Le cloud souverain est sans aucun doute l’un des sujets les plus populaires lorsqu’il s’agit de la souveraineté numérique française. Face à la puissance des hyperscalers américains qui dominent le marché du Cloud Computing, il devient une nécessité pour les acteurs français de disposer d’infrastructures souveraines respectueuses de la règlementation française et européenne.
Après un premier billet de blog consacré à la présentation de la notion de souveraineté numérique, ce deuxième article s’intéresse plus spécifiquement au cloud souverain.
Avant tout chose, quelques définitions
Le Cloud computing, en français « informatique en nuage », désigne des ressources informatiques de serveurs à distance, qui sont mises à la disposition des clients via Internet. Les utilisateurs, en se connectant au cloud via un navigateur web par exemple, pourront alors avoir accès à diverses applications et bases de données qui sont hébergés dans des data centers du monde entier. Il existe plusieurs types de clouds (public, privé et hybride) ainsi que plusieurs types de services cloud (IaaS, PaaS, SaaS).
Le cloud souverain peut être défini comme: « un Cloud opéré en France, hébergé dans un Datacenter implanté sur le territoire, respectant les normes et le cadre juridique français ». Deux garanties principales ressortent alors :
- Une garantie juridique : les données ne doivent pas être utilisées par un tiers et elles ne doivent pas être transférées à un tiers dont la règlementation à laquelle il est soumis ne garantit par un niveau de protection suffisant ;
- Une garantie technique : le niveau de sécurité du prestataire et de ses sous-traitants doit garantir la protection et la confidentialité des données.
En réalité, l’idée de la souveraineté numérique française peut remonter au Plan Calcul de 1966, plan gouvernemental français qui visait à assurer l’autonomie française concernant les techniques de l’information. Néanmoins, ce n’est qu’à partir des années 2000 que des projets ont été lancés en faveur du cloud souverain avec Quaero et Andromède qui se sont malheureusement soldés par des échecs.
Le cloud souverain trouve son fondement dans l’idée que les données sont l’or noir du XXIème siècle et qu’il est plus qu’important de les protéger. En réunissant les notions de souveraineté technologique et de souveraineté des données, le cloud souverain apparaît comme indispensable à la souveraineté des Etats dans l’univers numérique. De nombreux enjeux d’indépendance économique et de compétitivité, de protection des données et de sécurité informatique y sont intimement liés.
LE PARADOXE DE L’IN(TER)DÉPENDANCE DES ETATS EUROPÉENS
Face à la domination des entreprises étrangères non-européennes sur le marché du cloud, les Etats européens n’ont d’autre choix que de pousser leurs économies nationales à développer leurs propres solutions Cloud. Néanmoins, développer un cloud souverain n’est pas forcément chose aisée : l’action d’un seul Etat n’est certainement pas suffisante à créer une solution souveraine qui ferait le poids face aux géants étrangers comme les GAMAM (Google, Apple, Meta, Amazon, Microsoft) et les BATX (Baidu, Alibaba, Tencent, Xiaomi).
Ainsi, dans leur « quête » de souveraineté et d’indépendance vis-à-vis des acteurs extra-européens, les Etats européens sont dans l’obligation d’être interdépendants s’ils souhaitent développer des solutions pouvant faire concurrence aux offres étrangères.
Cette interdépendance paraît largement acceptable, contrairement à la dépendance aux acteurs extra-européens. En effet, les Etats Membres de l’Union Européenne partagent les mêmes valeurs concernant le numérique et disposent d’une règlementation protectrice dans le cadre du marché numérique européen. Néanmoins, à l’échelle nationale, la souveraineté n’est pas totalement retrouvée : peut-être que la souveraineté nationale n’est plus qu’une idée lointaine et dépassée dans un monde totalement mondialisé et interdépendant ?
LA SÉCURITÉ ET LA PROTECTION DES DONNÉES
La souveraineté des données est sans aucun doute l’une des principales préoccupations et raisons qui mènent au développement d’un cloud souverain. Cette notion englobe notamment la capacité à protéger les données contre les ingérences étrangères. Le marché est en effet dominé par des entreprises étrangères qui sont soumises aux lois en vigueur dans ces pays, généralement moins-disantes qu’en France et que dans l’Union Européenne quant aux niveaux de protection des données, notamment personnelles.
C’est tout particulièrement l’exemple du Cloud Act (Clarifying Lawful Overseas Use of Data Act) qui permet au gouvernement américain d’avoir accès aux données hébergées sur des serveurs situés hors des États-Unis qui appartiennent à des prestataires américains. En Europe, cette loi fragilise grandement l’application et l’efficacité du RGPD en ce qu’elle menace la confidentialité des données personnelles et non personnelles.
C’est par la volonté de lutter contre ce type d’ingérence étrangère que plusieurs initiatives ont été lancées pour contribuer au développement d’un « Cloud de confiance » participant à la souveraineté numérique française :
- Le visa SecNumCloud de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) est une certification apparue en 2016 qui distingue les fournisseurs de services cloud (IaaS, Paas ou SaaS) qui respectent les bonnes pratiques de sécurité et qui sont en conformité avec le référentiel SecNumCloud de l’ANSSI ;
- Le label Cloud de confiance de l’ANSSI vient renforcer le visa SecNumCloud en ajoutant des garanties juridiques. Outre la conformité au référentiel SecNumCloud de l’ANSSI, un cloud de confiance doit être indépendant de toute règlementation extraterritoriale : l’entité proposant les services cloud doit être de droit français (ou de nationalité européenne) et les données doivent être localisées en France (ou dans l’Union Européenne) ;
- Le projet européen Gaia-X favorise le développement d’infrastructures de données qui permettent la confiance, la transparence, la contrôlabilité, la portabilité et l’interopérabilité. Ce projet peut être assimilé à une norme ou un standard dans la mesure ou un cadre logiciel de contrôle et de gouvernance des données est développé.
Ces initiatives apparaissent alors comme des facteurs de confiance pour les utilisateurs à l’égard des fournisseurs de services cloud qui sont labellisés ou qui font partie du projet Gaia-X.
Ces enjeux principaux illustrent bien l’importance et la nécessité de développer des solutions cloud souveraines. Néanmoins, cette tâche est difficile et le cloud souverain tend aujourd’hui à s’effacer face au cloud de confiance. Celui-ci paraît beaucoup plus réalisable en ce qu’il a pour objectif de trouver un juste milieu entre solution cloud étrangère et respect de la règlementation française (et européenne). Deux collaborations majeures sont actuellement en développement pour créer de tels clouds :
- Bleu (Orange & Capgemini) Les deux sociétés françaises s’associent pour développer un cloud de confiance français nommé Bleu. A destination du secteur public, des OIV (opérateurs d’importance vitale) et des OSE (opérateurs de services essentiels), Bleu permettra de bénéficier des services Microsoft dans des infrastructures indépendantes et sécurisées et respectant la législation française et européenne.
- S3NS (Thales & Google Cloud) La société française Thales et le géant américain Google s’associent pour développer un cloud de confiance au sein d’une nouvelle entreprise de droit français nommée S3NS. Ce partenariat a pour objectif de développer un cloud des plus performants et des plus sécurisés, à destination des institutions publiques et des entreprises françaises.
Toutefois, ces projets ne sont pas encore sur pieds, et il faudra attendre au moins le début de l’année 2024 pour que ces services soient opérationnels.
En définitive, le cloud souverain n’est peut-être qu’une utopie irréalisable dans notre univers numérique fait d’interdépendances mondiales, mais peut-être le cloud de confiance pourra-t-il redonner à la France une part de sa souveraineté numérique ? Sujet à suivre dans les prochains mois et surtout les prochaines années.
Dans la continuité de ces deux billets de blog consacrés à la souveraineté numérique et au cloud souverain, le troisième et dernier billet de blog de cette série sera dédié à l’utilisation du cloud dans les collectivités territoriales, cœur du secteur d’activité de Voirin consultants.
Par Alexia Nay
Sources :
- Guide sur le Cloud Computing et les Datacenters (entreprises.gouv.fr)
- Main cloud service models: IaaS, PaaS and SaaS | Stackscale
- Home – Gaia-X: A Federated Secure Data Infrastructure
- SecNumCloud: Le visa de sécurité ANSSI | OVHcloud
- Thales et Google Cloud annoncent un partenariat stratégique pour développer conjointement un « Cloud de Confiance » en France | Thales Group
- Bleu : Orange et Capgemini créent un cloud hyperscale français | Silicon
- Image d’illustration @storyset