Les autorités de concurrence doivent prendre le sujet de la récente panne informatique géante très au sérieux, rappelle l’économiste spécialiste de l’Union européenne Bruno Alomar.
Après Boeing et sa litanie de difficultés, une autre grande entreprise américaine est sur la sellette : Microsoft. La panne informatique géante qui l’a frappée le vendredi 19 juillet a affecté les entreprises et administrations publiques utilisant le système Windows dans de nombreux pays (Etats-Unis, France, Royaume-Uni, Japon, Australie etc.). Les secteurs du transport, des médias, des hôpitaux et beaucoup de marchés financiers ont également été touchés. En réalité, la responsabilité de la panne incombe pour l’essentiel à Crowdstrike, fournisseur de Microsoft spécialisé dans la cybersécurité.
Une première réaction serait la prudence. Après tout, le numérique – c’est peut-être une chance alors que l’IA alimente tant de craintes de voir le facteur humain écarté – a aussi ses faiblesses, et il ne faut pas s’étonner que des dysfonctionnements puissent survenir.
Au cas d’espèce, pourtant, les signaux annonciateurs n’ont pas manqué. Ainsi, le Cyber Safety Review Board (CSRB) américain a de manière répétée attiré l’attention sur les failles de sécurité auxquelles s’exposaient les utilisateurs de certains services de Microsoft. Ce fut notamment le cas en avril dernier quand cet organisme gouvernemental américain a rendu un rapport critique à l’égard des incidents de cybersécurité d’Exchange Online en 2023. Microsoft ne les avait d’ailleurs pas niés et s’était engagé à les traiter avec diligence. En France aussi des inquiétudes ont été exprimées, par exemple par IncertFrance qui a estimé que le système d’exploitation de la firme de Redmond pouvait constituer pour ses utilisateurs un point de vulnérabilité majeur.
S’il est inutile de souligner à quel point la sécurité en ligne est une nécessité absolue, économique, politique et sociale, la vraie question est bien de savoir comment les fournisseurs de biens et services numériques peuvent se prémunir de telles embardées. Deux pistes sont à privilégier.
« Diversifier les fournisseurs »
D’abord, un travail de sécurisation des matériels et des services au stade de leur conception (« security by design ») s’impose. Car Microsoft ne l’a pas caché : la panne du 19 juillet n’a pas résulté d’une attaque informatique délibérée (hacking) mais bien d’une mise à jour de produit classique. Il est donc essentiel que les produits et services numériques fournis aux agents publics et privés fassent l’objet d’un contrôle de sécurité initial rigoureux, qui puisse ensuite être complété tout au long du cycle de vie du produit.
Surtout, la réduction des risques impose aux grands acheteurs publics et privés de diversifier leurs fournisseurs. Qu’il s’agisse de guerre en Ukraine et de gaz russe, de conflictualité autour de Taiwan et de puces électroniques, plus largement du « reshoring » qui bouleverse les chaînes de valeurs, la géoéconomie est désormais mue par la nécessité de ne pas, selon l’expression, « mettre tous ses œufs dans le même panier ». La panne qui a affecté Windows atteste s’il en était besoin que le numérique ne fait/ne fera pas exception, alors même que l’IA connaît des développements extrêmement rapides que les autorités cherchent à comprendre (ainsi le partenariat avec OpenAI). La diversification des fournisseurs doit donc être une priorité des acheteurs, pour leur propre sécurité, et quand il s’agit d’administrations publiques également pour les deniers publics, comme l’a rappelé la Cour des comptes dans son rapport d’avril 2024 sur la transformation numérique de l’Etat. Encore faut-il qu’ils en aient le choix. La régulation publique a un rôle essentiel à jouer en la matière. A l’amont par la définition de normes strictes destinées à garantir le plus d’interopérabilité entre les écosystèmes. A l’aval, quand ces normes ne suffisent pas ou sont contournées, par le droit de la concurrence.
L’actualité récente confirme si besoin que les autorités de concurrence auront un rôle essentiel à jouer. Microsoft, en effet, vient de conclure un accord avec le CISPE (Cloud Infrastructure Services Providers in Europe), association des utilisateurs de cloud en Europe. Le CISPE a accepté de retirer sa plainte auprès de l’autorité de la concurrence européenne, par laquelle il était reproché à Microsoft de rendre difficile à ses clients cloud de rejoindre d’autres fournisseurs. Un accord du même type a été signé avec OVHcloud. Alors qu’une nouvelle Commission va entrer en fonction, une chose est claire : en matière de sécurité numérique, la régulation européenne a de beaux défis devant elle.
Publié par L’Express le 23/07/2024