Dans un contexte de développement massif de l’informatique en nuage dominé par une poignée d’acteurs hégémoniques proposant des offres de grande qualité, la question de disposer en France et plus généralement en Europe d’offres de cloud de confiance alternatives se pose régulièrement.
Cette question n’est pas nouvelle. Dès 2014, l’Agence Nation de la Sécurité des Systèmes d’Information s’est attelée à la rédaction d’un référentiel de sécurité visant à objectiver ce que l’on peut légitimement attendre de tels services. La première version du référentiel SecNumCloud est ainsi parue en 2016 proposant une liste de critères de sécurité technico-opérationnels à remplir pour pouvoir garantir un haut niveau de sécurité. En parallèle, l’Allemagne, sous l’impulsion du BSI, a développé son propre référentiel appelé « C5 » et basé sur une approche de conformité. Toujours en 2016, la France et l’Allemagne se sont ouvertement prononcées en faveur d’une démarche commune européenne s’appuyant sur leurs expériences nationales. Ceci a notamment conduit en 2019 à la publication du cybersecurity act qui a posé le cadre permettant de développer de véritables certifications de sécurité à l’échelle européenne. L’une des premières applications est la conception du schéma EUCS dédié aux services cloud.
Face à la montée en puissance des questions d’autonomie stratégique européenne et à la nécessité de se protéger non seulement de risques techniques et opérationnels mais également des risques plus réglementaires, la France a décidé en 2022 d’inclure dans son référentiel SecNumCloud des critères de sécurité juridique permettant de s’assurer que seules les lois et règles européennes s’appliquent aux offres qualifiées. Dit autrement, la volonté ainsi explicitée est de se protéger de droits non-européens, souvent qualifiés « d’application extraterritoriale », ce qui est très facilement le cas dans le domaine du numérique. La version 3.2 du référentiel SecNumCloud publiée en mars 2022 fixe ainsi des critères de nationalité et de contrôle capitalistique s’imposant aux offreurs recherchant une qualification.
Depuis lors d’intenses discussions à l’échelle européenne dans le cadre de la définition du schéma EUCS ont lieu afin de tenter de concilier des impératifs légitimes d’autonomie stratégique, de défense face à des régulations extra-européennes particulièrement intrusives, mais également d’accès aux meilleurs solutions technologiques.
Dans le contexte de ces débats complexes mais cruciaux pour notre avenir, il est important de se reposer systématiquement la question de l’intérêt de disposer de véritables offres de cloud de confiance en Europe. Une première approche naturelle consiste à se focaliser sur la sécurité des données personnelles et la stricte conformité au RGPD. Les multiples épisodes et revirements de la relation transatlantique à ce sujet démontrent toute sa complexité juridique. Les décisions de la cour de justice de l’Union Européenne invalidant les accords dits « Safe Harbour » puis « Privacy Shield » suite aux plaintes déposées par l’avocat autrichien Max Schrems laissent à penser que la nouvelle décision d’adéquation mise en place dans le contexte délicat du conflit en Ukraine et de la dépendance énergétique de l’Europe a toutes les chances d’être également invalidée d’ici à quelques années…
Mais la nécessité de clouds européens ne peut pas être uniquement vue sous l’angle de la sécurité juridique. Un second argument en faveur de solutions européennes est de nature plus économique. S’il fait peu de sens de développer une démarche protectionniste dans un domaine numérique aussi ouvert et mondialisé, il est en revanche légitime de s’interroger sur la nécessité de maîtriser des technologies et des offres qui constituent aujourd’hui un sous-jacent majeur de pans entiers de notre économie. Entendons-nous bien, maîtriser ne signifie pas tout faire soi-même, tourner le dos à l’innovation technologique, s’enfermer dans une vision rétrograde et conservatrice. Maîtriser c’est au contraire savoir tirer profit des progrès technologiques d’où qu’ils viennent, les comprendre, savoir les mettre en œuvre de manière autonome et raisonnée. Maîtriser le cloud, c’est notamment limiter le risque d’abus de position dominante de la part d’industriels hégémonique non-européen. Maîtriser le cloud, c’est éviter une fuite massive de valeur économique.
Maîtriser le cloud, c’est encore être capable de s’assurer par nous-mêmes du niveau de sécurité, de confidentialité, de disponibilité de ces services devenus absolument essentiels à notre société. Maîtriser le cloud, c’est s’assurer durablement de la capacité d’innovation numérique de notre recherche, de nos start-ups, de nos acteurs économiques petits et grands.
Maîtriser le cloud n’est autre qu’une condition nécessaire à la maîtrise de notre destin, rien de moins.
A propos de Guillaume Poupard
Directeur Général Adjoint de Docaposte
Polytechnicien (promotion X92) et docteur en cryptologie, Guillaume Poupard débute sa carrière en tant de chef du laboratoire de cryptologie de la Direction centrale de la sécurité des systèmes d’information (DCSSI) qui deviendra, en 2009, l’Agence nationale de la sécurité des systèmes d’information (ANSSI). En 2005, il rejoint le ministère de la Défense où il se spécialisera dans la cyberdéfense, avant d’intégrer en 2010 la Direction générale de l’armement (DGA) en tant que responsable des pôles sécurité des systèmes d’information et cyberdéfense. En 2014, il est appelé à prendre la direction générale de l’ANSSI, fonction qu’il occupera jusqu’à fin de l’année 2022. Dans un contexte de cybermenaces croissantes, Guillaume Poupard aura notamment, au cours de ces 8 dernières années, joué un rôle clé dans l’évolution de la stratégie de la France sur la cybersécurité et contribué au développement de l’ANSSI qui compte désormais plus de 600 experts de haut niveau dans tous les domaines de la cybersécurité (technique, opérationnel, stratégique, réglementaire…) et fédéré un écosystème national d’acteurs publics et privés sur les questions de cybersécurité. Guillaume Poupard est depuis janvier 2022 directeur général adjoint et membre du comité exécutif de Docaposte.