L’association des « Cloud Infrastructure Service Providers in Europe » se rebiffe contre les faux clouds souverains avec un framework pour déterminer les offres totalement souveraines et celles qui sont résilientes.
Souverain, ou pas souverain ? À cette question simple, la réponse n’est pas toujours évidente. En partie à cause du marketing de certains fournisseurs cloud qui apposent l’appellation « Sovereign » sur des infrastructures qui ne garantissent en réalité que la localisation.
Cette confusion, souvent volontaire, a le don d’énerver CISPE, l’association des « Cloud Infrastructure Service Providers in Europe » dont font partie en France, 3D Outscale, Nusmpot ou Thésée Datacenters.
Un framework « Trump-proof »
« Le marché est inondé d’offres “souveraines” non vérifiées, ce qui rend difficile pour les clients de savoir ce qu’ils achètent », constate sèchement le CISPE. « Les définitions officielles de la souveraineté restent floues et les indicateurs d’évaluation sont [souvent] opaques. Les clients ont le droit de savoir si leurs services cloud sont à l’abri des ingérences juridictionnelles étrangères, s’ils sont “Trump-proof” ».
« Les définitions officielles de la souveraineté restent floues et les indicateurs d’évaluation sont [souvent] opaques. »
CISPE
Pour lutter contre ce que l’association qualifie également de « sovereignty washing », un framework d’évaluation a été dévoilé la semaine dernière.
« Le CISPE Framework propose une définition claire et certifiable de la notion de contrôle dans le cloud », résume l’association. « Il aide à identifier les offres qui garantissent un contrôle effectif sur les données, l’infrastructure, les workloads et les opérations. Car c’est un point crucial : une certification en cybersécurité seule ne garantit pas la souveraineté ».
Souverain vs Résilient
Ce cadre fait une distinction entre les services souverains d’une part, et les services résilients d’autre part.
Les services souverains garantissent un contrôle « par nature ». Ils sont par exemple détenus par des entités européennes, ce qui empêche des puissances étrangères « d’y accéder, de s’y ingérer ou de les perturber », souligne le CISPE.
Les services résilients, eux, garantissent un contrôle « opérationnel ».
« Même lorsque certains éléments non souverains existent, les clients conservent le contrôle grâce à des mesures de protection techniques et opérationnelles, comme le chiffrement géré par le client, la portabilité, les sauvegardes indépendantes et la possibilité de changer de fournisseur ».
« Il ne s’agit pas d’exclure qui que ce soit du marché, mais de construire la confiance dans un contrôle réel des données et des workloads dans le cloud. »
CISPE
Pour rendre les choses encore plus claires, le CISPE a imaginé deux types de badges (cf. image en haut d’article). Rouge pour les services souverains. Bleu pour les résilients.
« N’exclure personne du marché »
À ce jour, une quarantaine d’offres ont été évaluées, dont des services de stockage, Kubernetes, ou des assistants d’IA. D’autres devraient suivre rapidement.
« Il ne s’agit pas d’exclure qui que ce soit du marché, mais de construire la confiance dans un contrôle réel des données et des workloads dans le cloud », assure le CISPE, qui continue son travail de lobbying pour intégrer ces notions dans les futurs référentiels européens qui se concentreraient de plus en plus sur la cybersécurité et de moins en moins sur ces problématiques.
Crédits image : CISPE – Infographie des deux types de badges certifiés par l’association des « Cloud Infrastructure Service Providers in Europe.
Pour approfondir sur Réglementations et Souveraineté
