Forrester alerte sur la vraie fausse souveraineté numérique dans le cloud public

Entre contraintes juridiques et réalités techniques

L’exemple de l’Indien Nayara Energy illustre cette vulnérabilité. En juillet, l’entreprise a engagé une action en justice contre Microsoft après la suspension de ses services Outlook et Teams, conséquence indirecte de sanctions européennes du fait qu’elle continuait à acheter du pétrole russe malgré l’embargo.

Pour Dario Maisto, ce type de risque pousse les DSI à réévaluer un recours aux fournisseurs locaux face aux hyperscalers américains. « On parle de mondialisation de l’IT, mais en réalité la balkanisation de l’IT révèle aussi que l’avenir est marqué par une incertitude globale », souligne-t-il.

Certaines applications vitales comme les ERP ou les CRM ne fonctionneraient même pas en dehors du cloud d’un hyperscaler. Or migrer une application d’un cloud à un autre constitue un chantier de très grande envergure.

« C’est un exercice de réingénierie », explique l’analyste. Déplacer une application comme Workday d’un fournisseur à un autre pourrait prendre jusqu’à deux ans. Les éditeurs SaaS, rappelle-t-il, concevraient volontairement leurs applications ainsi, ce qui limite les marges de manœuvre des clients.

Une souveraineté numérique encore lointaine

Certains dirigeants commenceraient à envisager un retour à 100 % de systèmes on-prem pour préserver leur souveraineté numérique.

Mais dans les faits, cette approche trouve vite ses limites : impossible par exemple de déployer certaines applications (Salesforce, etc.) ailleurs que dans le cloud d’un hyperscaler.

Pour beaucoup d’organisations, la conformité au RGPD serait un autre argument en faveur du on-premise. « Mais ce problème est résolu », tranche Dario Maisto. « « Il suffit de déléguer la responsabilité au fournisseur cloud, et vous êtes conforme au RGPD ».

Pour lui, la véritable question n’est pas la conformité réglementaire, mais la capacité à garantir un accès continu aux données hébergées dans le cloud public. « Une juridiction étrangère, un gouvernement ou un fournisseur hors de mon pays pourrait-il bloquer non seulement l’accès à son application SaaS et à son infrastructure, mais aussi aux données que j’y ai stockées ? », invite-t-il à se questionner.

Les inquiétudes portent notamment sur l’extraterritorialité du droit américain. « Les gens s’inquiètent du CLOUD Act, mais ce qui devrait vraiment les préoccuper, c’est l’article 702 du FISA », précise-t-il sur ce point.

Le gouvernement américain décrit le Foreign Intelligence Surveillance Act (FISA) comme « une autorité essentielle de collecte de renseignement […] sur des menaces à la sécurité nationale ». L’article 702 autorise la collecte ciblée de certaines catégories de renseignements étrangers.

« Avec le Cloud Act, vous êtes informés. « Mais si la NSA demande vos données au titre de l’article 702 du FISA, l’hyperscaler ne peut pas vous le révéler », compare Dario Maisto. « Il peut seulement indiquer le nombre de requêtes reçues des agences de renseignement ».

Si des acteurs comme Amazon Web Services, Google ou Microsoft peuvent contester en justice les demandes de divulgation fondées sur le CLOUD Act, avec l’article 702 du FISA, l’Administration américaine obtient un accès direct aux données, sans décision de justice.

Redéfinir la souveraineté en temps de crise

La question de la data residency (localisation des données) revient également régulièrement. Or, pour Forrester, les hyperscalers ne peuvent pas garantir l’immobilité des données au sein de leurs environnements. L’enjeu, insiste Dario Maisto, est moins de savoir où les données résident que d’assurer un accès ininterrompu.

Et de citer le cas de la Banque Nationale d’Ukraine, qui, au début de l’invasion russe en 2022, a migré ses systèmes vers le cloud public avec l’aide de Microsoft.

« On associe généralement la souveraineté à une souveraineté locale, c’est-à-dire une situation où les données restent dans le pays avec des fournisseurs locaux. Mais dans un contexte de conflit, la meilleure garantie de souveraineté, c’est une infrastructure cloud publique, globale, distribuée et hautement répliquée », nuance-t-il.

Si l’on met bout à bout toutes ces exigences, pour lui, une véritable infrastructure cloud souveraine ne verra pas le jour avant plusieurs années.

Et les organisations qui sont prêtes à investir dans des capacités souveraines doivent s’attendre à payer entre 15 % et 30 % de plus que pour un contrat cloud classique.

« La plupart du temps, il n’existe d’ailleurs aucune exigence réelle de souveraineté des données. Il n’y a pas de RGPD pour la souveraineté », conclut l’analyste, en omettant de citer la France qui a, il est vrai, une notion historique particulièrement stricte de ce concept.