Avant de parler de Cloud souverain et de son potentiel intérêt, nous allons d’abord rapidement expliquer ce qu’est le Cloud.

Le Cloud, c’est une solution qui permet d’externaliser son informatique. En gros, une entreprise n’a plus à acheter de serveurs, à les administrer, les mettre à jours, toute la prestation est réalisée à l’extérieur de l’entreprise et fournie par des groupes de renoms : On y trouve les mastodontes Amazon (AWS),Microsoft (Azur), Google, Ibm, Oracle, mais aussi OVH, Outscale, Scaleway, Oodrive, ces dernières étant de très belles pépites françaises.

Ainsi quand on connait par exemple les coût IT (informatique) annuel de certains grands groupes bancaires – au delà du milliard annuel- le Cloud permet de réduire les dépenses et de passer en mode location. Je loue un service, je loue un hébergement, de l’accès à de la puissance, et à un ensemble de solutions fournies. L’exemple des dépenses d’un grand groupe sont tout aussi valables pour les Industries, TPE et PME dont l’objectif est de fournir un service à coût moindre : je n’achète plus, je passe de dépenses CAPEX en mode OPEX.

La vague du Cloud chamboule l’approche informatique et leur impact financier pour les entreprises.

Par ailleurs, la souplesse de la location dans le Cloud permet aussi de répondre aux besoins quasi instantanés : Je veux plus de puissance, j’ai des pics de consommation sur mon site ecommerce, je peux alors adapter mon service en fonction de mes besoins et les programmer. Le Cloud présente des avantages indéniables lorsque l’on a besoin d’agilité et de s’adapter.

Impact du Cloud sur nos données.

Très vite, on se rend compte que le paradigme a changé.

En effet : L’entreprise qui se sert d’un service cloud n’héberge plus ses services dans un blockhaus ‘in-house’, un mainframe, mais chez un hébergeur qui peut mutualiser ses services.

Et l’impact est le suivant : Que se passe-t-il pour nos données ? qui accède à quoi et comment puisqu’elles ne sont plus dans un infrastructure interne?

De manière générale dans le Cloud, l’ensemble des données sont sécurisées, chiffrées, les accès aussi. Le chiffrement est un premier gage, évitant de potentiel hack de données qui, sans la clé de déchiffrement, ne peuvent s’en servir.

Abus, RGPD et Réglementation

Depuis Mai 2018, la RGPD impose d’informer les utilisateurs d’un service de l’usage de ses données. C’est une réglementation européenne qui vise à limiter les excès d’usages intempestifs de données dont ont fait preuve quelques gros fournisseurs américains, sans législation. Ainsi, presque toutes nos données personnelles ont été happées par ces fournisseurs de services gratuits, les messageries, les réseaux sociaux, car leur objectif est marketing et commercial/ se servir de nos données pour les vendre, les louer, 100 fois, mille fois, à des fins commerciales publicitaires, voire politiques (cf l’affaire #Cambridge Analytica)

La donnée étant devenue cruciale, en maitrisant celle-ci, on maîtrise le monde. C’est « l’OR NOIR » du 21ème siècle. Ils peuvent donc savoir votre état de santé, du fait de vos recherches, de vos like, de forums que vous suivez, connaitre vos habitudes, vos envies, vos secrets,… TOUT. Plus que ce que vos amis savent de vous.

Or, en plus du domaine de la santé, il y a bien un domaine pour lequel il est surprenant de partager ses données sans le savoir avec une des sociétés étrangères : vos achats, vos données de paiements, vos cartes bancaires.

RGPD, un bouclier, mais les US ont réagi

Limitant l’usage de nos données avec le RGPD (ou GDPR), les américains par réaction ont mis en place le Cloud Act.

Le cloud Act est une loi américaine, qui en plus de l’article 702 du FISA permet tout simplement d’imposer le droit d’accéder à vos données même si vous n’êtes pas américain, une fois que celle-ci sont hébergées chez un de leur provideurs… mettant encore en place leur très chère extra-territorialité que nous connaissons.

Alors Cloud américain ou Cloud Français ?

Ainsi, si on ne veut pas qu’un gouvernement étranger accède impunément à nos informations qu’elles soient personnelles ou liées à votre activité, et donc à des informations sensibles, la solution réside alors dans un Cloud souverain qui lui n’est pas sujet au Cloud Act.

Avec un Cloud à tendance souveraine, C’est la certitude que nos données personnelles ne puissent pas être mâchées, traitées, analysées sans notre accord, et en dehors de notre pays, du fait de lois qui nous sont imposées.

En conclusion

En prenant conscience de cette extraterritorialité du Cloud Act, dans une stratégie de protection des données personnelles et en accord avec le RGPD, la mise en place de solutions européennes à volonté souveraine protégeant vos données se doit de se positionner sur un service Cloud Souverain, c’est inéluctable. Un choix de bienveillance, un choix de protection. Un choix porté par la raison.

Avec un Cloud souverain vos données qui y seront hébergées resteront sur notre territoire, quel que soit le Cloud Act. C’est une garantie. D’autant plus s’il s’agit de données sensibles, les données de santé, telles que vos identifiants, vos password, vos accès à des comptes, vos numéros de cartes bancaires…Vous reprenez le contrôle, vous maîtrisez, et vous partagez vos données sensibles à bon escient, et uniquement quand vous en avez besoin ( une connexion, un achat en ligne).

A l’heure d’enjeux mondiaux où la donnée est au cœur de batailles sans merci, choisir un Cloud souverain sans jouer le jeu de dupe qui nous est proposé, c’est un gage de sérieux, un gage de protection, de prémisse à une reprise d’indépendance, mais aussi de soutien aux entreprises européennes.

Il est l »heure de tirer le signal d’alarme et de prendre conscience que l’accès intempestif aux données personnelles européennes est seulement motivé par une volonté de dominer le monde et nous affaiblir en nous rendant dépendants. Que cela provienne de l’Orient ou du Far West. L’Europe et le reste du monde, qui sont au second rang de l’innovation ( Blockchain, IA, Quantique…) sont les terrain de jeu de ces 2 puissances.

En prenant conscience de ces enjeux, en misant sur des solutions Européennes, en se protégeant, le cloud souverain est bien une des briques qui va nous permettre de ne plus faire que subir, ce qui est déjà un premier pas. Et aussi de construire des solutions garantes de nos données critiques. C’est une base. Après, chacun est libre de vouloir ensuite partager certaines données, en étant surtout conscient et en acceptant les règles d’un jeu économique que nous vivons depuis 30 ans avec internet. Le web était voulu libre. Ce fut un vœu pieux . Il est sous le contrôle de quelques BIG compagnies. Prendre conscience de la réelle porté d’un cloud à tendance souveraine est une vraie première étape.

Lorsque l’on achète sur Internet, l’essentiel de nos paiements s’effectuent par carte bancaire.

On sait que la carte est sécurisée, surtout lorsque l’on achète en magasin.

Mais qu’en est-il réellement sur Internet ?

Nous allons tenter d’y répondre.

Premier constat : Qui n’a pas dans son entourage ne serait-ce qu’une seule personne, une connaissance qui s’est déjà fait voler sa carte bancaire, ou qui a subi une escroquerie lors d’un achat en ligne ?

Second constat : Les chiffres parlent d’eux-mêmes, et à vrai dire, c’est dramatique : En France 1,2 millions de cartes sur la seule année 2017 ont été piratées par des hackers[1][3], essentiellement sur Internet. Pourquoi de tels chiffres.

Si l’on compare avec les achats en boutique ou commerce de proximité, on se rend compte que l’on possède une chose unique que personne ne connait, le fameux code PIN de la carte qui ne doit en aucun cas être partagé, pas même avec son conseiller bancaire. Mais sur Internet ? C’est là où le bât blesse. Visualisez vos achats sur Internet, une fois votre panier confirmé, que transmettez-vous comme informations ? Le numéro de la carte, vos noms et prénoms inscrits, sa date d’expiration, et le cryptogramme. Mais pas une seule fois votre code PIN.

A priori, et c’est surprenant, toutes ces données que vous transmettez sont bel et bien statiques, toutes ces données circulent, et vous ne les maîtrisez plus. Elles sont dorénavant écrites dans le marbre, dans des bases de données, des serveurs peut être à l’autre bout du monde.

ll y a bien des palliatifs

Des wallet (ou portefeuilles électroniques) sécurisés, des cryptogrammes dynamiques, ou des cartes virtuelles, des sms envoyés en complément sur votre téléphone pour sécuriser la transaction, un accès requis à votre application bancaire mais au final, dans bon nombre de ces cas, vos données cartes statiques sont stockées et transmises sur le web, une fois pour toutes.

Il suffit donc d’une seule fois. Sachant que l’on effectue en moyenne en France 33 achats sur Internet par an sur un marché du ecommerce qui grossit (100 milliards de chiffre en cible pour 2019), cela attire tout type de convoitises des escrocs du web. Et là, on commence à jouer avec les probabilités, un début de roulette russe. Transmettre toutes nos données statiques cartes a un vrai impact sur notre sécurité et la sécurité de nos comptes bancaires.

Exemple typique d’Ebay

Ebay a subi un piratage massif avec vol de données de 145 millions de clients et cartes en 2014, ils utilisaient pourtant une solution connue de paiement américaine ![2]

Cet exemple est flagrant. Et cela soulève toutes les questions que l’on doit se poser :

Est ce que ma connexion est sécurisée, réellement sécurisée ? Est-ce que le site sur lequel j’achète protège bien mes données de cartes bancaire ? Et pourquoi ces données bancaires ne sont accessibles que par un simple nom de compte et mot de passe lorsque j’ouvre un site de paiement ? Il y a de quoi être surpris. Donc, si j’achète sur 15 sites différents, tous ont donc mes données en leur possession? Oui c’est bien le cas. Comme les pirates sont de plus en plus aguerris, ce n’est plus simplement les bases de données des marchands qu’ils attaquent, mais nous directement. En ayant récupéré des milliers de données bancaires sur le Darknet, ils essayent ensuite des achats sur des sites étrangers, 30 dollars sur Amazon US, 20 euros sur des sites européens qui ne sont pas correctement protégés (sans 3DS v1), des sites sans demande d’autorisation auprès de votre banque. Et ils les connaissent. Le mal est fait. Encore faut-il s’en rendre compte en balayant régulièrement ses relevés bancaires.

D’ailleurs, si les hackers veulent vraiment acheter sur un site ecommerce en France (et se faire livrer en France), alors ils redoublent de furie (sur les réseaux, en achetant d’autres bases) pour récupérer votre numéro de téléphone, vous envoient des SMS avec de faux liens ( hameçonnage ou phishing), vous font cliquer sur des fausses pages de sites marchands.

Une fraude orchestrée

Malheureusement à ce jour, les tentatives de fraudes au paiement sur Internet s’élèvent à plus de 3% du e-commerce français (92 Milliards d’euros) soit 2,7 milliards d’euros chez nous. Pourquoi un tel acharnement ? Parce que lorsque l’on paie sur internet et que l’on accède uniquement avec un simple email et mot de passe sur certains sites, on paie malheureusement et toujours avec sa carte. Et la carte n’a pas été inventée pour payer sur Internet mais pour effectuer des achats physiques avec un ticket de caisse, avec votre PIN. Tout est dit.

Comme évoqué précédemment, 1,2 millions de carte en France ont été piratées sur une seule année, mais avons-nous une idée des chiffres cumulés sur les 10 dernières années ? Non. Mieux vaut peut-être pas. Mais il est peut-être temps surtout d’ouvrir les yeux et de penser à se protéger.

Et ce n’est pas en complexifiant le parcours d’achat et de paiement pour parer à ces défaillances que cela va faciliter la chose. Au mieux, il y aura encore plus d’abandons de paniers. Ce que personne ne souhaite.

Plus d’un tiers des européens sont fébriles au moment de payer avec leur carte bancaire sur Internet. Cela amène le constat suivant : Il ne s’agit plus d’un épiphénomène isolé mais d’arnaques bien orchestrées que nous subissons.

En conclusion

Payer par carte sur internet n’est pas aussi sécurisé que cela et la carte bancaire n’a pas été faite pour payer sur le web. Car donner les informations de sa carte bancaire lors d’une connexion, les écrire équivaut à les partager. C’est comme laisser la clé sur sa porte avant de partir en vacances. Le monde du digital est sans scrupule, et les pirates, à distance, sans se déplacer, l’ont très bien compris.

Il est temps d’envisager le futur avec des solutions sécurisées, plus simples, et surtout pleinement adaptées aux achats en ligne. Et que l’on maîtrise une fois pour toute nos données qui sont précieuses.

[1] : https://www.moneyvox.fr/actu/69561/c-est-risque-de-payer-en-ligne#udAA531vb3p5ZPZB.99
[2] : https://www.franceinter.fr/monde/piratage-d-ebay-145-millions-de-donnees-volees
[3] : https://www.nortonlifelock.com/about/newsroom/press-kits