« Cloud de Confiance » : un nouveau label pour une nouvelle doctrine cloud de l’État

SecNumCloud : la sécurité, pas la souveraineté

SecNumCloud est une certification de l’ANSSI qui vise à assurer que des prestataires proposent à leurs clients des critères de sécurité parmi les plus hauts au monde, dixit Guillaume Poupard, directeur général de l’Agence.

Mais SecNumCloud était aussi souvent présenté à tort comme un label de « souveraineté ». Dans les faits, c’était le cas, puisqu’aujourd’hui seules trois entreprises françaises – Outscale (Dassault Systèmes), OVHCloud et Oodrive – l’ont obtenu.

Mais rien dans les 50 pages de critères n’obligeait à ne pas être soumis à l’extraterritorialité d’un droit étranger. Lors d’une audition à l’Assemblée nationale le 9 février 2021, Karine Picard déclarait par exemple devant les députés qu’Oracle était en train de candidater auprès de l’ANSSI pour devenir SecNumCloud.

Lors de la seconde plénière de GAIA-X, le délégué général du Cigref Henri d’AGRAIN faisait lui aussi cette distinction entre sécurité d’un côté et souveraineté de l’autre. « On peut être SecNumCloud et ne pas être souverain. Et on peut être souverain sans être SecNumCloud », résumait-il alors.

Qu’est-ce que le label « Cloud de confiance » ?

L’annonce de ce nouveau label par le ministre de l’Économie et des Finances, Bruno Le Maire, vient, en quelque sorte, combler un trou de SecNumCloud en lui ajoutant l’exigence d’être immunisé d’un point de vue légal. En résumé :

Cloud de confiance = SecNumCloud + CLOUD Act-free

L’ANSSI sera toujours en charge de l’évaluation. Les premiers fournisseurs labélisés « cloud de confiance » devraient arriver rapidement, selon le secrétaire d’État chargé de la transition numérique et de la communication électronique Cédric O – Outscale, OVH et Oodrive étant de facto éligibles.

Qu’est-ce que la nouvelle doctrine « cloud au centre » ?

Dans le même temps, la ministre de la Transformation et de la Fonction publique, Amélie de Montchalin, a officialisé un changement de doctrine de l’État vis-à-vis du cloud.

Cette nouvelle doctrine s’appelle « Cloud au centre ». Avec elle, « le cloud devient un prérequis pour tout nouveau projet numérique de l’État ». Dit autrement, tout nouveau développement se fera dans le cloud. Quant à l’existant IT de l’État, il devrait être migré et cloudifié au fil des modernisations.

« Chaque produit numérique qui manipule [des données sensibles] devra impérativement être hébergé sur les clouds internes de l’État ou sur un Cloud de confiance. »

La doctrine implique également que les clouds choisis ne peuvent pas être n’importe quel cloud.

Pour les données non sensibles, les choix se résument aux deux clouds interministériels internes de l’État et aux offres qui satisferont des « critères stricts de sécurité ». A priori, pas grand-chose de neuf. Azure, GCP, AWS et autres IBM répondent à ces critères (et peuvent par ailleurs être SecNumCloud).

Pour les données sensibles, en revanche, la décision est beaucoup plus drastique.

La polémique sur le Health Data Hub est passée par là. Désormais, « chaque produit numérique qui manipule […] des données personnelles des citoyens français, des données économiques relatives aux entreprises françaises, ou des applications métiers relatives aux agents publics de l’État », devra « impérativement » être hébergé sur le cloud interne ou sur un « cloud de confiance », dévoile Amélie de Montchalin.

Les applications qui répondent à ces critères et qui ne sont pas conformes à la doctrine (qui sont sur un cloud extraeuropéen) auront 12 mois pour migrer à partir du moment où une offre « de confiance » existe.

Azure, GCP et AWS revendus sous licences ?

Une conséquence radicale de cette doctrine pourrait être que l’État n’utilise plus les outils des GAFAM comme Office 365 ou AWS. Le but n’est cependant pas celui-ci.

« Ce mécanisme de licences met les données des Français et des entreprises françaises à l'abri de la législation américaine du CLOUD Act. »

« Pour leur compétitivité, les entreprises françaises doivent avoir accès aux outils informatiques les plus performants du monde », insiste au contraire le secrétaire d’État chargé de la transition numérique. Elles doivent cependant pouvoir les utiliser en étant sûres de bénéficier « d’un traitement des données respectueux des valeurs européennes ».

La « stratégie nationale cloud » (qui regroupe ces deux annonces et des promesses d’investissements publiques au travers d’un Plan d’Investissement d’Avenir et de France Relance) vise donc plutôt à amener les géants du cloud à évoluer radicalement.

Très concrètement, pour ne plus être soumise au CLOUD Act, la technologie d’un cloudiste américain (Microsoft ou AWS par exemple) doit pouvoir être revendue puis entièrement gérée par un opérateur européen (OVH, Outscale ou Scaleway par exemple).

Dans ce cas, il n’y a plus de lien direct entre l’hyperscaler et les clients finaux. « Ce mécanisme de licences met les données des Français et des entreprises françaises à l’abri de la législation américaine du CLOUD Act », assure Cédric O. Le président du Cigref, Bruno Duverneuil va jusqu’à évoquer un « transfert technologique ».

Une utopie ?

« Il y a eu cet accord entre OVH et Google. Il y en aura d'autres. J'ai vu le président de Microsoft France il n’y a pas très longtemps et il y est assez favorable. »

Pas forcément. Google a déjà entamé une démarche similaire en passant un partenariat avec OVH. En Chine, Salesforce est revendu, hébergé et géré par Alibaba Cloud. Le champion du CRM a même annoncé en décembre une offre « Hyperforce » qui permet à ses clients d’héberger les workloads et les données de ses applications sur le cloud de leur choix (à condition que ce soit Google Cloud, Azure ou AWS). Il ne semble donc pas inimaginable d’étendre ce type de « partenariat » à des cloudistes français ou allemands.

Mieux, d’après le président du MEDEF, Geoffroy Roux de Bézieux, un des plus gros faiseurs du marché serait (presque) partant. « Il ne faut pas renoncer à avoir des entreprises françaises. En attendant, le système de licence est une bonne solution », se félicite-t-il. « Il y a eu cet accord entre OVH et Google, mais il y en aura d’autres, notamment avec Microsoft. On sait qu’ils sont dans les tuyaux. J’ai vu le président de Microsoft France il n’y a pas très longtemps et il y est assez favorable », révèle-t-il.

À noter que ce scénario de la revente de produits cloud américains, par des acteurs locaux, était une des cinq hypothèses retenues par KPMG pour l’évolution du cloud européen dans son livre blanc sur le cloud souverain.

Reste à voir si de « assez favorables », les acteurs comme Microsoft iront jusqu’à accepter dans les faits ce nouveau modèle économique, qu’ils ont jusqu’ici majoritairement refusé.