Le grand guide du « cloud souverain »
Cloud de confiance, souveraineté des données et indépendance technologique
Introduction
Les entreprises ne veulent plus investir dans leurs salles informatiques. Elles les vident pour mettre leurs applications et leurs machines virtuelles en cloud, la plupart du temps chez AWS, Azure ou Google. Mais cette migration pose une question qui, dans un premier temps, a été ignorée plus ou moins volontairement.
Dès lors que les données sont hébergées par une entreprise américaine, y compris par leurs filiales européennes et même sur le sol français, elles tombent sous le coup du droit américain (dont le fameux Cloud Act, mais pas uniquement) dont une des caractéristiques est d’être « extraterritorial ». Dit autrement, le droit de Washington s’applique aussi bien à San Francisco qu’à Paris, à Austin qu’à Tokyo dès qu’une personne (physique ou morale) de nationalité américaine est impliquée d’une manière ou d’une autre (support, maintenance, gestion opérationnelle, etc.).
Un droit inamical, car instrumentalisé
Or ce droit aux objectifs officiels louables (lutte contre le terrorisme et la criminalité) pose un problème. L’histoire récente a en effet montré qu’il avait aussi des objectifs officieux et que les États-Unis n’hésitent pas à l’instrumentaliser à des fins de guerre économique (pression du Departement of Justice pour forcer la vente d’Alstom à GE par exemple), à des fins d’intelligence économique (espionnage industriel) ou pour des visées géopolitiques.
À tel point que le ministre de l’Économie et des Finances lui-même, Bruno Le Maire, le qualifie d’inamical et a exprimé publiquement et à plusieurs reprises l’irritation de la France face à cet état de fait.
Des clouds américains entre le marteau et l’enclume
Les cloudistes américains, eux, sont pris entre le marteau et l’enclume. L’enclume du droit extraterritorial de leur pays d’origine, et le marteau de clients européens qui commencent à percevoir les dangers et la contradiction intrinsèque entre ce droit (qui impose aux cloudistes de divulguer des données, de surcroît sans en avertir les entreprises concernées) et le RGPD (qui interdit ce transfert de données personnelles).
Jusqu’ici, les acteurs IT américains rassuraient avec des éléments de langage : indépendance du juge américain (qui est en fait toute relative), encadrement de la procédure pour qu’elle reste dans la lutte contre la criminalité (ce que les faits démentent), localisation des données en Europe (ce qui ne change rien, le droit américain étant extraterritorial), contrat de droit français (ce qui permet au client de lancer une procédure vouée à l’échec devant un tribunal français contre l’État américain), contestation systématique des demandes par les avocats des éditeurs (sans que l’on sache la réelle efficacité de leurs oppositions, par ailleurs sincères) ou publication d’indications sur les demandes (souvent encore très floues et « après coup »).
Mais affaire après affaire (dont l'amende record infligée à BNP Paribas), ces « arguments » d’un droit purement sécuritaire se fissurent un par un. Le droit américain est une arme de guerre économique, l’IT en est un de ses relais opérationnels. La naïveté des clients européens commence à se dissiper.
Sursaut européen (timide)
Conséquence, des politiques européens, mais aussi quelques industriels veulent des alternatives pour leurs données sensibles : des clouds « souverains ». C’est-à-dire des infrastructures non soumises au droit intrusif d’une puissance étrangère, fût-elle amie.
Des années après les échecs de Cloudwatt et de Numergy, la souveraineté numérique redevient donc à la mode. À l’échelle européenne, sous les encouragements des gouvernements français et allemands, des hébergeurs locaux, des ESN et des éditeurs tentent de fédérer leurs catalogues de service sous le blason Gaia-X avec, à la clé, une promesse d’interopérabilité des écosystèmes.
Car voilà bien ce qui pêche dans les alternatives locales aux clouds des hyperscalers américains : la richesse de l’offre.
Les hébergeurs OVHcloud, Scaleway, T-Systems ou 3DS Outscale s’efforcent de bâtir les mêmes services de machines virtuelles, de stockage en ligne, avec des prix comparables, mais ils peinent à reproduire l’étendue fonctionnelle de leurs modèles américains. Dans les services d’infrastructure par exemple, la totalité des éditeurs de logiciels de sauvegarde propose d’héberger les copies de secours sur le service S3 d’AWS. Pour bénéficier d’une telle fonction chez OVHcloud, mieux vaut être client de Veeam, le leader, ou d’Atempo, le Français.
De trop nombreux services souverains ne sont par ailleurs pas clés en main. Là où un simple clic sur une option suffit chez un hyperscaler, il faut négocier un contrat avec un intégrateur pour qu’il personnalise l’installation d’une fonction similaire. Les coûts risquent rapidement de ne plus être les mêmes.
Souveraineté des données vs Souveraineté technologique
L’avantage des acteurs locaux est en revanche celui de « l’immunité » au droit américain.
Une labélisation « Cloud de confiance » – voulue par le gouvernement français et annoncée lors du lancement de sa nouvelle doctrine « Cloud au centre » – a même vu le jour en 2021. Elle est décernée après avoir obtenu la certification SecNumCloud de l’ANSSI et assure que le cloud en question n’est soumis qu’au droit européen.
Mais les efforts pour obtenir un tel label ont eux-mêmes un coût, répercuté sur la facture du client. Les entreprises européennes accepteront-elles de payer cette « prime » pour leurs données sensibles ? Rien n’est moins sûr.
Quant aux hyperscalers, ils n’entendent pas se faire évincer du marché des données, des applications et des secteurs critiques. Ils agissent, et vite.
Côté pile, ils ont d’ores et déjà réagi en proposant de revendre leurs services au travers d’un acteur local (comme Azure et Google qui ont passé des partenariats avec respectivement Orange et Thalès en ce qui concerne la France).
Ces solutions ont le mérite de répondre à la fois à la problématique de la souveraineté (les données seront hébergées sur des machines qui appartiennent à des prestataires de droit français qui n’ont aucun compte à rendre à Washington) et à la demande d'outils de l’écosystème. Toutes les fonctions disponibles sur les clouds américains seront importées, au moins le temps de leur usage. C’est en tout cas la promesse : à l’heure où nous publions ce guide, ces versions européanisées des clouds américains sont encore loin d’être sorties de terre.
Côté face, les hyperscalers ont intégré Gaia-X, mais sont accusés par d’anciens membres comme Scaleway de ralentir le projet pour décaler son émergence opérationnelle et permettre à leurs propres offres de s’adapter à la nouvelle donne réglementaire qui point à l’horizon du cloud.
Vrai ou faux ? Difficile à dire avec certitude. Ce qui est sûr en revanche, c'est qu'en coulisse, se joue à couteaux tirés une opposition entre deux conceptions de la souveraineté. D’un côté, les promoteurs d'une souveraineté légale (« la souveraineté des données ») où les clouds utilisent des technologies américaines dans un contexte sécurisé. De l’autre, les partisans d'une « souveraineté technologique » qui appellent à développer une propriété industrielle et à soutenir des éditeurs européens pour viser l’indépendance technologique.
Y voir clair dans la souveraineté
Entre subtilités du droit américain, éléments de langage et polémiques, nouvelles offres souveraines (locales et américaines), et les offres qui ne sont souveraines qu’en façade, il n’est pas toujours simple de s’y retrouver.
À la croisée de la réglementation, de l’analyse IT et de la stratégie à long terme, ce guide clarifie ces zones d’ombres pour en faire des éléments de décisions plus éclairées.
1Comprendre les enjeux-
Pourquoi la nationalité américaine des hyperscalers pose problème
« Nous refusons les lois extraterritoriales américaines, donc nous nous protégeons »
Lors de l’annonce du label « Cloud de confiance », le ministre de l’Économie et des Finances Bruno Le Maire a réaffirmé les dangers du droit américain. L’Allemagne pourrait lancer un label similaire « dans les mois qui viennent ». Lire la suite
Quelles différences entre CLOUD Act et PATRIOT Act (et quels impacts sur les entreprises françaises)
Les deux lois sont bien distinctes. Mais elles s'appliquent aux entreprises françaises dès qu'elles mettent leurs données chez un prestataire d'origine américaine - ou localisé aux Etats-Unis. Voici tous les éléments pour expliquer ces « Acts » à son COMEX. Et deux pistes pour se protéger de « l'extraterritorialité » du droit américain. Lire la suite
Droit américain et cloud computing : « Nous sommes extrêmement naïfs » (Outscale)
Des « Serious Crimes » pas si « Serious ». Un droit pénal instrumentalisé comme une arme dans une guerre économique mondiale. Une donnée devenue un patrimoine critique. Les décideurs français n’auraient pas tous pris conscience du contexte de leurs achats IT. Lire la suite
Le CLOUD Act américain est-il réellement dangereux pour les clients européens ?
Pour le vice-président de l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP), les GAFAM minimisent les risques de la loi américaine. Et il rappelle que c’est la responsabilité du client du cloud qui est désormais engagée, pas celle du cloudiste. Lire la suite
CLOUD Act : entre le marteau et l’enclume
Dans cet article, le Directeur général de Talan Labs analyse la dissonance juridique dans laquelle se trouvent les entreprises européennes clientes des clouds américains. Il appelle de ses vœux une régulation mondiale de la donnée. Lire la suite
Entre « souveraineté des données » et « souveraineté technologique », OVH choisit les deux
Alors que le débat s’anime autour d’une IT qui serait totalement souveraine d’une part, et une IT qui serait un cheval de Troie pour les GAFAM, Octave Klaba n’oppose pas les deux qui sont, au contraire selon lui, complémentaires. Lire la suite
Souveraineté numérique et « Guerre Froide » technologique : l’avenir du cloud s’annonce orageux
Pour la banque d’investissement Klecha & Co, au regard du contexte de guerre économique où l’Europe est un terrain de jeu possible pour les États-Unis et la Chine, la cloudification massive ira de pair avec la question de la souveraineté des données et de l’indépendance technologique. Lire la suite
2« Cloud de confiance »-
Le gouvernement français impose une nouvelle règle du jeu
« Cloud de Confiance » : un nouveau label pour une nouvelle doctrine cloud de l’État
Le but de la « stratégie nationale cloud » est de promouvoir la souveraineté IT, l’écosystème numérique local, et de pousser les hyperscalers à devenir « CLOUD Act-free » au travers de licences. D’après le MEDEF, Microsoft serait « favorable ». Lire la suite
Office 365 persona non grata dans les ministères
La DINUM entérine qu’Office 365, dans sa forme actuelle, n’est pas conforme à la nouvelle doctrine cloud de l’État. Mais elle ne donne pas non plus un blanc sein aux éditeurs souverains. Et elle laisse en suspens les cas où le SaaS de Microsoft est déjà déployé. Lire la suite
Cloud : l’État soutient l’innovation, la filière réclame des commandes
Si les acteurs publics et privés se réjouissent que l’État et ses partenaires privés injectent près de 1,8 milliard d’euros dans l’écosystème cloud français, les éditeurs et les fournisseurs appellent à la commande publique et à un accompagnement dans l’obtention du visa de sécurité SecNumCloud. Lire la suite
« La question n’est pas tant de créer un cloud souverain qu’un cloud de confiance » (USF)
Le président de l’association des utilisateurs de SAP confirme une attente de ses membres pour des alternatives européennes aux clouds américains. Mais il voit aussi une différence entre la sensibilité des RSSI et celle des DAF sur le sujet. Lire la suite
3Gaia-X-
Espoirs et désespoirs d’une réponse européenne
GAIA-X : le SeLoger.com du cloud européen
Le projet GAIA-X veut contrer la domination des clouds américains et chinois en Europe. Mais comment ? Servane Augier, de 3DS OUTSCALE, explique très concrètement ce qu’il est aujourd’hui. Et ses évolutions techniques à venir. Lire la suite
Cloud souverain : GAIA-X dissipe les confusions (et confirme ses ambitions)
Présence des clouds chinois et américains, comparaison avec Numergy et Cloudwatt, concept abstrait d’espace de données. Les risques de confusions sur GAIA-X ne manquent pas. À l’occasion de sa deuxième plénière, l’association qui pilote le projet les a dissipées dans un échange avec LeMagIT. Lire la suite
GAIA-X : Cedric O anticipe des « oppositions » et confie le Hub français au Cigref
Chaque État de l’UE a été invité à créer un hub pour coordonner les démarches locales autour de GAIA-X. En France, le secrétaire d’État en charge du numérique a confié cette tâche au Cigref. Il souligne au passage les oppositions que pourrait rencontrer ce projet européen ambitieux. Lire la suite
GAIA-X : Scaleway s’en va
Scaleway, un des membres fondateurs de GAIA-X, claque la porte du conglomérat. Les géants du cloud réussiraient à ralentir volontairement le projet pour leur propre intérêt, dénonce le cloudiste français. Une décision qui oblige GAIA-X à réagir. Lire la suite
Cloud souverain : « Gaia-X n’est plus au centre des discussions »
Le cabinet d’études Forrester tire à boulets rouges sur le conglomérat paneuropéen qui doit trouver une alternative locale aux hyperscalers. Il considère qu’il s’agit désormais d’un « machin statique. » Lire la suite
4Des souverains « locaux »-
Des alternatives françaises en devenir
Souveraineté : OVHcloud défend ses avantages économiques
L’hébergeur a récemment réuni les éditeurs français pour les encourager à préférer des infrastructures locales. À la clé, l’opportunité pour de simples PME et TPE de vendre des solutions aux pouvoirs publics. Lire la suite
Cloud souverain : le PDG de 3DS Outscale mise sur l’interopérabilité
3DS Outscale est le premier des trois hébergeurs de cloud public IaaS français à avoir obtenu la certification SecNumCloud. Deux ans plus tard, Laurent Seror a mûri sa stratégie « d’hyper-confiance ». Lire la suite
Atos décline son offre cloud en versions souveraines
Avec OneCloud Sovereign Shield, Atos donne sa vision et ses moyens de construire des clouds souverains de différents types. Lire la suite
Cloud et secteurs publics : OVH et Capgemini étendent leur partenariat au monde entier
L’alliance entre Capgemini et OVH, initiée il y a déjà deux ans, semble très bien fonctionner. La plus grande ESN française et le champion nordiste du cloud voient aujourd’hui plus grand pour « leur » cloud souverain avec un partenariat qui devient « mondial ». Lire la suite
La branche hébergeur d’Iliad à la reconquête des entreprises françaises
Connu à l’international pour ses offres atypiques, l’hébergeur Scaleway cède au cloud conventionnel. Pour compenser sa perte d’originalité, il attaque le marché français avec des tarifs quatre fois inférieurs à ceux d’AWS. Lire la suite
5Des souverains américains-
Azure et Google s'allient à des acteurs français pour revendre leurs services
Cloud souverain : Orange décline Azure en Bleu
La France aura un nouvel hébergeur de cloud indépendant du CLOUD Act américain : Bleu. Co-créé par Orange et Capgemini, il clonera les services d’Azure. Reste à savoir quand il sera opérationnel. Lire la suite
Qu’est-ce que le cloud de confiance de Google et Thales
Google s’associe à Thales pour se conformer à la nouvelle doctrine de l’État, le « cloud au centre », qui s’impose de recourir à des clouds souverains. Ce nouveau cloud s’appuiera sur l’infrastructure locale de Google, mais sera géré entièrement par Thales. Lire la suite
Partenariat Google Thales : Bercy satisfait, les partisans de la souveraineté IT vent debout
Le Cigref et l’ANSSI ont accueilli favorablement le « cloud de confiance » de Thales qui s’appuie sur GCP. Les acteurs IT locaux, eux, dénoncent un dévoiement du concept d’indépendance technologique. Bercy tente de ménager les deux camps. Lire la suite