En matière de cloud, à chacun sa stratégie
En France, trois stratégies semblent se dessiner sur le marché très convoité de l'hébergement des données appartenant à des secteurs sensibles : les offres françaises, les offres franco-américaines et les offres américaines. Les hyperscalers ont pris des chemins différents. Tandis qu'AWS a récemment décidé de lancer sa propre offre, Google et Microsoft se sont alliés à Thales pour le premier et à Orange et Capgemini pour le second. Tous font la même promesse : une imperméabilité aux législations américaines tout en conservant le même niveau de service. Pour l'instant, aucun n'a reçu le fameux label SecNumCloud délivré par l'Anssi. En matière de cloud, à chacun sa stratégie. Il reste désormais à savoir qui gagnera.
La bataille pour le cloud "souverain" est toujours d'actualité. En France, trois stratégies semblent se dessiner : les offres franco-françaises, les offres franco-américaines et les offres américaines. L'objectif est toujours le même : obtenir le fameux sésame "SecNumCloud" qui permet de proposer son service d'hébergement à des secteurs sensibles. A l'heure actuelle, seules cinq entreprises françaises ont reçu ce label par l'Agence nationale de la sécurité des systèmes d'information (Anssi) : OVHcloud, 3DS Outscale, Oodrive, Cloud Temple et Wordline.
Oodrive, premier provider SecNumCloud
"SecNumCloud" est né du constat suivant : il n'existait en France aucun référentiel de sécurité nationale pour les fournisseurs de cloud service provider (CSP). A la suite de la promulgation de la loi de programmation militaire de 2013, l'Anssi s'est entourée de neuf acteurs du secteur pour former un groupe de travail et réfléchir à la création d'un visa de sécurité. Fin 2016, la première version de SecNumCloud est publiée. L'entreprise Oodrive a été la première entreprise à recevoir le précieux sésame.
Depuis, le référentiel a été mis à jour. La version 3.2, en vigueur depuis le 8 mars 2022, établit une liste d'obligations à respecter en matière de protection contre les lois extra-territoriales. Ainsi, le chapitre 19.6 prévoit que le siège statutaire, administration centrale et principal établissement du prestataire doivent être établis au sein d'un Etat membre de l'Union européenne. De plus, en cas de recours par le prestataire aux services d'une société tierce ayant un siège en dehors de l'UE, celle-ci ne doit pas avoir la possibilité technique d'obtenir les données opérées au travers du service.
Vers un label gouvernemental "cloud de confiance"
Le visa de sécurité est intégré dans la stratégie gouvernementale sur le cloud. Elle prévoit notamment le développer d'un label "cloud de confiance" dont l'objectif est d'écarter "les failles techniques et juridiques induites par l'extraterritorialité des grands fournisseurs du marché qui ne sont pas soumis aux règlementations françaises". Pour maintenir leurs services en France, les entreprises devront se conformer aux exigences de SecNumCloud, écrit le gouvernement dans la page de présentation.
Pour espérer recevoir ce label, deux acteurs américains ont décidé de se rapprocher d'entreprises françaises. C'est le cas de Google avec Thales qui ont lancé "S3NS", annonce faite une semaine après Microsoft, Capgemini et Orange qui ont dévoilé "Bleu".
S3NS se présente comme une entreprise française "majoritairement détenue et entièrement contrôlée par Thales". Celle-ci a fait le choix de mettre à disposition son service en deux temps. La première offre, "cloud de confiance", s'adresse "aux institutions publiques françaises et aux entreprises privées", en particulier les Opérateurs d'importance vitale (OIV) et les Opérateurs de services essentiels (OSE). Espérant recevoir le label "SecNumCloud", elle devrait être disponible "pour le quatrième trimestre 2024", d'après Cyprien Falque, directeur général de S3NS.
La seconde offre, "contrôles locaux", est disponible en "early access" depuis février 2023 et est également aux mêmes clients que "cloud de confiance". Quatre certifications sont visées, dont hébergeur de données de santé (HDS). Le premier client, Birdz (filiale de Veolia), a été annoncé début octobre 2023.
Bleu aux abonnés absents ?
De son côté, Microsoft a choisi Orange et Capgemini. Ensemble, ils ont annoncé Bleu en mai 2021. Contrairement à S3NS, Bleu n'a pas (encore ?) de site internet dédié. Ses actualités sont donc publiées sur les sites des partenaires. C'est ainsi qu'ils ont annoncé le 22 juin 2022 que "la future société devrait commencer à accompagner des clients dans la préparation de leur migration d'ici la fin 2022" et que ses premiers services seront opérationnels en 2024. L'Usine Digitale a contacté les entreprises concernées qui n'ont pas répondu aux sollicitations visant à obtenir davantage de détails.
Une fois que la création de S3NS et Bleu annoncée, les regards se sont tournés vers Amazon Web Services (AWS), le service de cloud computing d'Amazon qui capte l'essentiel des parts de marché devant Microsoft Azure et Google Cloud. D'après les estimations du Synergy Research Group, la part de marché mondiale d'Amazon s'élevait à 34% au troisième trimestre 2022, Microsoft Azure 21% et Google Cloud 11%.
AWS établit une stratégie différente
Ce n'est finalement qu'en octobre 2023 qu'AWS a annoncé non pas un partenariat avec une entreprise française mais le lancement d'une offre régionale dédiée à l'Union européenne. "AWS European Sovereign Cloud" s'adresse au secteur public et aux secteurs "hautement réglementés". La première région sera ouverte à Berlin, en Allemagne, avait confié Stephan Hadinger, directeur de la stratégie au sein d'AWS, à L'Usine Digitale.
En proposant un service de régionalisation des données, AWS a suivi les pas d'Oracle. Ce dernier a présenté son offre EU Sovereign Cloud en juin 2023. Pour répondre aux exigences du visa SecNumCloud, il a évoqué la possibilité hypothétique d'une offre co-gérée avec un partenaire local, en citant en exemple son partenariat avec Telecom Italia pour le compte du gouvernement italien.
Quelle que soit leur stratégie commerciale, Google, Microsoft et AWS font la même promesse à leurs clients : une imperméabilité aux lois américaines, dont le fameux Lawful Overseas Use of Data Act (CLOUD Act). Ce texte, adopté le 23 mars 2018 sous l'administration Trump, permet aux forces de l'ordre et aux agences de renseignement américains d'obtenir des opérateurs télécoms et des fournisseurs de services de cloud computing des informations stockées sur leurs serveurs et ce, que ces données soient situées aux Etats-Unis ou à l'étranger. Les administrations concernées doivent obtenir l'autorisation d'un juge et respecter un ensemble de conditions. Pour rappel, c'est en partie l'existence de cette loi qui avait motivé la décision de la Cour de justice de l'Union européenne (CJUE) de sabrer le Privacy Shield, désormais remplacé par le Data Privacy Framework (DPF) adopté en juillet 2023.
Des garanties pour se protéger des lois américaines
Pour assurer une protection contre la législation américaine, les providers prévoient une séparation physique et logistique. Dans son offre "cloud de confiance", S3NS prévoit que les données seront hébergées au sein de centres de données situées en Ile-de-France, uniquement accessibles par des salariés de S3NS. De son côté, AWS prévoit une région disposant de sa propre "alimentation", système de "refroidissement" et d'une "sécurité physique indépendante". De plus, seuls les employés de la firme résidant au sein de l'Union européenne pourront procéder aux opérations de maintenance et de support, promet le géant américain.
Pour passer à la vitesse supérieure, ces discours commerciaux doivent convaincre les exigences de l'Anssi pour espérer recevoir le visa de sécurité français. Les entreprises concernées visent également l'échelle européenne avec l'EUCS (European Cybersecurity Certification Scheme for Cloud Services), qui devrait à terme remplacer le label français. Le gendarme cyber doit notamment s'assurer que les entreprises ont mis en place des garanties suffisamment robustes pour chiffrer les données en transit et au repos.
La position de l'Anssi est cruciale : si elle décide que les offres franco-américaines peuvent être certifiées SecNumCloud, elle mettra à mal les providers français, qui n'arrivent déjà pas du tout à faire le poids face aux mastodontes américains. Sous l'ère Poupard, désormais remplacé par Vincent Strubel, la position de l'Agence était assez claire. "Sur le cloud de confiance, on ne parle de souveraineté absolue. On n'est pas capable du cloud de haut niveau en France aujourd'hui avec des technologies exclusivement françaises développées en France", avait déclaré l'ancien directeur général de l'Anssi au Sénat le 5 octobre 2022 lors d'une audition sur le projet de loi de finances 2023. Tout en déclarant que "les Gafam" proposaient des services robustes en matière de sécurité, il reconnaissait qu'il existait "des risques résiduels très importants" sous l'angle "juridique". "C'est là où c'est important de travailler sur des solutions d'éliminer ces risques juridiques, a-t-il jugé puis ajoutant d'emblée. Ces solutions [hybride] nous semblent indispensables pour couvrir l'ensemble du marché."
Bataille pour le futur schéma européen
Il reste ensuite à voir ce que choisira l'Enisa, l'agence de l'Union européenne pour la cybersécurité. Comme le révélait Euractiv ayant pu consulter un document datant du 23 janvier dernier, la Commission européenne fait pression pour introduire des exigences de souveraineté afin de maintenir les données hors de portée des juridictions étrangères. Elles imposeraient notamment la localisation des centres de données européens, une immunité vis-à-vis des lois et des conditions extra-européennes pour les personnes ou les organisations qui contrôlent le fournisseur de services cloud. La France, l’Italie et l’Espagne se sont ralliées à l’initiative.
Un bras de fer s'est également instauré entre la France et l'Allemagne, notamment illustré par la prise en position du Bundesamt für Sicherheit in der Informationstechnik (BSI) en faveur de la nouvelle offre d'AWS. "Le développement d'un cloud AWS européen permettra à de nombreuses organisations du secteur public et entreprises ayant des exigences élevées en matière de sécurité et de protection des données d'utiliser les services AWS beaucoup plus facilement", a déclaré Claudia Plattner, présidente de l'équivalent allemand de l'Anssi, cité par Amazon dans son communiqué. A noter qu'AWS a été le premier provider à recevoir le label C5 (Cloud Computing Compliance Controls Catalogue), un visa de sécurité délivré par le BSI qui est obligatoire pour les services gouvernementaux.
Les parlementaires interpellent le gouvernement
En France, deux parlementaires ont posé une question au gouvernement. Le député MoDem Philippe Latombe MoDem et la sénatrice Catherine Morin-Desailly (Union centriste) ont interpellé Jean-Noël Barrot, le ministre délégué auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique chargé du numérique. La sénatrice souhaite ainsi connaître sa position sur "cette nouvelle offre américaine et sur les problèmes posés sur sa validation par le BSI". Aucune réponse n'a pour l'instant été apportée.
SUR LE MÊME SUJET
En matière de cloud, à chacun sa stratégie
Tous les champs sont obligatoires
0Commentaire
Réagir![[Vidéo] Rencontrez Chloé, conceptrice mécanique chez MBDA](/mediatheque/5/4/0/001530045_400x440_c.jpg)
