Cloud de confiance : êtes-vous concernés ?

Cloud souverain, cloud de confiance : de quoi parle-t-on ? 

Labels, certifications, textes de lois : la réalité derrière le terme de cloud de confiance est complexe et évolue rapidement. Faisons le point. 

Au commencement, le cloud souverain… 

Pour comprendre les problématiques posées par le cloud au sujet de la souveraineté, il convient d’en définir le concept. Par souveraineté, on entend l’exercice d’un pouvoir sur le territoire et la population qui l’occupe. Lorsque l’on applique ce concept au cloud, cela implique que les données disposées dans le cloud sont hébergées physiquement et traitées en France et ce, par un acteur de droit français, en application de la réglementation française. Cette première définition de cloud souverain a été posée en 2016 (note d’information n° 2016/004 du 5 avril 2016 relative à l’informatique en nuage (« cloud computing »)). Des tentatives françaises de développement de cloud souverain (Cloudwatt, Numergy) voient le jour mais se soldent par des échecs.

Entre réalité technologique …

Cette définition se heurte très vite à une réalité technologique : les acteurs leaders du cloud sont essentiellement étrangers, extra-européens et pour l’immense majorité d'entre eux, situés sur le territoire américain. Dans les faits, lorsque vous faites le choix d’une infrastructure et/ou de solutions basées sur le cloud, comme 42% des entreprises européennes en 2022, vous optez à plus de 70% pour les offres d’un acteur américain, au choix entre Google, Amazon ou Microsoft. Le cloud souverain français tel qu’il avait été défini en 2016 et les initiatives à l’échelle européenne peinent à soutenir la comparaison avec l’offre des géants américains.

… et effet des régulations

Parce que les entreprises hébergent des données confidentielles (ex : données clients etc.) parfois d’importance stratégique vitale pour l’organisation (ex : formules, brevet, secret de fabrication…), certaines d’entre elles peuvent être réticentes à utiliser des services cloud. On le comprend d’autant mieux que depuis deux décennies désormais, les Etats-Unis, suivis par d’autres pays, multiplient les effets extraterritoriaux de leurs textes pour étendre les pouvoirs de leurs autorités nationales en matière d’obtention et d’accès aux données stockées, y compris européennes, dans le cloud. En réaction, l’UE ne cesse de durcir sa réglementation en matière de transferts de données personnelles vers les Etats-Unis et plus largement vers tous les pays en dehors de l’UE n’ayant pas fait l’objet d’une décision d’adéquation de la part de la Commission Européenne.

Aujourd’hui, lorsque vous utilisez les services d’un acteur américain ou d’un acteur européen hébergeant les données aux Etats-Unis, les données émises ou stockées via l’utilisation de ces services sont soumises au droit américain. 

Notamment, le FISA 702 (1970), le FCPA (1977), le Patriot Act (2001) ou encore le CLOUD Act (2018) s’appliquent, donnant aux autorités américaines la possibilité d’accéder à des données personnelles, indépendamment de leur localisation. Selon le texte, il peut s’agir du DOJ - Department of Justice -, des tribunaux ou encore des agences de renseignement. La législation européenne RGPD (Règlement Général sur la Protection des Données ou GDPR) œuvrant à la protection des données personnelles, en vigueur depuis 2018, tente de contrer les effets de ces législations, qui peuvent poser de réels problèmes d’accès à des données confidentielles en encadrant de plus en plus strictement les transferts de données hors UE et en en interdisant même certains. Un projet d’accord entre l’Europe et les Etats-Unis est en cours de négociation pour parvenir à fluidifier ces transferts sans sacrifier le volet souveraineté mais pour le moment ces négociations semblent au point mort. 

Sans entrer plus dans le détail des dispositions juridiques, on observe à quel point le sujet de la souveraineté de la donnée est central, appelle à des offres présentant des garanties suffisantes sur celle-ci, et provoque des inquiétudes compte tenu de l’omniprésence des hyperscalers américains. Or le développement de géants français capables de rivaliser sur toutes les dimensions des offres des acteurs américains n’est pas encore 100 % effectif, même si de nombreuses initiatives sont en cours de lancement. 

En synthèse, le besoin de disposer d’un cloud garantissant la territorialité des données (France et/ou Europe) existe et se justifie, mais la réalité technologique explique le changement progressif de philosophie, d’un cloud souverain à un cloud de confiance.

Vers un cloud de confiance, une incarnation pragmatique de l’idée de cloud souverain 

Ainsi, la réflexion a évolué et porte désormais sur la notion de cloud de confiance. En effet, si le stockage des données relève d’un enjeu de souveraineté, les entreprises européennes sont encore loin de pouvoir se passer en totalité et sur l’ensemble des dimensions du cloud (Infrastructure, Plateforme, Software) des technologies des géants américains. La situation actuelle pourrait se résumer à la recherche d’un délicat équilibre entre protection des données et performance des services d’hébergement. 

Les politiques publiques évoluent vers une approche moins idéologique et plus pragmatique, à travers la notion de “cloud de confiance” introduite par le gouvernement français le 17 mai 2021, lors de l’annonce de sa stratégie nationale pour le cloud. 

Trois piliers soutiennent cette démarche :

Le paysage du cloud de confiance continuera d’évoluer : les exigences de résilience introduites par DORA, ou encore la nouvelle version du référentiel HDS prévue pour avril 2023, vont continuer d’impacter les offres associées, les réglementations resteront donc mouvantes et les enjeux politiques forts. 

Pour autant le besoin est présent et vous êtes susceptible d’y avoir recours dans un futur proche. Voici les clés pour y voir plus clair.

Cloud de confiance : Comment y voir plus clair et s’y préparer ?

Migrer vers le cloud de confiance : une tendance qui se renforce

Aujourd’hui, en dehors de PDP (Plateforme de dématérialisation Partenaires) rien n’oblige les entreprises du secteur privé à aller vers le cloud de confiance, mais ces 4 raisons peuvent vous inciter à vous intéresser de plus près aux offres actuelles ou à venir.

Que ce soit par souci d’anticipation ou de conviction, la migration vers un cloud de confiance se justifie à bien des égards. Comment s’y prendre ? Par où commencer ?

Le référentiel SecNumCloud : une garantie de “confiance”

Défini dès 2014 et mis en place en 2016 par l’ANSSI, le référentiel SecNumCloud vise à “atteste[r] de la qualité et de la robustesse de la prestation, de la compétence du prestataire ainsi que de la confiance pouvant lui être accordée” (ANSSI). Dans votre recherche de prestataires de confiance, le référentiel SecNumCloud est un repère intéressant à considérer, qui vous offre des garanties importantes vis-à-vis des prestataires sélectionnés, quelle que soit la nature de l’offre certifiée (IaaS, SaaS ou PaaS). 

Dans sa version de mars 2022, SecNumCloud 3.2a offre des garanties complémentaires vis-à-vis des lois extra-européennes. Selon Marie-Laure Denis, présidente de la CNIL, “le référentiel SecNumCloud 3.2 fournit une réponse qui est conforme by design aux exigences de la Cour [européenne de Justice] en matière de protection des données dans le cloud.” De plus, des réflexions sont à l'œuvre au niveau européen pour harmoniser les référentiels d’évaluation des prestataires de cloud (EUCS) et SecNumCloud 3.2 sert de référence dans les travaux d’élaboration de la certification. 

Aujourd’hui, 5 prestataires (OVH, Cloud Temple, Oodrive, Worldline, Outscale) - pour 7 offres - disposent du label SecNumCloud mais de nombreuses initiatives sont en cours de labellisation, comme par exemple S3NS, Bleu ou encore Numspot s’agissant des offres devant embarquer les technologies des hyperscalers. Gardez un œil sur le paysage des offres cloud de confiance car ce dernier devrait largement se développer dans les années à venir. 

Comment migrer vers un cloud de confiance ?

A mi-chemin entre cloud privé et cloud public, la solution cloud de confiance répond à des enjeux de souveraineté de la donnée sans compromettre la performance technologique promise par le cloud. Alors que l’offre est de nature à évoluer largement ces prochaines années, les entreprises doivent se saisir du sujet dès à présent pour l’intégrer dans leur stratégie multi-cloud et protéger au mieux leurs données.

*Article publié en Mai 2023.