«La souveraineté consiste à accepter des dépendances de manière ciblée et contrôlée»
La souveraineté numérique n’est pas une idéologie, mais une décision de management assumée. Lukas Hebeisen, Head of Cloud chez Swisscom, explique comment les entreprises doivent trouver le juste équilibre entre la capacité d’innovation des hyperscalers, les risques réglementaires et la réversibilité, tout en soulignant le rôle central de principes d’architecture clairement définis.
Dans un article que vous avez publié en décembre, vous décrivez la souveraineté comme une «décision consciente». Comment les entreprises peuvent-elles concrètement évaluer si le gain d'innovation apporté par les hyperscalers justifie une perte de souveraineté?
En fin de compte, il s'agit d'une décision entrepreneuriale consciente et non d'une question de croyance. Les hyperscalers offrent une vitesse d’innovation que beaucoup d’entreprises auraient du mal à atteindre seules. Si de nouvelles fonctions d’IA ou des plateformes de données modernes créent une réelle valeur en quelques mois, il est tout à fait légitime de les utiliser. Mais la question essentielle est la suivante: vais-je rester capable d’agir si les conditions changent? Ceux qui tirent parti de l’innovation devraient structurer leur IT de manière à ce qu’un changement de fournisseur reste fondamentalement possible, sans mettre en péril leur activité. La souveraineté ne signifie donc pas éviter les dépendances, mais les accepter de manière ciblée et contrôlée. Cette tension entre pression d’innovation et exigences réglementaires façonne aujourd’hui de nombreuses décisions dans les entreprises suisses.
En dehors de la souveraineté des données, sur quels plans technologiques les fournisseurs cloud locaux peuvent-ils rivaliser avec les hyperscalers?
Pas par leur taille, mais par leur proximité et leur fiabilité. Les fournisseurs cloud locaux sont forts là où le contact personnel, les circuits courts et la rapidité de réaction comptent. Les clients savent qui est leur interlocuteur, où se trouvent leurs données et selon quelles règles elles sont exploitées. Les fournisseurs locaux sont aussi souvent plus transparents sur les prix, les contrats et les audits. Il y a moins de surprises. Un autre avantage est la localisation: des centres de calcul en Suisse, un cadre juridique clair et des droits d’accès précisément définis. Pour les secteurs réglementés, c’est particulièrement important. Cette combinaison de proximité, de transparence et de sécurité juridique explique pourquoi les fournisseurs cloud locaux gagnent actuellement en importance. Non pas comme substitut à tout, mais comme complément réfléchi aux plateformes globales.
Dans quelle mesure la préparation à l’IA devrait-elle faire partie d’une stratégie de souveraineté numérique?
Aujourd’hui, l’IA est incontournable et donc centrale pour la souveraineté numérique. Elle modifie les flux de données et peut créer de nouvelles dépendances. Les modèles propriétaires apportent de la vitesse, mais lient étroitement les entreprises à des fournisseurs et à leurs modèles d’exploitation. Parallèlement, les modèles d’IA ouverts font émerger de véritables alternatives, exploitables de manière souveraine. C’est pourquoi la gouvernance de l’IA est essentielle: qui contrôle les données d’entraînement, les modèles et les logs? Et où les modèles sont-ils exécutés? Ces questions déterminent le niveau de souveraineté des entreprises à l’ère de l’IA.
Quels principes architecturaux garantissent la souveraineté, même lorsque l'infrastructure provient d'un hyperscaler?
L’essentiel réside dans la manière d’utiliser le cloud, pas dans l’identité du fournisseur. Les entreprises devraient concevoir leur IT de façon à ne pas être liées de manière rigide à un seul acteur. Les applications doivent rester déplaçables par principe et les données doivent pouvoir être récupérées à tout moment. Il est également important de conserver le contrôle des informations sensibles: le chiffrement et les droits d’accès devraient relever de la responsabilité de l’entreprise, et non exclusivement du fournisseur cloud. Enfin, la transparence opérationnelle est indispensable. Ceux qui exploitent leurs systèmes doivent garder une vue d’ensemble, par exemple sur les données d’exploitation ou les messages d’erreur. Avec ces principes de base, il est possible de tirer parti des hyperscalers sans renoncer à sa liberté d’action.
Où se situent les principaux obstacles pratiques dans la gestion d’un modèle cloud hybride?
Les défis se posent au quotidien: gérer les identités sur plusieurs environnements, segmenter correctement les réseaux ou maintenir les certificats à jour demande de la discipline. Les coûts constituent un autre enjeu: les sorties de données et les intégrations entraînent souvent des frais cachés. Sans équipe plateforme centrale, un patchwork technique apparaît rapidement. Ces obstacles opérationnels sont généralement plus complexes que la technologie elle-même.
Comment les entreprises peuvent-elles gérer le risque inhérent au Cloud Act américain sans freiner l’innovation?
En ne l’ignorant pas, mais en le gérant activement. Les données particulièrement sensibles doivent être placées dans des environnements souverains. Tout ce qui est transféré vers le cloud public devrait être chiffré de bout en bout, idéalement avec des clés situées hors de la juridiction américaine. Les contrats doivent contenir des dispositions claires concernant les demandes des autorités. Et les entreprises doivent savoir comment déplacer leurs charges de travail si nécessaire. C'est précisément cette approche pragmatique que suivent les autorités et les organismes de surveillance suisses, non pas comme une interdiction du cloud, mais comme une évaluation réaliste des risques.
Des approches de chiffrement comme «Bring Your Own Key» constituent-elles une véritable souveraineté ou seulement un écran technique?
Tout dépend de qui contrôle la clé. Si la clé appartient au client mais est utilisée par le fournisseur, un certain niveau de confiance subsiste. La véritable souveraineté n’existe que si la clé ne quitte jamais l’environnement de l’entreprise, par exemple avec des modèles «Hold Your Own Key». Bring Your Own Key résout l’aspect protection des données, mais pas la question de savoir ce qui se passe si l’accès au cloud est restreint. Pour les charges critiques, la question reste toujours: puis-je continuer à fonctionner même sans cloud?
Comment tester de manière réaliste une stratégie de sortie d’un hyperscaler sans mettre en danger l’exploitation ou le budget?
Par étapes. D’abord, on clarifie théoriquement quels systèmes sont concernés, quels coûts apparaissent et qui en est responsable. Ensuite vient un test technique: export des données et mise en place d’un second environnement, sans basculement. Ce n’est qu’après que l’on teste en conditions réelles, par exemple via la migration temporaire de certains services. Cela permet de mesurer de manière réaliste les efforts, les coûts et les temps d’arrêt. Une stratégie de cloud hybride est idéale, car elle fournit déjà un second environnement opérationnel.
Qui devrait, selon vous, porter la responsabilité de la souveraineté numérique dans une entreprise? Et cette fonction doit-elle disposer d’un droit de veto clair?
La responsabilité incombe au conseil d’administration et à la direction. Le CIO ou le CTO pilotent le sujet, avec le soutien du CISO et du service juridique. Il s’agit de décisions stratégiques qui ne peuvent pas être prises uniquement par l’IT. De nombreuses entreprises mettent en place un «board de souveraineté» qui décide régulièrement. Pour les décisions d’architecture irréversibles, celui-ci doit disposer d’un droit de veto, non pour freiner l’innovation, mais pour garantir que chaque dépendance est acceptée en toute connaissance de cause. Cela correspond à la voie empruntée également par le secteur public.
Quel conseil pragmatique en matière de souveraineté donneriez-vous à une PME suisse disposant de ressources limitées?
Il ne faut pas trop compliquer les choses. Au départ, il suffit de classer grossièrement les données en trois catégories: non critiques, confidentielles et particulièrement sensibles. Les applications peuvent être classées selon le même principe, de «non critique» à «déterminant pour l’activité». Sur cette base, il est possible de construire une IT simple, stable et facile à maintenir, en s’appuyant de manière cohérente sur des services cloud éprouvés plutôt que sur des solutions spécifiques. Il est important de gérer les accès de manière centralisée et de permettre aux collaborateurs de s’authentifier de façon sécurisée, par exemple avec une validation supplémentaire. Vérifier la facture cloud une fois par mois et simuler une fois par an le transfert des données ou applications vers un autre fournisseur suffit pour commencer. Et surtout: travailler avec des partenaires transparents, capables d’expliquer ce qu’ils font et qui prennent au sérieux la sécurité et l’indépendance. C’est ainsi qu’on pose des bases solides sans se surcharger.
