Quels sont les critères qui caractérisent un bon cloud souverain ?

Résumé

La souveraineté numérique, préoccupation assez récente, est de plus en plus prégnante pour chaque acteur ayant à gérer des données sensibles.

Le cloud souverain garantit en réponse à ceci la résilience, la cybersécurité et l’indépendance, pour tous les acteurs se retrouvant face à cet enjeu.

Les acteurs européens se retrouvent encore trop souvent sous le coup de lois extraterritoriales, du fait de la présence des plus grands acteurs américains du cloud notamment.

La notion de cloud souverain est de plus en plus souvent utilisée, y compris par certains hyperscalers comme AWS, qui revendiquent des offres de cloud souverain dans leur portefeuille.

A l’occasion d’une intervention à l’ISAC AFAI courant 2023, Vincent Coudrin, coordinateur des politiques de transformation numérique de l’État au sein de la DINUM, a notamment précisé les enjeux du cloud souverain pour la France, auxquels nous avons ajouté quelques compléments.

Genèse de la préoccupation autour de la 
souveraineté numérique

La souveraineté numérique est une préoccupation assez récente car elle est devenue une priorité à partir de 2021, avec notamment la sortie de la doctrine « Cloud au Centre ». La crise Covid 19 a également été un facteur d’accélération, car au-delà des pénuries industrielles autour des masques « nous avons manqué de ressources de cloud computing, qui permettaient de créer des espaces de convivialité, mais aussi d’organiser le travail à distance. » précise Vincent Coudrin. Les conséquences de la guerre en Ukraine n’ont fait également que renforcer cette nécessité de « souveraineté numérique »

Autonomie stratégique et indépendance, 2 pans principaux

Pour illustrer ce point, Vincent Coudrin explique : « l’idée, c’est de conduire son destin sans se faire imposer une volonté. Cela a été cité au cours de la mission parlementaire « résilience nationale », avec l’idée d’indépendance vis-à-vis de l’extérieur, d’un côté, et d’autonomie sur le plan intérieur, de l’autre ». 

Concrètement que cela suppose-t-il ? Utiliser des ressources IT « hors de portée des dispositions extraterritoriales d’un droit non européen ». Il s’agit donc « d’articuler le sécuritaire avec l’isolation juridique ».  

Souveraineté et sécurité des données (note de l’auteur)

Il est en effet clef de valider que le fournisseur de cloud n’est pas soumis aux lois extraterritoriales. Le fait que par exemple les datacenters d’un fournisseur de cloud noneuropéen soient situés en Europe n’est en aucun cas une garantie totale d’immunité aux lois extraterritoriales. En effet, les hyperscalers sont par exemple soumis au Cloud Act ou au Fisa, qui permettent une réquisition des données par l’Etat américain en dehors du territoire américain.  
 

Plus largement le cloud souverain permet ainsi aux organisations de se conformer aux régulations locales et européennes telles que le RGPD (Règlement Général sur la Protection des Données), qui impose des règles strictes sur le traitement et le transfert des données personnelles. 

Résilience, cybersécurité, indépendance

Par résilience, on entend la capacité d’un système cloud à résister à des incidents et à se rétablir rapidement après des événements perturbateurs. Ces événements peuvent inclure des pannes de matériel, des coupures de réseau, des cyberattaques ou des catastrophes naturelles. L’objectif principal est d’assurer la continuité des services et la protection des données sans interruption significative.  

« Il faut que les offres soient résilientes. Si un service de stockage n’est disponible que dans un seul datacenter, vous ne serez pas souverain en l’utilisant », illustre Vincent Coudrin.  

En matière de cybersécurité, l’Etat souhaite se tourner vers des offres répondant « aux critères de la certification SecNumCloud» pour les besoins d’hébergement des données dites « sensibles » comme le précise la circulaire « Cloud au centre ». A noter que le référentiel SecNumCloud garantit une isolation aux lois extraterritoriales et donc une souveraineté.  

En matière d’indépendance, une vigilance doit être également apportée. En effet, lorsque les technologies et les logiciels utilisés appartiennent à une entreprise française, ou européenne, et qu’elle est rachetée par une organisation noneuropéenne, se pose la question du transfert du contrôle. 

Bon à savoir

Le choix d’un fournisseur de cloud privilégiant le recours à l’open source est une garantie en termes de réversibilité, d’indépendance et évite également de se faire imposer des conditions commerciales déloyales et le « vendor lock-in ».

En conclusion et en résumé, un « véritable » cloud souverain se doit donc d’être à l’abri des lois extraterritoriales, résilient et basé sur l’open source comme gage de réversibilité et d’indépendance.

A propos de NumSpot

NumSpot est un acteur du cloud souverain et de confiance. Né de la volonté de 4 entreprises françaises de premier plan des secteurs public et privé (Banque des Territoires, Docaposte, Dassault Systèmes et Bouygues Télécom), NumSpot propose une offre de cloud indépendant, souverain et robuste adossé au IaaS d’OUTSCALE qualifié SecNumCloud. NumSpot est un cloud réversible et transparent, basé principalement sur l’open source et des solutions européennes. L’offre NumSpot s’adresse prioritairement aux secteurs confrontés à une forte sensibilité des données (secteur public, santé, services financiers et assurance, OIV et OSE) en France et en Europe, et à la recherche d’une solution souveraine et de confiance en accord avec les règlementations RGPD et européennes. NumSpot fait ainsi le choix d’œuvrer pour l’intérêt général en proposant un véritable pacte de confiance entre un fournisseur de cloud, ses clients et les citoyens européens. 

Ça pourrait
vous intéresser

En quoi le recours au cloud souverain et de confiance est-il un accélérateur en matière de cybersécurité ?

Résumé La certification ISO/IEC 27001 est la norme internationale fixant les exigences relatives aux SMSI (Systèmes de Management de la Sécurité de l’Information) des entreprises...

4 min de lecture
Établissements de santé et cloud computing : à vos marques, prêts, partez !" par Dominique Pon, Directeur Général La Poste Santé et Autonomie

Téléchargez le guide NumSpot de la protection des données de santé et du cloud Les données de santé sont précieuses et convoitées car éminemment sensibles...

2 min de lecture
Établissements de santé et cloud computing : à vos marques, prêts, partez !" par Dominique Pon, Directeur Général La Poste Santé et Autonomie

Le SIH (Système d’Informations Hospitalier) est un élément fondamental et stratégique de l’établissement hospitalier, et ce à plusieurs titres : la gestion des processus administratifs...

7 min de lecture

Offres packagées

Découvrez les offres que nous avons bâties avec nos partenaires technologiques.

NumSpot partenaire de Sopra Steria
Offre de Sauvegarde des Données de Santé
Offres packagées NumSpot (Allonia)
Assistant IA
NumSpot partenaire d'Alter way
S.I.E.M.

Cas clients

Trouver

Un partenaire

Découvrez la liste des partenaires embarquant les technologies NumSpot (éditeurs,
intégrateurs, distributeurs, revendeurs, sociétés de conseil)

synodis-partenaire-numspot
Synodis
Denodo logo numspot
Denodo
Logo Adobis Group
Adobis Group
Logo CobolCloud
CobolCloud
Logo Allonia
ALLONIA
SCC
Softeam
Eviden
Docaposte
Cleyrop
Sopra Steria
IBM
LightOn
Alter Way
Illuin Technology
Energisme
OGO
OGO Security
Logo-Red_Hat
Red Hat
DEVOTEAM
Keltio
OCTO Technology
DuoKey
CEO-Vision SAS
Produits

Gestion et opérations
Compute
Containers
Network
Storage
Database
Security and identity
Developers

Solutions

Secteur public
Santé
Services financiers et assurance
OSE et OIV

Cas clients

Découvrez la mise en oeuvre de nos technologies au travers de nos cas clients.

Perfecto Group
Secteur public
CNP Assurances
Services financiers et assurance
Docaposte
Santé
Gestion et opérations
Compute
Containers
Network
Storage
Database
Security and identity
Developers

Produits & disponibilités