Cloud Security Forum : quand le Cloud souverain n’est plus une option

Temps de lecture : 5 minutes

Le salon Cloud Security Forum s’est tenu en avril dernier à Paris – Porte de Versailles. Avec pour objectif de traiter la cybersécurité comme un thème transverse à l’univers IT, le salon a rassemblé entreprises et décideurs IT autour des grandes questions du moment : protection des données critiques, périmètres de responsabilités entre opérateurs et entreprises, évolutions réglementaires, panoramas des cyberattaques, etc.

Nous vous proposons ici le compte-rendu de la table ronde “Quand le cloud souverain n’est plus une option : quelles sont les bonnes questions, inventaires nécessaires et critères pour retenir la bonne architecture ?”.

Cette table ronde a réuni :

  • Olivier Labbe, Directeur général, Cap DC, leader français dans l’ingénierie de conception & réalisation de Data Centers.
  • Jacques Le Conte, CEO, Kuzzle, plateforme IoT et Backend Open source
  • Christine Grassi, Consultante et Référente de l’offre sécurité Cloud ReTrust, Devoteam Revolve


Définir le Cloud souverain

Comme l’explique en préambule Christine Grassi, différents critères peuvent s’appliquer pour qualifier ce qu’est le Cloud souverain. On pense en premier lieu aux enjeux réglementaires de protection des données, ou aux enjeux spécifiques de certains secteurs comme le domaine militaire ou celui de la santé. Mais le concept de souveraineté peut-être aussi vu à travers le prisme de l’outil (souveraineté technologique), du contrôle des accès ou encore de la garantie de la disponibilité.

Pour les entreprises, le recours à une solution de type souverain peut donc répondre à des besoins stratégiques, mais aussi éthiques ou marketing. Afficher son recours à ce type de solutions peut en effet aussi être un argument de vente.

Ceci étant établi, la question principale qui se pose pour les entreprises est de savoir quels environnements ou données sont jugés assez critiques ou sensibles pour être hébergés dans un Cloud souverain. Également, se pose la question de la durée de cet hébergement : sur une période précise, sur une durée illimitée ? Les entreprises doivent construire leur mix d’hébergement, entre solutions Cloud souveraines et non souveraines, à l’image du mix énergétique.

L’évolution du marché des data centers

Du côté de Cap DC, Olivier Labbe confirme que le marché des data centers suit cette tendance pour pouvoir répondre aux besoins de souveraineté des entreprises. Dans les années 2010, la tendance était à la construction de très gros data centers pour mutualiser les coûts, de préférence dans des localisations au nord. En 2015, l’affaire Snowden a changé la donne, et la communauté européenne a demandé à ce que les données soient stockées sur le sol européen. Les hyperscalers américains ont alors investi l’Irlande, une place de marché de langue anglaise, et sans taxes… Globalement donc, le marché du bâtiment de data centers a suivi cette évolution de la problématique de rapatriement des données. Olivier Labbe ajoute également qu’en Afrique, plusieurs pays développent actuellement des équivalents au RGPD pour imposer une localisation de leurs données ailleurs qu’aux Etats-Unis ou en Europe.

Cloud public/Cloud souverain : comment définir son mix ?

Est-ce à dire pour autant que l’avenir du Cloud public est compromis ? Pour Christine Grassi, le Cloud public a encore beaucoup d’avenir. Le cloud souverain n’est pas l’alpha et l’oméga des plateformes Cloud, d’autant plus que les offres actuelles souffrent encore de limites, qu’elles soient financières, technologiques ou organisationnelles. Il n’est donc pas forcément nécessaire de migrer l’ensemble de ses SI vers un cloud souverain si cela requiert une charge trop importante, engendre un ROI peu significatif ou n’est requis, d’un point de vue réglementaire, que pour une portion restreinte des environnements. A chaque organisation de trouver où se situent les bonnes frontières entre souverain et non souverain : comprendre son besoin, et identifier les données sensibles nécessitant potentiellement une solution souveraine. 

Dans la mesure du possible, il est aussi conseillé de suivre de près les évolutions réglementaires, se projeter à moyen et court terme, et si possible, anticiper. 

La clé est ici de bien connaître son patrimoine informationnel, de comprendre ce qui a de la valeur, ce qui est soumis à réglementation, et de segmenter son stockage en fonction. L’avantage est que les pratiques actuelles comme le DevOps sont complètement agnostiques du lieu de stockage. Il est donc possible de bénéficier de l’automatisation et de la standardisation des couches supérieures tout en ayant une granularité de l’espace de stockage.

IoT et Cloud

Pour Jacques Le Conte, cette nouvelle génération de data centers apporte au marché de l’IoT de nouvelles possibilités, comme une capacité de stockage au plus proche de l’utilisateur et des objets IoT. La souveraineté n’est cependant pas un besoin systématique dans l’IoT, car une partie des données issues des capteurs ne sont pas sensibles (les relevés de température, par exemple).

Christine Grassi confirme que de nombreuses entreprises investissent dans l’IoT et traitent des données non sensibles. D’autres cependant collectent des données sensibles, et qui soulèvent un enjeu important en termes de souveraineté. En effet, il y a encore beaucoup de travail pour passer du monde de l’IoT à celui de l’IT, ce sont des domaines de compétences qui communiquent encore assez mal. En matière de sécurité, l’informatique industrielle a souvent les mêmes besoins de confidentialité et de disponibilité que l’informatique bureautique, cependant ce sont des domaines qui n’ont pas forcément les mêmes outils, vocabulaire, et technologies. Il est compliqué de trouver les bonnes solutions de stockage, si on n’a pas déjà un vocabulaire en commun pour exprimer ses besoins et des contraintes.

En conclusion, le débat s’est ouvert sur la question de l’offre de Cloud souverain en France et en Europe. On pense notamment aux initiatives Gaia-X ou Euclidia, mais à ce jour il est encore compliqué de se prononcer sur leur viabilité et sur leur capacité à concurrencer l’offre de service des hyperscalers américains ou des offres de Cloud souverain nationales.

Prochaine édition du Cloud Security Forum les 2 et 4 avril 2024.


Pour aller plus loin sur le sujet : 

Commentaires :

A lire également sur le sujet :