Résumé
La souveraineté numérique, préoccupation assez récente, est de plus en plus prégnante pour chaque acteur ayant à gérer des données sensibles.
Le cloud souverain garantit en réponse à ceci la résilience, la cybersécurité et l’indépendance, pour tous les acteurs se retrouvant face à cet enjeu.
Les acteurs européens se retrouvent encore trop souvent sous le coup de lois extraterritoriales, du fait de la présence des plus grands acteurs américains du cloud notamment.
La notion de cloud souverain est de plus en plus souvent utilisée, y compris par certains hyperscalers comme AWS, qui revendiquent des offres de cloud souverain dans leur portefeuille.
A l’occasion d’une intervention à l’ISAC AFAI courant 2023, Vincent Coudrin, coordinateur des politiques de transformation numérique de l’État au sein de la DINUM, a notamment précisé les enjeux du cloud souverain pour la France, auxquels nous avons ajouté quelques compléments.
Genèse de la préoccupation autour de la
souveraineté numérique
La souveraineté numérique est une préoccupation assez récente car elle est devenue une priorité à partir de 2021, avec notamment la sortie de la doctrine « Cloud au Centre ». La crise Covid 19 a également été un facteur d’accélération, car au-delà des pénuries industrielles autour des masques « nous avons manqué de ressources de cloud computing, qui permettaient de créer des espaces de convivialité, mais aussi d’organiser le travail à distance. » précise Vincent Coudrin. Les conséquences de la guerre en Ukraine n’ont fait également que renforcer cette nécessité de « souveraineté numérique »
Autonomie stratégique et indépendance, 2 pans principaux
Pour illustrer ce point, Vincent Coudrin explique : « l’idée, c’est de conduire son destin sans se faire imposer une volonté. Cela a été cité au cours de la mission parlementaire « résilience nationale », avec l’idée d’indépendance vis-à-vis de l’extérieur, d’un côté, et d’autonomie sur le plan intérieur, de l’autre ».
Concrètement que cela suppose-t-il ? Utiliser des ressources IT « hors de portée des dispositions extraterritoriales d’un droit non européen ». Il s’agit donc « d’articuler le sécuritaire avec l’isolation juridique ».
Souveraineté et sécurité des données (note de l’auteur)
Il est en effet clef de valider que le fournisseur de cloud n’est pas soumis aux lois extraterritoriales. Le fait que par exemple les datacenters d’un fournisseur de cloud non–européen soient situés en Europe n’est en aucun cas une garantie totale d’immunité aux lois extraterritoriales. En effet, les hyperscalers sont par exemple soumis au Cloud Act ou au Fisa, qui permettent une réquisition des données par l’Etat américain en dehors du territoire américain.
Plus largement le cloud souverain permet ainsi aux organisations de se conformer aux régulations locales et européennes telles que le RGPD (Règlement Général sur la Protection des Données), qui impose des règles strictes sur le traitement et le transfert des données personnelles.
Résilience, cybersécurité, indépendance
Par résilience, on entend la capacité d’un système cloud à résister à des incidents et à se rétablir rapidement après des événements perturbateurs. Ces événements peuvent inclure des pannes de matériel, des coupures de réseau, des cyberattaques ou des catastrophes naturelles. L’objectif principal est d’assurer la continuité des services et la protection des données sans interruption significative.
« Il faut que les offres soient résilientes. Si un service de stockage n’est disponible que dans un seul datacenter, vous ne serez pas souverain en l’utilisant », illustre Vincent Coudrin.
En matière de cybersécurité, l’Etat souhaite se tourner vers des offres répondant « aux critères de la certification SecNumCloud » pour les besoins d’hébergement des données dites « sensibles » comme le précise la circulaire « Cloud au centre ». A noter que le référentiel SecNumCloud garantit une isolation aux lois extraterritoriales et donc une souveraineté.
En matière d’indépendance, une vigilance doit être également apportée. En effet, lorsque les technologies et les logiciels utilisés appartiennent à une entreprise française, ou européenne, et qu’elle est rachetée par une organisation non–européenne, se pose la question du transfert du contrôle.
Bon à savoir
Le choix d’un fournisseur de cloud privilégiant le recours à l’open source est une garantie en termes de réversibilité, d’indépendance et évite également de se faire imposer des conditions commerciales déloyales et le « vendor lock-in ».
En conclusion et en résumé, un « véritable » cloud souverain se doit donc d’être à l’abri des lois extraterritoriales, résilient et basé sur l’open source comme gage de réversibilité et d’indépendance.
