Le label de cloud de confiance relève le niveau de sécurité technique et juridique

by admin
Le label de cloud de confiance relève le niveau de sécurité technique et juridique

Les stratégies évoluent en matière de cloud computing en France et en Europe, même si le marché reste très en retard face aux hyperscalers américains qui dominent le marché. Le gouvernement français vient de dévoiler sa stratégie nationale pour doter les fournisseurs d’un label de “cloud de confiance”, reposant sur des exigences à la fois techniques et juridiques élevées, et dans l’espoir de voir apparaître un jour les prémices d’un cloud souverain.

L’annonce faite ce lundi 17 mai 2021 est le fruit d’un travail interministériel intense de deux années, commente Bruno Le Maire. « Si les choses ont pris autant de temps, c’est que le sujet le mérite, il est essentiel », justifie le ministre de l’Economie, des Finances et de la Relance, rappelant qu’il y a déjà eu des tentatives échouées de bâtir des cloud de confiance par le passé. Cette fois-ci, il s’agit d’une « offre solide qui s’inscrit aussi dans le cadre européen, et notamment du projet Gaia-X », annonce le ministre.

Toutefois, le gouvernement est bien conscient que pour parvenir à construire des offres souveraines, les entreprises et administrations françaises doivent commencer par s’appuyer sur des solutions de cloud à l’état de l’art existantes. Difficile, donc, de composer sans les principaux acteurs extra-européens. « L’Union européenne et la France doivent se doter d’une stratégie de rattrapage volontariste dans le domaine du cloud, et dans le même temps donner accès aux meilleures technologies disponibles », explique Cédric O, secrétaire d’Etat chargé du Numérique.

publicité

Le SecNumCloud et des conditions juridiques en prérequis

Contre les risques suscités par cette technologie, tant pour des raisons techniques, avec la multiplication des cyberattaques, que juridiques, avec la menace des législations extraterritoriales, le label de confiance voulu par le gouvernement devrait en outre permettre aux entreprises et administrations de bénéficier des « meilleurs services offerts par le cloud tout en assurant la meilleure protection pour leurs données », présente Bercy.

La politique de cloud du gouvernement entend protéger au plus haut niveau possible les données des Français. D’un point de vue technique, ce label repose sur le visa SecNumCloud, délivré par l’Anssi. A ce jour, seules trois offres sont qualifiées SecNumCloud en France : OVH pour son offre Hosted Private Cloud, 3DS Outscale avec son offre Cloud Secteur Public et Oodrive, pour l’ensemble de ses offres de cloud privé.

Il existe d’emblée un écart entre les offres déjà qualifiées et les fournisseurs qui ne sont pas encore éligibles. Pour Yann Lechelle, CEO de Scaleway, cette doctrine, même si elle se veut « extrêmement volontariste », donne à voir une certaine « injonction presque contradictoire » en plaçant au centre le visa SecNumCloud, indique-t-il à ZDNet. « Cette doctrine nous invite, acteurs du privé, à se faire certifier pour que d’ici un an nous puissions bénéficier pleinement de ces décisions. Mais c’est un peu compliqué sur le terrain. Chez Scaleway, nous avançons sur ces sujets de certification, mais cela prend du temps », indique Yann Lechelle. Le patron de Scaleway note qu’il existe d’autres certifications équivalentes au SecNumCloud, comme celle de l’Enisa, qui peuvent aussi intéresser les fournisseurs. « Notre structure a besoin de se concentrer sur la vélocité de son produit, et les certifications ont tendance à ralentir. Si on ralentit les acteurs locaux, est-ce qu’on reste dans la course par rapport aux acteurs dominants ? », questionne Yann Lechelle.

Au-delà de l’aspect technique, l’Etat souhaite garantir sur le plan juridique une « indépendance totale par rapport aux lois extra-territoriales américaines ». Pour cocher les critères, les serveurs devront être opérés en France, et les entreprises qui utilisent et vendent ce cloud devront être européennes et être possédées par des Européens.

Des services à l’état de l’art avec les hyperscalers

A ces conditions techniques et juridiques sine qua non s’ajoute une autre contrainte : celle de la qualité des services délivrés. Le gouvernement souhaite donner la possibilité aux clients d’accéder aux « meilleures services mondiaux » détenus par les hyperscalers américains. « Je veux insister sur ce point, car c’est probablement le point d’achoppement des précédentes tentatives. Les meilleures entreprises de services mondiaux sont américaines à ce jour. Nous avons donc décidé que ces meilleures entreprises de service américaines, notamment Microsoft et Google, pourraient licencer tout ou partie de leur technologie à des entreprises françaises, de façon à conjuguer protection maximale et valorisation maximale des données », indique Bruno Le Maire.

Pour répondre à cette équation, le label du cloud de confiance offrira la possibilité de construire des accords de licence entre les opérateurs français et étrangers. Il permettra notamment de nouvelles combinaisons comme la création d’entreprises alliant actionnariat européen et technologies étrangères sous licence.

Si OVH a déjà signé un accord avec Google Cloud autour de l’offre Anthos, d’autres partenariats devraient suivre, assure Cédric O. « Nous espérons d’autres alliances franco-américaines en la matière », dit-il. D’après Geoffroy Roux de Bezieux, président du MEDEF, intervenu lors de la table ronde organisée en marge de l’annonce de ce lundi, Microsoft serait par exemple aussi intéressé par de tels accords de licence. Microsoft, rappelons-le, s’était engagé il y a quelques semaines à stocker toutes les données de ses clients européens sur le Vieux continent, pour rassurer ses clients en Europe vis-à-vis des menaces extra-territoriales et des conséquences de l’arrêt Schrems II.

Bruno Le Maire insiste toutefois sur le fait que ces licences ne veulent pas dire que la France « renonce à développer ses propres services » dans le futur. L’un des volets de la stratégie cloud de l’Etat consiste d’ailleurs à soutenir des projets à forte valeur ajoutée dans le cadre du 4e Programme d’Investissements d’Avenir et de France Relance. Cette action vise notamment les « technologies critiques », telles que les solutions PaaS pour le déploiement de l’IA et du big data, ou encore les suites logicielles du travail collaboratif.

Une politique “cloud au centre” pour les services publics

Les administrations publiques ne sont pas exclues de la stratégie cloud de l’Etat. Le service public, qui est entré de plain-pied dans une démarche de transformation numérique à l’échelle, accélérée par la crise sanitaire et la multiplication de l’usage des services en ligne, entreprend aussi sa migration vers le cloud.

Annoncée par Amélie de Montchalin, ministre de la Transformation et de la Fonction publiques, la nouvelle doctrine “cloud au centre” fait du cloud un prérequis pour tout nouveau projet numérique au sein de l’Etat. Les services numériques des administrations seront désormais hébergées sur l’un des deux cloud interministériels internes de l’Etat (cercle 1) ou sur les offres de cloud proposées par les industriels satisfaisant des critères stricts de sécurité (cercle 2).

Désormais, le cloud devient donc le mode d’hébergement “par défaut” des projets numériques des administrations, indique Amélie de Montchalin. Ces règles s’appliqueront également à tous les projets numériques remis au goût du jour, et devront ainsi s’adapter dans un délai de 12 mois à partir du moment où les offres de cloud de confiance seront créées.

La ministre Amélie de Montchalin précise, en outre, que les projets numériques qui manipulent de données sensibles, telles que les données de santé, devront être hébergés sur le cloud interne de l’Etat ou alors sur un cloud industriel qualifié SecNumCloud par l’Anssi.

Leave a Reply

Related Posts

You May Missed

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading