Le Cloud Souverain – partie 2 : du Cloud souverain à Gaia-X

Temps de lecture : 9 minutes

Où en est le Cloud souverain à la française ? Après un premier article où nous avons vu les enjeux de souveraineté posés par le Cloud et les initiatives lancées par l’administration française et portées par les acteurs historiques du Cloud souverain, nous passons à l’état des lieux à ce jour avec le projet Gaia-X.

Le cloud souverain, incarné par Numergy et Cloudwatt, a donc fait long feu. Mais la volonté politique d’un cloud indépendant, à l’abri d’intrusion de puissances étrangères, n’a pas pour autant disparu. Début 2018, Bruno Le Maire, le ministre de l’Économie et des Finances, a relancé l’idée. Mais pour éviter de rappeler le fiasco du cloud souverain, il a souhaité l’émergence d’un cloud de confiance !

Le 4 Juin 2020, la France et l’Allemagne se sont mis d’accord pour parrainer un catalogue de services numériques portés par des hébergeurs et des éditeurs de logiciels qui se seront préalablement engagés sur des standards de nature à renforcer la confiance de leurs clients en matière de sécurité des données mais aussi de transparence des contrats. Les fournisseurs de services référencés dans ce projet Gaia-X devront proposer des technologies interopérables d’un hébergeur à l’autre.

Gaia-X est porté par vingt-deux entreprises partenaires françaises et allemandes, telles que Orange, OVHcloud, EDF, Atos, Safran, Outscale (filiale de Dassault Systems), Deutsche Telekom, Siemens, Bosch et BMW. Ces entreprises représentent à la fois des fournisseurs de services et des clients de ces services pour le projet GAIA-X. Début avril, il a cependant été annoncé que Gaia-X accueillerait 212 nouveaux membres parmi lesquels Huawei, Alibaba Cloud et Palantir.

Huit secteurs économiques sont concernés par le projet : l’industrie 4.0/PME, la santé, la finance, le secteur public, le smart living (maison intelligente), l’énergie, la mobilité et l’agriculture.

Le projet Gaia-X est destiné à donner naissance à un écosystème numérique ouvert dans lequel les données peuvent être mises à disposition, rassemblées et partagées en toute sécurité et confiance. L’objectif est de créer, avec d’autres pays européens et pour l’Europe, ses États, ses entreprises, ses citoyennes et citoyens, une infrastructure de données en forme de réseau de nouvelle génération répondant aux exigences les plus élevées en matière de souveraineté numérique et promouvant l’innovation.

Principes directeurs :

  • Respect des règlements européens en matière de protection des données
  • Ouverture et transparence
  • Authenticité et confiance
  • Souveraineté et autodétermination
  • Libre accès au marché et création de valeur européenne
  • Modularité et interopérabilité
  • Convivialité

Le projet Gaia-X prévoit la mise en réseau de services d’infrastructure décentralisés, de type Cloud Computing. L’organisation en réseau de l’infrastructure de données qui en résulte renforce à la fois la souveraineté numérique des demandeurs de services Cloud ainsi que la scalabilité et la position concurrentielle des fournisseurs européens de Cloud Computing.

Les exigences techniques que doit satisfaire l’architecture d’une infrastructure de données ouverte et en réseau :

  • Souveraineté des données, c’est-à-dire contrôle complet du stockage et du traitement des données ainsi que maîtrise de l’accès aux données.
  • Utilisation de technologies ouvertes, compréhensibles et sûres, entre autres utilisation des principes de l’Open Source, en écosystème ouvert.
  • Traitement décentralisé et distribué des données (Multi-Cloud, Multi-Edge ou Edge-to-Cloud) afin de réaliser des économies d’échelle.
  • Interconnexion et interopérabilité sémantique – sur la base de standards – au niveau du réseau, des données et des services – en particulier, interconnexion des environnements « Cloud » et périphériques.
  • Indépendance et automatisation de la certification des participants à l’écosystème GAIA-X ainsi que de la réalisation de contrats de participation et de leur respect en termes de sécurité informatique, souveraineté des données, accords de services et contrats cadres.
  • Mise à disposition de tous les services centraux nécessaires pour garantir sécurité et convivialité du fonctionnement (par ex. authentification).
  • Autodescription des nœuds du système Gaia-X visant à favoriser la transparence mais aussi le développement de nouveaux modèles d’affaires et d’applications entre différents participants (par ex. distribution de données ou services).

Pour financer la création du consortium, chaque membre fondateur apporte 75 000 euros, ce qui portera le fond d’amorçage à 1,6 millions d’euros (à comparer aux 36 milliards de $ de budget R&D d’Amazon). Des entreprises d’autres pays européens devraient rejoindre rapidement Gaia-X. L’Espagne, l’Italie, la Pologne ou encore la Finlande sont évoquées par Bercy. Le consortium devrait aussi s’ouvrir aux start-ups. Côté fournisseurs extra-européens, Amazon et Microsoft, même s’ils ne sont pas officiellement membres, ont déjà contribué à certains travaux.

Après la roadmap de 2020 (pour lesquels les livrables n’ont pas été publiés), une nouvelle roadmap a été communiquée le 25 Février 2021 :

Les services de fédérations qui sont les fondations de l’infrastructure de données fédérée promise par Gaia-X seront spécifiés en Mai et disponibles en version alpha à la fin septembre. On imagine donc qu’il sera difficile d’offrir les services de données avant la fin 2021.

Est-ce qu’une organisation aussi complexe peut être innovante et agile ?

La qualification des opérateurs Cloud

En tant qu’autorité nationale en matière de sécurité et de défense des systèmes d’information, l’ANSSI recommande d’utiliser les solutions disposant d’un Visa de sécurité ANSSI. Dans le cadre de cette démarche, l’agence a élaboré le référentiel SecNumCloud en vue de permettre la qualification de prestataires de services d’informatique en nuage, dit Cloud.

L’objectif : promouvoir, enrichir et améliorer l’offre de prestataires de Cloud à destination des entités publiques et privées souhaitant externaliser, auprès de prestataires de confiance, l’hébergement de leurs données, applications ou systèmes d’information. Sont concernés les prestataires d’informatique en nuage offrant des services de type SaaS (Software as a service), PaaS (Platform as a service) et IaaS (Infrastructure as a service) et souhaitant obtenir un visa de sécurité ANSSI.

Le référentiel SecNumCloud * conjugue ainsi des exigences relatives au prestataire de service d’informatique en nuage, à son personnel ainsi qu’à la localisation des données client au sein de l’Union européenne – échelle territoriale de référence – et le droit applicable à ces données.

*Le référentiel d’exigences relatif aux prestataires de service d’informatique en nuage est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de service d’informatique en nuage, à son personnel ainsi qu’au déroulement des prestations. La qualification peut être délivrée aux prestataires de service d’informatique en nuage pour des services de type SaaS (Software as a service), PaaS (Platform as a service) et IaaS (Infrastructure as a service).

A l’occasion de l’entrée en vigueur du RGPD et suite à une coopération entre l’ANSSI et la CNIL, SecNumCloud inclut désormais des exigences relatives à la protection des données répondant aux attentes des besoins des entreprises, des administrations et des collectivités.

Au 19/12/2020, les sociétés labellisées SecNumCloud par l’ANSSI sont les suivantes :

PrestataireService(s)Localisation
CHEOPS TECHNOLOGY FRANCEPrestations de Cloud et Services ManagésFrance
Cloud SolutionsWimi Entreprise (SaaS)Plateforme de travail collaboratif(Partage et co-édition de documents, Gestion de projet, visioconférence, chat)France
CLOUD TEMPLEIaas – Secure TempleInfrastructure cloud privée – Fourniture du réseau, de la puissance de calcul, de la mémoire et du stockage.France
IDNOMIC (Keynectis)ID-PKI en mode SaaSFrance
OVHPrivate CloudFrance
WORLDLINECloud By Worldline (IaaS)Mise à disposition d’environnements virtuels (VM, stockage, réseaux) en mode public (infrastructure partagée) ou privé (infrastructure dédiée).France

Aucun des acteurs majeurs américains du cloud n’est certifié car au cours du dépôt de dossier, un des engagements demandé stipule que la société n’est soumise à aucune réglementation extra-européenne (voir l’article Secnumcloud).

Une volonté des acteurs globaux à développer la conformité aux règlements européens

Les acteurs du cloud public implémentent petit à petit des régions localisées en France : la région de Paris est disponible depuis Décembre 2017 pour AWS. Elle bénéficie de 3 zones de disponibilité (cela signifie qu’il est possible de déployer des ressources AWS dans 3 Datacenters différents localisés en région parisienne) afin d’assurer une haute disponibilité et une continuité des activités. Azure gère deux régions en France depuis 2018 (l’une est basée à Paris, l’autre à Marseille). Google Cloud a annoncé une région en France pour début 2022.

AWS s’engage à offrir des services et des ressources à ses clients pour leur permettre de respecter les exigences RGPD susceptibles de s’appliquer à leurs activités. AWS a complété ses contrats avec une clause additionnelle sur le traitement des données pour le RGPD qui fait partie des Conditions de service AWS. 

AWS est devenu membre du CISPE (Cloud Infrastructure Services Providers in Europe) depuis 2017 pour promouvoir la sécurité et la conformité dans l’utilisation des services d’infrastructure du cloud public et pour accompagner les clients européens pour leur mise en conformité avec le GDPR.

AWS fournit par ailleurs les services qui permettent de chiffrer les données au repos et en transit et offre l’opportunité d’utiliser ses propres clés (dispositif BYOK : Bring Your Own Key).

Enfin, AWS France et Veolia ont établi un contrat mutuel spécifique en 2020 pour renforcer encore leur partenariat. L’un des objets fondateurs porte sur la souveraineté dans l’optique de progresser vers les exigences du Cercle 2 (cf le chapitre initial sur la définition de la souveraineté qui définit ces cercles).

Au 20/12/2020, l’UGAP* a référencé les fournisseurs suivants pour délivrer des services de “cloud externe” :

  • Outscale
  • OVHCloud
  • Scaleway
  • AWS
  • Google Cloud
  • IBM Cloud
  • Microsoft Azure
  • Orange Business Service
  • Oracle Cloud

*L’offre de l’UGAP correspond à un catalogue d’offres de cloud public répondant aux besoins des applications et des données les moins sensibles.

D’une souveraineté franco-française à une souveraineté Européenne

C’est une volonté politique de faire émerger “une souveraineté digitale” de l’Europe mais pour laquelle la feuille de route opérationnelle reste encore floue.

Une première directive européenne : NIS (Network and Information Security) a été transposée dans le droit français. Elle est applicable aux Opérateurs de Services Essentiels et définit la sécurité des réseaux et des systèmes d’information comme « la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à des actions qui compromettent la Disponibilité, l’Authenticité, l’Intégrité ou la Confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, et des services connexes que ces réseaux et systèmes d’information offrent ou rendent accessibles ». 

Une nouvelle version de la directive a été revue au niveau de l’Union Européenne le 16/12/2020. La Directive NIS2 devra être transposée dans le droit français dans les 18 mois suivant sa validation.

Adopté par le Parlement européen le 12 mars 2019, le règlement européen Cybersecurity Act marque une véritable avancée pour l’autonomie stratégique européenne. Il poursuit un double objectif : l’adoption du mandat permanent de l’ENISA, l’Agence européenne pour la cybersécurité,  la définition d’un cadre européen de certification de cybersécurité et le renforcement de la coopération opérationnelle entre les États de l’UE pour gérer les incidents de sécurité. Les Etats membres disposent de deux ans pour se mettre en conformité avec les dispositions du règlement impactant leur organisation nationale. 

L’ENISA a publié le 22/12/2020 une version de travail du schéma de certification cybersécurité des services cloud (“European Cybersecurity Certification Scheme for Cloud Services”). Ce cadre européen de certification de cybersécurité pour les produits, les services et les processus viendra donc, a priori, supplanter SecNumCloud.

Pour une souveraineté du cloud à l’échelle de l’entreprise ?

La trajectoire du “cloud souverain” est encore obscure. Quelle doit être l’approche d’une entreprise afin de garder sa souveraineté sur les services qu’elle déploie dans le cloud public ?

Comme l’indique le modèle de responsabilité partagée présenté par les différents fournisseurs de cloud computing, l’entreprise garde une responsabilité non négligeable sur la protection de ses actifs dans le cloud.

La souveraineté passe donc par assumer ces responsabilités qui sont différentes selon qu’on utilise des services IaaS, PaaS ou SaaS. Afin de sécuriser ces services, on pourra s’appuyer sur des référentiels tels que “Security Guidance” du CSA (Cloud Security Alliance) ou “CIS Benchmarks” du Center for Internet Security. Le service AWS Config permet de tester la conformité aux Controls du CIS (Conformance Packs).

Une pratique de base pour sécuriser ses données est de chiffrer systématiquement, que ce soit au repos ou en transit vos données dans le cloud. La maîtrise de vos “Master Keys” et de leur processus de gestion permet de vous assurer que même en cas d’enquête dans le cadre du Cloud Act, les données ne seront accessibles qu’avec votre coopération. En complément, s’assurer qu’aucun tiers ne peut empêcher le propriétaire des données à y accéder est un autre élément clé de souveraineté.

Cette protection par le chiffrement est l’objet de l’offre Sovereign Keys lancée par Devoteam Revolve en décembre 2020.

Commentaires :

A lire également sur le sujet :