Les termes “Cloud Souverain” et “Cloud de Confiance” interpellent et la différence n’est pas forcément évidente. Dans cet environnement complexe et en pleine évolution, nous tentons d’y voir plus clair avec ce décryptage.
En effet votre entreprise envisage peut-être l’usage du Cloud de Confiance ou elle a déjà mis en place une stratégie Cloud ? Que ce soit en cloud privé ou avec des hyperscalers américains, il est important de savoir où en est la réglementation et comment se positionner. Pour appuyer notre analyse, S3NSE et OVH nous ont fait part de leur vision sur ce sujet lors de notre Cercle des DSI dédié au Cloud Souverain.
Le cloud souverain est un type de cloud computing qui répond aux exigences spécifiques de souveraineté numérique d'un pays ou d'une organisation. Il vise à garantir la protection des données sensibles contre les intrusions et les accès non autorisés, notamment de la part d'États étrangers. L’idée de cloud souverain est né il y a environ 10 ans et s'est imposé comme un thème stratégique pour les entreprises et les administrations qui traitent des données sensibles. La dénomination est cependant associée à l'échec du projet Andromède au début des années 2010. Le projet qui a lancé Cloudwatt et Numergy.
Ensuite, est arrivé le concept de cloud de confiance visant à élargir le périmètre du cloud souverain en incluant des solutions non-européennes qui respectent un certain nombre de critères de sécurité technique et juridique.
Le domaine du cloud souverain est encadré par plusieurs référentiels qui définissent les exigences de sécurité et de conformité. Voici un panorama des principaux référentiels en vigueur :
ISO 27001: Norme internationale relative à la sécurité des informations, elle fournit un cadre global pour la gestion des risques liés à la sécurité de l'information. Elle s'applique à tous types d'organisations et ne se focalise pas spécifiquement sur le cloud.
C5 et ENS: Normes allemandes et espagnoles qui s'ajoutent à ISO 27001 en concentrant sur la protection des données contre les lois extra-européennes. Elles définissent des exigences spécifiques pour le cloud souverain, incluant la localisation des données et la nationalité des opérateurs. Chaque pays européen propose aujourd’hui un standard plus ou moins équivalent.
SecNumCloud: Référentiel français pour la sécurité des données sensibles. Sa version 3.1 correspond aux C5 et ENS. Sa version 3.2 aujourd’hui en vigueur vise aussi à protéger contre les lois extraterritoriales en garantissant que les données sont soumises aux lois et réglementations françaises. Il est obligatoire pour les administrations françaises et les organisations qui traitent des données sensibles. Il est délivré par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) après une évaluation rigoureuse du service lors d'un audit technique et juridique.
EUCS: Standard européen en cours de développement, il vise à harmoniser les exigences de sécurité du cloud souverain à l'échelle européenne. Il devrait proposer plusieurs niveaux de certification et s'appuyer sur les référentiels existants. La France souhaite inclure des éléments de souveraineté dans ce règlement européen, ce qui pose des difficultés. En l'absence de critères précis, le SecNumCloud pourrait être privilégié.
Fournisseur |
Certifications |
Offres de services |
Disponibilité géographique |
AWS |
C5 & équivalent |
IaaS, PaaS (SaaS) |
Par pays |
Azure |
C5 & équivalent |
IaaS, PaaS, SaaS |
Par pays |
Bleu |
SecNumCLoud (25Q1) |
IaaS, PaaS, SaaS |
France |
GCP |
C5 & équivalent |
IaaS, PaaS, SaaS |
Par pays |
NumSpot |
SecNumCLoud |
IaaS, PaaS |
France |
Oodrive |
SecNumCLoud |
SaaS |
France |
Outscale |
SecNumCLoud |
IaaS |
France |
OVHcloud |
SecNumCLoud |
Extension de datacenter |
France |
OVHcloud |
SecNumCLoud (24Q4) |
IaaS, PaaS |
France |
S3NS |
C5 |
IaaS, PaaS, SaaS |
France, Pays-Bas |
S3NS |
SecNumCLoud (24Q4) |
IaaS, PaaS, SaaS |
France |
La liste complète des fournisseurs certifiés SecNumCloud 3.2 est disponible sur le site du gouvernement.
Sa croissance continue lors de ces dernières années, s’explique par son offre de services cloud compétitifs et innovants, ainsi que par la confiance que les clients accordent à OVH en matière de sécurité et de fiabilité.
OVH met l'accent sur sa capacité à scaler ses services, à proposer des services standardisés et à s'appuyer sur des partenaires pour répondre aux besoins spécifiques de ses clients, notamment en matière de services métiers.
OVH propose le référentiel souverain du pays dans lequel il opère. Dans la plupart des pays européens, c’est un référentiel similaire à C5 qui s’applique. Côté pratique, le système d’audit est basé sur SOC, ce qui permet de passer en même temps d’autres référentiels utiles par exemple en finance. Le nombre de services certifié est moins élevé en France que pour d'autres fournisseurs, car l'audit technique de l'ANSSI sort de cette logique et est particulièrement rigoureux.
L'objectif est de mettre en place l’offre de service de Google Cloud Platform (GCP) sur le sol français, opéré en France par S3NS, une société de droit français. Ce projet correspond à la vision stratégique de Google : mettre en place localement des offres répondant aux exigences de souveraineté et de conformité aux lois locales. L'avenir du cloud dépend selon Google de la capacité à s'adapter à ces exigences.
La structure de la joint-venture (61% de capitaux européens) vise à minimiser les risques extra-territoriaux.
L'offre s'articule autour de trois piliers :
L'offre s'engage à proposer les mêmes API que GCP et à permettre aux clients de gérer leurs clés de chiffrement de manière externe.
Le cloud de Confiance s'affirme comme une réponse aux défis croissants de la sécurité informatique et de la protection des données. Deux enjeux majeurs le définissent :
Les questions qui se posent à l’issue de ces échanges concernent les tendances et perspectives. Le sujet de la souveraineté divise aujourd’hui en Europe : la France est aujourd’hui seule sur le vieux continent à vouloir se défendre contre les capacités d’ingérence étrangères.
Parallèlement, si la réglementation européenne risque de ne pas se durcir concernant les contraintes imposées aux prestataires de services “B2B”, elle tend à imposer une obligation de résultat en ce qui concerne la protection des consommateurs. Cette tendance se retrouve en particulier dans les réglementation autour de l’intelligence artificielle.
Finalement, si la question de la souveraineté est à analyser à l’aune des capacités d’ingérence des puissances étrangères, celle de la confiance n’est qu’une question de perception et de volonté. en effet, la confiance, c’est le choix volontaire de l’idée que tout se passera bien. Quand ce choix s’appuie sur une analyse consciente des risques, la souveraineté n’est plus que secondaire. Comme souvent, savoir à qui et à quelles conditions faire confiance, au niveau de l’Europe, c’est un choix éminemment politique.
Depuis le cercle des DSI, plusieurs évènements ont marqué l’actualité de la souveraineté numérique. Dans un premier temps, le 3 avril, Reuters a publié un article basé sur une version de travail de l’EUCS selon laquelle cette réglementation européenne abandonnerait l’idée de protection juridique issue du standard SecNumCloud français.
Le 8 avril, Guillaume Poupard, ancien directeur de l’ANSSI à l’initiative de SecNumCloud a publié une tribune sur LinkedIn une analyse explicitant qu’une telle décision reviendrait à assumer ne plus pouvoir demain avoir de souveraineté numérique en Europe. Il a depuis été rejoint par différents industriels Français et par le Cigref.
Derrière ce sujet, deux visions s’affrontent. La première part du principe que la réglementation doit imposer des critères de souveraineté pour certaines activités sensibles. La seconde part du principe pragmatique que les hyperscalers ont plus à perdre d’obéir aux réglementations contraires à la protection des données.
En attendant, Joe Biden, lui a tranché : si Tiktok ne change pas d’actionnaire d’ici la fin d’année, il souhaite bannir le service chinois.