Cloud de Confiance : la souveraineté numérique s’acquiert et se conserve

La souveraineté, un thème très présent dans notre quotidien

En 2020, le Covid-19 a révélé notre dépendance en masque chirurgicaux, en équipements médicaux de première nécessité et en médicaments. En 2021, le blocage du Canal de Suez par le porte-conteneur Ever-Given le 23 mars 2021 avait montré notre dépendance au commerce mondial. Plus récemment, des pans entiers de l’économie ont souffert de pénurie de composants électroniques, notamment pour les chaînes de fabrication automobile. La construction de gigafactories de batteries devient un enjeu en Europe et aux Etats-Unis. Et plus récemment, la guerre en Ukraine a mis en exergue notre dépendance au gaz et au pétrole russe et a déstabilisé le marché des denrées agricoles. En France et plus largement en Europe, la souveraineté est devenue un enjeu politique, géostratégique et économique majeur.

La souveraineté numérique, un oxymore ?

La souveraineté est le fondement de nos démocraties, on parle de souveraineté du peuple, de souveraineté nationale. Elle s’entend comme le caractère d’un État qui n’est soumis à aucun autre État. On cherche l’indépendance. Le numérique – lui – s’affranchit aisément des frontières d’un territoire national. Le marché du numérique présente la caractéristique d’être dominé par une poignée d’entreprises américaines. Ainsi, 72% des dépenses cloud en Europe sont destinées à Amazon, Google ou Microsoft [2]. En parallèle, l’usage du cloud et le développement massif des données progresse à grande vitesse : en Europe, la dépense Cloud (IaaS, PaaS, y compris le cloud privé) a augmenté de 41% sur 1 an. L’équation à résoudre se pose alors dans les termes suivants : comment permettre l’innovation apportée par les technologies cloud tout en maîtrisant les risques ?

Les 3 axes de la souveraineté numérique

La souveraineté numérique peut se définir comme la capacité – pour les pays, les organisations et les individus – à s’autodéterminer sur le sujet du numérique. Cela a un impact sur la technologie (ex. : la réversibilité), les données (ex. : la localisation des données) et les opérations (ex. : comment sont exécutés les opérations, par qui, depuis quel pays, avec quel niveau de sécurité).

Le Cloud de Confiance, un label et des garanties

Pour répondre à de nombreux risques opérationnels, économiques, légaux, réputationnels et de cybersécurité, l’ANSII a établi un cahier des charges exigeants : SecNumCloud 3.2 [3]. Les fournisseurs qui rempliront ces exigences auront le droit d’utiliser le label « Cloud de Confiance ». Il s’agit pour ces fournisseurs de fournir des services cloud depuis le territoire national, par une entité de droit français, en application des lois et normes françaises. La version 3.2 du référentiel offre en outre une protection contre les risques juridiques liés à l’application de lois extraterritoriales (on peut notamment citer les règlements américains FISA et CLOUD Act).

Dans une stratégie multicloud, le Cloud de Confiance vient compléter le continuum de souveraineté où l’on retrouve aux deux extrêmes le cloud public et le cloud privé. Avec sa large offre, le cloud public permet nombre innovations mais n’offre pas de protection contre les lois extraterritoriales s’il est opéré par un hyperscaler américain. Le cloud privé est bien souvent souverain par construction mais se trouve rapidement limité du point de vue de l’innovation par un catalogue de services limité. Le Cloud de Confiance permet aux entreprises américaines de concéder des licences sur leur technologie à des entreprises françaises.

Comment mettre en œuvre un Cloud de Confiance ?

Dans une transformation vers le Cloud de Confiance, la première étape consiste à établir un recensement des risques à couvrir. Cette analyse ne peut se faire de façon macroscopique : il s’agit de descendre aux niveaux des ilots de données et des applications. Une fois cet état des lieux établi, une stratégie Cloud de Confiance peut être établie. Elle permet de déterminer quels données et traitements on vocation à rester on premise, ceux qui sont candidats à un Cloud de Confiance et ceux qui peuvent sans risque rejoindre un Cloud public.

Cette stratégie peut alors se décliner en un projet Move to Cloud vers un Cloud de Confiance. Une migration vers un Cloud de Confiance nécessite des points d’attention particuliers. Par exemple, le sujet de l’encryption des données et la gestion des clés associée mérite un traitement particulier du fait de la sensibilité des données. Pour certaines organisations, le volet collaboratif (messagerie et outils collaboratifs) peut représenter une part importante de la migration vers un cloud de confiance.

Des opérations de confiance

Il convient également de concevoir et implémenter les bonnes pratiques de RUN qui permettent de maintenir la souveraineté numérique dans le temps. On peut citer 4 disciplines à traiter dans ce domaine :

1. La modification des pratiques d’architecture ou comment établir la souveraineté by design
2. Les opérations de confiance ou « SovOps » : comment opérer des traitements et comment gérer des données hébergées dans un Cloud de Confiance ? Avec quel personnel ?
3. La cybersécurité dans le Cloud de Confiance (la cybersécurité du Cloud de Confiance est assurée par le fournisseur de Cloud de Confiance) : comment durcir les bonnes pratiques pour prendre en compte la criticité des données et des traitements
4. La discipline financière et développement durable : comment m’assurer que les coûts d’usage et l’empreinte environnementale du Cloud de Confiance sont sous contrôle

Le sujet de la souveraineté numérique et le mouvement vers le Cloud de Confiance démarre : la plupart des organisations vont chercher à se former, établir leur stratégie, préparer leur migration, démarrer leurs principales étapes de préparation, et de procéder à des tests et des pilotes.

La migration des bonnes données et des bons traitements vers un cloud de confiance est un premier enjeu. Le maintien dans le temps de la souveraineté numérique acquise est le deuxième objectif à avoir à l’esprit dès le début du voyage.

[1] The Journey to Cloud Sovereignty, Capgemini Research Institute, Juin 2022
[2] European Cloud Provider Share of Local Market, Synergy Research Group, 27 septembre 2022 [3] Version 3.2 du référentiel SecNumCloud, ANSII, 8 mars 2022

Pour aller plus loin :