Cloud souverain ou de confiance : garder la tête froide dans le nuage…

Avec la montée des tensions internationales, les concepts de « cloud de confiance » et de « cloud souverain », apparus il y a dix ans, prennent une résonance particulière depuis quelques mois. Qu’est-ce qui a changé dans l’UE depuis la création du consortium Gaia-X ? Que pèse la qualification SecNumCIoud ?

La souveraineté des systèmes d’information et le cloud de confiance intéressent les organisations : selon le club d’experts Cesin (cybersécurité), une entreprise sur deux (55 %) montre « un attrait marqué pour les initiatives en cours ». « La souveraineté renvoie à des services de cloud computing qui sont conformes aux réglementations territoriales, européennes et nationales », constate Noham Medyouni, CTO ambassador chez Dell Technologies France, tandis que le concept de cloud de confiance serait « moins complémentaire, moins restreint, moins strict ». Dans ce contexte, la qualification SecNumCIoud élaborée en France par l’Anssi (Agence nationale de la sécurité des systèmes d’information) se justifie : « C’est un référentiel prescrivant des règles de sécurité et s’inspirant des directives européennes, dont celles sur la protection des données personnelles (RGPD). Il impose que le fournisseur soit européen, qu’il détienne la certification ISO 27001 sur l’ensemble de sa plateforme, qu’il soit opérationnel localement, avec du personnel basé en Europe, sous contrat européen », précise Noham Medyouni. Les fournisseurs de services cloud qualifiés SecNumCIoud ne sont pas légion en France. On peut citer OVH Cloud, CloudTemple (groupe Neurones), Oodrive, Prolival (Horizon), Scaleway, ou deux nouveaux entrants, Bleu et NumSpot (cf. encadré). L’Allemagne recense quelques acteurs également capables de rivaliser avec les géants américains du cloud, dits « hyperscalers » (Amazon AWS, Google, iCloud d’Apple, Microsoft…), sans oublier les chinois Alibaba et Huawei.

Quelle vision européenne ?

Cette distinction entre cloud de confiance et cloud souverain est entendue par l’Union européenne. Il s’agit de fixer des règles du jeu, comme celles sur la protection des données personnelles (RGPD), ou encore les DMA (Digital market act), et DSA (Digital services act), et bientôt sur l’IA. L’Europe réplique ainsi au Patriot act et au Cloud act (poussé par Donald Trump), deux dispositifs qui ouvrent aux administrations centrales des États-Unis l’accès aux données des entreprises américaines à l’étranger. Pour faire contrepoids, le consortium franco-allemand Gaia-X, initié par une vingtaine d’acteurs allemands et français, avait eu le soutien de la Commission de Bruxelles. Mais sur un malentendu : « En réalité, les Allemands ne voulaient pas exclure les hyperscalers américains mais plutôt susciter des agrégations ou passerelles avec leurs plateformes », observe Noham Medyouni (Dell). Du coup, en 2021, certains membres cofondateurs de Gaia-X, dont Scaleway (Yann Lechelle, proche de Xavier Niel), ont claqué la porte. Aujourd’hui, l’alliance compte plus de 370 membres du monde entier et veut faciliter la création de data spaces. On est loin de la souveraineté… « Tout le monde s’y est donné rendez-vous, y compris Google, Huawei… Ça pose des questions sur le lobbying », observe Mos Amokhtari, responsable Stratégie cloud chez Red Hat France (distributeur de logiciels libres ou en sources ouvertes, acquis par IBM). À leur tour, Outscale (Dassault Systèmes) et Docapost ont quitté Gaia-X et ont créé NumSpot (cf. encadré). Citons également Cloud Temple choisi par des institutions publiques, dont l’EFS (Don du sang).

La question de l’extraterritorialité subsiste

Il n’empêche, le cloud de confiance suffit à de nombreuses entreprises : selon une récente étude d’IDC, 82 % des organisations en Europe déclarent l’utiliser ou l’envisager. « Les fournisseurs de cloud public y viennent, constate Mos Amokhtari, mais il reste que les données ne doivent pas pouvoir quitter le territoire. » En clair, s’assurer que les clés de chiffrement des données ne soient pas exposées au Cloud act américain. La qualification SecNumCIoud (dans sa version 3.2) écarte précisément tout risque d’extraterritorialité des données. Et pourtant, on voit naître des alliances comme celle scellée entre Google et Thaïes autour de la coentreprise S3NS pour une offre de cloud de confiance. « Ce rapprochement inattendu, un peu hors nature, a tout d’une réplique à la coentreprise Bleu annoncée en 2022 et réunissant Microsoft, Orange et Capgemini, observe Mos Amokhtari. À travers ces alliances, les géants du cloud semblent vouloir anticiper le durcissement des règles du jeu édictées par l’UE. »

Garder le contrôle, surtout avec l’IA

La bonne pratique consisterait à conserver les données critiques chez soi sur un cloud privé ou cloud de confiance ; et, pour le reste, une partie du système d’information serait étendu à un cloud public tout en gardant le contrôle. « Le qualificatif “souverain” est invoqué lorsque l’activité est très sensible, par exemple dans la banque, la défense nationale, la recherche nucléaire, etc.», ajoute le responsable de Red Hat. Le secteur de la santé, très friand de modélisation, utilise des algorithmes d’IA (comme LLM, large language model) qui nécessitent de piocher dans de vastes ensembles de données. Or, au nom de la souveraineté, cet accès aux données peut se fermer : « Pour les chercheurs, c’est un dilemme compliqué, une question de géopolitique et non de technologie », observe Noham Medyouni (Dell). Le monde de l’édition s’intéresse aussi au cloud souverain, surtout s’il utilise une IA générative : « Ici se pose la question de la propriété intellectuelle et des droits d’auteur. Or, dans ce domaine, la France est bien placée avec des start-up comme Hugging Face, bien accueillie aux États-Unis, ou encore Mistral AI [IA générative] », ajoute le spécialiste de Dell.

Réversibilité et portabilité

La réversibilité et la portabilité restent cruciales : comment passer d’un cloud à un autre ? Cela reste techniquement compliqué et coûteux. Ce qui explique le succès de solutions open source comme Openshift. « Il s’agit souvent de services managés, donc externalisés, et à la demande, facturés par “instance”, à l’usage. Faccès au code doit rester ouvert », insiste Noham Medyouni. Ainsi, comme HPE, IBM, Oracle et d’autres, Dell a développé sa propre plateforme (Cloud APEX for Openshift). Il existe des alternatives à Openshift (environ 47,8 % du marché, selon IT Pro, 2021) : citons Suse Rancher, choisie par France Travail, ou des serveurs virtuels (clusters) Tanzu Kubernetes chez VMware ou encore Canonical Kubernetes sur Ubuntu (autre open source)… On peut aussi concevoir d’entraîner sa modélisation chez un hyperscaler avec quelques données pour ensuite la développer sur un cloud souverain indépendant. Bref, tous les scénarios restent possibles.

« On peut rechercher la souveraineté sans être extrémistes »

NumSpot, nouveau fournisseur de services cloud managés et sécurisés, veut répondre à la qualification de cloud de confiance souverain SecNumCIoud 3.S. Cette SAS française au capital de 50 M€ a été créée en février 2023 par la Banque des territoires, Docaposte, Bouygues et Dassault Systèmes. « En proposant du “vrai » cloud public souverain, l’objectif n’est pas d’évincer les Gafam mais de créer une offre alternative ou complémentaire », explique son président, Alain Issarni, ancien DSI de la Cnam et de la DGFIP à Bercy. « Nous ne sommes pas non plus sur le segment des entreprises françaises associées à la technologie des Gafam. Nous construisons un cloud basé sur des briques logicielles libres. Notre cible, ce sont les administrations, les opérateurs, les collectivités, les acteurs de la santé, les banques & assurances et les OIV [organismes d’importance vitale] qui vont requérir la conformité à NIS2.» « Il ne s’agit pas d’être des extrémistes de la souveraineté. La vraie question est celle du niveau de dépendance vis-à-vis d’acteurs tiers. Le premier critère, c’est l’immunité par rapport aux lois extraterritoriales, comme le Cloud act américain (toute organisation y est exposée, si elle est détenue à plus de 24 s par un acteur américain) mais aussi, et surtout, le système de surveillance FISA [Foreign intelligence surveillance act] des États-Unis, qui est l’objet de discussions actuellement à Washington et pourrait conduire à une collecte de masse de données encore plus grande qu’aujourd’hui et tout aussi problématique en termes de respect de la sécurité et confidentialité des données. »