Guide sur la souveraineté du cloud


Introduction

Il y a en Europe, et plus particulièrement en France, un désir de cloud souverain. Il est motivé, d’une part, par l’existence d’une loi extraterritoriale dangereuse pour les affaires, le CLOUD Act américain. Et, d’autre part, par la certitude de la France d’avoir les meilleurs hébergeurs de cloud en Europe et, donc, de pouvoir s’imposer comme le champion en la matière dans l’Union. 

Le CLOUD Act stipule que tous les secrets industriels et commerciaux hébergés chez les fournisseurs de cloud américains – AWS, Azure, GCP, OCI… – sont directement consultables par les autorités américaines. Officiellement, il s’agit pour les USA de pouvoir traquer les données des criminels en dehors de son territoire. 

Officieusement, le CLOUD ACT permet à n’importe quelle entreprise américaine de consulter les contrats et les recherches de ses concurrents européens à partir d’un prétexte aussi fragile que la suspicion de malversation impliquant un actif américain. Prétendre qu’un fabricant de frégates européen aurait peut-être corrompu un intermédiaire avec des dollars suffit à accéder aux e-mails et aux documents qu’il échange avec un prospect asiatique ou australien. Il suffit ensuite au plaignant américain de copier-coller la proposition de son concurrent et de contacter le même prospect avec une offre comme par hasard similaire et juste ce qu’il faut moins cher. 

En France, les hébergeurs OVHCloud, Outscale, Scaleway (et son jumeau privé Free Pro) ont des infrastructures de pointe qui n’ont rien à envier aux offres IaaS des hyperscalers américains. Ils sont, en nombre d’utilisateurs, les plus importants d’Europe, modulo l’Allemand T-Systems OTC, et aussi le Français OBS, qui se spécialisent plutôt dans les infrastructures dédiées à un seul client. Les tests des bureaux d’études, notamment ceux menés par Cloud Mercato, démontrent que les offres françaises ont globalement un rapport prix/puissance plus intéressant. 

On peut néanmoins leur reprocher d’avoir un catalogue de logiciels en SaaS prêts à consommer et de services d’automatisation en PaaS prêts à programmer (dans l’IA, l’IoT…) bien moins fourni que celui de leurs concurrents américains. Les Français répondent avec des roadmaps, des promesses que de tels outils arriveront en temps voulu, par ordre d’importance. 

Pour soutenir ces champions, la France a, par la voix de son ministre de l’Économie, Bruno Lemaire, édicté la doctrine du « Cloud de confiance ». Seul ce label autorise l’hébergement des actifs informatiques des entreprises critiques – les opérateurs d’importance vitale, les industriels de la Défense, l’armée, le ministère de l’Intérieur et, plus largement, toute administration et toute entreprise à l’activité sensible. Pour obtenir ce label auprès de l’ANSSI, le gendarme français de la cybersécurité, il faut remplir les critères extrêmement rigoureux de la qualification SecNumCloud

Ce protectionnisme français a suscité des vocations : en marge des hyperscalers français, des hébergeurs de cloud plus ciblés ont fait leur apparition pour soutenir plus précisément telle ou telle application nécessaire à telle ou telle administration. Il s’agit principalement de Cloud Temple. 

Le reste de l’Europe n’est pas aussi regardant. Actuellement, les débats semblent s’accorder sur le modèle allemand, qui se contente de qualifier de souverain tout cloud situé sur le territoire de l’UE, commercialisé par une entreprise européenne, avec des salariés citoyens de l’UE. 

Et qu’importe s’il s’agit d’une filiale d’AWS, Azure, GCP ou OCI. Du moment que ces offres remplissent de critères de sécurité des accès – documents chiffrés par des clés détenues par des Européens, locaux étanches aux personnels non autorisés –, on estime que les maisons mères américaines ne pourront pas appliquer le CLOUD Act sans déclencher des alarmes trop bruyantes pour le secret des affaires.

AWS, Azure, GCP et OCI se lancent actuellement dans la mise en place de telles filiales européennes étanches aux mouvements de données vers les USA. Tout en argumentant que leurs offres publiques existantes restent valables pour la majorité des activités commerciales qui n’ont rien à craindre d’une concurrence américaine. 

En France, en revanche, la seule solution qu’ont les Américains pour exister dans l’offre souveraine consiste à céder leur technologie à une entreprise française et à la laisser seule la commercialiser. C’est ce qu’a fait Azure pour l’entreprise française Bleu. 

L’hyperscaler américain n’y perd pas nécessairement au change : dès lors que sa technologie est utilisée, généralement pour un tarif souverain plus élevé, il lui est assez facile de récupérer l’hébergement de toute l’activité non sensible des mêmes entreprises clientes. La technologie étant la même, le client n’a pas besoin d’investir dans des migrations ou des formations, quand il souhaite déplacer sur un cloud moins cher ses données et ses applications qui n’ont rien à craindre du CLOUD Act.



Source link