Comment définir aujourd'hui ce qu'est un cloud souverain ? Le JDN a posé la question à Philippe Latombe, député Modem, membre de la commission des lois à l'Assemblée nationale et expert du suet. Voici sa réponse : "Il s'agit d'un cloud localisé et opéré par une société française. Une entreprise qui ne présente aucun rattachement avec une maison-mère étrangère, et qui est par conséquent protégée contre les législations extraterritoriales tel que le Cloud Act américain". Le Cloud Act permet, sur simple décision de justice, à l'Etat fédéral US de consulter des données hébergées par un acteur américain, quelle que soit leur localisation dans le monde (cf. l'étude du cabinet d'avocats américain Greenberg Traurig LLP).
"Un cloud souverain doit par ailleurs s'adosser à des équipements serveur et réseau conçus et assemblés dans l'Hexagone, dont les composants principaux soient eux aussi made in France, à l'image des processeurs ou de la mémoire", ajoute Philippe Latombe. Une précaution qui permettra de limiter le risque de portes dérobées utilisables par la CIA dans le cadre du FISA (Foreign Intelligence Surveillance Act). "Pour éviter toute ingérence extérieure, le fournisseur proposera enfin un système pour chiffrer les données du client en lui donnant la possibilité d'utiliser ses propres clés de cryptage", complète le député.
Sur la base de cette définition, le JDN dresse ci-dessous un comparatif des principaux providers de cloud, français ou pas, présents sur notre sol, en passant au crible pour chacun d'entre eux tous les critères de souveraineté évoqués.
* Offre de chiffrement couvrant les principaux services cloud proposés (machines virtuelles, stockage, services de base de données, container as a service, Kubernetes as a Service, Funtions as a Service…)
Sur les 7 critères analysés, OVHCloud est celui qui en remplit le plus, soit 4. En France, le groupe d'Octave Klaba propose évidemment une structure juridique qui isole son offre des réglementations extraterritoriales. Il conçoit lui-même ses serveurs et les assembles au sein de son usine de Croix dans le Nord. Une infrastructure industrielle qui en fabrique plus de 80 000 chaque année. Cette politique d'internalisation permet à OVH d'optimiser et surtout de sécuriser en grande partie sa chaîne d'approvisionnement. En revanche, le groupe de Roubaix ne construit pas les composants électroniques de ses machines. Il reste par conséquent tributaire des aléas de ce marché, notamment sur le segment critique des microprocesseurs. Sans compter des back door qui peuvent venir s'y glisser.
OVHCloud a aussi décroché la très select certification SecnumCloud décernée par l'Agence nationale de la sécurité des systèmes d'information (Anssi). Une certification volontairement retenue parmi les critères de souveraineté analysés. Pourquoi ? Parce qu'elle apporte la reconnaissance de l'Etat français quant à "la qualité et la robustesse de la prestation, la compétence du prestataire, et la confiance pouvant lui être accordée" (dixit l'Anssi). Il n'en reste pas moins qu'elle porte ici sur le service de cloud privé d'OVH qui, à la différence de son offre de cloud public (basée sur un socle open source), s'appuie, lui, sur la plateforme propriétaire américaine VMware. A l'inverse, 3DS Outscale a obtenu le précieux sésame pour son infrastructure de cloud public. Reste que la filiale cloud de Dassault Systèmes a fait le choix du système de stockage NetApp et d'équipements réseau Cisco. Des technologies également américaines. "SecnumCloud nous impose des dispositifs pour détecter le trafic réseau tiers (provenant par exemple de sniffers orientés espionnage intégrés dans les technologies américaines dans le cadre du FISA, ndlr)", pondère sur ce point David Chassan, directeur de la stratégie de 3DS Outscale.
Sur le plan des processeurs, le secteur du cloud souverain français pourrait retrouver des couleurs dans le sillage du plan Electronique France 2030. Dévoilé par le gouvernement en juillet, il prévoit d'injecter 5 milliards d'euros dans les semi-conducteurs, dont 800 millions dans la prochaine génération des processeurs de 10 nanomètres. Avec l'IoT comme cible mais également le cloud, il s'inscrit dans le cadre du second projet d'intérêt européen commun (PIIEC). Un programme qui intègre, en plus pour la France, 10 milliards d'euros de dépenses ciblant une quinzaine de projets de R&D dans l'électronique et les télécoms, ainsi que la construction d'une dizaine de nouvelles usines ou lignes de fabrication de composants. L'ambition combinée du PIIEC et du plan Electronique France 2030 ? Accroître les capacités de production de semi-conducteurs de l'ordre de 90% dans l'Hexagone d'ici 2027.
"La réussite des projets Bleu et S3NS dépendra de la manière dont sera organisée et cadrée leurs prestations"
Parmi les champions français des semi-conducteurs, on compte l'incontournable STMicroelectronics, mais surtout Soitec, qui cible notamment le segment de l'edge computing. Un positionnement qui va prendre de plus en plus d'importance avec la tendance à la décentralisation croissante du cloud. Du côté des constructeurs français de serveurs figure l'incontournable 2CRSI. Une technologie retenue par OVHCloud pour équiper ses datacenters asiatiques.
"La problématique du cloud souverain, qui pose la question de l'intégrité de la sécurité des données confiées aux fournisseurs, est un enjeu essentiel qui est reconnu par la totalité des acteurs du marché, qu'ils soient américains, européens ou français", explique Olivier Iteanu, avocat au barreau de Paris et expert des législations numériques. Certains cloud providers américains sont allés jusqu'à s'approprier le terme de cloud souverain et l'intégrer à leur politique marketing. C'est notamment le cas de Microsoft ou d'Oracle qui ont tous deux lancés des offres européennes dites "souveraines". Des solutions qui garantissent notamment la localisation des données dans le pays du client, le rattachement du support à des équipes locales, voir une isolation vis-à-vis des autres régions cloud du fournisseur ("non-souveraines").
"Ici, la promesse est illusoire. Il va de soi que ces prestations ne sont pas imperméables au Cloud Act qui prime sur n'importe quel contrat. Avec cette législation, les USA proposent un outil juridique qui légalise l'espionnage industriel et la captation de données", martèle Olivier Iteanu. "En admettant qu'un avionneur français se soit fait dérober les plans d'un de ses futurs modèles stockés sur un cloud américain, il va se retourner contre ce dernier, mais celui-ci pourra bénéficier ensuite de la protection du Cloud Act."
Pour l'avocat, la certification SecnumCloud pourrait bien représenter la solution qui mette tout le monde d'accord. Dans sa version 3.2 sortie en octobre 2021, SecnumCloud intègre de nouvelles exigences pour garantir que le fournisseur et les données qu'il traite ne puissent être soumis à des lois non-européennes. Localisation des données, des ressources humaines, contrôle d'accès, chiffrement de l'information, gestion des risques, détection d'incident en temps réel… Le référentiel de l'Anssi est des plus détaillé en allant jusqu'à spécifier des exigences quant à la sécurisation physique des data centers.
En cherchant à distribuer leur cloud via des tiers français, Microsoft et Google ont pour ambition de décrocher le fameux sésame. Le premier passera par Bleu, une joint-venture créée par Orange et Capgemini, pour commercialiser son cloud Azure en France. Quant au second, il s'est rapproché de Thales pour créer une co-entreprise (baptisée S3NS) sous juridiction française. "La réussite des projets Bleu et S3NS dépendra de la manière dont sera organisée et cadrée leurs prestations. Dans les deux cas, les équipes comme les infrastructures cloud devront être entièrement isolées de celles de l'éditeur, en plus d'être rattachées à des structures juridiques bien distinctes visant à garantir une étanchéité totale avec le Cloud Act", prévient Olivier Iteanu. L'offre Azure commercialisée par Bleu devrait être lancée d'ici fin septembre. Quant à celle de S3NS, elle est déjà testée par quelques entreprises en bêta. L'un comme l'autre qualifient leurs futures offres de cloud de confiance et pas de cloud souverain. Un modèle dont ils sont loin de cocher toutes les cases.
Comment définir aujourd'hui ce qu'est un cloud souverain ? Le JDN a posé la question à Philippe Latombe, député Modem, membre de la commission des lois à l'Assemblée nationale et expert du suet. Voici sa réponse : "Il s'agit d'un…
Je gère mes abonnements push
Les informations recueillies sont destinées à CCM Benchmark Group pour vous assurer l’envoi de votre newsletter.
Elles seront également utilisées sous réserve des options souscrites, à des fins de ciblage publicitaire.
Vous bénéficiez d’un droit d’accès et de rectification de vos données personnelles, ainsi que celui d’en demander l’effacement dans les limites prévues par la loi.
Vous pouvez également à tout moment revoir vos options en matière de ciblage. En savoir plus sur notre politique de confidentialité.