Que retenir des annonces gouvernementales sur le cloud souverain ?
Le ministre de l'économie Bruno Le Maire et le ministre délégué au numérique Jean-Noël Barrot ont complété la doctrine "cloud au centre" à l'occasion de l'inauguration du nouveau data center d'OVHcloud à Strasbourg. Ils ont notamment annoncé la création d'un comité stratégique de filière "numérique de confiance" dirigé par Michel Paulin et la mise en place d'un dispositif d'accompagnement des PME et start-up pour l'obtention du label "SecNumCloud". En revanche, très peu de précisions ont été apportées sur la place des entreprises américaines de cloud qui aujourd'hui monopolisent le marché.
A l'occasion de l'inauguration du nouveau data center d'OVHcloud à Strasbourg ce 12 septembre, le gouvernement a fait quelques annonces sur l'épineux sujet du cloud "de confiance" ou "souverain". Celles-ci viennent compléter ou préciser la stratégie nationale pour le cloud dit "Cloud au centre". Elle repose sur "SecNumCloud" qui, délivré par l'Agence nationale de la sécurité des systèmes informatiques (Anssi), atteste d'un niveau élevé de protection des données hébergées. Ce label est particulièrement important pour les entreprises qui traitent des données sensibles dans la santé ou la défense par exemple.
Rattraper le retard
"Chacun doit bien prendre la mesure de ce qui se joue. Le cloud, ce sont des installations, des emplois et des technologies, a déclaré le ministre de l'économie Bruno Le Maire. Nous devons accélérer pour rattraper le retard à l'allumage que nous avons en Europe." En effet, rappelons que les fournisseurs américains – Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform – sont largement devant les acteurs européens et français sur le marché français du cloud. Ils captent 69% du marché européen à eux seuls, d'après une étude de Synergy Research Group dont les résultats ont été publiés en septembre 2021.
Premièrement, le gouvernement promet la mise en place d'un "dispositif d'accompagnement à la qualification" SecNumCloud doté un budget de 2,5 millions d'euros. Il s'adressera aux start-up et aux petites et moyennes entreprises (PME) qui proposent des services PaaS/SaaS pouvant contribuer à "la modernisation et à la résilience des entreprises et des administrations".
Aujourd'hui, le label a été attribué à 7 offres portées par Cloud Temple, OVHCloud, Oodrive, 3DS Outscale et Worldline. "Le qualification est un processus long et exigeant. Certains acteurs nous ont fait part de cette complexité", a commenté Jean-Noël Barrot, le ministre délégué au numérique. Aucun détail n'a été en revanche fourni sur les détails de cet accompagnement.
(Re)préciser la notion de données sensibles
Le gouvernement souhaite également préciser sa doctrine en clarifiant la notion de "données particulièrement sensibles" via une circulaire publiée "dans les semaines qui viennent". En effet, l'un des objectifs du "Cloud au centre" est que les entreprises et les administrations qui traitent des données sensibles fassent systématiquement appel à des hébergeurs qualifiés. Encore faut-il, d'après le gouvernement, comprendre de quoi parle-t-on.
En réalité, la circulaire relative à la doctrine d’utilisation de l’informatique en nuage par l’État du 5 juillet 2021 précise déjà ce qu'il faut entendre par "données sensibles". Il s'agit "des données personnelles des citoyens français, des données économiques relatives aux entreprises françaises, ou d’applications métiers relatives aux agents publics de l’État". La Direction interministérielle du numérique (Dinum) devra épauler les administrations dans cet objectif. Encore fois, ces dispositifs d'aides existent déjà. Le plan de relance a instauré un guichet pour financer les projets "cloud" des administrations.
Un CSF dirigé par Michel Paulin
Du côté des industriels du secteur, Bruno Le Maire a annoncé la création d'un comité stratégique de filière (CSF) "numérique de confiance". Il aura pour objectif de favoriser les échanges avec l'Etat pour encourager "la coopération" et l'émergence "d'une offre française compétitive dans les prochaines années". C'est Michel Paulin, directeur général d'OVHcloud, qui est chargé de faire aux ministres sous 6 mois une proposition de composition, la gouvernance et les objectifs de ce CSF.
Bruno Le Maire a également appelé de ses voeux l'adoption d'un schéma européen de certification du cloud (European Cybersecurity Certification Scheme for Cloud Services, EUCS), actuellement en cours de négociation devant l' l'Agence de l'Union européenne pour la cybersécurité (ENISA). Il s'agit de garantir la robustesse d'un produit ou d'un service selon un référentiel. Il devrait, d'après les derniers travaux, définir trois niveaux : le niveau élémentaire pour les produits non critiques destinés au grand public, le niveau substantiel qui cible le risque médian et le niveau élevé pour les solutions pour lesquelles il existe un risque d'attaques impliquant des compétences ou des ressources "significatives".
Le projet actuel prévoit d'intégrer "des critères garantissant l'immunité contre les lois extraterritoriales" dans le niveau élevé. Autrement dit, cela signifie que les entreprises souhaitant obtenir ce label devront prouver que techniquement et juridiquement aucune donnée ne part vers un pays étranger et n'est accessible par les autorités de ce même pays. Bien que tous les pays soient concernés, les regards se tournent évidemment vers les Etats-Unis pour deux raisons au moins. Les trois grands fournisseurs de cloud computing – Amazon, Microsoft et Google – y ont leur siège et l'existence du Cloud Act qui permet aux autorités américaines de mettre la main sur n'importe quelle donnée à partir du moment où elle est hébergée par une société américaine.
S3NS et Bleu soumis au Cloud Act ?
La protection face aux lois américaines est devenue le cheval de bataille. "Il ne faut pas accepter que des puissances nous volent nos données. Je suis opposé au principe d'extraterritorialité des lois américaines", a déclaré Bruno Le Maire à ce sujet. Pourtant, en acceptant que des offres hybrides puissent en théorie recevoir le label SecNumCloud, le gouvernement semble avoir ouvert un boulevard aux entreprises américaines.
Thales et Google avec S3NS et Orange, Capgemini et Microsoft avec Bleu revendiquent une commercialisation de leurs offres d'ici quelques mois. Rien n'est moins sûr, à en croire un rapport rédigé par le cabinet d'avocats américain Greenberg Tauring commandé par le ministre néerlandais de la justice et de la sécurité. En effet, il conclut qu'une entreprise située au sein de l'Union européenne peut être soumise au Cloud Act si elle dispose d'activités aux Etats-Unis, même à distance. Conséquence de quoi, les offres hybrides ne pourraient pas prétendre à la qualification.
Sélectionné pour vous
SUR LE MÊME SUJET
Que retenir des annonces gouvernementales sur le cloud souverain ?
Tous les champs sont obligatoires
0Commentaire
Réagir