôtre. En effet, comme l’explique Doctolib dans l'article Why does Doctolib use Cloudflare?, il n’existe toujours pas de solution européenne à la hauteur de ces enjeux.
Attention à ne pas confondre hébergement et emplacement. L'hébergement renvoie à la société chez qui on a notre infrastructure (AWS donc aux US) ce qui est différent de l’emplacement de notre infrastructure/serveurs (en UE).
Actuellement, AWS étant le plus gros fournisseur de cloud public au monde, il bénéficie d’un avantage considérable lié à la masse de données que représente le trafic qui passe par lui. Ainsi, il est plus facile d’identifier des comportements anormaux et de détecter un bot par exemple quand celui-ci reproduit les mêmes schémas sur des centaines de serveurs que lorsqu’il ne le fait que sur quelques machines.
Comme cela est décrit dans le modèle de responsabilité partagée d’AWS, la sécurité des données dans le cloud est de notre responsabilité, pas de celle de l’hébergeur. Ainsi, même si celui-ci présente un bon niveau de sécurité (le nôtre est certifié ISO-27001 et SOC 2), c’est à nous de protéger nos données et surtout celles de nos clients et de nos utilisateurs. Comme nous l’avons expliqué dans notre article Sécurité de la donnée : comment fonctionne le chiffrement ? L'exemple de Kls, nous mettons en place plusieurs niveaux de sécurité.
Si nous utilisons les mécanismes de chiffrement natifs proposés par notre hébergeur, nous considérons ceux-ci comme des mesures supplémentaires et non comme la principale mesure de sécurité qui nous permet de nous assurer de la maitrise des données que nous manipulons et stockons. C’est pourquoi nous avons développé un mécanisme de chiffrement unique dont seule notre application a le contrôle. Si nous nous reposons sur des technologies standards et éprouvées, une base quand on parle de sécurité, le fait de mettre en place un mécanisme applicatif nous permet de nous prémunir de toute manipulation de données si un acteur venait à obtenir les différentes pièces du puzzle que constituent les documents que nous chiffrons et leurs clés.
Impact du CLOUD Act et des autres lois en vigueur
Le CLOUD Act est une loi américaine souvent évoquée lorsqu’on aborde la question de la souveraineté numérique. Contrairement à ce que son nom peut laisser croire, le CLOUD Act n’est pas une loi spécifique à l’informatique en nuage (cloud computing) mais relative à l’utilisation des données hors des frontières des États-Unis. De son nom complet Clarifying Lawful Overseas Use of Data, cette loi pose un cadre juridique concernant les demandes que peuvent faire les autorités judiciaires des États-Unis auprès des fournisseurs de services de communication tels que les opérateurs téléphoniques ou les fournisseurs de cloud public. Il est à noter que les forces de maintien de l’ordre peuvent demander à accéder à des données qui ne seraient pas localisées aux États-Unis.
Si le texte donne certains droits aux autorités américaines, il pose aussi certaines limites. Ainsi, les fournisseurs sont tout à fait en droit de contester les demandes qui seraient en conflit avec les lois ou intérêts d’un autre pays. Le champ d’application des demandes qui peuvent être émises est, lui aussi, limité, puisqu’il ne s’applique que dans le cadre d’un mandat de justice émis en lien avec une enquête concernant un crime avéré ou potentiel. Toutefois, il ne serait pas raisonnable de considérer qu’il n’y a aucun risque à ce que les données que nous traitons puissent être sollicitées par les autorités des États-Unis.
D’un point de vue technique, il faut aussi noter que les fournisseurs ne sont pas tenus de fournir des données déchiffrées. Ainsi, si les données sont correctement chiffrées (nous utilisons l’algorithme AES-256), elles ne pourront pas être exploitées, par quiconque, même s’il en détient une copie.
Enfin, n’oublions pas que le cadre légal d’aujourd’hui n’est pas nécessairement celui de demain : 2001 a vu la naissance du Patriot Act aux États-Unis, loi qui a fortement incité les entreprises Européenne à favoriser la souveraineté. Que verrons-nous apparaitre dans les prochaines années ?
Kls serein sur la souveraineté
Comme nous l’avons vu, la souveraineté numérique est un sujet vaste qui englobe plusieurs problématiques, à la fois politiques et techniques. Chez Kls, nous faisons le maximum pour être à la hauteur des enjeux de nos clients, et ce, sur tous les aspects. Nous faisons le maximum pour protéger nos intérêts et surtout, ceux de nos utilisateurs et de nos clients.
Le monde étant en perpétuelle évolution, particulièrement celui des technologies, nous continuerons à étudier toutes les options qui se présentent à nous et serons prêts à faire évoluer notre plateforme pour maintenir et même améliorer notre souveraineté.
À l’heure où de plus en plus d’initiatives européennes naissent pour contrebalancer les géants américains, nous pouvons supposer que d'ici quelques années, une alternative crédible et viable verra le jour. Cela fait partie des opportunités que nous pouvons attendre pour faire progresser notre souveraineté d’un cran supplémentaire.
