Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog

Publié par I.R.C.E. - Institut de Recherche et de Communication sur l'Europe - Le Think et Do Tank des dynamiques européennes

ENGLISH VERSION BELOW

Dans une délicate interdépendance avec les Etats-Unis et dans une difficile définitio  n de son Cloud souverain, l’Union européenne semble encore jongler également en interne sur la gestion de ses données entre d’une part, un(e) Règlement Général sur la Protection des Données (RGPD) de conception française, certes bonne pour l’Europe mais qui en a eu besoin pour s’installer en France comme l’a dit son Président de la République devant le Parlement européen, et d’autre part la demande de quasi tous les autres pays, comme dans la défense et dans un grand nombre de domaines, de pouvoir également et ensuite monnayer les données, une sorte de label européen entre ceux qui voient un but et d’autres un stade mais qui doivent marcher ensemble sur leurs deux pieds avec des mots qui ont toute leur importance.

Reprenant sans doute certaines de nos propositions, réalités globales et orientations exprimées en juin 2019 à l‘ancienne commissaire européenne pour l’économie et la société digitale, transmises depuis à la Vice présidente et au commissaire en charge du numérique http://www.irce-oing.eu/2019/08/pour-un-fonds-europeen-sur-la-cybersecurite.html, ainsi qu’à travers une tribune sur la solidarité et la segmentation européenne http://www.irce-oing.eu/2020/06/intelligence-segmentation-imbrication-a-la-recherche-d-une-solidarite-et-d-une-certaine-autonomie-industrielle-et-economique-europee, et enfin en réponse au Cloud Act étasunien, non toujours bien compris, l’élaboration du Digital Service Act, comme du Digital Market Act, promis pour 2023 se doivent d’être à la fois contraignant et ouvert avec un cadre législatif et des mesures de sanction effectives à la façon d’un Buy European Act raisonné, affichant que tout le monde est le bienvenu avec ses savoirs et savoir faire, voire savoir être dans le respect des règles européennes, encore parfois à définir, afin d’offrir aux citoyens européens l'environnement le plus sûr et le plus compétitif du monde dans un respect, voire une concurrence intelligente comme rappelé par la récente escarmouche entre le Commissaire Breton et le dirigeant de Google.

Même si une certaine déception se fait ressentir chez certains acteurs qui se sont investis en comparaison d’efforts consentis, il est à constater certaines actions plus ou moins coordonnées mais qui, assemblées et bâties sur une approche globale de réalités même disruptives, peuvent montrer une certaine intelligence réactive au son du canon pour des objectifs spécifiques, mesurables, réalistes, réalisables, déterminées dans le temps.

Les actions et facilitations  institutionnelles, étatiques et territoriales :

Après la Cloud Initiative, les institutions doivent désormais également apparaitre plus structurantes que facilitatrices, sans décourager les bonnes volonté, dans une foison d’initiatives et de prises de position plus ou moins liées des états médiateurs, régulateurs, utilisateurs comme des entreprises, en évitant toute forme de cristallisations nationales, au profit d’une dynamique réellement européenne, certes unie dans la diversité avec un constat montrant que l’on retrouve encore une fois les Français, les Allemands et les autres, souvent avec ces derniers. Mais certains savent aussi faire valoir une certaine dynamique comme l’Estonie qui pourrait valoriser sa simplification administrative dans une dimension régionale mais aussi le Luxembourg avec sa volonté d’identité de nation numérique, dont cloud et PNR. Notons enfin une région Bretagne pilotant un projet Interreg avec plus d’une dizaine d’autres régions impliquées à travers l’Europe sur la sécurité.

Misons que ces imbrications puissent estomper la fragmentation constatée en agissant en segmentation comme pour Airbus, en confiance et répartition de capacité spécifiques, au-delà d’éléments nécessaires communs, dans une Europe unie en solidarité entre la politique de chaque état, pour lui-même ou pour le bienfait des autres, sans s’accrocher sur par exemple le « e » final de Concorde qui aurait aussi pu être mis entre parenthèses à la fin du mot pour mieux montrer ce label de coopération franco-britannique. La cybersécurité et le cloud peuvent aussi montrer l’exemple pour enfin comprendre le rôle des histogrammes montrant que chaque pays européen, pris individuellement, perdra peu à peu sa place dans le G8 à part peut-être l’Allemagne.

Mentionnons les efforts de la Commission européenne depuis la dernière législature et encore plus fortement depuis la nouvelle présidence avec uns vice-présidente et un commissaire chargés de l’ère digitale, ce dernier plus particulièrement des aspects industriels, jonglant entre  règlements et directives, avec une direction générale orientant son agence chargée de la sécurité des réseaux et de l'information (ENISA),  moins connue en France qu’EU-LISA, qui n’hésite pas à faire intervenir des agences gouvernementales étasuniennes, sans doute comme approche comparative lors de ses conférences ; sans oublier la très ancienne politique industrielle réalisée par la recherche européenne notamment avec le PCRD, puis H2020 et prochainement par Horizon Europe sur le thème de la sécurité avec parfois un décloisonnement entre points de contacts nationaux.

Mentionnons tous les groupes de travail nationaux dont interministériels, les agences nationales telles l’Agence nationale de la sécurité des systèmes d'information (ANSSI) en France et l’Office fédéral de la sécurité des technologies de l'information (BSI) en Allemagne avec chacune leur modèle et leur objectif de certification.

Les structurations industrielles :

Après l’impulsion des institutions par la constitution de consortia tels Cyber4Europe, Sparta, Echo, Concordia réunissant grands groupes, universités, organismes étatiques, laboratoires et PME http://www.irce-oing.eu/2020/03/cyber4europe-sparta-echo-concordia-les-grandes-plate-forme-cyber-europeennes.html,  avec l’aide notamment de l’European Cyber Security Organisation (ECSO) après les travaux à l’intérieur du projet l’Important Project of Commun European Interest (IPCEI) avec notamment la participation du CEA, voici apparaître la création du cluster industriel GAIA-X, soutenu par les gouvernement français et allemand, avec une communication un peu plus européenne côté allemand, se définissant comme étant le Cloud européen, sorte de marquage CE demandant le respect de certains critères, surtout techniques sur le sol européen, pour soi-disant concurrencer les GAFA(M), dont il faut bien rajouter le M, en interdépendance interne avec des voix discordantes comme énoncées plus après.

Notons que GAIA-X invite également à travailler en interdépendance externe en invitant des entreprises non européennes, dont apparemment comme Google, du moment qu’elles partageant des objectifs de souveraineté et de disponibilité, comme pour la recherche européenne, sachant que la souveraineté numérique n’est pas encore officiellement affirmée par la Commission, ni par son agence exécutive dans ce domaine qui affiche ne pas pouvoir prendre position sur l’origine et la qualification des outils relationnels numériques largement utilisés désormais avec les restrictions de voyage liées à la crise sanitaire.

Peut-être s’agira-t-il aussi de définir si les GAFA(M) sont finalement apatrides ou s’ils sont liés aux Etats-Unis qui de toute façon n’apparaissent pas comme un ennemi ni même un concurrent déjà pour l’Allemagne, leader économique européen, ni pour l’Union européenne dans un lien transatlantique renforcé.

Peut-être faudra–il constater que le numérique et la cybersécurité ne sont pas des domaines stratégiques européens ou alors étasuno-européen pour faire face à la Chine, voire l’Inde, en passant par l’Organisation du Traité de l’Atlantique Nord (OTAN) et ses compétences que seule la France semble aussi vouloir ignorer. 

La coopération annoncée d’OVH avec Google, saluée par le secrétaire d’état français, désireux d’attirer sur le territoire français, et s’alignant avec l’Allemagne sur ce lien privilégié transatlantique n’est donc pas une surprise. Le ministre allemand initiateur du projet rappela néanmoins qu’il ne s’agira pas de concurrencer les super-espaces de stockage américains d'Amazon ou Microsoft tout en donnant un souhait d'offrir aux entreprises européennes une alternative aux fournisseurs de Cloud américains AWS, Google Cloud et Microsoft Azure, qui dominent très largement le marché du Cloud public, et de donner plus de visibilité aux offres européennes, rappelant les initiatives Juncker sur le Fond (de recherche industrielle) de Défense ne voulant surtout pas s'opposer à l'OTAN..

Mais peut-être faut-il constater que ces GAFA(M), plus forts de certains états, possèdent déjà une technologie trop en avance dont il faut profiter en interdépendance, comme le fait le moteur de recherche Qwant issu de l’open internet project dont le fondateur utilisait déjà la mémoire d’utilisation, luttant contre Google puis travaillant finalement avec pour éviter les luttes juridiques, certifié par les administrations françaises, repris par la Caisse des dépôts et Microsoft, se déclarant outil européen alors qu’il n’est que français pour l’Europe.

Par ailleurs, il est fait état de façon très fréquente du terme « fédéré » alors qu'un français et un allemand ne le comprennent pas de la même façon. Il en est de même avec le terme « souverain », sans doute connotation trop française et qui devrait être remplacé même s’il s’avance comme un bouclier national ou européen, voire plus large encore, ou une lance plus ou moins sacrée.

Au-delà de collaboration sur le même métier, GAIA-X vient de faire germer un partenariat entre le français OVHCLOUD a priori déclaré leader européen du cloud installé en France, dont le patron n’est d’ailleurs pas d'origine française, et l’allemand T-Systems pour proposer une offre cloud public ouvert et de confiance, dès 2021 en Allemagne et espérons en France offrant, aux clients de T-S de profiter de centre de données avec le réseau Deutsch Telekom, T-Syst fournissant son système de refroidissement par eau. Cette complémentarité est à saluer car d’une part elle aborde l’apport essentiel de l’énergie, sans la traiter entièrement avec un besoin également de source d’énergie pour éviter les pertes de données avec pourquoi pas Siemens ou Roll-Royce certes britannique, et d’autre part elle permet une possible connaissance mutuelle par segmentation, comme lors de la constitution de l’équipe d’Europe dans le programme ACCS de l’OTAN, en regardant les autres compétences nécessaires autres qu’électroniques pour les senseurs pour être complémentaires et plus forts ensemble. OVH doit par ailleurs consolider sa toile avec des participations européennes et non être un outil français pour l’Europe, comme nous le préconisions pour à Qwant avant d’être recapitalisé par la Caisse des dépôts et Microsoft.

S’agissant de la taxation financière des GAFA(M), qui ont multiplié leur chiffre d’affaires avec la crise, qui fonctionnent sans marges mais sur leur trésorerie comme les grands distributeurs alimentaires, qui divisent aussi les états européens avec toujours le même clivage, qui font aussi travailler de très nombreux libraires par des envois à coût réduit, la solution réside peut-être dans plus grande une incitation de solidarité financière même défiscalisée ou dans la recherche cyber, digitale et numérique sur le coup d’avance pour posséder immédiatement des remèdes aux attaques soudaines, d’autant plus avec l’euro numérique prochain.

Une réelle stratégie cyber et numérique pourrait faciliter et maintenir les relations entre entreprises et autres organisations. Ces structurations industrielles doivent enfin intégrer le couvage de projet comme le couvage de start up puis de PME par les groupes, et développer à la fois une approche de chasse en meute et de chasse en escadre. Les Entreprises de Taille Intermédiaire (ETI), doivent pouvoir adapter leur modèle et leur politique générale stratégique, structurelle, identitaire et décisionnelle, et seront la pierre angulaire entre les modèles français et allemand qui ne doivent pas forcément se copier mais s’imbriquer avec des dispositions communes entre les deux pays.

Misons enfin désormais pour des présences européennes renforcées dans les salons ou événements français comme déjà en partie au salon FIC de Lille ou peut-être enfin avec le pôle cyber de Bretagne.

Labels et certifications

Les labels, d’initiative volontaire, ainsi que les certifications, représentent des avantages pour structurer, en qualité et confiance, en tamisant le bon grain de l’ivraie opportuniste, avec des processus d’attribution et de vérification, permettant souvent de façon sous-jacente d’aider également les entreprises et autres organismes à découvrir une vraie relation client et fournisseur.

Les inconvénients existent aussi pour des mêmes causes d’audit ou de processus détourné de leur bon sens ainsi que pour des labels souvent politiques et territoriaux dit d’excellence pouvant cacher certaines réalités négatives d’imposition plus qu’adhésion et donc souvent d’incompétence ou d’incohérence comme nous l’avons vu dans les pôles de compétitivité.

De même n’oublions pas que les marchés publics ne doivent pas discriminer les entreprises n’ayant pas choisi de certification, comme par exemple ISO 9001 ou 14001, qui elles-mêmes souvent sont allées au-delà des normes demandées qui mobilisent temps et argent, et qui doivent pouvoir faire valoir une possible équivalence. Dans ce domaine, les projets relatifs au digital et la cyber sécurité doivent s’inspirer des exemples dans les autres domaines plus anciens et peuvent aussi les faire avancer.

Des initiatives voient le jour par l’intermédiaire d’autres organisations facilitatrices telles ECSO avec le label d’origine géographique « Cybersecurity made in Europe » pour l’instant plus IGP qu’AOP sans notion de certification sur les produits ou services. Ceci ne doit pas remplacer une nécessaire présence permanente et notamment industrielle française dans les séminaires bruxellois de l’ENISA. L’industrie française et ses PME ou start up reconnaissent trop se reposer sur l’ANSSI dont ce n’est pas le travail, mais peut-être aussi par directive. Les agences nationales française et allemande contrôlent et verrouillent l’agence européenne avec une certaine  rivalité et confiance relative entre l’ANSSI française qui certifie sur les habilitations et les personnes et le BSI allemand qui certifie plutôt sur le process, les outils et installations. Les deux approches mixtes de certification peuvent aussi être valorisées sous une approche de label d’éléments complémentaires, pourtant affiché, mais qui ne parvient pas à être mis en œuvre, et dont les responsables, avec également leurs personnalités, ne veulent pas venir parler, avec les mêmes réalités que d’autres agences européennes dont l’EASA. Ceci pourrait pourtant montrer l’exemple dans le cloud mais aussi ses applications dont les données de dossiers passagers (PNR) différents terre, air mer, et qui justement devraient par ailleurs être traités de façon globale pour avancer,  mais aussi dans beaucoup d’autres domaines dont la fiscalité où les visions diffèrent entre les états qui ne doivent pas rester divisés pour autant. Peut-être faut-il porter une fois de plus cela au niveau européen pour le voir enfin aboutir.

La finance structurante qui sera abordée plus après pourra également prévoir un label éthique pour l’origine des fonds mais également pour leur utilisation qui ne doit pas non plus empêcher l’innovation qui elle-même peut aussi utiliser un label qualité de prise de considération des projets antérieurs en terme d’optimisation de temps et d’argent.

En terme d’optimisation des approches, nous pourrions aussi imaginer l’exemple des labels cloud en lien avec la santé, la notion de Partenariat Public Privé, le dual civil-militaire et/ou public-privé mais également le portage et/ou de couvage entre groupe et PME, qui ne sont pas obligées de vivre par des prises de participation mais trouver le lien bénéfique pour tous comme sait le faire par exemple Dassault System. Peut aussi se poser l’opportunité des liens labellisés avec l’usine du futur ou 4.0, la transformation digitale, le Smart Data et l’Intelligence Artificielle avec des structures et des moyens adaptés aux tâches voulues, que certains analysaient comme étant la base de GAIA-X, avec aussi un risque de mélange selon certains spécialistes.

S’agissant de certification qui reste également volontaire, il n’existe pas encore au sein de l’UE, de notion de fiabilité sur les outils et aucun regard sur le portage d’origine, désireuse de ne pas mettre de frontières donc en cohérence avec GAIA-X ou la recherche. Notons le règlement (UE) 2019/881 qui prévoit que l'UE fournira des programmes de certification à l'échelle de l'UE sous la forme d'un ensemble complet de règles, d'exigences techniques, de normes et de procédures. De tels systèmes, une fois adoptés au niveau de l'UE, pour des produits, services ou processus spécifiques, seront valables et également reconnus dans tous les États membres de l'UE. Comme dans d’autres domaines, actuellement, le paysage de la certification de cybersécurité des produits et services TIC dans l'UE est toujours assez dispersé car il existe un certain nombre d'initiatives nationales et également internationales, telles que les soi-disant critères communs (CC) pour l'évaluation de la sécurité des technologies de l'information. Notons aussi l’accord de reconnaissance mutuelle (ARM) sur la sécurité des systèmes d'information (SOG-IS) avec un prochain premier schéma à être rédigé dans le cadre du cadre de certification de cybersécurité de l'UE.

Les systèmes européens de certification de cybersécurité pourraient permettre à la fois des auto-évaluations de la conformité comme pour le marquage CE et des certifications, l'évaluation étant effectuée par des organismes d'évaluation de la conformité tiers. Suite notamment à nos recommandations, une « smart » certification à trois niveaux d'assurance est prévue et chacun d'eux fournira une rigueur et une profondeur correspondantes de l'évaluation du produit TIC, du service TIC ou du processus TIC sans forcément différencier la taille ni les capacités de l’entreprise. Grâce à l'auto-évaluation de la conformité, seul le niveau d'assurance de base peut être atteint, tandis que pour les certifications, un niveau d'assurance de base, substantiel ou élevé peut être atteint. Le processus de certification, contrairement à l'auto-évaluation de la conformité, respecte les dispositions du règlement (CE) 765/2008 qui définit les exigences en matière d'accréditation et de surveillance du marché.

Comme pour le marquage CE, dans le cadre du règlement susmentionné, chaque État membre nommera un organisme national d'accréditation (NAB), qui délivrera des certificats d'accréditation aux organismes d'évaluation de la conformité (OEC). L'accréditation peut être délivrée aux organismes d'évaluation de la conformité pour un ou plusieurs programmes de certification de cybersécurité spécifiques, pour une durée maximale de cinq ans et peut être renouvelée par la suite. Pour chaque système européen de certification, les autorités nationales notifieront à la Commission européenne les organismes d'évaluation de la conformité qui ont été accrédités. Compte tenu de la validation à l'échelle de l'UE du cadre de certification de cybersécurité de l'UE et des certificats délivrés, un producteur ou fabricant d'un produit TIC, d'un service TIC ou d'un processus TIC peut demander un processus d'évaluation par tout organisme d'évaluation de la conformité accrédité dans l'UE.


Pour autant, comme pour le marquage CE avec certains retours d’expérience négatifs dans le domaine de la santé, il conviendra d’éviter les risques d’impacts industriel, les failles de processus avec préjudices potentiels ou réels de certaines décisions institutionnelles pour les entreprises. Les agences nationales devront s’engager à aider leurs industriels à être orientés vers d’autres organismes ou à obtenir un délai de mise aux normes, sans annulation de l’historique, s’il se trouvent en difficulté notamment avec un organisme notifié choisi en Europe ailleurs que dans leur pays. En cas de problème, il conviendra de pouvoir s’adresser à l’ENISA en cas de litige. Il est néanmoins rappelé que dans le marquage CE, les industriels ou fournisseurs de services peuvent eux-mêmes certifier s’ils s’en pensent en capacité et que le marquage ne peut être apposé que s’il existe une réglementation ou une contrainte européenne sur le sujet.

Contractualisation européenne

Une politique de préférence européenne raisonnée pourrait se compléter d’un « buy-cyber-act » européen avec néanmoins prise en compte des limites juridiques de la certification et des labels énoncés plus avant et avec la création d’une agence de style OCCAR dans l’armement pour la gestion des grands projets, en relation avec l’ENISA. Avec un management fort, elle pourrait notamment passer des appels d’offre en réclamant un budget attribué directement aux PME, dont un quota minimal issu de pays différents du maître d’oeuvre. Concernant le marché, il pourrait être intéressant d'inclure l'offre cyber européenne dans les échanges de compensation, essentiellement à l'étranger, car théoriquement interdites en Europe, peut-être avec un traitement spécial pour les GAFA(M) comme exposé plus avant.

Finance structurante

Enfin, la partie financière de haut de bilan, et sans doute la plus importante, doit également intégrer tous ces éléments, voire en être aussi un élément structurant de l’écosystème au-delà de la pure notion de profit ou de gestion de risque.

Est apparue récemment l’ »European cybersecurity investment platform » regroupant des fonds comme ACE Management (France),  Adara Ventures (Lux), ecapital entrepreneurial partners ag (Allemagne), KPN Ventures (Pays Bas), P101 (Italie), Primomoglio SGR (Italie), TIIN Capital B.V (Pays Bas) et Vendep Capital (Finlande) qui peuvent être appréciés comme étant de véritables acteurs de politique industrielle avec leurs objectifs et réalités, notamment calendaires, qu’il convient d’encourager pour soutenir le tissu industriel européen.

Ils doivent tenter d’agir dans une recherche de segmentation, de solidarité et de relative autonomie industrielle et économique intelligente.

Cette approche financière doit aussi répondre à la dynamique de gouvernance actuelle avec la constitution d’un vrai fonds de fonds européen garanti, voire abondé par les institutions, désormais capable d’une signature unique européenne pouvant accompagner en garantie mais aussi en capital, comme le Conseil européen de l’Innovation (EIC) le fait dans le recherche sur des entreprises « non bancable » allant jusqu’à plus de 25% si stratégiques, avec qu’avec un taux de rentabilité réclamé plus bas, comme a su le faire la Caisse des Dépôts et de consignation. Les fonds doivent également intégrer la volonté des groupes de prises de participation dans des PME européennes.

François CHARLES

Président de l’I.R.C.E. www.irce-oing.eu

Président de NOVIAL CONSULTING, Conseil en stratégie, management intelligence économique www.novialgroup.fr

 

17 nov 2020

Realities and perspectives of the structuring of the Franco-German and European cloud

In a delicate interdependence with the United States and in a difficult definition of its sovereign Cloud, the European Union still seems to also juggle internally on the management of its data between on the one hand, a General Protection Regulation Data (RGPD) of French design, certainly good for Europe but which needed it to settle in France as its President of the Republic said before the European Parliament, and on the other hand the request for almost all the other countries, as in defense and in a large number of fields, to also be able and then to monetize the data, a kind of European label between those who see a goal and others a stadium but who must walk together on their two feet with words that are very important.

Undoubtedly taking up some of our proposals, global realities and orientations expressed in June 2019 to the former European Commissioner for the Economy and the Digital Society, since transmitted to the Vice President and to the Commissioner in charge of digital http: // www. irce-oing.eu/2019/08/pour-un-fonds-europeen-sur-la-cybersecurite.html, as well as through a forum on solidarity and European segmentation http: //www.irce-oing. eu / 2020/06 / intelligence-segmentation-imbrication-in-search-of-solidarity-and-a-certain-European-industrial-and-economic-autonomy, and finally in response to the US Cloud Act , not always well understood, the development of the Digital Service Act, like the Digital Market Act, promised for 2023 must be both binding and open with a legislative framework and effective sanctioning measures in the manner of a Reasoned Buy European Act, showing that everyone is welcome with their knowledge and know-how, even knowing how to be in compliance with European rules, still sometimes to be defined, in order to offer European citizens the safest and most competitive environment in the world while respecting, even intelligent competition, as recalled by the recent skirmish between Commissioner Breton and the head of Google.

Even if a certain disappointment is felt among certain actors who have invested themselves in comparison with the efforts made, it is to be noted certain actions more or less coordinated but which, assembled and built on a global approach of even disruptive realities, can show a a certain intelligence reactive to the sound of the cannon for specific, measurable, realistic, achievable objectives, determined in time.

Institutional, state and territorial actions and facilitations:

After the Cloud Initiative, institutions must now also appear to be more structuring than facilitating, without discouraging goodwill, in a plethora of initiatives and more or less related positions taken by mediating states, regulators, users and companies, while avoiding any form of national crystallization, for the benefit of a truly European dynamic, certainly united in diversity with an observation showing that we once again find the French, the Germans and others, often with the latter. But some also know how to promote a certain dynamic, such as Estonia, which could enhance its administrative simplification in a regional dimension, but also Luxembourg with its desire for identity as a digital nation, including cloud and PNR. Finally, we should note a Brittany region piloting an Interreg project with more than ten other regions involved throughout Europe on security.

Note that GAIA-X also invites to work in external interdependence by inviting non-European companies, including apparently like Google, as long as they share objectives of sovereignty and availability, as for European research, knowing that digital sovereignty does not exist. t has not yet been officially confirmed by the Commission, nor by its executive agency in this area, which claims to be unable to take a position on the origin and qualification of the digital relational tools now widely used with travel restrictions linked to the health crisis.

Perhaps it will also be a question of defining if the GAFA (M) are ultimately stateless or if they are linked to the United States which in any case does not appear as an enemy or even a competitor already for the 'Germany, European economic leader, nor for the European Union in a strengthened transatlantic link.

Perhaps it will be necessary to note that digital and cybersecurity are not European or American-European strategic areas to face China, or even India, via the North Atlantic Treaty Organization. (NATO) and its skills that only France also seems to want to ignore.

OVH's announced cooperation with Google, hailed by the French Secretary of State, eager to attract people to French territory, and aligning itself with Germany on this privileged transatlantic link is therefore no surprise. The German minister initiating the project nevertheless recalled that it will not be a question of competing with the American storage super-spaces of Amazon or Microsoft while giving a wish to offer European companies an alternative to American cloud providers AWS, Google Cloud and Microsoft Azure, which largely dominate the public Cloud market, and to give more visibility to European offers, recalling the Juncker initiatives on the Defense (industrial research) Fund, especially not wanting to oppose the NATO ..

But perhaps it should be noted that these GAFA (M), stronger in certain states, already have a technology that is too far ahead of which it is necessary to take advantage in interdependence, as does the search engine Qwant resulting from the open internet project. whose founder was already using usage memory, fighting against Google and then working with it to avoid legal struggles, certified by the French administrations, taken over by the Caisse des Dépôts and Microsoft, declaring himself a European tool when it is not than French for Europe.

In addition, the term “federated” is mentioned very frequently, whereas a French and a German do not understand it in the same way. It is the same with the term "sovereign", undoubtedly too French connotation and which should be replaced even if it advances like a national or European shield, even wider still, or a more or less sacred lance.

Beyond collaboration on the same business, GAIA-X has just germinated a partnership between the French OVHCLOUD a priori declared the European leader of the cloud installed in France, whose boss is not of French origin, and German T-Systems to offer an open and trusted public cloud offer, from 2021 in Germany and hopefully in France, offering TS customers the benefit of data centers with the Deutsch Telekom network, T-Syst providing its water cooling. This complementarity is to be welcomed because on the one hand it addresses the essential contribution of energy, without treating it entirely with a need also for an energy source to avoid data loss with why not Siemens or Roll-Royce certainly British , and on the other hand it allows a possible mutual knowledge by segmentation, as during the constitution of the European team in the NATO ACCS program, looking at the other necessary skills other than electronic for the sensors to be complementary and stronger together. OVH must also consolidate its web with European participations and not be a French tool for Europe, as we recommended for Qwant before being recapitalized by Caisse des Dépôts and Microsoft.

Regarding the financial taxation of GAFA (M), which increased their turnover with the crisis, which operate without margins but on their cash as the large food distributors, which also divide the European states with always the same cleavage , which also make a large number of booksellers work through reduced-cost shipments, the solution may lie in a greater incentive for financial solidarity, even tax-free, or in cyber, digital and digital research on the spot to immediately own remedies for sudden attacks, especially with the upcoming digital euro.

A real cyber and digital strategy could facilitate and maintain relations between companies and other organizations. These industrial structures must finally integrate project brooding such as the brooding of start-ups and then SMEs by groups, and develop both a pack hunting and wing hunting approach. Intermediate-Size Enterprises (ETIs) must be able to adapt their model and their general strategic, structural, identity and decision-making policy, and will be the cornerstone between the French and German models which must not necessarily be copied but overlap with common arrangements between the two countries.

Now let's finally focus on reinforced European presences in French trade fairs and events, as already partly at the FIC trade fair in Lille or perhaps finally with the cyber pole of Brittany.

Labels and certifications

The labels, of voluntary initiative, as well as the certifications, represent advantages for structuring, in quality and confidence, by sifting the wheat from the opportunistic chaff, with attribution and verification processes, often allowing under -close to also help companies and other organizations to discover a real customer and supplier relationship.

The disadvantages also exist for the same causes of audits or processes diverted from their common sense as well as for often political and territorial labels said of excellence which can hide certain negative realities of taxation rather than membership and therefore often incompetence. or inconsistency as we have seen in the competitiveness clusters.

Likewise, let us not forget that public contracts must not discriminate against companies that have not chosen certification, such as ISO 9001 or 14001, which themselves often went beyond the standards requested which mobilize time and money. , and which must be able to assert a possible equivalence. In this area, projects relating to digital and cybersecurity should draw inspiration from examples in other older areas and can also advance them.

Initiatives are emerging through other facilitating organizations such as ECSO with the label of geographical origin "Cybersecurity made in Europe" for the moment more IGP than PDO without any notion of certification on products or services. This should not replace a necessary permanent presence and in particular French industrial presence in the Brussels seminars of ENISA. French industry and its SMEs or start-ups admit to relying too much on ANSSI, whose job it is not, but perhaps also by directive. The French and German national agencies control and lock the European agency with a certain rivalry and relative confidence between the French ANSSI which certifies on clearances and people and the German BSI which instead certifies on the process, tools and installations. The two mixed certification approaches can also be valued under a label approach of complementary elements, yet displayed, but which does not manage to be implemented, and which the managers, with also their personalities, do not want to come and talk about, with the same realities as other European agencies including EASA. However, this could set an example in the cloud but also its applications including passenger name records (PNR) different land, air sea, and which should also be treated globally to move forward, but also in many others. areas including taxation where visions differ between states which should not remain divided. Perhaps we need to bring this once again to European level to see it finally succeed.

Structuring finance, which will be discussed later, could also provide for an ethical label for the origin of funds but also for their use which must not prevent innovation, which itself can also use a quality label for taking account of previous projects in terms of time and money optimization.

In terms of optimizing approaches, we could also imagine the example of cloud labels related to health, the notion of Public Private Partnership, the civil-military and / or public-private dual, but also the portage and / or brooding between group and SME, which are not obliged to live by equity investments but to find the beneficial link for all as can do for example Dassault System. There may also be the opportunity of labeled links with the factory of the future or 4.0, digital transformation, Smart Data and Artificial Intelligence with structures and means adapted to the desired tasks, which some analyzed as being the basis of GAIA-X, also with a risk of mixing according to some specialists.

Regarding certification which also remains voluntary, within the EU there is no concept of reliability on the tools and no regard for the original portage, wishing not to put borders and therefore in consistency with GAIA-X or search. Note Regulation (EU) 2019/881 which foresees that the EU will provide EU-wide certification programs in the form of a comprehensive set of rules, technical requirements, standards and procedures. Such systems, once adopted at EU level, for specific products, services or processes, will be valid and also recognized in all EU Member States. As in other areas, currently the landscape of cybersecurity certification of ICT products and services in the EU is still quite dispersed as there are a number of national and also international initiatives such as the so-called criteria commons (CCs) for information technology security assessment. We also note the Mutual Recognition Agreement (MRA) on the security of information systems (SOG-IS) with an upcoming first outline to be drawn up as part of the EU cybersecurity certification framework.

European cybersecurity certification systems could allow both self-assessments of conformity as for CE marking and certifications, with the assessment being carried out by third-party conformity assessment bodies. Following in particular our recommendations, a “smart” certification with three assurance levels is planned and each of them will provide a corresponding rigor and depth of the evaluation of the ICT product, the ICT service or the ICT process without necessarily differentiating the size or capabilities of the company. Through self-assessment of conformity only the basic level of assurance can be achieved, while for certifications a basic, substantial or high level of assurance can be achieved. The certification process, unlike the self-assessment of conformity, complies with the provisions of Regulation (EC) 765/2008 which defines the requirements for accreditation and market surveillance.

As with CE marking, under the aforementioned regulation, each Member State will appoint a national accreditation body (NAB), which will issue certificates of accreditation to conformity assessment bodies (CABs). Accreditation may be issued to conformity assessment bodies for one or more specific cybersecurity certification programs, for a maximum period of five years and may be renewed thereafter. For each European certification system, the national authorities will notify the European Commission of the conformity assessment bodies that have been accredited. Considering the EU-wide validation of the EU cybersecurity certification framework and the certificates issued, a producer or manufacturer of an ICT product, ICT service or ICT process may request an assessment process by any accredited conformity assessment body in the EU.

However, as with the CE marking with certain negative feedback from experience in the health sector, it will be necessary to avoid the risks of industrial impacts, process failures with potential or real prejudices of certain institutional decisions for companies. . National agencies must undertake to help their manufacturers to be referred to other organizations or to obtain a deadline for bringing them up to standard, without canceling the history, if they find themselves in difficulty, in particular with a notified body chosen in Europe elsewhere than in their country. In the event of a problem, it should be possible to contact ENISA in the event of a dispute. It is nevertheless recalled that in the CE marking, manufacturers or service providers can themselves certify whether they think they are capable of doing so and that the marking can only be affixed if there is a European regulation or constraint on the subject.

European contracting

A reasoned European preference policy could be supplemented by a European "buy-cyber-act" with nevertheless taking into account the legal limits of certification and labels set out above and with the creation of an OCCAR-style agency in the armament for the management of major projects, in relation with ENISA. With strong management, it could in particular issue calls for tenders by claiming a budget allocated directly to SMEs, including a minimum quota from countries other than the prime contractor. Regarding the market, it could be interesting to include the European cyber offer in compensation exchanges, mainly abroad, because theoretically prohibited in Europe, perhaps with special treatment for GAFA (M) as explained more before.

Structuring finance

Finally, the financial part of the equity capital, and undoubtedly the most important, must also integrate all these elements, or even be a structuring element of the ecosystem beyond the pure notion of profit or risk management.

Recently the “European cybersecurity investment platform” has emerged, bringing together funds such as ACE Management (France), Adara Ventures (Lux), ecapital entrepreneurial partners ag (Germany), KPN Ventures (Netherlands), P101 (Italy), Primomoglio SGR ( Italy), TIIN Capital BV (Netherlands) and Vendep Capital (Finland) which can be appreciated as real players in industrial policy with their objectives and realities, in particular calendar ones, which should be encouraged to support the European industrial fabric .

They must try to act in a search for segmentation, solidarity and relative intelligent industrial and economic autonomy.

This financial approach must also respond to the current dynamic of governance with the creation of a true European fund of funds guaranteed, or even supplemented by the institutions, now capable of a single European signature that can accompany in guarantee but also in capital, such as the European Innovation Council (EIC) does this in research on "unbankable" companies of up to 25% if strategic, with a lower rate of return claimed, as has been done by the Caisse des Dépôts et de consignation. The funds must also integrate the will of groups to acquire holdings in European SMEs.

François CHARLES

Président of  I.R.C.E. www.irce-oing.eu

Président of NOVIAL CONSULTING, Consulting in strategy, management economic intelligence www.novialgroup.fr

Réalités et perspectives de structuration du cloud franco-allemand et européen - Realities and perspectives of the structuring of the Franco-German and European cloud
Pour être informé des derniers articles, inscrivez vous :

Commenter cet article