Cloud de confiance : êtes-vous concernés ?

cloud de confiance
  • Publication
  • 25 mai 2023

Le cloud de confiance fait parler autant qu’il questionne. Conformité réglementaire, sécurité des données, confiance des clients, performances techniques... Réalités technologiques et forces géopolitiques s’opposent et rendent le sujet mouvant. La tâche est complexe pour toute DSI qui souhaite intégrer le cloud de confiance dans sa stratégie cloud et protéger ses données. Ce sont 36% des entreprises françaises qui considèrent que la mise en conformité avec la réglementation est un frein à la création de valeur (Etude Cloud France 2023 - Les 5 actions pour débloquer la valeur du Cloud dans les entreprises en France). 

 

Alors, où en est le cloud de confiance ? Quelles questions faut-il se poser ? Comment anticiper les évolutions du cadre législatif ?

 

Nous vous proposons un état des lieux* et les clés pour s’y préparer.

 

 

Cloud souverain, cloud de confiance : de quoi parle-t-on ? 

Labels, certifications, textes de lois : la réalité derrière le terme de cloud de confiance est complexe et évolue rapidement. Faisons le point. 

Au commencement, le cloud souverain… 

Pour comprendre les problématiques posées par le cloud au sujet de la souveraineté, il convient d’en définir le concept. Par souveraineté, on entend l’exercice d’un pouvoir sur le territoire et la population qui l’occupe. Lorsque l’on applique ce concept au cloud, cela implique que les données disposées dans le cloud sont hébergées physiquement et traitées en France et ce, par un acteur de droit français, en application de la réglementation française. Cette première définition de cloud souverain a été posée en 2016 (note d’information n° 2016/004 du 5 avril 2016 relative à l’informatique en nuage (« cloud computing »)). Des tentatives françaises de développement de cloud souverain (Cloudwatt, Numergy) voient le jour mais se soldent par des échecs.

Entre réalité technologique …

Cette définition se heurte très vite à une réalité technologique : les acteurs leaders du cloud sont essentiellement étrangers, extra-européens et pour l’immense majorité d'entre eux, situés sur le territoire américain. Dans les faits, lorsque vous faites le choix d’une infrastructure et/ou de solutions basées sur le cloud, comme 42% des entreprises européennes en 2022, vous optez à plus de 70% pour les offres d’un acteur américain, au choix entre Google, Amazon ou Microsoft. Le cloud souverain français tel qu’il avait été défini en 2016 et les initiatives à l’échelle européenne peinent à soutenir la comparaison avec l’offre des géants américains.

… et effet des régulations

Parce que les entreprises hébergent des données confidentielles (ex : données clients etc.) parfois d’importance stratégique vitale pour l’organisation (ex : formules, brevet, secret de fabrication…), certaines d’entre elles peuvent être réticentes à utiliser des services cloud. On le comprend d’autant mieux que depuis deux décennies désormais, les Etats-Unis, suivis par d’autres pays, multiplient les effets extraterritoriaux de leurs textes pour étendre les pouvoirs de leurs autorités nationales en matière d’obtention et d’accès aux données stockées, y compris européennes, dans le cloud. En réaction, l’UE ne cesse de durcir sa réglementation en matière de transferts de données personnelles vers les Etats-Unis et plus largement vers tous les pays en dehors de l’UE n’ayant pas fait l’objet d’une décision d’adéquation de la part de la Commission Européenne.

Aujourd’hui, lorsque vous utilisez les services d’un acteur américain ou d’un acteur européen hébergeant les données aux Etats-Unis, les données émises ou stockées via l’utilisation de ces services sont soumises au droit américain. 

Notamment, le FISA 702 (1970), le FCPA (1977), le Patriot Act (2001) ou encore le CLOUD Act (2018) s’appliquent, donnant aux autorités américaines la possibilité d’accéder à des données personnelles, indépendamment de leur localisation. Selon le texte, il peut s’agir du DOJ - Department of Justice -, des tribunaux ou encore des agences de renseignement. La législation européenne RGPD (Règlement Général sur la Protection des Données ou GDPR) œuvrant à la protection des données personnelles, en vigueur depuis 2018, tente de contrer les effets de ces législations, qui peuvent poser de réels problèmes d’accès à des données confidentielles en encadrant de plus en plus strictement les transferts de données hors UE et en en interdisant même certains. Un projet d’accord entre l’Europe et les Etats-Unis est en cours de négociation pour parvenir à fluidifier ces transferts sans sacrifier le volet souveraineté mais pour le moment ces négociations semblent au point mort. 

Sans entrer plus dans le détail des dispositions juridiques, on observe à quel point le sujet de la souveraineté de la donnée est central, appelle à des offres présentant des garanties suffisantes sur celle-ci, et provoque des inquiétudes compte tenu de l’omniprésence des hyperscalers américains. Or le développement de géants français capables de rivaliser sur toutes les dimensions des offres des acteurs américains n’est pas encore 100 % effectif, même si de nombreuses initiatives sont en cours de lancement. 

En synthèse, le besoin de disposer d’un cloud garantissant la territorialité des données (France et/ou Europe) existe et se justifie, mais la réalité technologique explique le changement progressif de philosophie, d’un cloud souverain à un cloud de confiance.

Vers un cloud de confiance, une incarnation pragmatique de l’idée de cloud souverain 

Ainsi, la réflexion a évolué et porte désormais sur la notion de cloud de confiance. En effet, si le stockage des données relève d’un enjeu de souveraineté, les entreprises européennes sont encore loin de pouvoir se passer en totalité et sur l’ensemble des dimensions du cloud (Infrastructure, Plateforme, Software) des technologies des géants américains. La situation actuelle pourrait se résumer à la recherche d’un délicat équilibre entre protection des données et performance des services d’hébergement. 

Les politiques publiques évoluent vers une approche moins idéologique et plus pragmatique, à travers la notion de “cloud de confiance” introduite par le gouvernement français le 17 mai 2021, lors de l’annonce de sa stratégie nationale pour le cloud. 

Trois piliers soutiennent cette démarche :

Cloud de confiance

Cloud au centre

< Retour

< Retour
[+] Read More

Le paysage du cloud de confiance continuera d’évoluer : les exigences de résilience introduites par DORA, ou encore la nouvelle version du référentiel HDS prévue pour avril 2023, vont continuer d’impacter les offres associées, les réglementations resteront donc mouvantes et les enjeux politiques forts. 

Pour autant le besoin est présent et vous êtes susceptible d’y avoir recours dans un futur proche. Voici les clés pour y voir plus clair.

Cloud de confiance : Comment y voir plus clair et s’y préparer ?

Migrer vers le cloud de confiance : une tendance qui se renforce

Aujourd’hui, en dehors de PDP (Plateforme de dématérialisation Partenaires) rien n’oblige les entreprises du secteur privé à aller vers le cloud de confiance, mais ces 4 raisons peuvent vous inciter à vous intéresser de plus près aux offres actuelles ou à venir.

Les points à prendre en considération

L’évolution de la réglementation

dans un contexte géopolitique complexe, difficile de prédire que la réglementation ne va pas évoluer dans un sens plus coercitif, sous l’effet des enjeux géopolitiques et des réglementations type NIS2 ou DORA qui viennent modifier le paysage en matière d’exigences de sécurité numérique. En passant vers un cloud de confiance, vous anticipez ces changements et vous offrez des garanties plus grandes en matière de protection des données et de souveraineté.

La nature plus ou moins sensible de votre activité

  •  le secteur d’activité dans lequel l’entreprise opère peut être un élément déterminant dans la décision de migrer tout ou partie vers un cloud de confiance. En dehors des OIV (Organismes d’Importance Vitale) - et seulement pour une partie de leurs activités confidentielles ou classées secret-défense - toute entreprise est susceptible de migrer vers un cloud de confiance. Certains secteurs d’activité, de par leur caractère plus sensible, comme ceux de la santé ou de la finance, sont encore plus susceptibles que les autres de s'intéresser avec précision aux offres de cloud de confiance. 

Les attentes de vos parties prenantes

  •  les consommateurs en premier lieu, mais aussi les partenaires, les investisseurs, les collaborateurs ou encore les régulateurs prêtent une attention croissante à l’usage qui est fait de leurs données, ainsi qu’à leur stockage. Leur offrir des garanties supplémentaires sur ce sujet en faisant appel à des offres de “cloud de confiance” peut représenter un atout dans la réputation de l’entreprise.

La recherche de performance

  •  il ne faut pas oublier qu’un cloud de confiance est une réponse technologique à des besoins de scalabilité, de niveaux de service élevés, d’agilité pour les applications de votre entreprise. Ce type d’offre procure donc des avantages par rapport à des hébergements traditionnels, sans pour autant faire de compromis sur la conformité.

Que ce soit par souci d’anticipation ou de conviction, la migration vers un cloud de confiance se justifie à bien des égards. Comment s’y prendre ? Par où commencer ?

Le référentiel SecNumCloud : une garantie de “confiance”

Défini dès 2014 et mis en place en 2016 par l’ANSSI, le référentiel SecNumCloud vise à “atteste[r] de la qualité et de la robustesse de la prestation, de la compétence du prestataire ainsi que de la confiance pouvant lui être accordée” (ANSSI). Dans votre recherche de prestataires de confiance, le référentiel SecNumCloud est un repère intéressant à considérer, qui vous offre des garanties importantes vis-à-vis des prestataires sélectionnés, quelle que soit la nature de l’offre certifiée (IaaS, SaaS ou PaaS). 

Dans sa version de mars 2022, SecNumCloud 3.2a offre des garanties complémentaires vis-à-vis des lois extra-européennes. Selon Marie-Laure Denis, présidente de la CNIL, “le référentiel SecNumCloud 3.2 fournit une réponse qui est conforme by design aux exigences de la Cour [européenne de Justice] en matière de protection des données dans le cloud.” De plus, des réflexions sont à l'œuvre au niveau européen pour harmoniser les référentiels d’évaluation des prestataires de cloud (EUCS) et SecNumCloud 3.2 sert de référence dans les travaux d’élaboration de la certification. 

Aujourd’hui, 5 prestataires (OVH, Cloud Temple, Oodrive, Worldline, Outscale) - pour 7 offres - disposent du label SecNumCloud mais de nombreuses initiatives sont en cours de labellisation, comme par exemple S3NS, Bleu ou encore Numspot s’agissant des offres devant embarquer les technologies des hyperscalers. Gardez un œil sur le paysage des offres cloud de confiance car ce dernier devrait largement se développer dans les années à venir. 

Comment migrer vers un cloud de confiance ?

1. Connaître les risques, avec un œil tout particulier dans ce cas précis sur les risques liés à la conformité, notamment ceux liés aux réglementations extraterritoriales.

2. Classifier et segmenter efficacement vos données, au regard des critères de risques préalablement identifiés et de sensibilité de la donnée.

3. Flécher les éléments éligibles à la migration vers un cloud de confiance. Cartographiez les applications éligibles, identifiez les services et les interdépendances (gestion des identités, système de management des clés de cryptage…), listez les prérequis à la migration en termes de montée en compétence de vos équipes, de transformation de ces applications pour qu’elles tirent pleinement parti du cloud…

4. Choisir une offre cloud de confiance, migrer, intégrer, opérer. Avec une bonne connaissance de vos contraintes liées à la donnée, les enjeux des réglementations locales et sectorielles, vous possédez les informations nécessaires à un choix éclairé d’une solution de confiance. Conduisez votre migration applicative, en apportant les transformations et intégrations requises sur votre existant, sans oublier les aspects de cybersécurité et continuité d’activité. Enfin, et si nécessaire, faites attester de la conformité de votre installation auprès des autorités de certifications compétentes.

A mi-chemin entre cloud privé et cloud public, la solution cloud de confiance répond à des enjeux de souveraineté de la donnée sans compromettre la performance technologique promise par le cloud. Alors que l’offre est de nature à évoluer largement ces prochaines années, les entreprises doivent se saisir du sujet dès à présent pour l’intégrer dans leur stratégie multi-cloud et protéger au mieux leurs données.

*Article publié en Mai 2023.

Suivez-nous !

Contactez-nous

Ivan Frain

Ivan Frain

Directeur, Transformation Cloud, PwC France et Maghreb

Valérie Aumage

Valérie Aumage

Avocat, Associée en charge du département IP, Droit du Numérique et Données Personnelles, PwC Société d'Avocats

Masquer