Le Cloud Souverain : où en est-on ?

Qu’est-ce que le cloud souverain ? Quels sont ses objectifs et qu’est-ce que cela implique pour votre organisation ? On vous explique tout.
30 mars 2023
Le cloud souverain, états des lieux et enjeux

La notion de cloud souverain prends de plus en plus de place dans les débats autour du numérique en France. Que se cache-t-il derrière ce terme et qu’est-ce que cela implique pour les organisations ? Décryptage.

Depuis quelques années et en particulier la crise sanitaire de 2020, la notion de souveraineté a pris une place de choix dans les débats publics. Que ce soit dans le secteur de l’énergie, de l’industrie ou le milieu militaire, le principe de souveraineté est bien présent… et le numérique ne fait pas exception à la règle.

Conflits entre réglementations européennes et américaines, naissance de projets cloud hybride entre l’Europe et les Etats-Unis, volonté forte des éditeurs de logiciels français de voir naître un cadre numérique européen souverain : les actualités sur le cloud souverain ne cessent de se multiplier.

Mais qu’est-ce exactement que le cloud souverain ? Qu’est-ce que la notion de souveraineté implique dans l’utilisation d’une technologie cloud ? Et qu’est-ce que cela implique concrètement pour votre organisation ?

Sommaire
Le cloud souverain Les réglementations européennes et américaines Les lois extraterritoriales Le cloud de confiance : la réponse française Que faire pour mon entreprise

Le cloud souverain

Pour comprendre ce qu’est le cloud souverain, il convient en premier lieu de rappeler à quoi renvoie la notion de souveraineté.

La souveraineté, nous informe le Larousse, est le « Pouvoir suprême reconnu à l’État, qui implique l’exclusivité de sa compétence sur le territoire national (souveraineté interne) et son indépendance absolue dans l’ordre international où il n’est limité que par ses propres engagements (souveraineté externe). »

Le “Cloud souverain” renvoie donc à l’utilisation de services cloud par une entreprise ou des individus entièrement gérés par des fournisseurs régionaux ou nationaux afin de protéger la souveraineté des données personnelles et sensibles des utilisateurs et des organisations concernées.

On retrouve ainsi plusieurs notions essentielles pour parler de cloud souverain :

  • Les services cloud sont proposés et facturés par des entités européennes ;
  • Les données sont hébergées en France ou sur le territoire européen ;
  • Les données sont sécurisées et protégées des lois extraterritoriales ;
  • Les technologies cloud doivent contribuer à l’autonomie des organisations françaises.

Comme nous l’avons vu précédemment, le cloud souverain a émergé en raison de discussions généralisées autour de la souveraineté au sein de la société. Toutefois, d’autres facteurs expliquent cette émergence.

  • La sécurité tout d’abord : avec la multiplication des cyberattaques (+28% au troisième trimestre 2022 par rapport à 2021) la cybersécurité est aujourd’hui l’un des enjeux prioritaires des organisations (51% des entreprises françaises ont déjà été la cible d’une tentative de vol de données).
  • La protection des données sensibles dans des écosystèmes protégés comme les données de santé soumises à la certification HDS.
  • La menace de certaines lois extraterritoriales, pointés du doigt notamment par les éditeurs de logiciels français qui appellent à la création d’un écosystème numérique européen à l’abri de la juridiction de nations étrangères.
  • Le besoin de rendre plus cohérent et plus efficace les technologies cloud pour les professionnels.
Le Jamespot Summti seconde édition

Quelle solution collaborative choisir ?

Découvrez les 4 solutions collaboratives les plus plébiscitées et faites le meilleur choix pour votre organisation.

Télécharger l'ébook

Les réglementations européennes et américaines

Impossible de parler de cloud et de souveraineté sans aborder la question des réglementations. Que ce soit au sein de l’Union européenne ou aux USA, il existe tout un ensemble de réglementations et de législations visant à réguler et à protéger les données des utilisateurs et des organisations.

Passons en revue les principales réglementations européennes et américaines, traitant de l’utilisation de données, afin de mieux comprendre la difficulté bien réelle de donner naissance à un cadre numérique souverain autour du cloud européen.

Le RGPD

Sans doute la mesure la plus connue et la plus symbolique, que ce soit en France ou dans le reste de l’Union européenne. En effet, le Règlement Général sur la Protection des Données (RGPD) est un texte européen entré en application en 2018. Il permet notamment :

  • De renforcer les droits des utilisateurs ;
  • De responsabiliser les acteurs traitant des données ;
  • De créer un cadre juridique unifié pour l’ensemble de l’Union Européenne.

Le RGPD permet que les données soient traitées de manière transparente, légitime et sécurisée, et que les utilisateurs doivent soient informés de l’utilisation qui en est faite tout en béénficiant de différents moyens d’actions les concernant (droit à la migration et à la suppression notamment.) Un texte de loi qui s’applique à toutes les entreprises et sites internet qui collectent, traitent et stockent les données de citoyens européens, même dans le cloud.

Le FISA

Le FISA (Foreign Intelligence Surveillance Act) est une loi américaine datant de 1978 consacrant des procédures de surveillance (à la fois physiques et électroniques) autour de personnes physiques. L’un des points essentiels concerne l’amendement de cette loi datant de 2008 via lequel le gouvernement américain est autorisé à surveiller les communications électroniques de personnes non américaines et résidants en dehors du territoire américain.

Ainsi, les fournisseurs de services informatiques à distance, les fournisseurs de services de communication électronique et les entreprises de télécommunications sont, à travers cette loi, dans l’obligation de coopérer avec les autorités américaines et doivent permettre à ces dernières d’accéder aux informations en leur possession.

La NIS

La NIS (Directive européenne sur la sécurité des réseaux et de l’information) est un texte dont l’objectif principal est de renforcer la sécurité de l’ensemble des systèmes d’informations, au sein de l’UE en imposant des normes minimales de sécurité pour les réseaux et les systèmes informatiques essentiels. La NIS s’applique aux fournisseurs de services numériques, y compris les fournisseurs de services cloud.

Le Cloud Act

L’une des réglementations américaines les plus connues. Le « Cloud Act » (Clarifying Lawful Overseas Use of Data Act) est une loi américaine adoptée en 2018 peu de temps après l’entrée en vigueur du RGPD qui a pour objectif de clarifier la manière dont les autorités américaines peuvent accéder aux données stockées à l’étranger par les fournisseurs de services cloud.

En vertu de cette loi, les fournisseurs de services cloud sont tenus de fournir des données stockées à l’étranger à des autorités américaines dans certains cas, même si ces données sont soumises aux lois de protection des données de pays étrangers. La loi établit également un cadre pour les accords bilatéraux entre les États-Unis et d’autres pays afin de régler les conflits de juridiction relatifs à l’accès aux données stockées à l’étranger.

Bien entendu, ces réglementations ne sont pas les seules et d’autres textes de loi, américains et européens, existent et structurent l’utilisation qui est faite des données des utilisateurs sur leur territoire.

Les lois extraterritoriales : la menace à la souveraineté

Si les Etats-Unis et l’Union Européenne semblent disposer chacune de leurs propres textes de loi, les réglementations américaines posent un problème de taille à leurs équivalents européens : leur portée extraterritoriale.

Le FISA et le Cloud Act à eux-seuls permettent aux autorités américaines d’outrepasser la juridiction européenne et de se saisir des données de citoyens européens selon certaines situations.

Des lois qui sont donc en contradiction directe avec les lois et les réglementations locale (le RGPD pour ne citer que lui) et qui rentrent en conflit avec la notion de souveraineté que nous avons défini plus tôt  (« son indépendance absolue dans l’ordre international »).

Les lois américaines obligent d’autres nations à se plier à leur juridiction. Résultat, ces pays dépendent d’une loi votée aux États-Unis et non pas au sein de leurs propres espaces politiques.

Se pose ainsi le problème de la récupération de données sensibles par les autorités américaines comme, par exemple, les données de santé des citoyens français qui devaient être hébergées à l’origine par Microsoft, les plaçant ainsi directement sous juridication américaine.

Le problème est d’autant plus important qu’une écrasante majorité d’organisations françaises et européennes, publiques comme privées, ont recours quotidiennement à des outils de travail conçus outre-atlantique (les entreprises américaines captent 69% du marché européen du cloud contre 2% pour OVHcloud, pourtant premier hébergeur en Europe.)

Outils collaboratifs souverains - où en est-on ?

Qu’en pensent les entreprises françaises ?

Où en sont les administrations et les entreprises françaises en matière de souveraineté numérique ?

Télécharger l'étude

Le cloud de confiance : la réponse française

Les risques identifiés par rapport à l’utilisation de solutions collaboratives américaines et le poids toujours plus important de la souveraineté dans les débats a conduit l’Etat français à réagir. La réponse : la mise en place d’une stratégie cloud reposant sur 3 piliers :

  • Un label cloud de confiance ;
  • L’initiative cloud au centre ;
  • Le développement de projets industriels pour favoriser le développement des technologies cloud en France, à travers des investissements du gouvernement.

A la suite de la mise en place de cette stratégie, différents projets ont commencé à voir le jour, portés par des acteurs français mais aussi américains. En voici quelques-uns :

Gaia-X

Gaia-X est un projet européen de cloud souverain lancé en 2019. L’un des projets les plus ambitieux à ce jour, fruit d’une initiative franco-allemande et dont la finalité était de créer un écosystème de données européen ouvert et interopérable, respectueux des normes de sécurité et de confidentialité européennes.

Un écosystème qui doit favoriser la circulation et le partage sécurisé de données tout en permettant aux membres du projet de conserver le contrôle sur ces dernières.

Gaia-X avait été très vite critiqué en raison de l’inclusion d’acteurs américains dans le projet mais malgré tout, il a bien été stipulé que n’importe quelle organisation devrait être en mesure de rejoindre l‘écosystème de Gaia-X à partir du second trimestre 2023.

Numspot

4 grands industriels français (Docaposte, Dassault Systèmes, Bouygues Telecom et la Banque des Territoires) réunis pour une offre cloud complète et 100% tricolore ! L’objectif du projet : proposer une offre de cloud de confiance aux acteurs institutionnels et économiques français allant jusqu’aux logiciels à la demande. En effet, Numspot souhaite servir de plateforme d’agrégation de solutions collaboratives françaises (dont Jamespot) afin que les secteurs concernés (le secteur public, la santé et la finance) de bénéficier des outils de leur choix.

Le projet Bleu

Le projet “Bleu” a été lancé en 2020 et est porté par Cap Gemini et Orange. Les deux géants du numérique ont conclu un partenariat avec Microsoft afin « de créer un fournisseur de services cloud français répondant aux besoins spécifiques de certaines organisations ». Le projet Bleu proposera ainsi à ses utilisateurs les solutions de collaboration Microsoft 365 ainsi que les services de la plateforme Microsoft Azure. Et la souveraineté ? Il est précisé que le projet Bleu bénéficiera d’une immunité aux lois extraterritoriales ainsi que d’une totale indépendance économique puisque Cap Gemini et Orange en seront les deux seuls investisseurs majoritaires.

Le label SecNumCloud

Les cyberattaques évoluant en parallèle du nombre d’organisations migrant vers le cloud, la sécurité est devenu un enjeu incontournable. Le label SeNumCloud a été lancé en 2015, à l’initiative de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) française. L’objectif de cette certification est d’aider les entreprises, ainsi que les organisations, à choisir les fournisseurs de cloud souverain cochant le plus de cases en termes de sécurité.

En d’autres termes, le label SecNumCloud s’adresse surtout aux opérateurs de services cloud qui respectent les normes de sécurité et de confidentialité établies par l’ANSSI. Le second intérêt de cette certification est d’éviter de laisser les entreprises clientes négocier leurs exigences de sécurité avec les prestataires et de proposer à la place une approche plus centralisée.

Une façon pour les entreprises de montrer patte blanche en termes de sécurité et de prouver la conformité de leur système et le respect des pratiques listées dans le référentiel de l’ANSSI.

Que faire pour mon entreprise ?

Mais alors, comment les entreprises peuvent-elles, doivent-elles agir pour répondre à ces besoins de protection de la donnée ? Plusieurs mesures peuvent être entreprises par les organisations :

  • Travailler à l’évaluation des risques : les entreprises doivent prendre le temps d’évaluer l’ensemble des risques autour de leurs données. Elles doivent mener de véritables audit sur leur dépendance vis-à-vis des fournisseurs de services cloud et s’assurer que les exigences légales et réglementaires (que ce soit au niveau national ou international) soient totalement respectées.
  • Mieux déterminer leurs besoins : les entreprises doivent s’assurer d’identifier leurs besoins réels et spécifiques en ce qui concerne la question de la sécurité des données. Les organisations doivent s’assurer d’être en conformité avec les données récoltées, la façon dont elles les traitent, et garantir la confidentialité et la transparence quant à ce qui en sera fait, à l’ensemble des individus concernés.
  • Privilégier les solutions françaises et européennes : Lointaine est l’époque où les solutions collaboratives françaises pouvaient être considérées comme incomplètes par rapport à leurs homologues américains. Réunissant plusieurs millions d’utilisateurs partout à travers le monde, respectueuses des normes européennes, portées sur l’innovation et travaillant avec des acteurs locaux reconnus (OVH, Outscale…), les solutions françaises sont aujourd’hui des alternatives complètes et sérieuses aux outils américains et consolident l’émergence d’un cloud souverain français mais aussi européen.
  • Assurer la migration et le suivi du service et du RPGD compliance : l’organisation, en cas de besoin, doit s’assurer de la bonne migration de son ancien service cloud vers le nouveau, en prenant le temps de vérifier que les applications et les données n’aient pas été altérées au moment de la transition, tout en prenant en compte les questions liées au coût, aux risques et délais. Mais ce n’est pas tout. L’entreprise doit s’assurer de mettre en place les bons mécanismes de sauvegarde ou de récupération de la donnée afin de contrer un éventuel défaut, manquement ou une défaillance du prestataire de service.
  • Participer aux initiatives de développement du cloud souverain : Les entreprises peuvent contribuer aux initiatives de développement du cloud souverain en participant à des groupes de travail, des consortiums et des projets de recherche et de développement, afin de promouvoir le développement de solutions de cloud souverain qui répondent à leurs besoins spécifiques.
Benoît Guilbert

Passionné par le numérique et grand amateur d'écriture qui apprécie tout particulièrement transmettre ses connaissances à d'autres personnes.