Une entreprise américaine peut-elle fournir un cloud européen souverain ?

Une entreprise américaine peut-elle fournir un cloud européen souverain ?
Share on Pinterest Share on LinkedIn

Depuis quelques années, les grands fournisseurs américains de cloud ont multiplié les annonces, initiatives ou offres présentées comme souveraines. Oracle EU Sovereign Cloud est opérationnel depuis juin 2023, et les contours de l’Amazon Web Services (AWS) European Sovereign Cloud ont été esquissés en octobre de la même année. En 2022, Microsoft a présenté son Cloud for Sovereignty, tandis que Google avait révélé son plan «Cloud. On Europe’s Terms» l’année précédente. Les quatre plus grands fournisseurs de cloud au monde, tous américains, aspirent à héberger les données les plus sensibles des services publics et entreprises françaises et européennes. Cependant, la conquête de ce marché par des acteurs externes au Vieux Continent n’est pas exempte de polémiques.

Cloud de confiance ou cloud souverain ? Marketing avant tout

L’émulation d’offres souveraines a suscité une certaine émotion en France. L’utilisation du terme souveraineté par des entreprises non européennes, en l’occurrence américaines, a été très débattue. «Toutes les dénominations de cloud souverain de Microsoft, AWS… ne sont que du marketing, car elles n’ont rien à voir avec la notion de souveraineté», estime Henri d’Agrain, délégué général du Cigref, une association qui s’est proposée de développer le domaine numérique et son contrôle dans les grandes entreprises et les services publics. Il n’est pas le seul à exprimer cette opinion. Naturellement, les fournisseurs de cloud en question, contactés par divers médias, se défendent.

Un problème se pose immédiatement lorsqu’il s’agit de démêler ce qui est souverain et ce qui ne l’est pas : la définition même de cette notion. Une problématique qui se complique avec la popularité de la déclinaison «souveraineté numérique». «La souveraineté numérique est une formule populaire auprès des médias parce qu’elle est facile à utiliser. Néanmoins, on y met un peu de tout et de rien», souligne Ophélie Coelho, chercheure indépendante en géopolitique du domaine numérique. Les journalistes ne sont pas les seuls à l’apprécier, les politiciens aussi : la nouvelle secrétaire d’État à la Numérisation, Marina Ferrari, l’a mentionnée à plusieurs reprises lors de son discours d’investiture.

Face à la vagueur de la notion, on recommande de revenir à la définition originelle de souveraineté. Le Centre National de Ressources Textuelles et Lexicales la décrit comme la «qualité propre à l’État qui possède le pouvoir suprême qui implique l’exclusivité de la compétence sur le territoire national et, sur le plan international, l’indépendance par rapport aux puissances étrangères». Une bonne base, mais qui ne parvient pas à mettre tout le monde d’accord.

Enjeux et préoccupations

Damien Rilliard, directeur chez Oracle EMEA responsable des questions de souveraineté, commente que «le mot souveraineté est un terme très précis, qui a autant de définitions que de personnes à qui on le demande» et ajoute que «c’est encore plus vrai selon le pays où il est utilisé». Il est impossible de s’entendre si personne ne parle de la même chose. Pourtant, l’enjeu est crucial. Dans le baromètre annuel du Club des Experts de la Sécurité de l’Information et du Numérique (CESIN), sur 450 responsables de cybersécurité, 55% considèrent que la souveraineté est une préoccupation pour leurs entreprises.

Pour clarifier la situation, le ministre de l’Économie, Bruno Le Maire, a présenté la stratégie du gouvernement pour le cloud en 2021. Un label, «cloud de confiance», a été créé pour certifier la souveraineté d’un service. Celui-ci s’appuie sur le référentiel SecNumCloud 3.2 de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Ce dernier, qui comporte environ 270 critères, vise à certifier, entre autres, que le cloud est hors de portée des législations extraterritoriales. Aux États-Unis, les lois qui suscitent la crainte sont le Clarifying Lawful Overseas Use of Data Act, plus connu sous le nom de CLOUD Act, et la section 702 du Foreign Intelligence Surveillance Act (FISA). Pour Henri d’Agrain, cette solution est adaptée aux préoccupations des entreprises et administrations concernées : «Le SecNumCloud est un outil de souveraineté. À ce titre, un service cloud qui est qualifié de SecNumCloud répond à des critères de souveraineté».

Perspectives des fournisseurs de cloud

Les services dédiés d’Oracle et AWS ne prétendent pas actuellement obtenir la qualification SecNumCloud. Bien que cette perspective ne soit pas totalement exclue, elle n’est pas une priorité. Les deux groupes estiment fournir de meilleurs clouds, tout en répondant à l’exigence de souveraineté.

Pour Oracle, Damien Rilliard met en avant que deux régions cloud déjà actives en Europe ont été construites ex nihilo avec cet objectif. «Elles sont opérées par des Européens, déployées par des Européens, supportées par des Européens, sécurisées par des Européens, et appartiennent à des entités légales soumises à des Européens», affirme-t-il. Il avance que ces régions sont «complètement, physiquement, logiquement et organisationnellement, séparées, isolées du reste de nos clouds».

De son côté, Amazon, pour son offre future, met surtout en avant l’outil de cryptage Nitro. «L’idée derrière Nitro, c’est que si un juge, une administration, quel que soit son pays d’origine, nous demande des données, la seule réponse que nous avons toujours est que nous sommes incapables de les fournir en clair». Seul le client AWS a accès à ses données, c’est donc lui qui décide de répondre ou non aux injonctions extraterritoriales américaines, affirme Stephan Hadinger, directeur technique d’AWS France.

Les deux entreprises assurent avoir audité la robustesse de leurs solutions avec des résultats pleinement satisfaisants. Néanmoins, certains interlocuteurs expriment des doutes. Cependant, le SecNumCloud est obligatoire pour les services publics et fortement recommandé pour les entreprises manipulant des données sensibles ou stratégiques. Pour AWS et Oracle, cela n’est pas un problème, ce serait juste une question de temps : les deux groupes ont dans leur ligne de mire le European Union Cybersecurity Certification Scheme for Cloud Services (EUCS). Une certification cloud à l’échelle européenne qui est en discussion et destinée à supplanter le SecNumCloud.

Stratégies de Microsoft et Google

Face à l’approche européenne d’AWS et d’Oracle, Microsoft et Google ont opté pour une autre voie, spécifique au marché français. Ils ont décidé de former des partenariats avec des entreprises françaises pour permettre l’obtention de la qualification SecNumCloud dès le lancement des services, prévu pour la fin de 2024.

Microsoft est partenaire technique d’une entreprise nommée Bleu, fruit d’une alliance entre Orange et CapGemini. «Nous avons voulu être radicaux par rapport à SecNumCloud en n’incluant pas d’acteurs non européens dans le capital», explique Jean Coumaros, PDG de Bleu.

Google, quant à lui, a créé une joint-venture avec Thales pour donner naissance à S3NS. «L’exigence du SecNumCloud fixe à 24% la participation d’un acteur non européen, nous sommes largement en dessous», informe Cyprien Falque, PDG de S3NS. Il précise que «Google a un poste d’observateur : sans aucun droit de vote, sans droit de veto et tous les employés sont des employés de Thales». Curieusement, ni Bleu ni S3NS ne mentionnent la notion de souveraineté dans leur communication récente. «N’importe qui peut revendiquer être cloud souverain puisqu’il n’y a pas de définition précise», pointe Jean Coumaros. Cyprien Falque est d’accord : «Nous évitons de parler de cloud souverain, car c’est un terme dévoyé. Nous préférons nous rapprocher de quelque chose d’objectif, qui ne génère pas de débat comme le cloud de confiance».

Autonomie stratégique : une quête française

La voie empruntée par Google et Microsoft est perçue comme un compromis satisfaisant par certains : «En théorie, S3NS et Bleu devraient offrir des solutions conformes au référentiel SecNumCloud dans sa version 3.2. Cela donne un niveau de confiance raisonnable face au FISA ou au CLOUD Act», considère Henri d’Agrain du Cigref. Cela répond également à la volonté exprimée par Bruno le Maire lors de la présentation du cloud de confiance en 2021. Sa stratégie se voulait être un équilibre pour bénéficier des «meilleures technologies» en garantissant une «protection maximale».

L’argument ne convainc pas tout le monde. La perspective d’une certification de S3NS et Bleu serait un «discrédit majeur pour la norme», juge Bertrand Leblanc-Barbedienne, de la revue SouveraineTech. Ce dernier, qui travaille pour une entreprise active dans le cloud, Whaller, argue : «Il ne s’agit pas de dire qu’il n’y a pas une grande puissance technologique américaine, il s’agit de dire que à moyen ou long terme nous avons la capacité d’atteindre ce niveau, à condition de nous libérer de ce soft power qui nous a contaminés et déforme notre vision».

Ce raisonnement se reflète également dans l’analyse d’Ophélie Coelho, auteur d’un livre sur la géopolitique du domaine numérique. Selon elle, le SecNumCloud n’aborde pas correctement le problème, même si l’intention est bonne. L’idée d’empêcher les États-Unis, la Chine ou un autre état disposant de capacités techniques d’accéder à des données européennes à des fins d’espionnage économique est une illusion. Une opinion largement partagée par plusieurs interlocuteurs. Ainsi, «la vraie question est de savoir produire la technologie et la contrôler, au lieu de chercher des stratégies pour contrôler des technologies qui ne nous appartiennent pas».

Cette perspective s’aligne avec le sens que la notion de souveraineté numérique a pris en France depuis sa première utilisation en 2011, dans un article signé par Pierre Bellanger, PDG de la radio Skyrock. Le professeur de droit du numérique à l’Université de Grenoble, Théodore Christakis, distingue «deux acceptions du terme» : une classique, la régulation, et une autre qui est «la souveraineté comme autonomie stratégique et capacité à agir dans le domaine numérique sans être limité par des dépendances externes».

L’autonomie stratégique a été centrale en France pendant des décennies, et s’applique désormais au cloud. Même les offres locales, certifiées, utilisent des logiciels, du matériel ou des capitaux non européens, rappellent les fournisseurs de cloud américains. La question ne semble pas être de se fermer aux services ou technologies en provenance des États-Unis ; personne ne l’envisage ni ne le désire. Plutôt, il s’agit du degré de dépendance acceptable pour la gestion des données sensibles.

C’est une question éminemment politique. Le gouvernement actuel a prescrit sa réponse en France et essaie maintenant de l’intégrer au niveau européen à travers l’EUCS.

source : Siecle Digital

Share on Pinterest Share on LinkedIn

Info Cloud

le dernier

GPMI : la nouvelle interface chinoise qui veut remplacer le HDMI et le DisplayPort

Meta lance Llama 4 : la nouvelle génération de son intelligence artificielle qui défie GPT-4o et Gemini 2.0

OpenAI prépare son assaut sur le hardware avec l’éventuelle acquisition de la startup de Jony Ive pour 500 millions de dollars

Arcep Supervise la Diffusion des Journaux et Magazines

Google, Microsoft, Amazon et IBM se livrent à une compétition pour conquérir l’informatique quantique : voici la course pour l’avenir du traitement des données.

Huawei, leader dans le Quadrant Magique de Gartner 2025 pour les réseaux de centres de données

© Copyright 1995-2024 Color Vivo Internet SLU. Otros contenidos se cita fuente. Infraestructura cloud servidores dedicados de Stackscale.