Cloud souverain : C'est quoi et pourquoi ?
Pourquoi autant de bruit autour du cloud souverain et de confiance en Europe ?
Le sujet du Cloud souverain et/ou de confiance interpelle tant les politiques et les entreprises européennes qui ont l’obligation de protéger leurs données et se conformer aux réglementations en lien avec la protection des données.
C’est quoi un cloud souverain ?
Cette question de cloud souverain n’est pas nouvelle !
Dès 2014, l’ANSSI (l’Agence Nation de la Sécurité des Systèmes d’Information) s’est attelée à la rédaction d’un référentiel de sécurité visant à objectiver ce que l’on peut légitimement attendre de tels services. La première version du référentiel « SecNumCloud » est ainsi parue en 2016 proposant une liste de critères de sécurité technico-opérationnels à remplir pour pouvoir garantir un haut niveau de sécurité.
En parallèle, l’Allemagne, sous l’impulsion du BSI (Federal Office for Information Security), a développé son propre référentiel appelé « C5 » et fondé sur une approche de conformité.
Toujours en 2016, la France et l’Allemagne se sont ouvertement prononcées en faveur d’une démarche commune européenne s’appuyant sur leurs expériences nationales. Ceci a notamment conduit en 2019 à la publication du « Cyber Security Act » qui a posé le cadre permettant de développer de véritables certifications de sécurité à l’échelle européenne. L’une des premières applications est la conception du schéma EUCS (European Cybersecurity Certification Scheme for Cloud Services) dédié aux services Cloud.
En 2022, la France a décidé d’inclure dans son référentiel « SecNumCloud » des critères de sécurité juridique permettant de s’assurer que seules les lois et règles européennes s’appliquent aux offres qualifiées dans le but de se protéger de droits non-européens, souvent qualifiés « d’application extraterritoriale », ce qui est très facilement le cas dans le domaine du numérique. La version 3.2 du référentiel SecNumCloud publiée en mars 2022 fixe ainsi des critères de nationalité et de contrôle capitalistique s’imposant aux offreurs recherchant une qualification.
Le cadre SecNumCloud 3.2 s’inscrit en pleine cohérence avec la certification européenne relative aux prestataires de cloud (EUCS). En effet, depuis 2019, la France est fortement impliquée dans l’élaboration de cette labellisation européenne EUCS.
Et c’est quoi un cloud de confiance ?
C’est une infrastructure privée, qui en plus de garantir sa sécurité par le biais de solutions techniques pointues et de fournir à ses utilisateurs des moyens de contrôle poussés, est soumise aux normes françaises et européennes en termes d’hébergement et de protection des données
À terme, il est envisageable que la certification EUCS remplace définitivement les labels SecNumCloud et les autres labels européens comme C5 en Allemagne ou encore ENS en Espagne. Il faut savoir que le label SecNumCloud est l’un des plus exigeants en Europe, bien plus que C5 et ENS. Par exemple, OCI (Oracle Cloud Infrastructure), le cloud américain d’Oracle est certifié C5 et ENS alors qu’il ne sera probablement jamais certifié SecNumCloud.
En résumé, le cloud souverain est un modèle de déploiement dans lequel l’hébergement et l’ensemble des traitements effectués sur des données par un service de cloud sont physiquement réalisés dans les limites d’un territoire défini par une entité de droit européen et en application des lois et normes européennes.
Les caractéristiques clés d’un cloud souverain
La souveraineté des données définie par cinq exigences clés :
1- Localisation géographique : Cloud et Data Center situés en Europe.
2- Aucun contrôle juridictionnel externe des données : c’est à dire que les données ne sont pas accessibles et non soumises au lois extraterritoriales.
3- Les données sont dans une nation souveraine : le stockage des données dans des serveurs situés sur le territoire national, ce qui répond aux préoccupations relatives à la localisation des données et aux réglementations nationales.
4- Les données sont exploitées par des citoyens souverains : les données sont gérées par des citoyens disposant des habilitations de sécurité nationale adéquates.
5- Le respect des lois et normes de sécurité locales.
La version 3.2 de SecNumCloud n’interdit pas en soi l’utilisation des solutions américaines. Prenons ainsi l’exemple de Bleu (Joint-venture de Capgemini et Orange avec Microsoft) et de S3NS (Thales et Google) qui font appel à des acteurs américains tout en étant en chemin vers la labellisation SecNumCloud (v3.2). En effet, S3NS joue sur la limite des 24 % du capital autorisés par l’ANSSI. Selon le document publié par l’agence de sécurité sur les exigences SecNumCloud 3.2, figure l’immunité au droit extracommunautaire qui stipule que le capital social et les droits de vote dans la société du prestataire ne doivent pas être, directement ou indirectement individuellement détenus à plus de 24 %. La joint-venture Bleu est une entité française à 100% avec des employés de droit français, des data centers en France et un hébergement de données en France.
Pourquoi a-t-on besoin d’un cloud souverain ?
La souveraineté numérique
Le cloud souverain est considéré comme un moyen de garantir la souveraineté numérique des États et des entreprises européennes. En réduisant la dépendance aux fournisseurs de cloud étrangers, notamment ceux basés aux États-Unis, cela permet à l’Europe de préserver son autonomie en matière de gestion des données et d’éviter des scénarios dans lesquels les données européennes seraient soumises aux lois et aux réglementations d’autres pays.
La sécurité des données et l’indépendance stratégique
Deux préoccupations majeures pour les entreprises et les politiques en Europe. En effet, les révélations concernant les activités de surveillance et de collecte de données par des agences de renseignement étrangères ont suscité des inquiétudes quant à la confidentialité et à l’intégrité des données. Le cloud souverain est perçu comme une solution permettant de renforcer la sécurité des données en offrant des infrastructures et des services qui répondent aux normes de sécurité européennes.
La stimulation de l’économie et l’innovation
Le développement d’un écosystème de cloud souverain en Europe est considéré comme un moyen de promouvoir l’économie numérique européenne et de stimuler l’innovation. En créant des alternatives locales aux grands fournisseurs de cloud mondiaux, l’Europe espère soutenir les entreprises européennes, encourager la concurrence, favoriser la création d’emplois et stimuler l’innovation technologique.
Quelles sont les initiatives européennes et non européennes qui créent réellement un cloud souverain ?
Les acteurs non européens
AWS
AWS annonce le 25 octobre 2023 une nouvelle offre de cloud “souverain” dédiée à ses clients européens, laquelle opère de façon complètement autonome de son cloud public. Elle promet une séparation physique de ses autres régions cloud avec une impossibilité d’accéder aux données hébergées. L’Allemagne est la première région où sera lancée cette offre.
Attention : Comme tout fournisseur de cloud américain, AWS est soumis aux lois extraterritoriales de son pays (CLOUD Act, FISA Act, Patriot Act).
Pour AWS, le chiffrement des données est la véritable réponse à cette potentielle menace extraterritoriale. Comme il ne détiendrait pas les clés de chiffrement, lors de demande d’accès des autorités et tribunaux américains, « en dernier recours », il pourrait livrer les données chiffrées sans mode d’emploi ou moyens pour les déchiffrer. Or ce chiffrement n’est pas activé par défaut. C’est au client de le mettre en place.
Pour autant, le directeur général d’AWS France sait bien que cette notion de contrôle par le chiffrement ne correspond pas à la définition de souveraineté défendue par les pouvoirs publics français.
Le label « Cloud de Confiance » définit un cloud hors d’atteinte des lois extraterritoriales. auquel AWS ne peut pas prétendre.
En France, la doctrine de l’Etat tient à la publication du référentiel SecNumCloud v3.2 par l’ANSSI. Celui-ci lie des exigences de sécurité à la provenance européenne du capital du fournisseur. Là aussi, AWS ne peut pas prétendre à son obtention, ce qui l’empêche de contracter avec les organes rattachés à l’Etat Français et une partie des acteurs du secteur public.
Google Cloud et Thales
C’est un accord stratégique pour co-développer, au sein d’une nouvelle société, une offre de cloud souverain répondant aux critères du label français « Cloud de Confiance » certifié par l’ANSSI, en conformité avec la stratégie nationale française. En attendant la labellisation prévue pour 2024, S3NS propose une offre de transition reprenant tous les services Cloud de Google, avec le renfort des solutions de sécurité de Thales.
Oracle
Il s’agit de l’offre EU Sovereign Cloud d’Oracle séparée physiquement et logiquement du reste du Cloud d’Oracle avec deux Data Centers en Allemagne et en Espagne. Ce cloud n’est pas certifié SecNumCloud
Les acteurs européens :
Les fournisseurs français tentent de se démarquer en proposant un cloud de confiance. Certains d’entre eux ont fait le choix de s’associer à des géants du cloud Américain avec des objectifs :
obtenir le visa de sécurité, créer un écosystème dédié.
La liste des offres ci-dessous n’est pas exhaustive et des nouvelles offres pourrait être annoncées dans le futur.
Certifié SecNumCloud
La certification SecNumCloud est essentielle pour les données hautement sensibles. Les offres actuellement qualifiées sont portées par le Cloud Temple, OVHCloud, Oodrive, Outscale et Worldine :
OVHcloud
- Leader européen du cloud, certifié SecNumCloud depuis 2021
- Data centers en France (Strasbourg)
- Serveurs, équipements et réseaux conçus et assemblés en France
- Une offre isolée des législations extraterritoriales
3DS Outscale
- Une offre isolée des législations extraterritoriales
Serveurs, équipements et réseaux conçus et assemblés en France - Plateforme Cloud française IaaS à destination des organisations publiques, parapubliques, des Opérateurs d’Importance Vitale (OIV) et des Opérateurs de Services Essentiels (OSE)
cloud-temple
- Activité Iaas certifiée SecNumCloud
- PaaS en cours de labellisation (prévue pour février 2024)
- Déploiement en production de solutions de chiffrement en cours
- Data Centers en France
oodrive
- Solution IaaS certifiée SecNumCloud
- Seul Cloud à présenter des solutions SaaS certifiées SecNumCloud
- Un hébergement des données 100% français
- Traitement des données 100% français
worldline
- Solution IaaS certifiée SecNumCloud il s’agit de l’offre Secured IaaS de WordLine Cloud Services
- Un hébergement des données 100% français
En chemin vers la certification SecNumCloud
Bleu
C’est la joint-venture de Orange et Capgemini, des acteurs 100% français, qui proposent des services de cloud computing de Microsoft (Microsoft Azure et Microsoft 365) avec des données hébergées sur le territoire français.
Numspot
C’est l’alliance de quatre acteurs français: Docaposte, Banque de Territoires, Dassault Systèmes et Bouygues Telecom. Numsport compte lancer ces premiers services en mai 2024, destinés essentiellement aux acteurs économiques et institutionnels français, notamment les OIV et les OSE.
Conclusion
Les entreprises françaises proposent des solutions dites « cloud de confiance » en utilisant des technologies ou en s’associant aux GAFAM mais ces offres de Cloud seraient-elles toujours soumises au Cloud Act, au FIS Act et Patriot Act ? La réponse est oui dans la grande majorité des cas. En France, le gouvernement a créé un comité stratégique de filière (CSF) destiné à favoriser l’émergence d’une offre française compétitive ce qui pourrait continuer de faire émerger des solutions 100% françaises et labellisées SecNumCloud.
Cette entrée a été publiée dans architecture avec comme mot(s)-clef(s) Cloud, SecNumCloud, ANSSI, EUCS
Les articles suivant pourraient également vous intéresser :
- Le FTP archaïque mais efficace ! par Imad Chaabane
- Tutoriel : Traiter automatiquement des fichiers sur le cloud grâce à SNS par Amaury Boin
- Comment utiliser les Lambda Layers et optimiser son code serverless ? par Hamza Benkhay
- Un changement d'architecture sans heurt : notre passage à AWS Fargate par Jean-Philippe Caruana
Postez votre commentaire :
Votre commentaire a bien été envoyé ! Il sera affiché une fois que nous l'aurons validé.
Vous devez activer le javascript ou avoir un navigateur récent pour pouvoir commenter sur ce site.