Un Cloud sécurisé français est-il possible ? Malgré l’échec des premières tentatives de Clouds souverains en France, l’État continue de parier sur l’émergence d’une solution viable au niveau national ou européen pour héberger les données sensibles hors de portée des multinationales.
Une gageure quand on sait que 70 % du marché est détenu par les Gafam et que 80 % des sociétés du CAC 40 dépendent du « nuage » d’Amazon.
Afin de redonner de l’élan à ces perspectives, le gouvernement a déployé une nouvelle stratégie nationale adossée au label « Cloud de confiance » venant compléter la qualification SecNumCloud. Un pas de géant en direction d’une véritable souveraineté numérique ?
Souveraineté numérique : des enjeux stratégiques pour les entreprises
Les notions de protection des données et de souveraineté numérique sont plus prégnantes que jamais dans le paysage européen.
Le Cloud est désormais bien identifié comme un enjeu stratégique au regard de la compétitivité et de la résilience des économies nationales.
Ce « nuage » est aujourd’hui capable de s’adapter aux enjeux business et sécurité des entreprises, notamment dans les secteurs fortement réglementés que sont la banque, la finance, la santé, la défense et l’énergie.
Néanmoins, la question de la souveraineté numérique continue de se poser. Seul un Cloud souverain permet de répondre aux enjeux de sécurité, de compétitivité et de confiance, dans un contexte d’accroissement des cyber-risques et de forte concurrentialité.
La souveraineté numérique reste trop souvent résumée, de façon prosaïque, à la seule localisation des données, donc à l’emplacement des datacenters. Sauf que le principal problème n’est pas de savoir où, mais de déterminer qui et comment : qui contrôle les données, et comment celles-ci sont-elles protégées ?
De sorte qu’un Cloud de confiance se doit d’intégrer des caractéristiques aussi variées que l’identité de l’opérateur, les ressources mises en œuvre, l’expertise convoquée, la pérennité des processus, etc. – et tenir compte du principe global d’ « autonomie numérique ».
Un enjeu mis sur le devant de la scène à l’initiative du projet européen d’infrastructures de données Gaia-X.
À l’heure où le marché de la donnée est dominé par les Gafam (Google, Amazon, Facebook, Apple et Microsoft) aux USA et par les BATX (Baidu, Alibaba, Tencent et Xiaomi) en Chine, la question de la souveraineté numérique se pose avec d’autant plus d’acuité.
Non seulement en raison de la localisation des serveurs, mais parce que la réglementation tend parfois à renforcer ce monopole de la donnée.
On le voit aux États-Unis avec l’adoption en 2018 du Cloud Act qui permet à l’administration de contraindre les fournisseurs de services à lui transmettre n’importe quelles données, appartenant à des entreprises nationales ou étrangères, stockées sur le territoire américain ou dans des pays tiers, dès lors que les opérateurs sont américains.
Pour les entreprises de la Silicone Valley, c’est une forme de garde-fou juridique. Mais pour les acteurs étrangers, c’est une brèche dans laquelle l’administration peut se faufiler pour piller les savoir-faire.
Or les datacenters américains stockent les données de 80 % des sociétés du CAC 40, mais aussi d’un grand nombre de ministères et de collectivités territoriales…
Le cloud privé SecNumCloud
Le référentiel qui garantit le plus haut niveau de sécurité pour la protection de vos données sensibles.
Clairement, la 4e révolution industrielle est en marche – et elle repose sur la gouvernance des données.
De sorte qu’il ne peut exister de souveraineté nationale sans une vraie souveraineté numérique : le fait, pour un État, de garder la mainmise sur ses données, sans dépendre, pour la collecte, le stockage et le traitement de ces dernières, d’une autre nation d’un point de vue technique, économique ou juridique.
D’où la nécessité, pour nos acteurs nationaux, de pouvoir compter sur un Cloud français répondant à ces exigences.
Les promesses d’un Cloud français sécurisé, garant de la souveraineté des données
La création d’un nouveau label « Cloud de confiance » vient répondre à ces enjeux stratégiques et dessiner la promesse d’une souveraineté numérique longuement désirée.
Le lancement d’une nouvelle « stratégie nationale pour le Cloud » témoigne d’une volonté d’aller au-delà du cadre de confiance représenté par la qualification SecNumCloud, délivrée par l’ANSSI – dont seuls trois acteurs français disposent à ce jour, notamment Oodrive.
Une certification technique qui, en n’imposant pas de cadre juridique européen, permet (en théorie) aux multinationales américaines ou chinoises de l’obtenir, alors même qu’elles sont soumises à des législations extraterritoriales problématiques…
L’aspect juridique est donc au cœur du projet de Cloud français, et de cette stratégie ambitieuse reposant à la fois sur le label Cloud de confiance et sur la doctrine du « Cloud au centre » pour les administrations.
Le label devrait intégrer des protections juridiques contre les législations extraterritoriales, en contraignant les entreprises françaises et européennes à se tourner vers des prestataires Cloud ayant leurs serveurs installés sur le territoire de l’UE et respectueux des exigences les plus pointues en matière de protection des données…
Sans, pour le moment du moins, fermer complètement la porte aux offres Cloud américaines qui pourraient être commercialisées par des acteurs européens.
Quant à la doctrine du « Cloud au centre », autre pilier d’un nuage sécurisé français, elle vise à moderniser l’action publique en harmonisant les impératifs de digitalisation de l’État et des collectivités avec les évolutions du numérique et des enjeux liés aux données.
À travers cette doctrine, le Cloud devient un prérequis pour tout nouveau projet numérique de l’État. Un Cloud sécurisé français, si possible.