Le mail est devenu plus qu'un nouveau moyen de communication, c'est aussi un des moyens de stockage de données des entreprises. Une analyse du marché montre les limites des solutions disponibles en termes de sécurité . Sans pour autant mettre en place un protectionnisme des données, il serait intéressant de réfléchir à un "New deal" pour les éditeurs européens dans le cadre des services publics.
L’Europe n’est-elle pas à la traîne dans la bataille de la messagerie d’entreprises ? Il nous semble que oui. Même s’il reste des acteurs européens importants, la part de marché des éditeurs américains dans le marché de la messagerie pour les entreprises est très importante. On peut citer Microsoft Exchange, Google avec GMail, VMWare avec zimbra …
Pourtant, les entreprises envoient tout par mail : leurs comptes, leurs projets de recherche, les coordonnées de leurs clients, leurs contrats … Or aujourd’hui, l’email n’est plus un simple moyen de communication, c’est aussi une façon de partager et donc de stocker de l’information. Les dossiers sont archivés dans la plateforme de messagerie, qui est de plus en plus externalisée. Avec l’avènement du cloud et de l’externalisation, les éditeurs de messagerie se font hébergeurs. Force est de constater qu’on ne sait pas dans quel datacenter ni dans quel pays va être hébergé tel email qu’on envoie à tel correspondant.
Des données hors d'Europe, les risques
Est-ce que la majorité des emails des entreprises européennes va être hébergée hors d’Europe? Est-ce bien raisonnable ? Nous pensons qu’il faut y réfléchir pour trois raisons :
1) la souveraineté
Il nous paraît évident que de nombreux pays réalisent des interceptions de leurs hébergeurs et de leurs opérateurs de communication. Certaines sont légitimes, comme les interceptions judiciaires, ou les interceptions de sécurité. Certaines ne le sont pas, comme l’espionnage industriel. Les entreprises devraient catégoriser leurs informations et choisir de ne pas externaliser certaines de leurs données.
2) le développement durable
La messagerie consomme de l’énergie. Les réseaux et les datacenters ont une empreinte écologique. Plus loin les données sont stockées, plus la consommation des réseaux est importante. Par ailleurs, si les datacenters sont implantés dans des zones non tempérées (par exemple, la Californie), le coût énergétique de refroidissement sera plus élevé.
3) les fraudes
La fraude existe. Des cas de piratage de données dans des environnements d’hébergement mutualisé ont été révélés. La CNIL indique que « le cloud génère de nouveaux risques, notamment au niveau de la pérennité des données ». Nous ne savons pas si l’Europe est mieux protégée que d’autres continents. Aujourd’hui, encore une fois, nous pensons que les entreprises devraient faire le choix de ne pas externaliser certaines données.
Vers un protectionnisme des données ?
Les données circulent. Faut-ils les en empêcher ? C’est un peu le réflexe du mauvais perdant … toutefois il est indispensable de revenir à certaines bonnes pratiques, notamment pour la messagerie et l’hébergement de documents. Nous pensons qu’il n’est pas raisonnable de laisser circuler sans contrôle sur Internet les données des entreprises, et en premier lieu les courriels avec des informations confidentielles.
Pour autant, le protectionnisme ne fonctionne pas : Internet est un espace de liberté et d’innovation, les entraves seront détournées et seront des freins au développement de nos entreprises.
Toutefois, nous pensons que l’état a un rôle vertueux à jouer dans le cadre de la commande publique. D’une part, l’hébergement de la messagerie et des données de l’état et de la sphère publique devrait répondre à un cahier des charges très stricts. Les hébergeurs des établissements publics devraient garantir la traçabilité des ces données et leur confidentialité, et informer de leur localisation.
Les conséquences seraient que les hébergeurs mettraient en place des offres de cloud privé, ou dédié, des réseaux privés, des infrastructures sécurisées, et plutôt locales pour des questions de compétitivité. Il nous semble que cette démarche de sécurité et de bon sens est compatible avec les règles des marchés publics.
Mais l’état doit aller plus loin et contraindre ses fournisseurs (donc une grande partie des entreprises privées) à adopter les mêmes bonnes pratiques pour leur messagerie et leurs documents, dans le cadre de leurs échanges avec les services publics. Ainsi, les entreprises qui échangent avec l’état se doteraient d’infrastructures plus sécurisées, privatives, et éventuellement locales.
Ce serait un « New deal » pour la messagerie et la gestion de documents, pour lequel les Éditeurs mondiaux pourraient avoir leur place, mais nous pensons que les cartes pourraient être redistribuées en faveur des éditeurs européens. Le protectionnisme des données, non ; mais leur sécurité, oui.
Nicolas Aubé, président fondateur de CELESTE