Cloud souverain : la Commission européenne publie une grille de lecture controversée

Une formule mathématique pour noter le degré de souveraineté d’un cloud

Contrairement aux précédentes campagnes qui permettaient généralement aux propositions moins-disantes de remporter l’appel d’offres, Cloud III DPS intègre désormais le « Cloud Sovereignty Framework », un cadre publié le 20 octobre. Il doit aider à pondérer les achats de services cloud en fonction de huit « objectifs de souveraineté » (SOV-1 à SOV-8). La direction générale des services numériques de la CE distingue ainsi les notions de souveraineté stratégique, légale, de données, opérationnelle, logistique, technologique, sécuritaire et environnementale.

À chaque objectif est un pourcentage de pondération qui jouera dans l’attribution de l’appel d’offres. Le résultat final est un « score de souveraineté » exprimé en pourcentage. Il est calculé à l’aide d'une formule mathématique.

En outre, les objectifs de souveraineté sont à évaluer à l’aune de cinq niveaux minimum d’assurance (Sovereign Effectiveness Assurance Levels ou SEAL 0 à 4) : aucune souveraineté, souveraineté juridictionnelle, souveraineté des données, résilience numérique et souveraineté numérique totale. Ce niveau minimum d’assurance est déterminé par la documentation disponible et les réponses aux questions formulées dans l’appel d’offres.

« Notre objectif est de veiller à ce que toutes les institutions, organes, offices et agences européens puissent choisir des services cloud “adaptés à leurs besoins” », explique Philippe Van Damme, directeur général adjoint de la DIGIT à la Commission européenne, sur LinkedIn. « Nous complétons notre évaluation par une bonne dose d’excellence technique afin de garantir que la technologie que nous utilisons est non seulement souveraine, mais qu’elle apporte également la valeur dont nous avons besoin », poursuit-il.

Un cadre censé soutenir le marché européen du cloud

 Cette grille de lecture interne est inspirée du référentiel du cloud de confiance du Cigref. Elle s’appuie aussi sur des initiatives au sein de Gaia-X et des lois européennes en matière de cyber-conformité (NIS 2, DORA, ENISA). Elle ferait, entre autres, « écho aux enseignements » des stratégies nationales de la France (Cloud de Confiance) et de l’Allemagne (Souveräner Cloud). Mais elle n’est pas uniquement destinée aux besoins de la Commission, selon Philippe Van Damme.

« Nous voulons que notre cadre de souveraineté du cloud devienne une référence en matière d’achat de services cloud et un catalyseur de la croissance du marché européen du cloud », affirme-t-il.

Enfin, un moyen concis de définir le cloud souverain, estiment certains internautes. Le cadre en lui-même tient sur six pages. Ce serait là un problème pour d’autres. Les notions évoquées semblent floues, voire erronées, selon l’association CISPE qui représente 38 fournisseurs européens, dont NumSpot, Outscale, Vultr ou encore Clever Cloud.

Une approche du cloud souverain qui n’a rien de « bio », selon le CISPE

« Un service cloud est soit souverain, soit il ne l’est pas, tout comme un aliment est soit biologique, soit il ne l’est pas », compare l’association CISPE. « On ne peut pas être biologique à 75 %, et on ne devrait pas non plus être souverain à 75 %. C’est pourtant exactement la confusion créée par le nouveau cadre européen pour la souveraineté du cloud de la Commission européenne ».

Précisons que, selon le ministère de l’Économie, seuls les produits contenants au moins 95 % d’ingrédients agricoles certifiés biologiques peuvent comporter les termes “biologique” ou “bio” ». Il existe des seuils de tolérance suivants si le produit est brut ou transformé. Sans oublier que des pratiques normalement prohibées suivant le cahier des charges peuvent être tolérées, par exemple au nom de la sécurité sanitaire.

Quand bien même, selon le CISPE, le score de souveraineté ferait « la moyenne entre l’impossible et l’inutile ». De là, à dire que la Commission compare des choux et des carottes, il n’y a qu’un pas que l’association ne franchit pas. Ou presque.

« Il mélange des objectifs inatteignables, tels que le contrôle total de l’UE sur chaque composant matériel, avec des idées vagues comme les “garanties contre le changement de contrôle” », poursuivent les porte-parole du CISPE. « En créant une moyenne des moyennes pondérées, il s’éloigne encore plus de la transparence et laisse une grande marge de manœuvre pour dissimuler des vérités dérangeantes ».

Certains points posent question aux observateurs. Par exemple, la souveraineté logistique (SOV-5). Ce critère inclut la provenance géographique des machines utilisées, des firmwares, des logiciels, le degré de dépendance à des fournisseurs non européens et la visibilité sur l’auditabilité de l’ensemble de la supply chain. Il compte pour 20 % dans la notation.

« C’est intéressant, car la plupart du matériel et des logiciels ne viennent pas d’Europe », souligne sur LinkedIn. Max Körbächer, directeur et fondateur de Reply Liquid, un cabinet de consultance basé à Hanovre consacré au cloud.

Autre point, le critère SOV-2 prend en compte :

• la nationalité du système légal qui régit les contrats et les opérations du fournisseur,
• le degré d’exposition aux lois extraterritoriales non européennes (CLOUD Act, loi de cybersécurité chinoise, etc.) ;
• l’existence de « voies juridiques, contractuelles ou techniques » par lesquelles des autorités non UE pourrait accéder aux données ou aux systèmes ;
• l’applicabilité des régimes internationaux pouvant restreindre les usages et le transfert ;
• le lieu de la création et d’enregistrement de la propriété intellectuelle, la juridiction associée.

Ce critère, somme toute au cœur de la qualification SecNumCloud en France, ne compte que pour 10 % de la note.

« Une approche de legal-washing pour éviter les licenciements directs des fournisseurs américains et chinois ? », s’interroge Max Körbächer. « Je pense que c’est le premier pas vers une certaine clarté. J’aurais aimé qu’il y ait plus de détails sur chaque objectif au-delà des dimensions données à vérifier ».

« Dans la pratique, la plupart des fournisseurs de services cloud européens sont susceptibles d’obtenir un score inférieur à celui des hyperscalers étrangers dans le cadre de ce système – c’est peut-être le but – préservant ainsi le statu quo sous le couvert de la “souveraineté” », dénonce pour sa part le CISPE. « Le message semble être le suivant : “vous ne pouvez pas vous conformer aux exigences européennes en matière de propriété et de contrôle ? Qu’à cela ne tienne, compensez les chiffres par des investissements ou une participation aux programmes de l’UE” ».

Dans une analyse publiée sur le site sensPo.fr, Sylvain Rutten, consultant chez NextHop et ancien responsable du pôle infrastructure cloud et sécurité chez Docaposte évoque une « souveraineté de façade » pour les niveaux SEAL-1 et 2. Les offres S3NS et Bleu, issues de joint-venture avec des hyperscalers américains, passeraient le SEAL-3. Bien que bientôt conforme au SecNumCloud, elle souffrirait d’une trop grande dépendance technique aux services de ces géants de la tech.

« La pondération tient compte du fait que la procédure de passation de marchés contient déjà des garanties importantes dans les catégories telles que SOV-2 (juridique et juridictionnel) et SOV-7 (sécurité et conformité) », peut-on lire dans le document de la Commission.

Surtout, ce sont les autorités contractuelles qui auront le dernier mot sur le niveau d’assurance minimum pour chaque objectif de souveraineté. Le score est « complémentaire ». Le cadre en lui-même est non contraignant. Tout dépendra de la bonne volonté des autorités contractantes, c’est-à-dire des agences européennes qui utiliseront le Cloud DPS III.

Pour l’association CISPE, le niveau 3 du référentiel Gaia-X permettrait de « garantir une immunité totale contre toute ingérence étrangère et un contrôle 100 % européen ». Un « label » qu’elle compte bien utiliser pour mettre en avant les solutions de ces membres. Comme dans l’agriculture où les partisans des méthodologies « AB » et « Nature & Progrès » ont pu s’opposer, le cloud souverain vit sa guerre de chapelles.