Cloud de confiance : état des lieux et perspectives – partie 1
Souveraineté alimentaire, énergétique, militaire… Depuis 2021, nous avons pu constater une résurgence des débats autour des enjeux de souveraineté nationale, et ce dans toutes ses déclinaisons. Et bien sûr, la notion de souveraineté numérique est loin d’être en reste. Mise à jour de la doctrine cloud de l’Etat, évolution du référentiel SecNumCloud, annonce de partenariats entre fournisseurs IT français et américains, deux jours de conférences sur ce thème animées en février dans le cadre de la présidence française du Conseil de l’Union européenne… L’actualité est riche en annonces et débats d’opinion.
Dans ce contexte foisonnant et encore en pleine évolution, où se percutent à la fois des enjeux économiques, financiers, politique et parfois même culturels, il n’est pas toujours facile d’avoir une vision d’ensemble des acteurs en présence et de clarifier ses attentes au regard des forces et limites des solutions disponibles ou en cours de construction.
Dans cet article, nous vous proposons de commencer par un rapide historique de la notion de souveraineté numérique (lire également notre article sur le sujet) afin d’en décliner une définition du cloud souverain. Nous ferons ensuite une courte présentation des acteurs concernés. Nous enchainerons sur une proposition de critères à utiliser d’un point de vue sécurité pour identifier si une solution de cloud souverain est une réponse potentielle à ses besoins de protection de la donnée. Pour finir, nous vous proposons d’ouvrir le débat en vous présentant ce qui nous semble être des limites inhérentes aux solutions de cloud souverain.
Souveraineté numérique et cloud de confiance : historique et définition
La souveraineté désigne l’exercice du pouvoir par un État indépendant sur une zone géographique et sur la population qui l’occupe ; c’est aussi le caractère d’un État qui n’est soumis à aucun autre État. On parle là de souveraineté étatique. De nos jours, la souveraineté étatique se décline notamment en souveraineté économique et industrielle, qui se traduit elle-même désormais en souveraineté numérique. Or, ces trois notions de souveraineté étatique, économique et numérique sont bouleversées à chaque avancée technologique.
Les premières réflexions à propos de la souveraineté numérique remontent au début des années 2000, notamment lorsque s’est posée la question sur le plan international du contrôle des ressources internet, et plus précisément de l’hégémonie américaine sur l’attribution des missions stratégiques de gestion des noms de domaine, pilotée par l’ICANN.
L’expression de « souveraineté numérique » est utilisée dès 2012 lors de la Conférence mondiale des télécommunications internationales, notamment par la Russie et la Chine qui revendiquent la restauration de leurs « droits souverains » sur la gestion du réseau et l’élaboration d’un traité international permettant de mieux partager les responsabilités. Du côté de la France, dès juin 2009, le ministre de l’Intérieur français annonce vouloir « garantir la souveraineté numérique » et « étendre à l’espace numérique le champ de l’Etat de droit ». En 2014, à la suite à l’affaire Snowden, sont organisées les 1ères Assises de la souveraineté numérique et est créé l’Institut de la souveraineté numérique, chargé de sensibiliser le public et les élus à ces enjeux.
En 2019, un rapport de la commission d’enquête du Sénat sur la souveraineté numérique propose de définir la souveraineté numérique comme la « capacité de l’État à agir dans le cyberespace – dans ses deux dimensions :
- la faculté d’exercer une souveraineté dans l’espace numérique, qui repose sur une capacité autonome d’appréciation, de décision et d’action dans le cyberespace – et qui correspond de fait à la cyberdéfense ;
- et la capacité de garder ou restaurer la souveraineté de la France sur les outils numériques afin de pouvoir maîtriser nos données, nos réseaux et nos communications électroniques. »
En nous appuyant sur cette définition, ainsi que sur les travaux menés par le CIGREF dans le cadre de la création de sa certification “cloud de confiance”, nous pouvons tenter d’en décliner une définition du terme de cloud de confiance et de ses objectifs :
Le Cloud de confiance français doit contribuer à l’autonomie numérique des organisations françaises et à assurer la protection des données hébergées face aux fournisseurs internationaux, et se définit comme une plateforme de cloud hybride (selon la définition qu’en donne le NIST) à travers laquelle sont garanties que les données sont hébergées sur le territoire de l’Union Européenne (UE), sont protégées contre les lois extraterritoriales et que les services sont proposés et facturés par une entité de l’UE.
En se basant sur cette définition, on voit donc que les solutions de cloud de confiance, quelles que soient les types de plateforme sur lesquelles elles s’appuient, sont des offres qui intègrent à la fois des composantes technologiques et règlementaires et visent à s’assurer de maintenir le contrôle de l’état souverain sur les données hébergées par ses utilisateurs.
Cloud de confiance : les offres actuelles
Le 17 mai 2021, le gouvernement français a annoncé la mise à jour de sa stratégie cloud, à travers la constitution de trois piliers : un label “cloud de confiance”, l’initiative “Cloud au centre” (modernisation des ressources numériques de l’État grâce au cloud : le cloud devient désormais un prérequis pour tout nouveau projet numérique au sein de l’État) et l’investissement dans des projets industriels pour le développement des technologies cloud en France.
Pour pouvoir bénéficier de l’appellation “cloud de confiance” les offres proposées sur le marché doivent notamment avoir reçu la certification basée sur le référentiel SecNumCloud, délivrée par l’Agence Nationale de la Sécurité des Systèmes d’Information (sachant que l’ANSSI a récemment publié une version révisée de ce référentiel, pour l’adapter aux exigences “Cloud de confiance” et assurer une protection contre les lois extraterritoriales).
Ci-dessous, nous avons inventorié les offres dites “cloud de confiance” qui ont été annoncées, dans la prolongation des communications de l’Etat. Il est important de préciser que cette liste n’est pas exhaustive et que de nouvelles offres pourraient être annoncées après la publication de ces lignes.
Autre point d’attention : le processus de certification “cloud de confiance” n’étant pas encore finalisé, l’usage de cette qualification relève pour le moment uniquement de la communication.
L’offre “DCaaS” (Datacenter as a Service) d’OVHCloud
Offre de systèmes pré-intégrés de ressources d’OVHcloud dédiées à une seule entreprise pour assurer le stockage dans des centres de données hébergés sur le territoire national et donnant accès à son catalogue IaaS et PaaS.
L’offre “Cloud de confiance” d’OVHCloud et Whaller
Annoncée en octobre 2021, offre à destination principalement des administrations publiques, qui donnera accès à l’infrastructure d’hébergement de cloud privée certifiée SecNumCloud et à la plateforme de solutions d’outils de travail collaboratif fournis par Whaller.
L’offre “Hosted Private Cloud powered by Anthos” d’OVHCloud et Google Anthos
Annoncée en octobre 2021, offre conjointe de cloud privé exploitant la technologie multicloud Anthos de Google et qui reposera sur une infrastructure dédiée entièrement exploitée et gérée en Europe par les équipes d’OVHCloud.
Cette offre packagée permet de disposer d’un meta-control plane pour ajouter des fonctionnalités cloud native à des clusters Kubernetes (GKE) : observabilité (en l’occurrence Grafana, Prometheus, Loki), service mesh (basé sur Istio), configuration centralisée / GitOps. Elle devrait héberger en complément des solutions développées en open source. Cette offre est déjà commercialisée, un guide de démarrage et de la documentation technique sont actuellement disponibles sur le site des fournisseurs.
Il est à noter que OVHCloud dispose de la certification SecNumCloud sur son offre Hosted Private Cloud fournie depuis Roubaix et Strasbourg, mais pas encore pour son cloud public.
L’offre “IaaS Cloud on Demand” de 3DS Outscale (filiale de Dassault Systèmes)
A destination prioritairement des acteurs disposant principalement de données critiques à faire héberger dans une plateforme cloud de confiance, cette offre dispose actuellement de la certification SecNumCloud (avant mise à jour). En 2020, 3DS Outscale a annoncé la mise à disposition d’une 2ème région qualifiée SecNumCloud (hébergement dans 3 centres de données autour de l’Ile de France), à destination principalement du secteur public et des éditeurs de logiciels.
Les offres cloud d’Oodrive
Oodrive est le premier acteur cloud à avoir reçu la certification SecNumCloud pour les 3 offres de cloud privé suivantes : BoardNox (solution pour les signatures électroniques), iExtranet (portail de collaboration développé pour le partage en ligne des données ) et PostFile (solution de partage et de synchronisation de fichiers en ligne).
L’offre “Bleu” d’Orange et Capgemini
Offre annoncée en mai 2021. Ces deux entreprises se sont associées pour créer un fournisseur de cloud mettant à disposition les technologies Azure de Microsoft. Leur objectif est de fournir une plateforme capable d’assurer la confidentialité et la sécurité des données des entreprises et administrations publiques (OIV, OSE, représentants de l’Etat français et de la fonction publique, des hôpitaux et collectivités territoriales) requérant la mise en place d’un “Cloud de Confiance” adapté au degré de sensibilité de leurs données et à leur charge de travail.
Cette plateforme permettrait l’utilisation des suites collaboratives et de productivité Microsoft Office 365 ainsi que l’ensemble des services de la plateforme Cloud Microsoft Azure. Les environnements mis à disposition des clients seraient localisés dans des centres de données situés en France, et exploités depuis la France exclusivement par le personnel de Bleu.
L’offre “OnCloud” de Bouygues Télécom
Cette offre, annoncée en mai 2021, serait proposée par un acteur Cloud de droit français et disposant de ses propres infrastructures, situées en France, et fortement intégrées au réseau de Bouygues Telecom Entreprises. À travers cette offre, Bouygues Telecom Entreprises souhaite à la fois proposer des services cloud IaaS publics mais également aider les entreprises à bâtir leurs propres clouds privés.
OnCloud souhaite s’adresser aussi bien aux PME et Entreprise de Taille Intermédiaire (ETI) qu’aux collectivités publiques et aux grands groupes.
L’offre “NewCo” de GCP et Thalès
Offre annoncée en octobre 2021. GCP et Thalès visent à créer une société dédiée et de droit français, majoritairement détenue et entièrement contrôlée par Thales.
Elle mettra à disposition de ses clients des solutions d’hébergement et de traitement des données en France, dont l’infrastructure et l’exploitation seront exclusivement opérées et contrôlées par cette société. L’objectif est de mettre à disposition l’ensemble du catalogue IAAS/PAAS de GCP à partir de 2023
L’offre de suite collaborative de Scaleway et WIMI
Scaleway (filiale du groupe Iliad) et WIMI (acteur français sur le marché des solutions numériques collaboratives intégrées) sont associés depuis juin 2021. Les deux acteurs français visent à proposer une suite collaborative qualifiée SecNumCloud et pouvant répondre aux exigences du futur label “Cloud de confiance” (à ce jour, WIMI est engagé depuis plus de deux ans dans le processus de certification SecNumCloud).
Il est à noter que Scaleway conçoit, gère et opère ses propres centres de données localisés en France.
L’offre “Atos OneCloud Sovereign Shield” d’Atos
Partie prenante de l’initiative OneCloud d’Atos, cette offre, annoncée en novembre 2021, vise à mettre à disposition de ses clients du monde entier un catalogue de solutions, méthodologies et services cloud qui garantit aux clients d’améliorer leur niveau de contrôle sur les données qu’ils produisent et échangent, pour les aider à reprendre le contrôle et gérer les dépendances légales.
Cette offre pourrait être déployée sur un cloud privé déconnecté, par le biais d’un cloud public régional ou local et sur un cloud public mondial. Elle s’appuierait sur des briques technologiques open-source et propriétaires, des partenariats locaux et spécifiques (en cours d’élaboration et annoncés au fur et à mesure de leur signature) et des partenariats mondiaux (parmi lesquels Google GCP, Amazon AWS, Microsoft Azure, OVHcloud, VMWare et Red Hat).
Il nous semble important de finir ce panorama par un rappel des deux initiatives majeures au niveau européen, à savoir GAIA-X et EUCLIDIA.
GAIA-X
Il est encore prématuré de parler à l’heure actuelle d’une offre spécifique “GAIA-X”. Il s’agit plutôt d’une initiative public-privé à l’échelle européenne qui a pour but de fournir un cadre de traitement sécurisé et souverain de la donnée, ouvert et transparent. Ce cadre, ainsi que les labels associés, sont encore en cours de construction.
À l’heure actuelle, GAIA-X compte plus de 200 membres, dont des acteurs américains ou chinois. Certains sont directement enregistrées en tant qu’entreprise américaine (Advanced Micro Devices, Intel Corporation, Oracle Corporation, Palantir Technologies Inc., Palo Alto Networks, Resecurity, Inc., Salesforce.com, Inc. et Snowflake Inc.), ou chinoises (China Academy of Information and Communications Technology, Haier COSMO IoT Ecosystem Techology Co., Ltd.), et d’autres via une de leurs filiales européennes (ex. : Amazon Europe Core S.a.r.l., Google Ireland Ltd., VMWARE International Unlimited Company, Cisco Systems Belgium BV, Huawei Technologies Duesseldorf GmbH, Microsoft NV) ou non européennes (ex. : Alibaba Cloud Private Limited à Singapore).
De son côté le Conseil d’Administration regroupe des représentants d’acteurs européens. En date de juin 2021, le CA de GAIA-X était composé de 24 membres provenant de sept pays européens, incluant des représentants de DigitalEurope et CISPE, deux associations représentatives du secteur qui comptent parmi leurs membres des entreprises américaines et chinoises.
Il est à noter que tous les membres peuvent participer aux groupes de travail de GAIA-X mais uniquement les acteurs européens peuvent faire partie du conseil d’administration. Et seul le CA de GAIA-X est habilité à prendre les arbitrages finaux. En outre, l’adhésion à GAIA-X n’offre pas la possibilité de facto de voir ses offres technologiques inscrites au catalogue de services labellisés par l’association.
Au sein de l’écosystème GAIA-X, il nous semble tout particulièrement intéressant de suivre les projets de regroupements d’acteurs clés du secteur IT et/ou autour de verticaux Métier : Structura-X (Atos et plusieurs partenaires européens), Catena-X (initiatives spécifiques au secteur de l’automobile), EuroDat (secteur de la finance) et AgriGaia (secteur de l’agriculture) pour ne citer qu’eux. Dans le cas de Structura-X par exemple, les 28 membres actuels, répartis dans 10 pays, se sont engagés à rendre leurs services cloud conformes à GAIA-X.
Euclidia
L’alliance industrielle européenne du cloud a annoncé en juillet 2021 la création d’une nouvelle offre européenne de cloud souverain. Soutenue par le Conseil national du logiciel libre (CNLL), l’Association européenne des innovateurs en télécommunications de nouvelle génération (EANGTI), le Fonds de dotation du Libre (FDL) et OW2, Euclidia a été fondée par 23 membres : Abilian, Amarisoft, Beremiz, BlueMind, Clever cloud, E. corp, Jamespot, Innoroute, Linbit, Netframe, Nexedi, Nextcloud, ng-voice, Nitrokey, OpenSVC, Patrowl, Rapid.Space, Scaleway, SenX, Signal18, Submer, Vates et XWiki.
Convaincue que l’Europe a besoin de financement publics pour développer des solutions de cloud capables de concurrencer les géants actuels du marché, Euclidia vise notamment à favoriser l’accès aux marchés publics et au financement public en Europe d’au moins 10 plateformes de cloud computing utilisant des technologies européennes et à soutenir les startups qui souhaitent enrichir le catalogue des offres de cloud permettant de garantir l’autonomie numérique de l’Europe. À ce titre, Euclidia n’est pas une offre en tant que telle mais un regroupement d’intérêts visant à favoriser l’émergence d’offres et acteurs européens de cloud de confiance.
Dans un marché européen hétérogène, dispersé, incapable de s’allier et de co-construire une solution à l’échelle du continent, les initiatives Gaïa-X et Euclidia sont des propositions de réponses qui restent intéressantes à suivre, même si elles nous semblent encore à ce stade relativement jeunes et en pleine recherche de leur légitimité et leurs moyens d’action.
Dans le prochain article, nous verrons les critères de sélection d’une offre de Cloud de confiance, les limites de ces offres, et notre position sur le sujet.
Article initialement publié dans le hors-série reBirth, à télécharger ici.