Cloud de confiance, cloud souverain, Gaia-X : où en est-on ?
Pour faire suite à la série d’articles sur le cloud de confiance / souverain, Le cloud souverain pour qui et pourquoi, Du cloud souverain à Gaia-X, et La souveraineté numérique, nous vous proposons un quatrième article complétif pour donner une synthèse de toutes les évolutions majeures de ces dernières mois.
Ces derniers mois ont été ponctués d’annonces diverses de la part des acteurs du numérique – une actualité dense qui se regroupe autour du thème du Cloud souverain pour l’Europe et, dans le cas français, du Cloud de confiance.
Les initiatives françaises
Au niveau national, le gouvernement français a annoncé dans un communiqué du 17 mai 2021, sa stratégie française pour le Cloud (qui s’inscrit dans le prolongement de la 1ère stratégie communiquée en 2018).
Cette stratégie française repose sur trois piliers :
Un label Cloud de Confiance
Ce label Cloud de Confiance est une nouvelle certification décernée par l’ANSSI qui ajoute aux contraintes techniques « SecNumCloud » décernées par l’ANSSI un volet juridique imposant que les infrastructures soient non seulement localisées en Europe mais aussi opérées en Europe par une entité européenne entièrement détenue par des acteurs européens.
Pour rappel, trois acteurs français sont actuellement détenteurs de la certification SecNumCloud sur certaines de leurs offres : Oodrive, OVHcloud et 3DS Outscale.
Une initiative Cloud au centre
L’initiative « Cloud au centre » vise à moderniser par le cloud les moyens numériques de l’État. Le cloud devient ainsi un prérequis pour tout nouveau projet numérique (ou projet de mise à jour significatif d’un SI existant) au sein de l’État, afin d’accélérer la transformation publique au bénéfice des usagers et dans le strict respect de la cybersécurité et de la protection des données des citoyens et des entreprises. Dès publication des premières labellisations de solutions de cloud de confiance (cf. piliers vu au-dessus), les administrations auront également un délai de 12 mois pour déménager leurs projets cloud basés actuellement sur des hyperscalers étrangers.
Une politique industrielle
Enfin le volet « politique industrielle » vise à investir dans les projets industriels de développement de technologies cloud en France et notamment des technologies PaaS à même de servir les besoins en Intelligence Artificielle, ainsi que les technologies SaaS pour le travail collaboratif.
Côté IaaS, le gouvernement soutient l’initiative Gaia-X et va financer les services de fédération du méta cloud européen et la création d’espaces de données partagées au sein de la filière industrielle.
Ces annonces étaient attendues et confirment les options prises par la France ces dernières années pour renforcer sa souveraineté numérique. Pour les DSI d’organisations publiques et d’OIV, cette nouvelle stratégie aura des impacts importants. Pour les hébergeurs français, cette nouvelle stratégie est une aubaine qui les relance face aux acteurs américains.
Des annonces qui ne sont d’ailleurs pas restées lettres mortes car quelques semaines plus tard, le 5 juillet dernier, la France publie une circulaire mettant en application concrète cette doctrine et introduisant 15 points organisés en trois parties concernant : le développement de la “culture cloud” ; le “cloud pour les équipes informatiques” ; le “cloud pour les utilisateurs”.
S’en est suivie une multitude d’annonces de la part de l’écosystème numérique français. Le 27 mai 2021 le CIGREF, association de DSI des grandes entreprises et administrations publiques françaises, publie un référentiel “cloud de confiance” donnant les grandes orientations d’un cloud de confiance selon eux. Il est à noter que ce référentiel n’est ni un label, ni une certification, le CIGREF n’ayant pas vocation à être opérateur d’un tel dispositif.
Ce référentiel Cloud de confiance du CIGREF se décline en trois piliers :
- La sécurité ;
- L’immunité aux législations extra-européennes ;
- La maîtrise de la dépendance des utilisateurs vis-à-vis de leurs fournisseurs de solutions et services de cloud.
En travaillant collectivement autour de ces trois piliers, les membres du CIGREF ont donc dressé une liste d’exigences permettant aux fournisseurs cloud de démontrer leur capacité à se conformer au Cloud de confiance. Ces dernières proviennent de plusieurs référentiels, à la fois français et européens (SWIPO, SecNumCloud, GAIA-X, EU Cloud CoC), auxquels s’ajoutent des exigences d’immunité juridique et géopolitique. Les exigences imposées aux fournisseurs cloud sont donc à la fois opérationnelles et contractuelles.
Ces exigences ont été divisées selon deux niveaux :
- Un premier niveau de confiance assurant un « Safe Cloud » : ce niveau traduit une exigence de sécurité informatique élevée et une transparence des règles juridiques applicables et des dépendances potentielles afin que le client soit parfaitement informé ;
- Un niveau supérieur de confiance assurant un « Trusted Cloud » : ce niveau, cumulant ses exigences avec celles du premier niveau, vise une sécurité élevée, une immunité aux lois extra-européennes ainsi qu’une maîtrise forte du niveau de dépendance.
En parallèle, Capgemini et Orange – deux grandes entreprises françaises du numérique – annoncent le projet de créer « Bleu », une société qui fournira un « Cloud de Confiance » en France en partenariat avec Microsoft. Ce partenariat s’inscrit dans la continuité des annonces gouvernementales pour le Cloud de confiance. Bleu vise à fournir ses solutions aux Opérateurs d’Importance Vitale (OIV), aux Opérateurs de Services Essentiels (OSE), à l’Etat français, à la fonction publique, aux hôpitaux et aux collectivités territoriales requérant la mise en place d’un Cloud de Confiance adapté au degré de sensibilité de leurs données et à leur charge de travail.
Bleu souhaite aussi proposer ainsi à ses clients les solutions sécurisées cloud de Microsoft, en l’occurrence les suites de collaboration et de productivité Microsoft 365 ainsi que l’ensemble des services de la plateforme cloud Microsoft Azure, dans un environnement indépendant, afin de leur permettre d’accéder à la gamme la plus complète d’innovations technologiques de pointe.
Bleu a ainsi vocation à rejoindre à terme l’initiative européenne Gaia-X, dont Orange et Capgemini sont membres, afin de contribuer à la création de solutions souveraines à l’échelle européenne comme à l’émergence du développement de cet écosystème.
Mise à jour du 10/01/2022 : « Le cloud de confiance Bleu, un mirage pour le Heath Data Hub ».
Les initiatives européennes
Au niveau du projet de Cloud souverain européen Gaïx-X, les premiers labels de conformité devraient voir le jour à partir de décembre 2021 et ne « seront attribués qu’aux services ou produits entièrement conformes aux principes Gaia-X ».
Notamment grâce à la conception des premières spécifications des “Gaïa-X Federation Services”, le projet se concrétise petit à petit. Les Gaïa-X Federation Services constituent le noyau technique de l’architecture et posent les bases de la mise en œuvre du projet. En ce sens, ils fournissent les services d’appui permettant aux fournisseurs et aux utilisateurs de se connecter dans des conditions d’interopérabilité et de sécurité juridique et créent ainsi les fondations d’un écosystème ouvert tel que rêvé par les membres fondateurs du projet.
En parallèle, les premières offres concurrentes à Gaïx-X voient le jour – se targuant d’une constitution 100% européenne et souveraine – principale crainte du côté de l’offre Gaïa-X (en raison notamment de la très controversée participation au projet d’acteurs américains et chinois). Aussi, dans un communiqué de presse du 8 juillet 2021, une association nommée Euclidia – l’alliance industrielle européenne du cloud – annonce la création d’une nouvelle offre européenne de cloud souverain. Soutenue par le Conseil national du logiciel libre (CNLL), l’Association européenne des innovateurs en télécommunications de nouvelle génération (EANGTI), le Fonds de dotation du Libre (FDL) et OW2, Euclidia a été fondée par 23 membres : Abilian, Amarisoft, Beremiz, BlueMind, Clever cloud, E. corp, Jamespot, Innoroute, Linbit, Netframe, Nexedi, Nextcloud, ng-voice, Nitrokey, OpenSVC, Patrowl, Rapid.Space, Scaleway, SenX, Signal18, Submer, Vates et XWiki.
Toutefois, Euclidia n’est pas encore constituée et n’a pas de forme juridique – cela devrait arriver d’ici 2022. Mais il reste certain que cette offre est à suivre de près et met en lumière l’une des problématiques majeures auxquelles les européens sont confrontés : un marché hétérogène, dispersé, incapable de s’allier et de co-construire une solution à l’échelle du continent. Initialement, Gaïa-X fut d’ailleurs pensé pour tenter d’apporter un élément de réponse et dissiper cet handicap.
Rappelons qu’au niveau européen des travaux sont en cours (ENISA) pour homogénéiser le schéma de certification cybersécurité des services cloud. Il sera intéressant de voir les impacts que cela pourrait avoir au niveau des schémas de certification français.
Comme on le constate, le sujet évolue vite et rien n’est figé : nous continuerons à suivre ces évolutions, aussi bien au niveau réglementaire qu’au point de vue de l’offre technique, pour vous tenir au courant sur le blog.