Comment bâtir des clouds souverains
La souveraineté numérique, un enjeu majeur trop négligé
Eh bien oui, régulièrement, Untel ou Untel va hurler contre les GAFAM, contre les lois extra-territoriales américaines, contre l'impérialisme économique ou encore les abus de positions dominantes. Hurler doit soulager la colère. Mais, ensuite, que faut-il faire ? Il est sans aucun doute plus que...
DécouvrirAujourd'hui, aucun débat sur la souveraineté numérique n'a lieu sans mentionner le cloud. Disposer de services sécurisés, non soumis aux législations étrangères représente en effet un enjeu fort pour les États comme pour les entreprises européennes. Des clouds de l'État à Gaia-X, focus sur les différentes initiatives actuelles et leurs positionnements respectifs.
PublicitéLa question de la souveraineté numérique occupe de nouveau le débat public, et avec elle l'idée de bâtir un cloud souverain. Toutefois, depuis l'échec du projet Andromède, lancé en 2011, la façon d'aborder cet enjeu a changé. « La dernière expérience menée a laissé un goût amer », a estimé Loïc Rivière, délégué général de l'association professionnelle Tech in France, qui s'est exprimé devant la commission d'enquête sur la souveraineté numérique en 2019. Malgré cela, il a rappelé ensuite qu'il était dans l'intérêt de la France de disposer d'alternatives en matière de cloud. « La question est de savoir où placer le curseur entre un cloud souverain hébergeant uniquement les données sensibles de l'État et un cloud également capable de répondre aux besoins des grands utilisateurs nationaux », affirme-t-il. Afin de ne pas réitérer les mêmes erreurs, Loïc Rivière invite à « bien différencier les données relevant du marché de celles, plus sensibles, entrant dans le champ de la souveraineté numérique. »
Ce constat semble avoir été entendu. Le 27 août 2020, s'exprimant devant les chefs d'entreprise français lors de LaREF, l'événement d'été du Medef, Bruno Le Maire, ministre de l'Économie, des Finances et de la Relance, a opéré cette même distinction. « Nous travaillons sur un cloud souverain pour stocker les données les plus sensibles des entreprises stratégiques pour le pays. Mais l'un des freins concerne la valorisation des données stockées. À l'échelle franco-allemande, nous menons le projet Gaia-X, pour faciliter l'échange et la valorisation des données entre grandes entreprises », a ainsi expliqué le ministre.
De l'État aux entreprises, des exigences différentes
Pour bien comprendre ce qui distingue les différentes initiatives actuelles, il faut d'abord prendre en compte la diversité des besoins et des exigences, y compris au sein d'une même entreprise ou d'un même secteur. Ainsi, pour le secteur public, une circulaire du cabinet du Premier Ministre a précisé le 8 novembre 2018 la doctrine pour l'usage du cloud computing dans l'administration, en proposant un découpage en trois cercles de solutions : le premier est un cloud interne construit par l'État, qui capitalise sur les différents clouds interministériels existants ou en cours de construction. Ce cloud interne est destiné à accueillir des données, traitements et applications sensibles, ainsi qu'à répondre aux besoins régaliens d'infrastructures numériques. Un deuxième niveau de cloud, le cloud dédié, s'appuie sur une infrastructure cloud standard du marché, mais personnalisé pour répondre aux besoins de l'État et reposant sur une infrastructure dédiée. Ce cloud vise notamment à répondre aux enjeux de pérennité des données, dans un modèle de cloud privé. Enfin, le troisième niveau est le cloud externe, un catalogue d'offres porté par les centrales d'achat de l'administration, répondant à un certain nombre de critères minimaux en termes de fonctionnalités, de réversibilité et de sécurité.
PublicitéPour les entreprises, l'un des principaux enjeux en matière de souveraineté numérique est de protéger les données sensibles face aux législations étrangères, l'arsenal réglementaire étant une arme de choix pour la guerre économique dans le cyberespace. Cependant, la protection ne doit pas empêcher l'exploitation de ces données. C'est l'équation que cherche à résoudre le programme Gaia-X à l'échelon européenne. À travers Gaia-X, il ne s'agit pas de construire une offre de cloud, mais de fédérer des services existants à travers une série de critères et de standards communs, ainsi que des principes directeurs comme le Security by Design (sécurité dès la conception) et le Privacy by Design (protection de la vie privée dès la conception). Dans Gaia-X, c'est l'utilisateur qui décide où ses données sont stockées, qui peut effectuer des traitements avec celles-ci et pour quels usages, en fonction de sa propre classification. L'objectif est d'accompagner le développement d'un écosystème de confiance autour du cloud, pour permettre l'échange et le partage de données de façon sécurisée, en particulier dans le cadre de plateformes et cas d'usages sectoriels. Lancé en 2019 par 22 entreprises françaises et allemandes, le programme a aujourd'hui considérablement grandi, regroupant désormais plus de 300 organisations.
Le cloud distribué, la réponse des fournisseurs de cloud public ?
Si l'approche proposée par Gaia-X permet de répondre à la plupart des problématiques en matière de souveraineté numérique, il est parfois nécessaire d'aller plus loin. C'est le cas notamment pour certains secteurs, notamment les opérateurs à importance vitale, opérateurs de services essentiels ou encore l'administration, qui peuvent nécessiter des garanties supplémentaires pour certains services ou types de données. Pour cette raison, l'État souhaite également développer un cloud de confiance français, qui « doit permettre aux entreprises, privées comme publiques, de stocker leurs données stratégiques en toute indépendance et avec toutes les garanties de sécurité nécessaires », selon Bruno Le Maire. Ce cloud de confiance est mis en place avec des acteurs français du cloud, qui garantissent un hébergement en France. Il passe notamment par la qualification des offres, à travers le référentiel SecNumCloud de l'ANSSI.
Toutes ces approches ont bien entendu des points de convergence, en particulier en ce qui concerne les normes de sécurité et d'interopérabilité. Les différences résident principalement dans le niveau de sensibilité des données concernées et dans les usages envisagés. Enfin, une dernière différence concerne l'implication des fournisseurs de cloud public américains. Plusieurs d'entre eux ont en effet rejoint récemment Gaia-X. Chez ces derniers, il faut également mentionner l'émergence récente d'offres de clouds hybrides (ou clouds distribués selon Gartner), comme Google Anthos, AWS Outposts, Azure Stack ou IBM Satellite. À travers ces dernières, les acteurs américains du cloud proposent de retrouver les mêmes services que sur leurs offres publiques, mais hébergés sur site ou chez un autre partenaire. Une façon de répondre à certains des enjeux en matière de souveraineté, notamment sur la localisation des données, tout en bénéficiant des technologies du cloud public.
Article rédigé par
Aurélie Chandeze, Rédactrice en chef adjointe de CIO
Suivez l'auteur sur Linked In,
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire