Le mardi 5 mars étaient réunis les acteurs français du cloud d’État, lors de la seconde édition d’une journée « l’État dans le nuage » organisée par la Dinum, la direction interministérielle du numérique. Au programme : une mise à jour de la stratégie française en matière de cloud, et les petits pas de l’État entrepris pour atteindre une certaine « souveraineté » face aux géants du cloud américains qui écrasent encore et toujours le marché.
Le 5 mars dernier était organisée une journée « cloud dans la sphère publique », un rendez-vous d’agents publics, de fournisseurs et d’entreprises travaillant de près ou de loin à l’infrastructure en nuage des ministères et de l’État français. Et tout au long de cette journée à laquelle 01net a assisté, « une petite musique » n’a cessé de se faire entendre : celle de la « souveraineté ». La question est loin d’être nouvelle. L’État, qui doit en effet gérer une masse importante de données allant des informations stratégiques aux secrets d’État, fait face à un véritable casse-tête : comment héberger ces data dans des infrastructures en nuage ? Faut-il opter pour des solutions maison qui nécessitent d’immenses ressources humaines ou matérielles, ou passer par des fournisseurs externes de cloud, européens ou américains ? Comment rester « souverain » et éviter d’être sous la coupe d’une entreprise étrangère, voire d’un pays, tout en bénéficiant d’un niveau de sécurité adéquat ?
« Il serait naïf de penser qu’on peut construire notre futur sans les hyperscalers américains » comme Azure, AWS et Google Cloud, a déclaré d’emblée Christine Serrette, l’invitée spéciale de cette seconde édition venue parler de la stratégie allemande en matière de cloud. Pour la directrice technique adjointe du Centre fédéral de technologie de l’information en Allemagne (ITZBund), « on s’est tout simplement réveillé un peu tard ».
« La souveraineté, c’est surtout avoir les bons contrats, (…) sans perdre nos données »
L’Allemagne et la France ont pourtant signé un accord pour trouver des solutions communes sur la souveraineté numérique en février dernier : un moyen d’avoir une seule et même voix sur le cloud en Europe. Mais pour Christine Serrette, il n’est pas question de se passer totalement des solutions de cloud offertes par les géants américains. « La souveraineté, c’est surtout avoir les bons contrats, les bons systèmes, sans perdre nos données », a estimé la haute fonctionnaire allemande.
À lire aussi : OVH sur le Cloud européen : « Parler de souveraineté, ce n’est pas un gros mot »
Outre-Rhin, l’administration fédérale a décidé de ne pas mettre ses œufs dans le même panier. Pour preuve, la liste de ses fournisseurs, décrite comme un « méli-mélo du Cloud » par la responsable. On y trouve en effet AWS, Google Cloud, IBM Cloud, Oracle, Microsoft, Edge, et des centres de données gérés en interne à Berlin et à Francfort. Le projet Delos, en cours, permettra à terme à l’administration allemande de bénéficier des technologies Microsoft sur des serveurs basés en Europe, « bien séparés des États-Unis », a assuré la responsable – un moyen de garantir une étanchéité aux lois extraterritoriales américaines, selon cette dernière.
Cette approche allemande diffère-t-elle de celle adoptée par l’État français en 2021, avec sa stratégie « Cloud France 2030 » ? Pas forcément, même si dans l’Hexagone, la gestion du cloud serait moins centralisée qu’outre Rhin. Dans les deux pays, le constat est le même : « le marché européen du cloud explose », et « la part de marché des clouders européens baisse ». De quoi convaincre l’État français d’agir et d’accélérer dans sa stratégie cloud, décrite comme « un enjeu de souveraineté, mais aussi un enjeu économique », par Adrien Laroche, coordinateur de cette stratégie à la Direction générale des entreprises.
La question des lois extraterritoriales
Le responsable a rappelé qu’à chaque fois qu’il s’agit, dans la sphère publique, d’héberger des données sensibles, il fallait soit faire appel au cloud de l’État, soit aux fournisseurs estampillés « SecNumCloud » (SNC) par l’Anssi. Cette certification SNC est un ensemble de normes de cybersécurité, qui permet aux administrations et aux entreprises d’identifier puis de sélectionner des offres de cloud pour leurs données particulièrement sensibles. Le SNC inclut aussi des exigences en termes de souveraineté.
Car « si les données sont localisées en Europe (dans des centres de données européens, NDLR), mais qu’elles sont accessibles ailleurs dans le monde, c’est problématique », a détaillé Vivien Mura, à la tête de la division Industries et Technologies de l’Anssi. Certaines lois américaines, comme le Cloud Act et la loi Fisa, contraignent en effet les entreprises américaines à répondre aux demandes d’accès des agences de renseignement américaines, y compris si les données en question sont en Europe : un problème de taille lorsqu’il s’agit de données personnelles. La problématique monte d’un cran lorsque les data sont des données stratégiques d’État.
À lire aussi : « C’est une bombinette » : notre souveraineté numérique en danger avec la loi sur le renseignement US, selon ce député
Résultat, le SNC, dans sa dernière version (3.2), exige désormais une immunité aux lois extraterritoriales – les fournisseurs SNC ne doivent pas être soumis à ce type de législation. Ce qui signifie par ricochet que les leaders américains du secteur, comme AWS, Azure et Google Cloud, ne pourront pas prétendre à cette certification… Et qu’ils sont donc exclus de tout hébergement futur des données sensibles de l’État.
Si les observateurs sont nombreux à s’en féliciter, ce bon point pour la souveraineté européenne pourrait bientôt être battu en brèche. À Bruxelles est actuellement négocié un tel standard, au niveau européen – c’est ce qu’on appelle l’EUCS. Or, certains pays militent pour n’exiger qu’une localisation des centres de données en Europe à la place d’une immunité aux lois extraterritoriales – à terme, c’est bien l’EUCS qui prendra la suite du SNC.
À lire aussi : Health Data Hub : le cloud français est passé sur le grill… pour mieux faire gagner Microsoft ?
Mise à jour du HDS, des défis pour faire monter en gamme les clouders français…
En attendant qu’un accord soit trouvé au sein de l’Union européenne, l’administration française n’est pas restée les bras croisés. Elle a mis à jour un autre référentiel, le HDS (ou Hébergeurs de Données de Santé), une certification obligatoire pour les hébergeurs de données à caractère personnel de santé. « On a voulu faire évoluer le HDS, mais sans marcher sur les platebandes des négociations européennes », a précisé Emmanuel Clout, directeur de projet du pôle conformité et droit du numérique de la Délégation au numérique en santé.
Ont notamment été ajoutées de nouvelles exigences en matière de souveraineté, qui devraient s’appliquer à compter de septembre prochain : les données de santé devront être hébergées physiquement sur l’espace européen économique. Les entreprises soumises à des lois extraterritoriales devront informer leurs clients des risques encourus, cartographie sur les éventuels transferts de données à l’appui.
La Dinum a également expliqué que l’État était devenu un acheteur régulier de clouds… et un fin connaisseur de l’offre et de la demande dans le secteur. Chaque jour, c’est en effet un projet de l’État qui migrerait vers le cloud, a précisé Vincent Coudrin, coordonnateur du cloud de l’État de la Dinum. Et l’administration compte bien faire profiter de son « retour d’expérience, dans une logique de “démonstrateur Cloud” », a détaillé le haut fonctionnaire. Concrètement, l’idée sera de « donner des défis, de faire des feedbacks » aux fournisseurs français estampillés SNC comme Cloud Temple, OVHCloud, Numspot et Outscale. Ce qui « permettrait aux entreprises françaises de monter en gamme » jusqu’à atteindre le niveau des géants du cloud américains, a-t-il souligné.
De quoi constituer des petits pas vers une « souveraineté européenne » importants, mais des petits pas seulement, ont regretté certains observateurs présents lors de cette édition. Car pour l’instant, le constat fait avant la mise en place de la stratégie Cloud de l’État français est toujours valable. « Les hyperscalers se positionnent toujours de façon très forte », a déploré Vincent Pertuy, pilote de la stratégie Cloud d‘EDF. Pour ce dernier, « le fractionnement entre entreprises européennes rend tout simplement difficile l’émergence d’un acteur au niveau des géants américains ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.