Cet article fait partie de notre guide: Guide sur la souveraineté du cloud

European Sovereign Cloud : AWS lance (lui aussi) son cloud à l’européenne

Comme Oracle, AWS prépare une déclinaison européenne de son cloud conforme aux demandes de localisation et de contrôle de données souhaitées par la Commission européenne, mais qui ne répond pas (lui non plus) aux exigences du référentiel SecNumCloud.

Le 24 octobre, AWS a annoncé le lancement d’European Sovereign Cloud, un cloud « indépendant pour l’Europe » destiné aux acteurs des industries hautement régulées et du secteur public. Il faut entendre par « indépendant » comme « physiquement et logiquement distinct des régions AWS existantes ».

« Quand nous évoquons une infrastructure séparée, ou une partition dans notre documentation, cela veut dire que l’ensemble des infrastructures sont déconnectées des autres régions AWS », précise Stephan Hadinger, directeur de la technologie chez AWS France. C’est un modèle similaire qui régit le fonctionnement des deux régions GovCloud aux États-Unis.

Une partition AWS « exclusivement » européenne

La partition sera « exclusivement » localisée en Union européenne, en commençant par le lancement d’une région indépendante en Allemagne, plus précisément à Berlin. Fidèle à ses engagements en matière de résilience et de sécurité, AWS annonce « plusieurs » zones de disponibilité, sans toutefois en préciser le nombre. Pour rappel, chez AWS, une région cloud s’appuie généralement sur trois AZ (Availability Zones).

« Il n’est pas exclu qu’un jour il y ait une seconde région rattachée à cette partition. Cela dépendra des besoins exprimés par les clients », envisage Stephan Hadinger. Quoi qu’il en soit, European Sovereign Cloud devrait offrir la très grande majorité des services AWS.

En attendant, les offres AWS Outposts qui permettent habituellement à un client d’étendre un pan de l’infrastructure AWS sur site et les Dedicated Local Zones (des infrastructures multitenant opérées par AWS pour le compte d’un ou de quelques clients) seront également compatibles avec European Sovereign Cloud.

En outre, le cloud AWS à l’européenne sera administré par des techniciens situés dans les pays de l’UE. « Seuls les salariés d’AWS résidant dans l’UE auront le contrôle et de l’exploitation et du support de l’AWS European Sovereign Cloud », indique le géant du cloud.

En sus des données, AWS s’engage à ce que les métadonnées (les rôles, les autorisations, les étiquettes de ressources et les configurations) ne quitteront pas les serveurs rattachés à European Sovereign Cloud. « Le IAM AWS employé sera propre à cette partition européenne », indique Stephan Hadinger. Aussi, cette partition d’AWS disposera d’un système de facturation et de mesure d’utilisation distinct, opéré par une entité commerciale d’AWS située dans l’Union européenne.

Une annonce saluée par les homologues allemands, tchèques et roumains de l’ANSSI

European Sovereign Cloud, dont la date de disponibilité n’a pas été communiquée, a été salué par la directrice de l’Office fédéral allemand de la sécurité de l’information (BSI), l’équivalent allemand de l’ANSSI.

« Le développement d’un cloud AWS européen facilitera grandement l’utilisation des services AWS pour de nombreuses organisations du secteur public et des entreprises ayant des exigences élevées en matière de sécurité et de protection des données », déclare Claudia Plattner, présidente du BSI [Claudia Plattner n’a pas de lien de parenté avec Hasso Plattner, cofondateur de SAP, N.D.L.R.], dans un communiqué de presse publié par AWS. « Nous sommes conscients du pouvoir d’innovation des services cloud modernes et nous voulons contribuer à les rendre disponibles en toute sécurité pour l’Allemagne et l’Europe ».

Markus Richter, DSI du gouvernement fédéral allemand, rattaché au ministère fédéral de l’Intérieur, rejoint son avis. Les citations favorables de Jarkko Levasma (DG de l’IT du gouvernement finlandais au ministère des Finances), Tomas Krejci (directeur adjoint de l’Agence nationale de cybersécurité & de sécurité de l’information – NÚKIB – en République tchèque) et Dan Cimpean (directeur de la Direction nationale de la cybersécurité de Roumanie) ponctuent l’annonce d’AWS.

Telefonica Allemagne, T-Systems, Evidens (Atos), SAP ou encore Dedalus, tous partenaires d’AWS, saluent également ce lancement. Il est perçu comme un moyen d’élargir « les choix offerts aux clients lorsqu’ils passent au cloud », avance Peter Pluim, président de SAP Enterprise Cloud Services et de SAP Sovereign Cloud Services.

Éviter l’épineux cloud souverain à la française

Cette annonce fait suite à Digital Sovereignty Pledge, un engagement international pris par AWS pour fournir des « outils et des fonctionnalités de contrôle au service de la souveraineté ». Il tient en quatre points et concerne le contrôle de l’emplacement de données, leur accès, leur chiffrement et la résilience des systèmes.

Cette initiative suivait de près les annonces d’engagements pour la souveraineté pris par Microsoft (Cloud for Sovereignty) et par Google Cloud (Sovereign Controls, Supervised Control et Hosted Control). Ces initiatives tendent à confondre contrôle des données et souveraineté.

En juin dernier, Oracle a lancé EU Sovereign Cloud, une offre de cloud établie sur les technologies OCI installées dans des salles isolées, administrées par des filiales locales.

« AWS parle de résidents, et non de citoyens de l’UE. Il n’y a aucune espèce de garantie que des citoyens américains ou chinois habitant à Paris, Bruxelles ou Francfort n’accéderont pas aux données. »
Guillaume ChampeauDirecteur juridique et affaires publiques, Clever Cloud

Contrairement à S3NS (le partenariat de Thales et de Google Cloud) et à Bleu (le cloud de Capgemini et d’Orange reposant sur les technologies Azure), les offres d’Oracle comme celle d’AWS ne répondront pas aux critères de souveraineté française exprimés dans le référentiel 3.2 de SecNumCloud.

Cette version du référentiel de l’ANSSI est perçue comme une écharde sur le tapis rouge vers le cloud par les fournisseurs et des éditeurs internationaux. Des acteurs comme SAP, Oracle et AWS, préfèrent éviter de marcher dessus. Pour rappel, l’obtention de la qualification SecNumCloud 3.2 impose au fournisseur qui candidate d’être immun au droit extraterritorial, principalement américain, chinois et russe.

Si European Sovereign Cloud ne peut prétendre à cette immunité légale, AWS entend s’assurer de cocher le plus de cases techniques et administratives possibles pour rassurer ses clients OIV et du secteur public. Pour autant, il fait déjà l’objet de doute concernant son modèle de support, notamment. 

« AWS parle de résidents, et non de citoyens de l’UE. Il n’y a aucune espèce de garantie que des citoyens américains ou chinois habitant à Paris, Bruxelles ou Francfort n’accéderont pas aux données », commente Guillaume Champeau, directeur juridique et affaires publiques chez Clever Cloud, sur LinkedIn. « Or, il faut rappeler qu’une étude juridique commandée par le gouvernement des Pays-Bas a conclu l’an dernier qu’un salarié américain d’une entité européenne, lorsqu’il a accès aux données d’un client, peut se voir ordonner la communication à l’administration américaine de données sensibles hébergées en Europe, sans même que son employeur le sache et puisse s’y opposer, et que cet employé peut faire l’objet à cet égard de pressions de la part du gouvernement américain ».

« De toute façon, nos salariés n’ont pas accès aux données des clients. De même, nos clients sont invités à chiffrer leurs données. Ils peuvent même externaliser les clés s’ils le souhaitent ».
Stephan HadingerDirecteur technologie, AWS France

« De toute façon, nos salariés n’ont pas accès aux données des clients. De même, nos clients sont invités à chiffrer leurs données. Ils peuvent même externaliser les clés s’ils le souhaitent », répond Stephan Hadinger. « En outre, notre hyperviseur Nitro est une solution qui rend la chose techniquement infaisable, peu importe la partition ».

Quant aux métadonnées liées aux opérations, les clients sont invités à ne pas y faire figurer des données confidentielles, rappelle le directeur de la technologie.

AWS attend l’arrivée de l’EUCS

Quoi qu’il en soit, AWS devra passer les certifications de sécurité pour cette nouvelle partition. « Le modèle de sécurité et conformité opérationnelle est le même que dans les autres régions », assure Stephan Hadinger.

Au cours des trois dernières années, Google Cloud, AWS, Microsoft Azure et Oracle ont passé volontairement les certifications de sécurité allemandes, C5, et espagnoles, ENS, qui s’avèrent beaucoup moins contraignantes que SecNumCloud. Toutefois, ils s’en réfèrent, collectivement et individuellement, à l’application d’un référentiel de sécurité cloud européen uniformisé.

Celui-ci devrait être l’EUCS (European Cybersecurity Certification Scheme for Cloud Services), en cours de construction par l’ENISA, sous l’égide de la Commission européenne.

« Il est clair que nous avons une attention toute particulière concernant l’EUCS qui n’est pas finalisé, mais qui est important pour nos clients et donc pour nous », confirme Stephan Hadinger. « C’est un sujet mouvant ».

En septembre, les brouillons de l’EUCS révélés par Euractiv et Politico font mention non plus de trois catégories de certifications EUCS (basique, substantielle, haute), mais de quatre (haute+). Ce quatrième niveau additionnel porterait, comme SecNumCloud, les exigences de non-exposition au droit extraterritorial et serait inaccessible aux fournisseurs non européens. Une sous-catégorie portée par la France et son porte-voix, le Commissaire au marché intérieur, Thierry Breton.

Selon Euractiv, certains acteurs considérés comme essentiels ou importants pour l’Union européenne pourraient se voir obligés d’adopter des solutions conformes à l’EUCS dans le cadre de la directive NIS 2. Dans un même temps, les principaux groupes du Parlement européen considèrent la position française comme politique et non technique. Un rapport concernant des amendements au Cybersecurity Act (dont la révision est prévue d’ici juin 2024) a été adopté en commission ce 25 octobre, en vue de donner au Parlement le pouvoir d’approuver ou de rejeter un référentiel cloud. La commission Industrie, Recherche et Énergie a décidé d’ouvrir des négociations interinstitutionnelles sur la base de ce texte.

Pour approfondir sur Fournisseurs Cloud