Cloud
Quelle confiance placer dans les clouds de confiance ?
Par François Jeanne, publié le 29 février 2024
Bleu, Microsoft, OVHcloud… Le début d’année est riche en annonces sur le front des clouds de confiance ou dits souverains. Mais si les promesses sont nombreuses, les réalités sont encore fragiles, et non exemptes d’ambiguïtés. Il y a d’autant plus urgence pour les DSI à se préoccuper du sujet que la situation est loin de se stabiliser avec « l’allié » américain.
En apparence, les nouvelles sont bonnes. Bleu, le futur cloud de confiance – une confiance autoproclamée, c’est une pratique commune dans ce secteur – va enfin sortir de ses limbes. Créé par Capgemini et Orange pour fournir des services Microsoft Azure et Microsoft 365 via une société de droit français, il serait ainsi hors de portée des lois d’extra-territorialité américaines. Annoncé dès 2021, il fait donc enfin l’objet d’une première offre commerciale, et encore ne sera-t-elle disponible qu’à partir du début 2025. Les représentants de la joint-venture ont beau balayer ce reproche, expliquant qu’il est dû aux retards dans l’obtention d’un feu vert de la Commission européenne pour opérer le rapprochement, la concurrence a eu largement le temps de profiter de ce retard à l’allumage.
On pense ici un peu à S3NS, qui rassemble Thales et Google Cloud dans une co-entreprise à l’approche similaire. Mais surtout à Numspot, filiale de Docaposte, ou à Oodrive, OVHcloud, Outscale, Cloud Temple, etc. Les quatre dernières ont d’ailleurs un coup d’avance, avec des certifications SecNumCloud déjà obtenues auprès de l’Anssi : certes pas pour la totalité de leur catalogue de services, mais au moins ont-elles fait la preuve, sur des offres déjà opérationnelles, de leur capacité à atteindre le niveau exigé par l’Agence. Ce qui ne sera pas le cas pour Bleu avant, au mieux, le milieu de l’année prochaine. Cela n’empêche pas la joint-venture d’approcher des acteurs publics, des OIV et des OSE, avec succès selon ses dires. Sont cités Crédit Mutuel Alliance Fédérale et sa filiale technologique Euro-Information, l’Agence Française de Développement (AFD), ainsi que le ministère du Travail, de la Santé et des Solidarités.
Ce qui viendrait quelque peu contredire les messages gouvernementaux sur la nécessité d’utiliser, autant que faire se peut, des offres souveraines.
À LIRE AUSSI :
Sauf que la disponibilité effective de services entièrement sous contrôle français ou européen, d’une qualité et d’un prix équivalents à ceux des grands acteurs américains tarde à venir. Malgré ses efforts, OVHcloud pèse encore peu dans la bataille et ne semble pas en mesure de passer prochainement la surmultipliée, même s’il revendique le fait d’être le seul acteur dans le Top 10 mondial du cloud public à n’être ni américain, ni chinois…Du côté de Numspot, les espoirs sont plus importants, mais il va falloir être patient, à la fois pour disposer d’une offre complète et pour qu’elle obtienne les certifications.
La seconde difficulté réside dans un flou artistique savamment entretenu par les acteurs américains. Google vient par exemple d’annoncer la suppression – sous conditions – des frais de sortie des données stockées sur son cloud, pour les clients qui souhaiteraient changer d’air. Quant à Microsoft, il propose avec EU Data Boundary, un plan de cantonnement des données stockées et traitées en Europe.
À LIRE AUSSI :
La morale qu’il faudrait en retirer ? Ce serait que les cloud providers américains ont compris les besoins de souveraineté numérique de leurs clients : c’est pourquoi ils proposent des mécanismes permettant, ici de mieux protéger leurs données critiques de la curiosité des autorités américaines, là de lever les difficultés à les rapatrier sur des serveurs plus protégés. Sauf que, c’est bien connu, les promesses n’engagent que ceux qui les croient. En réalité, aucune de ces « solutions » ne garantit quoi que ce soit, face par exemple à l’imprévisibilité du législateur américain : celui-ci vient encore de repousser la suspension de la section 702 du règlement Fisa (Foreign intelligence surveillance act), ce qui va donc continuer de donner un cadre légal à l’espionnage de masse des données des entreprises et citoyens non-américains, au moins jusqu’en avril 2024, et en dépit de la signature de l’accord Data Privacy Framework (DPF) de juillet 2023.
Pour les DSI, l’heure est donc moins à écouter les sirènes qu’à se saisir du sujet de la criticité des données qui leur sont confiées, et à agir en conséquence des responsabilités business ou réglementaires correspondantes. Bon courage.
À LIRE AUSSI :
À LIRE AUSSI :
