Sénégal, Google et souveraîneté
Source : Le Sénégal face au dilemme du cloud : souveraineté ou dépendance ? - CIOMAG
Le Sénégal et Google ont signé le 1er octobre 2024, un protocole d’accord historique pour la mise en place d’un cloud souverain à Dakar
Il a été annoncé, il y a quelques jours, que Sénégal est en discussion avec Google Cloud pour lancer une initiative de cloud souverain dans le cadre de sa stratégie sénégal numérique 2025-2035. J'ai ainsi découvert avec étonnement (et joie) l'engagement manifeste du Sénégal sur cette voie de l'affirmation numérique. La souveraîneté est un enjeu majeur pour les États pour assurer la sécurité et l'exclusivité de certaines ressources critiques.
Mais, la nouvelle du partenariat intérroge : Comment le Sénégal pourrait être souverain grâce un partenariat avec Google, une entreprise avant tout américaine ?
Pour ceux qui ne sont pas familiers avec le concept de cloud, regardez cette vidéo : Qu'est ce que le Cloud ? - YouTube et écoutez ces discussions pour être plus au fait sur les enjeux de la souveraîneté numérique : Panel 2 : QUID DE LA SECURITE DES DONNEES ? - YouTube et SOUVERAINETÉ NUMÉRIQUE :sommes-nous sous l'emprise des GAFAM ? Alain Juillet reçoit Pascal Saubion - YouTube .
Être souverain
Un Cloud souverain (relativement à un État) est souvent défini comme un environnement de Cloud computing qui permet d'opérer le stockage et le traitement de ses données en conformité exclusive avec ses lois et libre d'ingérences externes comme l'expliquait Pascal Saubion. Pour être considéré souverain il faut répondre à des exigences, il faut notamment avoir le contrôle/choix sur l'accès et le partage des données, le contrôle sur comment les infrastructures et services qui supportent le traitement de ces données sont opérées, la transparence et la gouvernance des opérations.
Voir plus de détails ici : What is Sovereign Cloud? - YouTube
Google Cloud souverain ?
Google Cloud
Google Cloud est une entrerpise américaine offrant des services de Cloud Computing. Son modèle de responsabilité lui incombe la responsabilité d'audit, de la gestion du matériel, des logiciels de base (OS, utilitaires, etc), du stockage des données et du réseau. Ses services sont donc accessibles presque partout dans le monde avec Internet, ses infrastructures et opérations managées par ses employés. Autant de caractéristiques qui s'opposent au concept de souveraîneté.
Cependant, ce n'est pas la première fois que le géant américain se prête à l'exercice de proposer un Cloud compatible aux restrictions susmentionnées : un essai a déjà été fait en France/Europe avec S3NS et dont je me suis inspiré pour présenter les dispositions qui peuvent être prises dans la suite : la solution serait donc d'utiliser les datacenters américains (appartenant à Google) mais avec des règles de fonctionnement particulières pour répondre aux exigences de la souveraîneté.
Des mesures possibles
Pour répondre aux exigences que requiert la souveraîneté, il faut donc établir des modes et moyens de fonctionnement particuliers dans la relation État-Google.
Ainsi, pour s'assurer la résidence des données, et que les bonnes lois s'y appliquent malgré l'usage d'un cloud provider, l'on peut imposer des contraintes sur la localisation des données dans des data centers autorisés en utilisant des politiques logicielles. En outre, il est possible également assurer que seules les personnes autorisées aient accès aux données grâce au chiffrement systématique des données avec des clés inaccessibles de la part de Google.
Aussi, pour garantir que même les données cryptées ne soient pas accessibles, des règles d'accès (pour maintenance ou autre) strictes seraient mises en place pour demander l'autorisation explicite du gouvernement sénégalais.
Pareillement, afin de garantir le contrôle sur la chaine d'approvisionnement en logiciels et éviter des changements non autorisés (ou malicieux dans le pire des cas), l'on peut exiger des audits et validation par des experts agréés de l'infrastructure ou des logiciels utilisés. Une sorte de partage de propriété.
Et pour finir, pour se protéger de lois externes qui s'appliquent sur les personnels et ressources étrangères, avoir des exigences sur le personnel autorisé sur les sites choisis ou sur les logiciels mis en place. En illustration, la loi RPC chinoise sur le renseignement peut par exemple imposer l'espionnage à toute structure ou citoyen chinois. Il serait possible de mettre des règles de nationalité ou d'elligibilité dans ces data centers.
Malgré ces mesures, ça reste des compromis et un pari, car il y aura toujours une part non contrôlable. En effet, rien n'empêche (à ma connaissance) que tout contrat fait soit résilié. Aussi, certaines complications techniques rendent la perspective quasiment impossible, notamment l'existence des lois extraterritoriales invasives comme le Cloud Act américain qui donne le droit aux USA d'obtenir des opérateurs télécoms et des fournisseurs de services de Cloud des informations stockées sur leurs serveurs peu importe la localisation.
C'est en fait une relation "de confiance" entre l'État et l'entreprise qui se fait. D'ailleurs, l'offre de Google en France est labelisée "Cloud de confiance" . Cette relation suscite des inquiétudes et est sujette à critiques de la part de certaines voix fortes. Cependant, ses défenseurs prônent sa nécessité car elle semble être la voix unique viable pour profiter des avantages du présent pour créer un futur souhaitable.
Conclusion
Comment le Sénégal pourrait être souverain grâce un partenariat avec Google, une entreprise américaine ?
La réponse est que la souveraîneté pleine ne sera sûrement pas possible au travers de ce partenariat car elle exige un contrôle absolu et une indépendance totale que l'usage d'un Cloud provider étranger ne peut pas fournir. Une relation de confiance mutuelle se présente alors comme la voie la plus envisageable en attendant l'émergence d'acteurs locaux. Un compromis, certes, mais un compris peut-être nécessaire pour l'atteinte de ses objectifs stratégiques.
Pour le moment rien n'est dit par rapport à la méthode sénégalaise, il serait donc intéressant de voir comment ils vont surmonter ce challenge.
Merci de m'avoir lu.
A propos de moi et ce blog
Je suis N'nane, camerounais et consultant Cloud spécialisé en data science et intelligence artificielle. Je réside en France où je travaille à accompagner des entreprises, petites et grandes, dans leur stratégie IA sur le Cloud. Sur ce blog, je partage mes expériences et avis sur l'IA, la data et le cloud, avec des contenus pratiques pour les passionnés et professionnels.
N'hésitez pas à mettre des commentaires si vous avez des questions ou des remarques, j'y répondrai avec plaisir.
Nice N'nane, c'est un sujet intéressant que tu évoques là.
Petit erratum chiffré au lieu de crypté 👀
La plupart des clouds "souverain" bâtis par les firmes du gafam pour des états finissent souvent par exploser en plein vol, car ils ont la main sur l'Infra vu que c'est eux qui les montent 🙃
Mais sinon moi je vois cela comme un tremplin pour le Sénégal d'un point de vu économique (emploi, monté en compétences, etc...)
💪✨ On attend le prochain post 😁