Jumeaux numériques : la France du Numérique qui gagne

 

Xio-base annonce biarritzJeudi 22 septembre 2022, j’ai eu le plaisir de participer à la journée organisée à Biarritz par Teréga Solutions pour présenter leur solution numérique io-base.

Avec GRTGaz, Teréga est l’un des deux grands acteurs français du transport de gaz, sujet au combien stratégique en ce moment! Les installations gérées par Teréga représentent plus de 5 000 km de tuyaux de transport de grandes dimensions, à haute pression.

XTeréga stockage lussagnet gaz STeréga est aussi, comme Storengy, un acteur clé du stockage de gaz, avec comme principal site celui de Lussagnet, dont l’origine remonte aux gisements de gaz de Lacq. Lussagnet dispose d’une capacité de stockage de 3GNm3.

Teréga a démarré en 2017 une exceptionnelle et très rapide Transformation Numérique, que j’ai eu le grand honneur d’accompagner. Comme toute Transformation Numérique moderne, elle s’appuie sur l’usage intensif des Clouds Publics, AWS et GCP dans le cas de Teréga.

Très rapidement, les dirigeants de Teréga ont décidé que les infrastructures physiques de transport et stockage de gaz devaient rester à 100% déconnectées du Cloud et d’Internet. Toute cyberattaque réussie sur ces infrastructures physiques pourrait entraîner la mort de nombreuses personnes.

La démarche de construction d’un jumeau numérique c'est imposée comme la seule réponse solide et pérenne à ces dangers.

La solution io-base, développée au début pour les usages internes de Teréga, est ensuite devenue un produit numérique, commercialisé par la filiale Teréga Solutions.

Dans ce billet, je vous propose de:

  • Rappeler les principes des jumeaux numériques.
  • Comprendre les avantages de la solution io-base.
  • Découvrir quelques premiers usages d’io-base.
  • Voir comment la France peut s’appuyer sur io-base pour devenir un leader européen et mondial des solutions de jumeaux numériques.

 

Jumeaux numériques : principes de base

Le principe du jumeau numérique est simple: il s’agit de construire une “image numérique” d’une installation physique.

Ce schéma en présente les principaux composants.

XPrincipe Jumeau numérique

Sur la partie gauche, j’ai représenté l’environnement physique:

  • Des équipements à piloter: la variété de ces installations est grande.
    • Installation de transport et de stockage de gaz, d’eau ou d’électricité.
    • Hôpitaux et établissements de santé.
    • Réseaux ferroviaires ou de métro.
    • Usines de traitement de matières nucléaires.
  • Des informations à saisir. Des capteurs de pression, de vitesse, de vibration… envoient les mesures dans des bases de données. La variété des données, des outils de saisie et le fait que ce sont souvent des technologies numériques très anciennes rendent complexe cette saisie de données.
  • Des logiciels d’analyse de ces données, regroupées sous le nom de SCADA, vont ensuite permettre d’agir sur les installations physiques.
  • La seule manière efficace de protéger ces installations physiques des cyberattaques est de les déconnecter à 100% d’Internet et du Cloud. Une seule porte d’entrée ouverte suffit pour créer un risque majeur. Elles doivent donc impérativement être “on premise”, sur des infrastructures numériques, serveurs, réseaux et objets d’accès qui n’ont aucun lien vers le monde extérieur.

Sur la partie droite, on trouve le jumeau numérique:

  • La flèche verte indique que l’on recopie 100% des données venant de l’environnement physique dans une base de données externe.
  • La flèche rouge montre qu’il est impératif d’interdire tout retour d’information depuis le jumeau numérique vers l’informatique “on premise”.
  • Ce jumeau numérique est construit dans les Clouds Publics, pour avoir accès à toute la puissance de calcul et de stockage dont on a besoin dans les IaaS, Infrastructures as a Service.
  • Le jumeau numérique reçoit aussi les données externes dont on a besoin pour gérer efficacement les installations physiques: météo, demandes des clients et des fournisseurs… Ceci est représenté par la flèche jaune.
  • L’entreprise peut utiliser toutes les ressources logicielles disponibles dans les Clouds Publics en SaaS, Software as a Service, et créer les applications métiers indispensables avec les outils PaaS, Platform as a Service.

Au milieu, j’ai représenté le poste de pilotage des installations physiques:

  • Les personnes responsables de ce pilotage disposent de deux écrans, l’un relié au SCADA, l’autre au jumeau numérique.
  • Ces deux écrans sont totalement indépendants: aucune donnée ne peut passer de l’un à l’autre.
  • L’écran du jumeau indique les opérations à réaliser sur les installations physiques. La personne utilise ensuite l’écran relié au SCADA et aux équipements pour exécuter les opérations nécessaires.

 

Les apports de io-base aux jumeaux numériques

Cette journée io-base du 22 septembre 2022 avait pour objectif de démontrer que cette solution numérique avait atteint un niveau de maturité suffisant pour pouvoir être déployée dans toutes les entreprises ayant besoin d’un jumeau numérique, et elles sont nombreuses!

Objectif réussi.

Teréga Solutions avait construit une maquette de démonstration pour simuler le pilotage d’une installation fournissant des énergies renouvelables, éoliennes et solaires.

Xio-base maquette éolienne + panneau solaire

Sur cette maquette, on trouve, de bas en haut:

  • La partie réseau qui communique avec les installations physiques.
  • La “box” Indabox, l’innovation technologique inventée et brevetée par Teréga Solutions. Elle comporte trois composants physiques indépendants:
    • Un connecteur qui capte les données venant des installations physiques.
    • Un boîtier qui fait office de “diode numérique” en permettant le passage de données dans un seul sens, du physique vers le jumeau numérique.
    • Un connecteur qui envoie les données vers le jumeau numérique.
    • C’est Indabox qui garantit que la flèche rouge sur mon schéma d’un jumeau numérique est bien protégée.
  • La partie réseau qui communique vers le jumeau numérique.
  • En haut, un panneau solaire et un ventilateur utilisés pour simuler les sources d’énergies renouvelables.

Avec Indabox, Teréga propose une solution unique au monde qui sécurise parfaitement les échanges entre les installations physiques et les jumeaux numériques.

Xio-base jumeau numérique éolienne + solaireSur ce graphique, produit en temps réel par le jumeau numérique, on visualise la production d’énergie par les éoliennes et les panneaux solaires. Il suffisait de passer sa main devant le panneau solaire pour voir immédiatement la production d’énergie se réduire.

J’ai une excellente nouvelle pour toutes les entreprises qui gèrent des infrastructures physiques critiques qu'il faut impérativement sécuriser: elles peuvent maintenant créer leur jumeau numérique en toute confiance.

Quand la France innove dans le numérique, je suis vraiment très heureux de pouvoir en parler et en faire la promotion.

 

Importance de la logique d’indépendance dans les architectures numériques

Les lecteurs de mon blog sont familiarisés avec le modèle B I S D que j’utilise depuis de nombreuses années:

  • I = Infrastructures
  • B = Usages cœur métier (Business)
  • S = Usages Support, universels
  • D = Données

XBISD Indépendances Dans la logique de ce modèle, je milite aussi pour créer une indépendance aussi forte que possible entre:

  • Les infrastructures et les données.
  • Les usages et les données.

C’est ce que j’ai représenté sur ce schéma.

La création d’un jumeau numérique confirme à quel point cette double démarche BISD et indépendances est au cœur des architectures numériques modernes.

Que ce soit dans l’environnement industriel ou dans le jumeau numérique, ces indépendances infrastructures, données et usages permettent de créer des jumeaux numériques pour tout type d’entreprise, dans toutes les configurations envisageables.

Quand Indabox transmet les données depuis le monde industriel vers le jumeau numérique, elle ne fait aucune hypothèse sur les solutions techniques utilisées pour gérer les données dans le jumeau numérique.

XJumeau numérique - indépendances

Ces données, une fois disponibles dans le jumeau numérique, pourront être utilisées pour des dizaines de cas d’usages différents, que l’on n’a pas à définir à l’avance.

C’est ce que l’on va découvrir dans les paragraphes suivants.

 

Jumeaux numériques au service de la Frugalité Numérique

L’objectif initial de Teréga en créant son jumeau numérique était de sécuriser ses infrastructures industrielles, et cela reste un objectif prioritaire.

Très vite, Teréga a aussi entrepris une démarche ambitieuse de frugalité numérique et, plus généralement, de réduction de ses émissions de gaz à effet de serre.

Xdominique mockly S biarritzDans son intervention pendant cette journée, Dominique Mockly, PDG de Teréga, a présenté les objectifs très ambitieux de l’entreprise dans ces domaines pour 2050:

  • Teréga 100% décarboné.
  • 100% du gaz transporté décarboné.
  • Et bien sûr, le numérique est indispensable pour réussir ces deux défis.

Les données transmises au jumeau numérique permettent maintenant à Teréga de suivre tous ses usages et d’améliorer immédiatement la frugalité des installations industrielles existantes. Cet usage au service de la frugalité numérique n’était pas prévu au départ, mais a été rendu possible par la mise disposition des données dans le jumeau numérique.

Xio-base daniel widera et emilie boucher SDans leur intervention qui a suivi, Daniel Widera, Directeur Transformation, Digital et Performance chez Teréga et Emilie Bouquier, Directrice de la Business Unit Multi-énergie et Digital de Teréga Solutions ont présenté les résultats impressionnants obtenus dans la réduction de la consommation d’énergie des infrastructures serveurs et réseaux de Teréga: 96%!

Sur le même sujet de la frugalité numérique, ou plutôt de la sobriété numérique pour utiliser leur vocabulaire, un représentant du CIGREF (Club Informatique des Grandes Entreprises Françaises) a fait le point des travaux de leur groupe de travail sur ce thème. Un nouveau rapport, en complément de celui déjà produit en 2021, devrait être publié rapidement.

XCIGREF Sobriété Numérique 100 bonnes pratiques

La suite logique de cette réunion me paraît évidente: 100% des entreprises du CIGREF qui gèrent des infrastructures industrielles, et elles sont nombreuses, peuvent déployer en 2023 un jumeau numérique en utilisant la solution française io-base proposée par Teréga Solutions!

 

Exemples d’usages des jumeaux numériques

Deux tables rondes ont clôturé la matinée.
La première était consacrée aux usages de la solution io-base. J’ai choisi de parler de deux des cas présentés.

XIo-base table ronde usages

Raphaël Di Pace est directeur de projets chez IDEC Groupe. Ils installent des panneaux solaires sur les toits des entrepôts logistiques qu’ils construisent. io-base sera utilisé pour gérer et commercialiser la production d’électricité par ces installations.

Bernard Plano est maire de Lannemezan et Président de ESL, Energies Services Lannemezan, fournisseur de gaz, d’électricité et d’eau pour sa ville. io-base sera utilisé pour optimiser, mesurer et réduire les consommations dans ces trois domaines. Comme il l'a déclaré: “tous les maires de France sont concernés”. 

Et un beau marché de plus pour io-base!

 

Un écosystème de partenaires technologiques pour io-base

Teréga Solutions a fait le choix intelligent de créer un écosystème de partenaires technologiques pour accompagner la croissance des activités autour d’io-base.

Plusieurs d’entre eux ont participé à la deuxième table ronde, dont:

Xio-base table ronde technologique participants

  • AWS, le Cloud Public utilisé pour le jumeau numérique. C’est un choix logique, quand on connaît l’avance d’AWS dans le domaine des usages industriels des Clouds Publics par rapport à ses grands concurrents.
  • MP Data, spécialiste des solutions de gestion d’installations industrielles dans le secteur de l’énergie. Un des cas d’usages concerne les fermes d’éoliennes. La casse d’une pale se traduit par une immobilisation de plusieurs mois. Il existe de nombreux capteurs sur ces installations, mais les données ne sont pas utilisées. Avec io-base, il est possible de faire de la maintenance préventive dans le jumeau numérique et d’éviter ces pannes en anticipant les réparations nécessaires.
  • Yogosha est un acteur innovant du monde de la cybersécurité. Ils font travailler des “hackers éthiques" pour tester la robustesse des solutions numériques. Teréga Solutions utilise ses services. C’est une bonne assurance qualité pour les clients potentiels de io-base! 

 

Quels potentiels pour la France et l’Europe, immédiatement

Vous l’avez compris, construire des jumeaux numériques est urgent et indispensable pour protéger toutes les organisations dont l’attaque de leurs installations techniques par des cybercriminels pourrait avoir des conséquences dramatiques pour la vie de leurs clients ou des populations.

Avec io-base, la France dispose d’une solution innovante, unique au monde et opérationnelle qui permet de construire en toute sécurité des jumeaux numériques.

Je vois trois priorités pour l’année 2023:

  • Les entreprises qui gèrent de grands réseaux de transport d’énergie, gaz, électricité, pétrole…
  • Toutes les organisations qui gèrent la distribution de l’eau en France. À côté des géants du secteur, il y a des centaines de petites entreprises ou de mairies qui font ce métier et n’ont ni les compétences ni les ressources pour protéger efficacement leurs installations contre des cybercriminels de plus en plus performants.

Xads dpc digital twin hospital S 383178062

  • Et … les hôpitaux! Il y a plus de 1500 établissements hospitaliers en France, et aucun, j’insiste, aucun, n’est aujourd’hui capable d’isoler efficacement ses installations opérationnelles auxquelles sont reliés les personnes soignées. Combien faudra-t-il de morts avant que l’on prenne les décisions qui s’imposent?

Face à l’urgence et à la gravité des menaces qui pèsent sur ces milliers d’installations industrielles, je propose que tous les organismes publics qui ont le pouvoir d’agir dans ce domaine, ministères, ANSSI et autres, changent immédiatement leurs positions sur ces sujets et décrètent que:

  • Tous les systèmes informatiques qui gèrent les infrastructures industrielles sont déconnectés à 100% d’Internet et du Cloud. À 100% et pas à 99%!
  • La construction d’un jumeau numérique dans les Clouds Publics opérationnels aujourd’hui est possible et encouragée. L’anathème porté par trop de responsables politiques français contre les Clouds Publics sous le prétexte idiot qu’ils sont américains doit cesser, et vite.
  • La solution française io-base est utilisée pour tous ces jumeaux numériques, pour garantir l’inviolabilité des informatiques industrielles.

Tout ceci est possible, dès 2023, en utilisant les technologies et solutions numériques existantes sur le marché.

Dans mon billet de blog “j’ai mal à mon Europe du Numérique”, publié fin 2021, j'ai identifié sept DC2E (Digital Commando of Excellence in Europe), domaines dans lesquels l’Europe et la France doivent concentrer leurs efforts.
Les jumeaux numériques sont en quatrième position dans cette liste.

Je reviens de cette journée io-base à Biarritz encore plus optimiste sur la possibilité pour la France de devenir un leader mondial du numérique dans la construction des jumeaux numériques.

L’avance prise par la France dans ce domaine peut ensuite s’exporter dans… 100% des pays du monde. Ils ont tous, absolument tous, les mêmes défis urgents de sécurité à résoudre.

Réussir cette percée technologique spectaculaire dans le monde numérique ne demande pas d’investissements qui se mesurent en milliards d’euros et dizaines d’années. Toutes les solutions sont disponibles pour passer à l’action, dès 2023.

AdS DPC Change mind set Cloud 315679727La seule chose qui manque, mais c’est hélas la plus difficile à rencontrer, c’est le courage politique des décideurs en France.

Pour cela, ils doivent remettre en question des dogmes dangereux et démodés sur ce que sont les bonnes pratiques en matière de sécurité numérique des organisations.

Est-ce que je serai écouté?
Est-ce que je serai entendu?

Est-ce que les idées simples et opérationnelles que je propose aujourd’hui seront mises en œuvre?

 


Cyberrisques: vaccins ou traitements

XAdS DPC Vaccin COVID S 403488847La cyberattaque contre un hôpital de la région parisienne en août 2022, après les deux années de pandémie COVID-19, m’ont donné l’idée de rapprocher deux mondes que tout, en apparence, sépare le monde de la santé et celui des cyberattaques.

J’ai analysé cette attaque dans un texte sur LinkedIn.

Un nouveau article fait le point sur les conséquences de cette attaque et annonce une nouvelle attaque contre un EPHAD.

L'objectif prioritaire de ce nouveau billet est pédagogique. Cette analogie entre le monde de la santé et de la cybersécurité devrait aider les décideurs à mieux comprendre comment ils peuvent améliorer la protection de leurs entreprises face à des cyberattaques de plus en plus sophistiquées. Il est écrit en priorité pour des décideurs qui ne sont pas des spécialistes du sujet.

 

Rappel: les principaux cyberrisques

Sur le fond, j’ai abordé ce sujet dans ces deux billets récents sur mon blog:

Je reprends un schéma de l’un de ces billets pour résumer la problématique de ces cyber risques:

  • Une entreprise peut choisir de garder ses infrastructures en interne, “On Premise”, ou les migrer vers des Clouds Publics tels qu’AWS, GCP ou Azure.
  • L’entreprise doit pouvoir faire face à trois familles de cyberrisques:
    • Les attaques sur les infrastructures.
    • Les attaques sur les applications et les données.
    • Les attaques par des États, en priorité les États-Unis, qui s’appuient sur leurs lois extraterritoriales.

XRisques Cloud Public - On Premise copie

Les nombreux échanges qui se sont déroulés après la publication de ces deux textes m’ont montré à quel point il était difficile d’expliquer, simplement et rationnellement, pourquoi les positions que je défends sont celles qui répondent le mieux aux besoins des entreprises, toutes les entreprises, pour se protéger des cyberrisques.

 

Vaccin et traitements: deux démarches de défense dans la santé

Dans le monde de la médecine, il existe deux démarches principales pour se protéger d'une maladie:

  • La vaccination: une action réalisée avant que la maladie ne se déclenche.
  • Un traitement: action déclenchée après l’apparition de la maladie.

Le premier vaccin moderne a été inventé il y a un peu plus de 200 ans, en 1798, par Edward Jenner pour traiter la variole.

XAdS DPC HIV treatment S 296764863Depuis cette date, plus d’une vingtaine de maladies, souvent mortelles, ont été éradiquées par la mise au point de vaccins. C’est l’une des plus belles réussites de la médecine mondiale.

Hélas, il existe encore de nombreuses maladies comme le VIH pour lesquelles des vaccins ne sont pas encore disponibles. 

Quand une personne est touchée par une maladie, deux cas sont possibles:

  • Elle a été vaccinée: dans l’immense majorité des cas, elle développe une forme bénigne de la maladie. C’est le cas pour la grippe ou la COVID-19.
  • Elle n’a pas été vaccinée ou le vaccin n’existe pas: des formes graves de la maladie se développent et peuvent conduire à la mort. Pour certaines maladies comme le VIH, les progrès remarquables de la médecine ont permis de développer des traitements performants qui permettent de vivre avec cette maladie, mais sans en guérir.

XCovid Patient grave vs léger

Hélas, il existe encore trop de personnes allergiques à la science et qui refusent les vaccins, mettant en danger leur santé et celle des autres personnes. 

Vous avez compris que je n’ai aucun respect pour ces “antivax”.

 

Vaccin et traitements: deux démarches de défense contre les cyberrisques

Dans le monde de la cybersécurité, il existe deux démarches principales pour se protéger des cyberrisques:

  • La vaccination: une action réalisée avant que l’attaque ne se déclenche.
  • Un traitement: une action déclenchée après l’apparition de l’attaque.

Les premiers vaccins contre les cyberrisques sont nés au cours de ces 15 dernières années.

Dans mes récents billets sur ces sujets, j’ai mis en évidence les trois principaux vaccins contre les cyberrisques qui sont disponibles, aujourd’hui:

  • Vaccin 1: les Clouds Publics.
  • Vaccin 2: les solutions Zero Trust.
  • Vaccin 3: les outils de chiffrement.

XTrois vaccins cyberrisques

Les vaccins contre la COVID-19 n’éliminent pas le risque d’une attaque de la maladie, mais en réduisent très fortement les conséquences et la probabilité de décès.

Les vaccins contre les cyberrisques n’éliminent pas les risques d’une cyberattaque, mais en réduisent très fortement les impacts et la probabilité de cessation d’activité de l’entreprise.

Ces trois vaccins contre les cyberrisques existent et ont fait la preuve de leur efficacité. 

Toutes les entreprises, grandes ou petites, publiques ou privées, OIV (Opérateurs d’Importance Vitale) ou pas, ont en 2022 la possibilité de commencer une campagne de vaccination contre les cyberrisques. 

Les délais pour que la vaccination soit efficace ne sont hélas pas les mêmes pour la COVID-19 et les cyberrisques.

Les premiers effets positifs des vaccins contre la COVID-19 sont obtenus au bout de quelques jours. Il faudra plusieurs mois, souvent plusieurs années avant que les entreprises soient efficacement protégées par ces trois vaccins.

Raison de plus pour commencer, immédiatement, ces campagnes de vaccination.
Toute l’industrie du numérique, tous les politiques, tous les organismes chargés de la sécurité des Systèmes d’Information comme l’ANSSI doivent se mobiliser en 2022 pour faire de la vaccination contre les cyberrisques une grande cause nationale.

Université d'été de la Cybersécurité 6:9:2022Dans quelques jours, le mardi 6 septembre 2022, est organisée à Paris l’Université d’été de la cybersécurité. Des représentants de haut niveau des trois domaines dont j’ai parlé, l’industrie du numérique, les politiques et l’ANSSI y seront présents.

Ce serait le tremplin idéal pour lancer cette initiative!

Dans l’annonce de cette conférence, il y a une seule expression qui me gène beaucoup: c’est, vous l'avez deviné…”solutions souveraines”.

Oui, la France et l’Europe disposent de nombreux acteurs de grande qualité dans la lutte contre les cyberrisques, en particulier pour le vaccin 2, Zero Trust et le vaccin 3, chiffrement.

Par contre, croire une seconde que l’on peut se protéger en n’utilisant que des solutions souveraines, françaises ou même européennes, c’est une illusion très dangereuse, mortelle.

Les défis posés par les cybercriminels sont mondiaux, les solutions pour se protéger, aussi.

 

Science et rationalité vs obscurantisme et irrationalité, il faut choisir, vite

On le vit dans le domaine de la santé: des personnes, beaucoup trop nombreuses, mettent en danger leur vie, celle de leurs enfants et des personnes autour d’elles en ayant des raisonnements moyenâgeux et irrationnels, en refusant les vaccins qui ont fait depuis longtemps la preuve de leur efficacité.

On le vit aussi dans le domaine des cyberrisques: des dirigeants, des responsables du numérique et de sa sécurité mettent en danger l’avenir des entreprises où ils travaillent en ayant des raisonnements moyenâgeux et irrationnels, en refusant les vaccins contre les cyberrisques, qui ont fait depuis quelques années la preuve de leur efficacité.

AntiVax - Anti Cloud

Les antivax COVID mènent le même combat irrationnel que les antivax cyberrisques.

Il est urgent que le bon sens l’emporte et que le nombre des antivax cyberrisques se réduise très vite dans les entreprises en France et en Europe.

 


Frugalité Numérique: les usages

 

XCitroën AMI CargoJ’ai déjà publié sur ce blog plusieurs billets sur le thème de la Frugalité Numérique. Ils traitaient tous des infrastructures numériques, qui consomment de l’énergie et des matières premières:

J’ai aussi publié deux billets plus généraux sur les technologies et la planète:

Il y a quelques jours, le Président Emmanuel Macron a parlé de “La fin de l’abondance et de l’insouciance”. Ceci m’a donné l’envie de revenir sur ce que peut faire le numérique pour répondre à ces préoccupations.

Ce nouveau billet aborde le thème des usages numériques, des applications. 

Ces usages ne consomment pas directement de l’énergie, mais mettent en œuvre des infrastructures qui, elles, consomment énergie et matières premières.

Comme la majorité de mes textes, je me concentre sur les usages professionnels, domaine dans lequel j’ai une raisonnable compétence. Je n’aborderai pas le sujet des usages personnels.

Je m’adresse donc aux dirigeants, aux DSI et à tous les collaborateurs d’une entreprise pour les aider à mieux comprendre comment ils peuvent avoir une utilisation efficace du numérique tout en ayant un impact positif sur la planète.

 

Frugalité ou Sobriété

XAdS DPC Sobriété vs Croissance S 65326193Faut-il parler de frugalité numérique ou de sobriété numérique? Deux camps se livrent un combat “à mort” pour savoir quelle est la bonne expression!       

Cet article récent, août 2022, compare les deux expressions.

Il fait référence à un texte de 2019 d’Hervé Chaygneaud-Dupuy. J’aime bien la manière dont il différencie ces deux concepts, très proches. Je cite:

 La sobriété c’est l’économie des ressources dans une logique de remise en cause volontaire de la société de consommation. C’est avant tout une démarche d’ascèse personnelle.”

“La frugalité c’est la capacité à faire fructifier les ressources dont on dispose sans en abuser. C’est la conception d’un système économique viable et durable à la manière dont est conçue l’économie jugaad des indiens.”

Chacun de nous choisit l’expression qui lui paraît la plus pertinente. De mon côté, j’ai une préférence pour la frugalité, que je perçois comme moins punitive.

Sobriété ou frugalité numérique, l’important ce ne sont pas les mots choisis, mais les actions que les entreprises mettent en œuvre pour réduire leurs impacts carbone liés au numérique.

 

Frugalité Numérique en 2022 : des discours nuls, aberrants, dangereux

Je suis atterré quand je lis ou entends ce qui se dit sur la Frugalité Numérique. C’est du grand n’importe quoi!

Des personnes, des associations ont un a priori fort, le numérique est mauvais pour la planète. Elles s’expriment pour jeter l’anathème sur le numérique et démontrer que “moins de numérique, c’est bon pour la planète”.

Je vais l’illustrer par cette vidéo d’une conférence donnée devant des étudiants par l’une des grandes vedettes de la défense de la planète, Mr Jean-Marc Jancovici.

Sa réponse à une question sur le télétravail (1h 23), c’est une critique des usages vidéos d’Internet, considérés comme des pertes de temps: Netflix, porno, YouTube… C’est un grand moment… de bêtise.       

Regarder un film sur Netflix, c’est meilleur pour la planète que d’acheter un DVD que l’on regardera le plus souvent une seule fois.

Tout est dit dans cette phrase méprisante: " Dans le digital, on va trouver essentiellement des gadgets”.

C’est un message dangereux, faux et qui fait partie de ce grand mouvement de rejet de l’innovation et du progrès.

Ce graphique illustre parfaitement les absurdités qui sont dites sur la nocivité du numérique.

XDifférentes mesures CO2 30 minutes Netflix

Il donne les évaluations d’émissions de CO2 correspondant à la visualisation d’une vidéo de 30 minutes sur Netflix.

Le “célèbre” Shift project français y est cité deux fois:

  • Sa première évaluation, encore trop souvent reprise, annonçait 16 kg de CO2!
  • Devant la levée de boucliers des scientifiques qui démontrent l’absurdité de ce chiffre, ils ont “révisé” leurs calculs pour arriver à 2 kg, huit fois moins.
  • Comme le montrent les chiffres plus sérieux de grands pays et de l’UEA (Energy Agency), les chiffres réels sont beaucoup plus bas.
  • Dans le billet de mon blog sur les réseaux, référencé plus haut, j’ai montré, par des calculs basés sur des chiffres fiables, qu’une heure de vidéo Netflix consomme l’équivalent de deux watts.

Vous comprendrez pourquoi je ne fais aucune confiance au Shift Project: les chiffres qu’il publie sont biaisés et suspects de fortes erreurs.

XJournées été écologistesJ’étais sur le point de terminer ce billet quand j’ai lu avec effarement cette déclaration faite durant les journées d’été des écologistes à Grenoble, fin août 2022. Je cite:

40% de ce que l’on peut émettre pour respecter les limites planétaires sont consommées par le seul numérique

Toutes les études sérieuses sur le sujet chiffrent la part du numérique dans le changement climatique entre 4% et 6%. C’est déjà beaucoup, mais 40%!!

Ce qui est scandaleux, gravissime, inacceptable, c’est que ce chiffre ridicule est annoncé par un représentant de haut niveau du ministère de l’Environnement, énarque, Mr Thomas Cottinet.

Je ne connais pas Thomas Cottinet, mais prononcer de telles âneries devant des responsables politiques, en s’appuyant sur la crédibilité que lui donne son poste, c’est une faute professionnelle majeure.

Ce qui est dramatique, c’est que ce chiffre va être repris avec délectation par tous les pseudoécologistes antinumériques pour “démontrer” que le numérique, c’est la pire des choses pour la planète. Comme “fake news” climatique, difficile de faire pire.

Il serait sain pour l’avenir de la France qu’on lui trouve immédiatement un autre poste dans le secteur public, mais dans un domaine qui n’a aucun lien avec l’écologie ou le numérique.

 

Rappel: quelques chiffres clés sur les infrastructures

Ce sont les infrastructures qui consomment de l’énergie et des matières premières, pas les usages.

Ce double graphique, publié en 2022 par l’ARCEP, est un bon résumé des impacts respectifs des différents composants d’infrastructures, objets d’accès, réseaux et centres de calcul.o

XPart énergie Objets d'accès serveurs réseaux

Le diagramme circulaire évalue l’empreinte carbone de ces trois briques.

  • Les objets d’accès: ils représentent plus des ¾ de l’empreinte carbone du numérique.
  • Les réseaux: autour de 8% du total.
  • Les centres de calcul: environ 15% de l’empreinte carbone.

L’histogramme donne une autre information fondamentale: 

  • L'impact carbone des usages des outils numériques est de l’ordre de 20%, 20% seulement.
  • 80% des impacts carbone sont liés à la fabrication des équipements numériques.

Il faut bien comprendre les implications majeures de ces chiffres. Un outil numérique qu’une entreprise achète et n'utilise pas ou très peu a déjà eu 80% de ses impacts sur la planète avant même son premier usage!

Dit autrement: si demain une entreprise arrêtait 100% de ses usages numériques, elle ne réduirait que de 20% ses impacts carbone liés au numérique si elle gardait toutes ses infrastructures en l’état. 

S’il fallait passer UN seul message aux dirigeants et collaborateurs d’une entreprise concernant les outils numériques d’infrastructures, il serait: “Faire durer au maximum la durée de vie utile d’un équipement numérique doit être votre priorité absolue en matière de frugalité numérique”.

Les principales raisons qui doivent être prises en compte pour accepter un éventuel renouvellement d’un outil numérique sont:

  • XADS dpc broken keyboard S 328065799Une panne majeure qui le rend inutilisable. La facilité de réparation des outils doit avoir un poids majeur dans les critères d’évaluation au moment de l’achat. La lutte contre l’obsolescence programmée est un combat à mener en permanence.
  • Des performances qui ne sont plus en phase avec les véritables besoins et peuvent avoir un impact négatif sur l’efficacité des collaborateurs. La bonne nouvelle: c’est de moins en moins le cas. La croissance exponentielle des performances des outils numériques fait que la majorité est surdimensionnée pour la majorité des usages et des collaborateurs. Qui aura vraiment besoin, après les annonces le 7 septembre 2022 par Apple des nouveaux iPhone? La réponse est simple: 0% des collaborateurs de votre entreprise.
  • Des impacts forts sur la sécurité numérique. Les progrès réalisés par les cybercriminels sont très rapides et peuvent mettre en péril la sécurité du Système d’Information d’une entreprise si des solutions anciennes ne peuvent plus être protégées contre les attaques les plus récentes. Dans ce domaine essentiel, trop de fournisseurs créent une obsolescence sécuritaire inacceptable.

 

Repenser les usages pour une meilleure Frugalité Numérique

Les usages les plus vertueux: ceux que l’on évite.

Gérer intelligemment les usages numériques, ce n’est pas les rejeter, c’est les optimiser pour avoir un minimum d’impacts sur la consommation d’énergie par les infrastructures numériques.

La majorité des usages numériques professionnels sont bons pour la planète, sous réserve, bien sûr, de  modifier en profondeur les processus pour profiter des potentiels des nouvelles solutions numériques.

Prenons l’exemple simple de la réservation d’un billet d’avion:

  • Il y a 20 ans, il fallait se déplacer dans une agence pour réserver son billet = coût en temps et en énergie.
  • Cette agence physique consommait de l'énergie pour son éclairage et son chauffage.
  • On imprimait sa carte d’embarquement sur un papier, que l’on jetait ensuite.
  • Les nouvelles compagnies aériennes, EasyJet, Vueling et Ryanair, sont nées dans l’ère numérique et ont mis en œuvre des processus qui éliminent toutes ces étapes physiques.
  • Aujourd’hui, toutes les compagnies de transport, aérien, ferroviaire, autobus ou automobile ont basculé dans ce modèle Internet. Ce n’est pas la planète qui s’en plaindra.

J’ai choisi d’illustrer mon propos par trois cas d’usages différents.

 

Cas d’usage un: solutions de communication et de collaboration

Les usages universels de tous les cols blancs s’appuient sur les outils bureautiques : écrire, calculer, communiquer…

En 2007 est arrivée la première solution bureautique construite dans le Cloud, Google Apps, devenue depuis Google Workspace.

Ce schéma résume l’avant et l’après des échanges entre quatre personnes qui souhaitent rédiger ensemble un document.

XEmail vs Cloud Collaboration

  • Dans l’ancien monde, précloud, chaque personne envoyait par courriel aux trois autres la version du document Word qu’elle avait rédigée. Chaque destinataire apportait ses modifications et renvoyait le document aux trois autres. En quelques jours, des dizaines de versions différentes de ce document étaient stockées dans les fichiers individuels des personnes, sur leur poste de travail.
  • Dans le monde Cloud actuel, il n’existe qu’une seule version du document. Chaque modification réalisée par l’une des quatre personnes est immédiatement disponible pour les trois autres.

Indépendamment des avantages majeurs de ce mode de travail Cloud en matière d’efficacité et de rapidité, ce schéma met clairement les avantages de la démarche Cloud dans la consommation de ressources numériques:

  • Stockage: dans la démarche Cloud, une seule version du document est stockée, partagée. Dans l’ancien monde, chacun avait sur son poste de travail plusieurs versions du même document.
  • Réseaux: dans la démarche Cloud, les seuls échanges qui ont lieu sont les modifications apportées par chaque collaborateur, des flux qui se mesurent en dizaines de caractères. Dans l’ancien monde, des versions entières du document étaient envoyées trois fois, après chaque modification. Les volumes de données échangées sont réduits de plus de 95%.

Il y a hélas encore en 2022 plus de 80% des entreprises et de leurs collaborateurs qui continuent à envoyer des documents de plusieurs Mo en pièces jointes, et à de nombreuses personnes en même temps.

Si l’on souhaite vraiment avoir un impact fort et immédiat au service de la planète dans ses usages numériques quotidiens, il suffit de prendre une décision “simple”: 

En 2023, tout envoi d’un document en pièce jointe d’un courriel est strictement interdit

Seuls sont acceptés les envois de liens vers des documents stockés dans le Cloud. Après dix envois de pièces jointes, un collaborateur recevra un avertissement et devra payer une somme à déterminer pour usage abusif des réseaux et des mémoires sur son poste de travail.

Pourquoi une règle aussi simple, qui concilie efficacité et réduction des impacts du numérique sur la planète est-elle aussi difficile à prendre dans la majorité des entreprises?

Cela fait plus de 15 ans que je travaille en mode collaboratif Cloud…

 

Cas d’usage deux: applications intégrées vs microservices

Ce deuxième cas d’usage est de loin celui qui peut avoir le plus d’impacts positifs sur les impacts de vos usages numériques sur la planète. C’est aussi le plus difficile à mettre en pratique.

Dans l’immense majorité des entreprises, et en particulier les plus grandes, des solutions intégrées, lourdes sont déployées. Les plus célèbres sont bien sûr les ERP de SAP, Oracle, Microsoft et quelques autres fournisseurs.

Je n’analyse pas ici les avantages ou inconvénients des ERP intégrés comme réponses aux attentes des entreprises. Je me concentre uniquement sur leurs impacts sur la planète.

La réponse à cette question est très claire: les solutions intégrées sont les pires pour la planète.

XMaxi ServeursPourquoi? Ce schéma permet de comprendre les défauts majeurs d’une solution intégrée.

  • Pour héberger cette application ERP intégrée, il est nécessaire d'utiliser un ou plusieurs serveurs de grande taille, disposant de fortes capacités de mémoire.
  • Cette application intégrée comporte des milliers de lignes de code. À chaque instant, moins de 1% du code est actif, les 99% restant de code en mémoire consommant de l’énergie sans réaliser la moindre activité utile.
  • Vous trouvez cela satisfaisant pour la planète? Moi, non!

XFrugalité MicroServicesDans une architecture moderne, construite dans des Clouds Publics, les entreprises peuvent construire des applications modernes sous forme de microservices.

Quels sont les avantages de cette démarche microservices?

  • Pour fonctionner, les microservices utilisent des microserveurs, très économes en énergie.
  • Dès qu’un microservice a terminé son activité, il est fermé et le microserveur qui l'hébergeait se libère pour un autre microservice.
  • Le taux d’usage des serveurs est maximal, et peut atteindre ou dépasser 80%.

La disponibilité d’outils “serverless” tels que Lambda chez AWS améliore encore cette efficacité énergétique. 

Comme l’explique très bien ce schéma présenté à la conférence AWS Re-invent en 2021 par Werner Vogels, CTO d’AWS, un outil serverless va automatiquement instancier le serveur optimisé pour chaque application. Le développeur n’a plus le risque de sur-dimensionner ou sous-dimensionner le serveur. Il ne faut pas oublier qu’il est aujourd’hui possible d’instancier un serveur pour des périodes très courtes, qui se mesurent en millisecondes. Conséquence: la consommation de ressources serveur est strictement alignée sur les besoins de l’application.

XAWS Reinvent 2021 - Keynote Werner Vogels - Normal vs Cloud vs Lambda usage

Voilà un “beau” chantier pour les entreprises qui souhaitent vraiment réduire les impacts de leurs usages numériques sur la planète: remplacer les ERP intégrés par des milliers de microservices.

 

Cas d’usage trois: choisir entre différentes régions dans clouds publics

Les grands acteurs du Cloud Public proposent un service à leurs clients permettant de prendre en compte la dimension des impacts carbone.

Pour l’illustrer, j’ai pris l'exemple du service “Region Picker” de GCP de Google.

XGoogle region picker

Vous avez des réglettes qui vous permettent de donner plus ou moins d’importance à trois paramètres:

  • Impacts carbone.
  • Coûts.
  • Latence.

En fonction de vos choix, GCP vous proposera plusieurs zones géographiques pour déployer vos usages.

Les résultats changent en permanence. Il se peut qu’un centre de calcul américain, alimenté par des panneaux solaires, soit meilleur pour la planète quand il fait jour aux États-Unis, si la latence n’est pas une contrainte forte pour une application.

Je vous laisse le soin de trouver des dizaines d’autres cas d’usages qui vous permettront d’avoir un impact positif pour la planète.

 

Interactions infrastructures et usages

Agir sur les usages numériques pour en réduire au maximum les impacts sur la planète, c’est une bonne démarche.

Il pourrait être tentant de se dire que, les usages ne représentant que 20% des impacts carbone du numérique, une diminution de 50% des usages ne réduirait que de 10% les impacts du numérique.

C’est oublier l’essentiel! Les infrastructures numériques n’existent que parce qu’il y a des usages.

XDynamique usages infrastructuresLa boucle d’amélioration usages - infrastructures peut jouer un rôle majeur dans la réduction des impacts du numérique sur le changement climatique. 

Toute réduction des usages entraîne potentiellement une réduction de la demande d’infrastructures. C’est plus facile à gérer dans une démarche moderne de Clouds Publics qui permet de faire que la demande de ressources physiques évolue au même rythme que celle des usages.

Il y a un effet multiplicateur important dans la réduction des usages. Il peut théoriquement atteindre un rapport quatre: 20% pour les usages, 80% pour les infrastructures. Il est plus raisonnable de viser un rapport deux, ce qui serait déjà remarquable.

 

Résumé

Xmail et ampoule 25 wattConsidérer que les usages numériques sont mauvais pour la planète est une aberration. Hélas, cette vision négative des usages numériques est encore trop répandue dans la société française, et en particulier dans une grande partie de la classe politique.

Il existe de nombreux moyens de réduire les impacts carbone des usages numériques, et j’en ai donné quelques exemples.

Encore faut-il avoir le courage de s’attaquer en profondeur à la manière dont sont construites ces applications informatiques, et le courage est une denrée rare par les temps qui courent…


Basculer les OIV, Opérateurs d’Importance Vitale, dans les Clouds Publics

XLogo OIV MonacoLes OIV, Opérateurs d’Importance Vitale, sont des organisations considérées par les États comme stratégiques dans leurs activités. Elles sont soumises à des contraintes fortes en ce qui concerne la sécurité de leurs opérations, et tout le monde le comprend.

Ce billet de blog sera en priorité centré sur les OIV en France, mais il existe des OIV dans tous les pays, et ce que j’écris pour la France est valable dans le reste du monde. Le logo OIV ci-dessus est celui de… Monaco.

La position que je défends dans ce texte représente un virage à 180° par rapport au consensus actuel dans la majorité des pays:

  • La position dominante des pays: les Clouds Publics sont interdits pour les OIV.
  • Ma position: toutes les OIV doivent basculer leurs infrastructures numériques dans les Clouds Publics, et le plus vite possible.

 

OIV - Organisation d’Importance Vitale

Cet article de Wikipédia est une bonne introduction au sujet des OIV en France.

J’en ai extrait ce tableau qui liste les secteurs considérés comme stratégiques par l’État français et les ministères auxquels ils sont rattachés.

XSecteurs OIV en France

Il y a environ 250 OIV en France. La liste de leurs noms n'est pas publique, mais il n’est pas difficile d’en identifier la majorité, connaissant les secteurs économiques concernés.

Dans le domaine de la sécurité numérique des OIV, c’est l’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information qui est chargée de la supervision des actions des OIV dans ces domaines. C’est une attribution logique et pertinente.

XANSSI et OIV

 

Infrastructures physiques, infrastructures numériques

Il est essentiel de bien différencier:

  • Les infrastructures physiques. Ce sont tous les équipements matériels utilisés dans les activités à protéger: réseau ferré pour les trains, réseaux de transports d’électricité ou de gaz, réseaux de distribution d’eau…
  • Les infrastructures numériques. Elles sont utilisées pour gérer les données nécessaires au fonctionnement des infrastructures physiques.

La majorité des OIV gère des infrastructures physiques et les infrastructures numériques qui les pilotent.

Il existe quelques OIV, comme les banques, qui ne gèrent que des infrastructures numériques.

Les règles relatives à la sécurité de ces deux familles d’infrastructures sont très différentes, comme je l’explique dans ce billet.

 

À garder “On Premise”: gestion industrielle des infrastructures physiques

La sécurité des infrastructures physiques doit être une préoccupation prioritaire des états.

Dans ce billet de blog publié en novembre 2021, j’ai placé la sécurité des infrastructures physiques en tête de la liste des principaux risques que j’ai identifiés, d’ici à 2030.

Le deuxième grand risque identifié est lié à Taiwan. Les tensions créées en août 2022 par la visite de Nancy Pelosi à Taiwan confirment mes inquiétudes.

De quoi parle-t-on?

- Transport d’énergie: gaz, électricité.

- Gestion de l’eau.

- Transport de personnes : rail, route, air.

- Réseaux de données, filaires et sans fil.

- Infrastructures hospitalières.

-...

Si des cybercriminels prennent le contrôle de ces réseaux physiques, il peut y avoir mort d’hommes, et en très grand nombre. Imaginez une seconde ce qui pourrait se passer si une organisation criminelle prenait la main sur un réseau ferroviaire et envoyait les trains les uns contre les autres en agissant sur les aiguillages.

La coupure totale, à 100% de tout accès Internet, Web ou Cloud est la méthode la plus efficace pour réduire ces risques de prise de contrôle à distance. 99% ne sont pas suffisants; une seule porte numérique ouverte suffit pour qu’une cyberattaque soit possible.

Aujourd’hui, un trop grand nombre de ces réseaux ont encore des points d’accès ouverts, par exemple pour les mises à jour de logiciels.

Aucune exception ne doit être tolérée.

C’est en pratique, plus difficile à réussir qu’on ne le pense.

Je ne connais pas les plans de l’ANSSI dans ce domaine, mais si ce n’est pas fait, il serait utile de créer une structure de coordination permettant aux 200+ OIV ayant des réseaux physiques de partager leurs meilleures pratiques dans ce domaine. 

Les problématiques sont très proches, les solutions aussi, que l’on gère un réseau de transport de gaz ou ferroviaire.

La démarche que je privilégie est celle de la création d’un jumeau numérique, un “digital twin” en anglais.

Ce schéma présente le mode de fonctionnement d’un jumeau numérique.

XInfrastructures industrielles - Jumeau numérique

  • Les réseaux industriels, gérés par des logiciels regroupés sous le nom de SCADA, sont 100% déconnectés du Cloud et d’Internet.
  • Les données liées à l’activité des réseaux industriels sont envoyées, en même temps, vers le SCADA et vers le jumeau numérique, construit dans un Cloud Public.
  • Pour garantir la protection du SCADA, il est indispensable que la liaison qui transmet les données vers le Cloud Public soit physiquement unidirectionnelle.
  • La société Teréga, le deuxième transporteur de gaz en France avec GRTGaz, et avec qui j’ai eu l’honneur de collaborer, à développé en interne une solution innovante de “diode numérique” qui rend impossible le retour de données en provenance du Cloud Public. La solution complète proposée par Teréga, io-base, s’appuie sur le Cloud Public AWS pour le jumeau numérique.

Toutes les OIV qui gèrent des réseaux physiques peuvent mettre en œuvre une démarche SCADA + Jumeau Numérique. C’est le moyen le plus efficace que je connaisse pour conjuguer sécurité des infrastructures physiques et capacité de pilotage numérique en s’appuyant sur la puissance des Clouds Publics.

La solution française io-base de Teréga pourrait devenir rapidement un standard en Europe si l’ANSSI en fait la promotion et pousse toutes les OIV françaises à l’adopter.

Dans mon billet de blog de fin 2021, “j’ai mal à mon Europe du Numérique”, j'ai identifié sept DC2E, Digital Commando of Excellence en Europe, domaines dans lesquels l’Europe pouvait encore espérer jouer un rôle raisonnable en 2030.

Les jumeaux numériques sont le quatrième de ces sept domaines.

La réussite de cette démarche de jumeaux numériques en Europe peut ensuite s’exporter dans tous les pays du monde, qui ont exactement les mêmes soucis de protection de leurs infrastructures industrielles. 

Motivant, non?

 

Infrastructures numériques des OIV, situation actuelle

Maintenant que les problèmes de sécurité des infrastructures physiques des OIV sont maîtrisés, on peut s’attaquer au deuxième défi, leurs infrastructures numériques.

Comme je l’ai écrit récemment, mes analyses démontrent que les infrastructures numériques des grands Clouds Publics industriels sont, et de loin, les plus sécurisées au monde, celles qui protègent le mieux les données des entreprises.

Les OIV sont, par définition, les entreprises françaises qui ont le plus besoin de sécuriser leurs infrastructures numériques.

Conséquence “logique”: la priorité pour la France est de basculer le plus vite possible les infrastructures numériques des 250 OIV françaises dans les Clouds Publics.

La situation en 2022 est pour le moins… paradoxale:

AdS DPC Two men in Data Center S 511608567

  • Il faut protéger le plus possible les infrastructures numériques des OIV françaises.
  • On interdit, ou déconseille très fortement aux OIV d’utiliser les Clouds Publics.
  • On  encourage les OIV à rester le plus longtemps possible sur des infrastructures “On Premise”.
  • Le résultat obtenu est l’inverse de celui espéré: les OIV seraient les dernières entreprises en France à disposer d'infrastructures numériques sécurisées.

Comme tout citoyen français responsable, je souhaite que les OIV disposent des solutions d’infrastructures numériques les plus sécurisées possibles.

Conséquence: la stratégie actuelle “pas d’infrastructures Clouds Publics pour les OIV” doit être remplacée immédiatement par une stratégie qui représente un virage à 180°:

 

Les infrastructures numériques les plus sécurisées pour les OIV…

 sont dans les Clouds Publics.

 

Infrastructures numériques des OIV, dans Clouds Publics, à partir de 2023

Dans le billet de blog cité plus haut, j’ai identifié cinq niveaux d’infrastructures numériques en fonction des niveaux de confiance qu’elles procurent dans la protection des données:

XFamilles de Cloud  niveau de Confiance

  • OP = On Premise: la plus mauvaise solution, et de loin.
  • CP = Cloud Public, utilisé de manière native, sans sécurités supplémentaires.
  • CP+ = Cloud Public, avec utilisation des clés de chiffrement fournies par l’opérateur de Cloud Public. 
  • CP++ = Cloud Public avec utilisation de clés de chiffrement fournies par l’entreprise, que l’opérateur de Cloud Public ne connaît pas.
  • CPC = Cloud Public de Confiance: les infrastructures numériques appartiennent à des sociétés françaises ou européennes, ce qui les met à l’abri des lois extraterritoriales comme celles utilisées par les États-Unis.

J’utiliserai cette classification dans la suite de mon analyse.

 

Quelles infrastructures Clouds Publics pour les jumeaux numériques des OIV

Dans un paragraphe précédent, j’ai présenté le principe des jumeaux numériques: ils travaillent sur une copie des données venant des infrastructures physiques.

Toutes les données utilisées pour créer un jumeau numérique n’ont pas les mêmes niveaux de criticité. Cela dépend des métiers des OIV:

  • Pour une entreprise de transport ferroviaire, le nombre et la localisation des wagons n’ont pas besoin d’une protection forte.
  • Le niveau de remplissage d’une réserve de gaz est une donnée publique.
  • Dans le secteur nucléaire, les informations relatives au transport des combustibles sont beaucoup plus sensibles.
  • La localisation des sous-marins atomiques français demande un niveau de protection maximal.

En pratique, cela veut dire que chaque OIV devra choisir pour son jumeau numérique la famille de Clouds Publics qui correspond au niveau nécessaire de confidentialité des données.

Cloud Confiance OIV et Jumeaux numériquesCe tableau donne une possible répartition des jumeaux numériques des OIV françaises par niveaux de solutions. Il n’a aucune valeur “scientifique”: c’est une première estimation que je propose. 

La bonne démarche consiste à commencer par le niveau de base, CP. S’il est suffisant, ce qui sera probablement le cas pour 30% à 50% des OIV, il n’est pas nécessaire d’investir dans les niveaux de protection supérieurs, plus complexes et plus coûteux.

Ensuite, au cas par cas, chaque OIV peut monter dans les niveaux de confidentialité, CP+, CP++ pour trouver la meilleure réponse.

Les solutions CPC seront choisies par les seules OIV qui en ont un besoin impératif. Si je devais donner un pourcentage, je le situerais à moins de 10%. Les OIV travaillant dans le domaine militaire sont des candidats logiques.

 

Quelles infrastructures Clouds Publics pour les Systèmes d’Information des OIV

Les Systèmes d'Information des OIV sont de la même nature que ceux des autres entreprises.

Dans le billet déjà cité plusieurs fois, j’ai présenté deux réponses possibles pour les entreprises face à ces défis de la confidentialité des données:

  • Une réponse irrationnelle: les risques perçus par les dirigeants sont beaucoup plus élevés que dans la réalité.
  • Une réponse rationnelle, qui analyse de manière posée et sérieuse les risques et choisit les réponses les plus raisonnables, cas par cas.

Je fais évidemment l’hypothèse que tous les dirigeants et DSI des OIV et de l’ANSSI sont des personnes rationnelles.

Différentes familles Cloud et Confiance RationnelCe tableau donne mon évaluation générale de la répartition des solutions Clouds Publics pour toutes les entreprises. La majorité des OIV sont des entreprises grandes ou moyennes. Il est possible que les pourcentages soient un peu différents.

Pour les OIV, j’estime que les pourcentages pourraient être dans les fourchettes suivantes:

  • Cloud Public: 60% à 80%.
  • Cloud Public +: 10% à 30%.
  • Cloud Public ++: 1% à 10%.
  • Cloud Confiance: 1% à 3%.

Ce qu’il faut retenir: en choisissant rationnellement et avec pragmatisme les solutions Clouds Publics disponibles, 99% des OIV françaises peuvent basculer 99% de leur Système d’Information dans les Clouds Publics, et immédiatement.

Pourquoi 99% et pas 100%? Je n’aime pas beaucoup le 100%, car on le rencontre très rarement sur le terrain! Il y a dans ce billet une exception à cette règle: les réseaux industriels qui doivent être déconnectés d’Internet et du Cloud à 100%, pas à 99,99%.

 

Résumé

XLogo ANSSIJe suis prêt à collaborer activement avec l’ANSSI pour les aider dans cette mission urgente, d’intérêt national: la migration des infrastructures numériques de toutes les OIV françaises dans des Clouds Publics.

Ce sera un signal fort et positif pour toutes les entreprises françaises! 

Si les OIV peuvent utiliser les solutions IaaS des Clouds Publics, il deviendra très difficile, limite impossible, pour les dirigeants de toutes les entreprises de dire qu’ils ne peuvent pas utiliser les Clouds Publics car ils n’offrent pas un niveau de sécurité suffisant.

Un beau chantier en perspective, à démarrer avant la fin de l’année 2022.

 


Confidentialité des données et Clouds Publics : quelles réponses en 2022

XLogo S3ns + 3 objectifsDans mon billet précédent, j’ai commenté les annonces faites par Google et Thales autour d’un Cloud de Confiance en France, avec la création d’une entreprise commune, S3ns.

Je pensais faire une deuxième partie sur le même thème, mais j’ai décidé d’élargir le sujet pour aborder le thème de la confidentialité des données dans les Clouds Publics.

C’est l’une des questions que l’on me pose le plus souvent aujourd’hui dans mes missions d’accompagnement des entreprises dans leur Transformation Numérique.

Conséquence: un billet plus long que le précédent!

Rassurez-vous, l’annonce du Cloud de Confiance Google-Thales fait partie des réponses analysées dans ce deuxième billet.

Dans ce billet, je vais me concentrer sur les solutions IaaS, Infrastructures as a Service et PaaS, Platform as a Service. Le thème des applications SaaS, construites majoritairement sur les plateformes IaaS des Clouds Publics, ne sera pas abordé.

Le débat actuel sur les Clouds de Confiance est lui aussi centré sur les solutions IaaS et PaaS.

Une remarque avant de rentrer dans le vif du sujet: j’ai été surpris de trouver parmi les sponsors de cette journée Google - Thales, Orange et Capgemini, avec chacun un stand. Ce sont en principe les deux partenaires choisis par Microsoft pour construire leur version concurrente d'un Cloud de Confiance, sous le nom de Bleu…

 

Principales options

J’ai fait le choix dans ce billet d’aller à l’essentiel. Que mes amis RSSI me pardonnent si je simplifie et caricature parfois la réalité. Mon objectif est d’aider les dirigeants d’entreprises, qui n’ont pas toujours une maîtrise complète de ce sujet, à comprendre quelles sont les principales options à leur disposition, pour ne pas freiner leur migration vers les Clouds Publics.


Dans la suite de ce billet, je segmente l’offre d’infrastructures serveurs en cinq grandes familles:

XCloud Vs On Premise

  • OP =  “On Premise”. L’entreprise investit, en CAPEX, dans ses propres infrastructures. Ces solutions sont aussi appelées Centres de calcul privés ou Cloud Privé.
  • CP = Cloud Public. L’entreprise utilise de manière “standard” les solutions proposées par les acteurs industriels des Clouds Publics, sans rajouter des solutions supplémentaires pour protéger les données.
  • CP+ =  Cloud Public avec un niveau de confidentialité supplémentaire. Le chiffrement des données est généralisé, en utilisant le plus souvent les clés de chiffrement AES 256, proposées et gérées par les fournisseurs de Clouds Publics.
  • CP++ = Cloud Public encore plus sécurisé. Les clés de chiffrement sont gérées par les entreprises et les fournisseurs de Clouds Publics n’y ont pas accès.
  • CPC = Cloud Public de Confiance. C’est une solution CP++ qui est en plus compatible avec le référentiel SecNumCloud, qui protège l’entreprise des lois extraterritoriales. Rappel: ceci n’est vrai que pour la dernière version de la norme SecNumCloud, la version 3.2.

 

Le point sur SecNumCloud

Dans l’annonce de sa création, S3ns a clairement indiqué qu’ils espéraient obtenir la certification SecNumCloud dans les 24 mois qui viennent. C’est le point 8 de la liste des annonces faites lors de la journée du 30 juin 2022.

XS3ns huit points sécurité

Il est important de comprendre ce que représente ce référentiel.

SecNumCloud est un référentiel français géré par l’ANSSI, Agence Nationale de Sécurité des Systèmes d’Information. La première version est née en 2016; la version la plus récente, 3.2, existe depuis mars 2022. Cette certification est valable 3 ans; elle doit donc être renouvelée tous les 3 ans.

Au niveau européen, des travaux sont en cours pour définir une norme commune, l’EUCS : European Cybersecurity Certification Scheme for Cloud Services. Pour le moment, SecNumCloud reste une certification française.

C’est un point essentiel: SecNumCloud ne certifie pas une entreprise, un fournisseur, mais des produits et des services, et un par un.

XListe produits et service SecNumCloudUn fournisseur ne peut pas annoncer qu’il est certifié SecNumCloud. Il doit indiquer quels sont les services qu’il propose qui sont certifiés.

La liste la plus récente des produits et services certifiés SecNumCloud par l’ANSSI, publiée en juin 2022, est longue ; elle comprend 19 pages.

L’un des ateliers de cette journée Google-Thales était animé par l’UGAP, union d’achat du secteur public. Dans la liste des services d’informatique en nuage référencés par l’UGAP, deux d’entre eux, OVH et Outscale, avec une *, sont certifiés SecNumCloud.

XUGAP Clouds Externes autorisés S

J’ai regardé dans la liste de l’ANSSI quels étaient les services certifiés.

Pour OVH, il s’agit de “Private Cloud”. Cette certification, selon l’ancienne norme, devient caduque en décembre 2022. Sachant qu’OVH n’a jamais obtenu les certifications de Uptime Institute, qui définissent les niveaux Tier 1, 2, 3 ou 4 pour les centres de calcul, je trouve “surprenant” qu’OVH fasse état de sa certification SecNumCloud en parlant de leurs activités Clouds Publics.

XSecNumCloud OVH  Outscale  OODrive

À l’inverse, Outscale est certifié pour ses activités IaaS Cloud on demand, en clair Cloud Public. Pour Outscale aussi cette certification selon l’ancienne norme se termine en décembre 2022.

J’ai rajouté sur ce tableau OODrive qui, lui, a trois services certifiés, mais ce sont des services d’applications.

On comprend mieux pourquoi S3ns annonce qu’il lui faudra 24 mois pour obtenir la certification SecNumCloud des nombreux services Google qui seront proposés.

En résumé, chaque fois qu’un fournisseur de Cloud vous dira qu’il est certifié SecNumCloud, n’oubliez pas de lui demander… pour quels services?

 

Les trois principaux risques numériques

Dans un souci de simplification, j’ai regroupé les risques numériques que doit affronter une entreprise en trois familles. Ces risques existent, que l’entreprise gère ses infrastructures “On Premise” ou dans des Clouds Publics.

  • Attaques sur les infrastructures, 1 dans le schéma.
  • Attaques sur les données et les applications, 2 dans le schéma.
  • Attaques extraterritoriales par des états étrangers, 3 dans le schéma.

XRisques Cloud Public - On Premise

Attaques sur les infrastructures

Dans ce domaine, les jeux sont faits, et depuis des années. Aucune entreprise ne peut mettre autant de ressources techniques, humaines et financières pour protéger les infrastructures que les géants du Cloud Public, tels qu’AWS, GCP et Azure.

En 2022, investir un seul euro de plus dans un centre de calcul privé est une erreur stratégique majeure. Tout dirigeant qui prend cette décision met en danger la sécurité et les finances de son entreprise.

Il y a quelques exceptions à cette règle. La principale est celle de la gestion des infrastructures physiques d’entreprises qui travaillent dans les domaines de l’énergie, du transport ou des télécommunications.

J’ai écrit un billet entier sur ce thème; je considère que c’est en 2022 le plus grand risque numérique qui menace le monde.

La bonne démarche:

  • Éliminer 100% des liens entre ces infrastructures industrielles, Internet et le Cloud.
  • Construire un jumeau numérique dans… les Clouds Publics.

Attaques sur les données et les applications

Ce sont les entreprises qui sont responsables de la protection de leurs données et de leurs applications, pas les fournisseurs de solutions IaaS et PaaS.

XProtection données - On premise et Cloud Public

Dans l’Ancien Monde, “On Premise”, les solutions utilisées pour tenter d’assurer cette protection étaient les VPN et les parefeux périmétriques autour des centres de calcul privés.
Ces solutions ne sont plus valables dans un monde numérique moderne construit dans les Clouds Publics. Une démarche “Zero Trust” devient indispensable. Elle fait l’hypothèse que rien n’est sécurisé et qu’il faut tout contrôler:

  • L’identité de la personne qui se connecte.
  • Le ou les objets d’accès utilisés.
  • Les différents réseaux de transport des données.
  • Les droits d’accès aux différentes applications.
  • ….

Une entreprise qui déciderait de basculer vers des Clouds Publics sans mettre en œuvre une démarche “Zéro Trust” prendrait des risques numériques insensés.

La bonne nouvelle en 2022: l’offre de solutions de très grande qualité permettant de construire une architecture “Zero Trust” est pléthorique. 

Attaques extraterritoriales par des états étrangers

C’est “Le” sujet de tous les débats autour des risques liés à l’usage des Clouds Publics dominés par des fournisseurs américains ou chinois.

En janvier 2022, lors de l’annonce du projet d’accord entre Google et Thales, j’avais écrit un billet sur ce thème.

Je vais simplement ajouter à ce que j’ai écrit dans ce billet deux précisions:

  • Aujourd’hui, les clés de chiffrement AES 256 sont inviolables. Je ne m’intéresse pas au débat théorique sur une éventuelle rupture de ces clés lorsque l’informatique quantique sera opérationnelle.
  • FISA 702 permet à des organismes gouvernementaux américains de demander à des fournisseurs de Clouds Publics américains l'accès à des données appartenant à des citoyens (pas des entreprises) européens. C’est exact, mais le fournisseur de Clouds Publics peut transmettre les données chiffrées, sans avoir l’obligation de les déchiffrer!

Comme le montre la flèche 3 dans le schéma des trois risques, c’est dans ce cas, et dans ce cas seulement, que la démarche “Cloud de Confiance” proposée par S3ns prend tout son… sens. J’ai enfin compris d’où vient le nom S3ns!

Comme les infrastructures S3ns sont la propriété d’une entreprise française, Thales, les lois extraterritoriales américaines ne peuvent pas s’appliquer.

 

Quel niveau de confiance numérique, selon les solutions retenues

Les entreprises ne doivent pas se tromper de combat dans leurs efforts pour résister aux attaques numériques.

Plus de 99% des risques sont liés aux attaques de cybercriminels, privés ou étatiques, qui vont essayer d’exploiter les failles de sécurité qui existent dans vos infrastructures, vos applications et vos données, les flèches 1 et 2 de mon schéma initial.

Se polariser sur les attaques extraterritoriales est une grave erreur. En prenant l’analogie avec l’avenir de notre planète, se serait l’équivalent de consacrer toutes nos ressources à la protection contre l’éventuelle arrivée d’un grand astéroïde sur la terre et d’oublier les dangers immédiats que font peser les excès de gaz à effet de serre.

Dans ce graphique, j’ai résumé le niveau de confiance numérique que je donne à chaque option présentée au début de ce billet.

XFamilles de Cloud  niveau de Confiance

  • OP, On Premise: j’ai mis 50%, et je suis gentil. C’est de très très loin la plus mauvaise solution pour se protéger des risques numériques réels en 2022.
  • CP, Cloud Public: le niveau de confiance est au minimum de 95%, sous réserve bien sûr d’avoir mis en œuvre une démarche “Zero Trust”.
  • CP+: Cloud Public avec clés de chiffrement gérées par les fournisseurs de Clouds Publics. Le niveau minimal de confiance atteint maintenant 99%.
  • CP++: Cloud Public avec clés de chiffrement gérées par les entreprises. Le niveau de confiance dépasse 99,99% dans cette option.
  • CPC, Cloud Public de Confiance: la sécurité parfaite n’existant jamais, j’ai mis une note de 99,9999% à la confiance que l’on peut accorder à cette option.

 

Choix de solutions : rationnel et irrationnel 

Que les choses seraient simples si l’on vivait dans un monde rationnel!

Hélas, ce n'est pas le cas, et le numérique n’échappe pas à une montée inquiétante de l'irrationalité.

Xliberte eiffelPlusieurs millions d’Américains ont partagé cette photo supposée prise avec un très puissant téléobjectif qui “prouve” que la terre est plate, car on y voit en même temps la Statue de la Liberté et la Tour Eiffel, séparées de plus de 6 000 km. 99% des Américains ne savent pas qu’il existe une réplique de la Statue de la Liberté sur l'île aux Cygnes à Paris, à moins d’un kilomètre de la Tour Eiffel.

J’ai un mépris total pour les personnes qui, sciemment, diffusent des informations aussi fausses vers des personnes fragiles qui peuvent y croire.

J’ai le même mépris pour les pseudo-experts en sécurité numérique qui diffusent des messages de trouille auprès des dirigeants, sachant très bien qu’ils sont exagérés, mais leur permettent de vendre ensuite fort cher leurs services inutiles.

Les exemples de cette irrationalité dans les décisions sont légion:

  • Quelle est l’énergie qui a tué le moins de monde? Le nucléaire, ce qui n'empêche pas de trop nombreux politiques de dire le contraire.
  • Quel est le moyen de transport le plus sûr? L’avion, mais des millions de personnes ont la trouille en avion et préfèrent voyager en voiture.

Je rencontre le même phénomène d’irrationalité quand je parle à des dirigeants et DSI de la confiance que l’on peut accorder aux solutions dans les Clouds Publics, français, chinois ou américains.

Quel est le pourcentage d’entreprises en France qui peuvent utiliser en toute confiance les différentes options de Clouds Publics que j’ai analysées dans ce texte, en tenant compte de leurs activités et du niveau plus ou moins élevé de protection dont ont vraiment besoin leurs données?

J’élimine bien évidemment les solutions “On Premise”, les plus catastrophiques en matière de confiance numérique!

Ce premier schéma correspond à une réponse “rationnelle” à la question.

XDifférentes familles Cloud et Confiance Rationnel

  • Pour 90% des entreprises, une solution Cloud Public de base répond très bien à leurs besoins de confiance numérique.
  • Pour 9%, l’utilisation d’une solution Cloud Public +, avec chiffrement des données par les fournisseurs de Clouds publics est une excellente réponse.
  • Moins de 1% ont vraiment besoin, pour une petite partie de leurs données, d’utiliser leur propre clé de chiffrement.
  • 0,1% d’entreprises traitent quelques informations suffisamment confidentielles et stratégiques pour avoir besoin d’un Cloud de Confiance qui les met à l’abri d’une éventuelle tentative extraterritoriale d’accès à ces données.

Ce deuxième schéma correspond aux réactions “irrationnelles” que j’obtiens quand j'interroge des décideurs français. (Vous qui me lisez en ce moment, vous ne faites bien sûr pas partie de ces décideurs irrationnels.)

XDifférentes familles Cloud et Confiance Irrationnel

  • 50% des entreprises peuvent se “contenter” d’une solution Cloud Public standard. Ce sont les TPE et PME, pas mon entreprise!
  • 30% ont besoin de chiffrer les données, et la clé gérée par les acteurs du Cloud Public est une solution acceptable.
  • Pour 15% des entreprises, il est impossible de faire confiance aux fournisseurs de Clouds Publics et la gestion de clés privées est indispensable.
  • Enfin 5% de ces entreprises font face à un risque “majeur” de piratage de leurs données par les grands méchants Américains de la CIA ou de la NSA. Un Cloud de Confiance qui met à l’abri des lois extraterritoriales est une précaution obligatoire.

Cette vision “peu rationnelle” des risques liés à l’usage des Clouds Publics par un grand nombre d’entreprises a au moins un avantage: elle permet aux fournisseurs de solutions chères et complexes ayant comme objectif la création d’un niveau de confiance surdimensionné de se développer.

XAdS DPC Ceinture et bretelle S 166317723Ceinture et bretelles : les entreprises qui sont persuadées qu’elles ont besoin des deux pour “soutenir” la confiance dans leurs données seront les meilleures clientes des acteurs du marché qui tentent de créer une trouille maximale envers les solutions Clouds Publics.

 

Synthèse

L’annonce par Google et Thales de cette coentreprise S3ns est une excellente nouvelle pour le marché français du Cloud Public. Elle va permettre à toutes les entreprises, quel que soit leur niveau actuel de confiance dans les Clouds Publics, d’accélérer leur migration vers ces solutions.

Après cette annonce les entreprises françaises peuvent trouver toutes les réponses dont elles pensent avoir besoin:

  • Cloud Public: usage direct de GCP standard de Google.
  • Cloud Public +: demander à Google de chiffrer leurs données dans GCP.
  • Cloud Public ++: c’est ce que propose, immédiatement, S3ns en permettant, avec les solutions de Thales, d’utiliser des clés de chiffrement dédiées.
  • Cloud de Confiance: permettra, avant la fin de l’année 2024, aux entreprises qui en ont vraiment besoin de se mettre à l’abri des accès extraterritoriaux par le gouvernement américain.

Conséquence très positive: pour une entreprise qui a une démarche numérique rationnelle, il n’y a plus aucun frein qui l'empêche de basculer rapidement et massivement vers les Clouds Publics.

XInnovations - Centres calculs privés vs Clouds PublicsPour les entreprises qui continuent à avoir une vision irrationnelle des dangers des Clouds Publics, qu’elles restent sur leurs solutions “On Premise”. 

En 2030, elles se seront elles-mêmes exclues de toutes les innovations numériques qui se concentrent sur les Clouds Publics et désertent les solutions “On Premise”.

Je n’aimerais pas être à la place de leurs dirigeants en 2030…