Cloud de confiance : état des lieux 2022

Temps de lecture : 11 minutes

La notion de “Cloud de confiance” s’est hissée, depuis quelques mois, au cœur des préoccupations – tant dans le domaine privé, public, qu’étatique. Ses enjeux, au-delà des frontières, nous amènent à nous poser de nombreuses questions concernant les critères, caractéristiques ainsi que les véritables leviers d’actions pour la mise en place des ambitions de souveraineté. 

Répondre à ces questions c’est aussi apporter un éclairage concret à la question : qu’est-ce que véritablement un « Cloud de confiance » et qu’est-ce que son émergence implique pour les acteurs déjà présents sur le marché (aussi bien les clients que les fournisseurs actuels) ?

Définition en accord avec le cadre législatif français 

Un « Cloud de confiance » est un cloud qui, en plus d’offrir des services, IaaS, PaaS ou SaaS, en respectant les exigences techniques, technologiques, de contrôle, de sécurité, de réversibilité, de portabilité, d’interopérabilité et de transparence imposées par le marché et les pouvoirs publics, permet également de se protéger contre :

  • Les risques juridiques liés à l’application de lois non-européennes aux clients français et européens des opérateurs de services de cloud ;
  • L’impact d’une crise géopolitique sur l’activité des clients des opérateurs de services de cloud. 

Cette notion de “Cloud de confiance” a donc été introduite le 17 mai 2021 par le gouvernement suite à l’annonce de sa décision de mettre à jour sa stratégie en matière de cloud, conformément aux initiatives européennes dans ce domaine. Sa réponse ? Proposer sa stratégie nationale pour le cloud

Mise en oeuvre de la stratégie “Cloud de confiance” française 

Cette stratégie repose sur trois piliers :

  • Un label « Cloud de confiance« 
    • Le label « Cloud de confiance » sera une nouvelle certification délivrée par l’Agence Nationale de Sécurité des Système d’Information qui ajoute aux contraintes techniques de SecNumCloud un volet juridique exigeant : que les infrastructures soient non seulement situées en Europe mais aussi exploitées en Europe par une entité européenne détenue majoritairement par des acteurs européens ; 
    • Les modifications apportées par la nouvelle doctrine cloud viendront modifier le référentiel de l’ANSSI. Depuis le 25 octobre 2021, l’ANSSI a publié la nouvelle version (3.2.a) de son référentiel d’exigences applicables aux fournisseurs d’informatique en nuage pour la certification SecNumCloud. Cette mise à jour vise à renforcer les garanties juridiques du référentiel et ainsi à adapter le cadre pour l’arrivée du label « Cloud de confiance ». Ce dernier précise désormais comment une entreprise peut s’organiser pour se placer hors d’atteinte des lois extraterritoriales. En ligne de mire : le Cloud Act américain, mais aussi FISA ou l’Executive Order 12333.
  • Une initiative « Cloud au centre« 
    • L’initiative « Cloud au centre » vise à moderniser les ressources numériques de l’État grâce au cloud. Le cloud devient ainsi un prérequis pour tout nouveau projet numérique au sein de l’État.
  • Une politique industrielle
    • Enfin, le volet « politique industrielle » qui vise à investir dans des projets industriels pour le développement des technologies cloud en France, notamment les technologies PaaS capables de servir les besoins en Intelligence Artificielle ainsi que les technologies SaaS pour le travail collaboratif.
    • Il est à noter que, le 2 novembre 2021, l’État a annoncé soutenir à hauteur de 1,8 Md€ ce volet politique industrielle afin de : 
      • Soutenir l’essor des offres françaises innovantes, y compris provenant du logiciel libre ; 
      • Accélérer le passage à l’échelle des acteurs français sur les technologies critiques très demandées ;
      • Intensifier le développement de technologies de rupture à horizon 2025, telles que l’edge computing afin de positionner la filière européenne comme un futur champion.

À cette occasion, le gouvernement français a donc défini les principaux critères du label « Cloud de confiance » :

  • Les données doivent être localisées en France ;
  • Les services qui l’entourent sont proposés par une entité de droit français
  • Le cloud doit être indépendant des réglementations extraterritoriales.

Le “Cloud de confiance” serait donc un modèle d’hébergement de données et d’applications n’étant soumis à aucune loi extérieure au pays et s’effectue sur le territoire national. 

Répercussions sur le marché des fournisseurs de service cloud

Suite à ces annonces du gouvernement français pour un “Cloud au centre », une myriade d’offres souhaitant se rendre conforme au futur label “Cloud de confiance” ont vu le jour. Sur le papier, les ambitions sont louables, toutefois, quelques points d’alerte

  • Pour l’heure, le référentiel “Cloud de confiance” n’a pas été publié ; 
  • Les offres annoncées des fournisseurs et prestataires de solutions cloud ne sont, quant à elles, pas commercialisées ni véritablement éligibles au “Cloud de confiance” – le label n’existant pas. Elles sont, pour la plupart, en cours d’élaboration et sans véritable base concrète ; 
  • Le niveau de sécurité certifié, et plus largement de souveraineté, est donné à un moment précis et nécessite donc une vigilance quotidienne pour maintenir ce niveau ; 
  • Le processus d’obtention de la certification SecNumCloud, nécessaire pour obtenir le précieux sésame, est complexe et nécessite plusieurs mois, voire plusieurs années ;
  • Le référentiel de l’ANSSI repose sur un objectif de protection des données du commanditaire, mais n’apporte pas de garanties techniques fortes contre un accès du prestataire aux données traitées sur le système d’information du service, uniquement des engagements contractuels. Les commanditaires souhaitant assurer la protection, sur le plan technique, de leurs données contre un accès par le prestataire, devront par conséquent mettre en œuvre des moyens complémentaires de chiffrement de leurs données ;
  • La société qui sera en charge du fonctionnement des services et de leur facturation sera européenne et ne pourra être contrôlée par l’entité américaine fournissant sa licence. Jusque là, rien de neuf. T outefois, ces solutions n’en restent pas moins dépendantes des entités étrangères, puisque ces dernières seront les seules à pouvoir fournir leurs services (par exemple, seul Microsoft peut accorder des licences Azure et Office et vice-versa dans le cadre de la relation du fournisseur avec une entreprise française). Elles disposent donc d’un argument de poids dans le cadre de tels partenariats. 

Il est également intéressant de noter que ce nouveau cadre de réglementation français s’inscrit dans une dynamique d’harmonisation européenne. En effet, nous vous faisions part dans notre dernier article “CLOUD DE CONFIANCE, CLOUD SOUVERAIN, GAIA-X : OÙ EN EST-ON ?” que des travaux étaient initiés au via l’ENISA pour homogénéiser le schéma de certification cybersécurité des services cloud. Bonne nouvelle ! Suite à la « certification week » du 2 et 3 décembre dernier – événement organisé par l’ENISA et réunissant les acteurs de la certification européenne pour échanger sur le Cybersecurity Act – nous avons désormais trois actions majeures à noter : 

  • La procédure d’adoption de l’acte d’implémentation du premier schéma de certification EUCC (EU Common Criteria) devrait démarrer au cours du 1er semestre 2022 ; 
  • La rédaction du second schéma EUCS – pour les fournisseurs de services cloud – est déjà en phase de finalisation ; 
  • Le troisième schéma EU5G, il vient d’être lancé.

De plus, l’initiative Gaïa-X – censée rassembler et unir les clouds européens pour une meilleure souveraineté et une sécurisation des données – semble battre de l’aile, tandis que son détracteur Euclidia continue sa lutte. Il est vrai que le récent retrait de Scaleway – un des leaders français du cloud – du projet de cloud souverain européen Gaïa-X détonne dans les rangs de l’utopie souveraine européenne. Le CEO de Scaleway, Yann Lechelle, dénonce en effet un projet qui “ne traite absolument pas de la souveraineté et ne souhaite pas proposer une offre de cloud”. Ce que lui reproche en effet ses détracteurs de toujours – notamment la contre offre européenne Euclidia. Il est vrai que l’inquiétude des premièeres heures d’un “projet européen aux mains des géants mondiaux du numérique” devient de plus en plus crédible – là où les grands géants de la tech et les acteurs dominants du marché du cloud ont rejoint les comités techniques, il paraît désormais difficilement concevable d’établir une organisation saine et véritablement souveraine.

Aussi, dans une perspective française, nous avons inventorié dans le tableau ci-dessous (de façon non-exhaustive) les principaux fournisseurs de solutions cloud et leurs offres qui visent à offrir un environnement qualifiable de “cloud souverain”. Il faut bien rappeler que les attendus et exigences de ce futur label ne sont à l’heure actuelle que des suppositions et des grands axes de réflexion.

Les fournisseurs mentionnés dans ce tableau sont classés selon un code couleur spécifique : 

  • Fournisseur disposant d’une offre SecNumCloud ; 

  • Fournisseur dont les offres sont encore en cours d’élaboration ; 

  • Fournisseur dont les offres sont hors périmètre. 

OVH

Offre “Cloud de confiance” de Whaller, en partenariat avec OVHCloud depuis le 12 octobre 2021

  • À destination principalement des administrations publiques.
  • OVH fournira l’infrastructure d’hébergement de cloud privée certifiée SecNumCloud.
  • Whaller, la plateforme de solutions collaboratives, fournira sa plateforme d’outils alternatifs (Whaller 365, BigBlueButton et ses fils de discussions dédiés).

Conformité Cloud de confiance : OUI

Offre “Hosted Private Cloud” en partenariat avec Google Anthos, annoncée en Octobre 2021

  • Ces fournisseurs proposent une offre de cloud privé exploitant la technologie multicloud Anthos de Google.
  • Cette offre repose sur une infrastructure dédiée entièrement exploitée et gérée en Europe par les équipes d’OVHCloud.
  • Développement de solutions prévues en open source.

Cette offre “Hosted Private Cloud” powered by Anthos est déjà commercialisée. Pour ceux que ça intéresse, le guide de démarrage est disponible ici, la documentation technique par là.

Conformité Cloud de confiance : OUI

Le 8 décembre 2021, Devoteam GCloud a annoncé un partenariat avec OVH Cloud afin d’être en mesure d’offrir des écosystèmes Cloud Hybride ou Multi Cloud, y compris sur la technologie Google Anthos.

Remarque : OVH dispose de la certification SecNumCloud sur son offre Hosted Private Cloud fournie depuis Roubaix et Strasbourg, mais pas encore pour son cloud public. A voir si cela pourra se transposer selon les exigences du futur label “Cloud de confiance”.

ORANGE

Offre « Bleu »

L’opérateur Orange et Capgemini se sont associés depuis le 27 mai 2021 pour créer une entreprise cloud commune en partenariat avec Microsoft : Bleu.

  • Objectifs : fournir une plateforme capable d’assurer la confidentialité et la sécurité de leurs données aux entreprises et administrations publiques (Opérateurs d’Importance Vitale (OIV), aux Opérateurs de Services Essentiels (OSE), à l’Etat français, à la fonction publique, aux hôpitaux et aux collectivités territoriales requérant la mise en place d’un “Cloud de Confiance” adapté au degré de sensibilité de leurs données et à leur charge de travail). 
  • Cette plateforme permettra l’utilisation des suites collaboratives et de productivité Microsoft 365 ainsi que l’ensemble des services de la plateforme cloud Microsoft Azure.
  • Les objectifs de la gouvernance de Bleu : 
    • Immunité de Bleu à l’égard de législations extraterritoriales, c’est-à-dire un contrôle exclusif des applications cloud à partir d’une infrastructure isolée, basée sur des centres de données situés en France, exploitée depuis la France par son propre personnel (séparation stricte avec les centres de données internationaux de Microsoft).
    • Respect des garanties en matière de transfert de données.
  • Indépendance économique (Orange et Capgemini seront les investisseurs majoritaires).

Conformité Cloud de confiance : OUI

BOUYGUES TELECOM

Offre “OnCloud” créée fin mai 2021

  • Il s’agit d’une nouvelle structure indépendante  qui bénéficie de ses infrastructures en propre.
  • L’opérateur est un acteur de droit français et dispose d’infrastructures  situées en France et fortement intégrées au réseau de Bouygues Telecom Entreprise.
  • Bouygues Telecom Entreprises veut à la fois proposer des services cloud IaaS publics mais aussi aider les entreprises à bâtir leurs propres clouds privés. 
  • OnCloud souhaite s’adresser aussi bien aux PME et ETI qu’aux collectivités publiques et aux grands groupes.

Cloud de confiance : OUI

GOOGLE CLOUD PLATFORM

Partenariat stratégique avec Thalès annoncé le 12 Octobre 2021

  • L’objectif est de co-développer, au sein d’une nouvelle société, une offre de cloud souverain répondant aux critères du futur label français “Cloud de Confiance” qui s’adressera aux secteurs privé et public français concernés.
  • Les clients pourront ainsi bénéficier d’un ensemble de services cloud :
    • Opéré par une nouvelle société dédiée et de droit français, majoritairement détenue par Thales ;
    • Hébergé en France, au sein d’une infrastructure séparée de celle de Google Cloud dont le réseau et les serveurs seront également contrôlés et opérés par cette société ;
    • La mise à disposition du service Key Access Justifications, qui permet aux entreprises d’interdire à GCP l’accès aux données chiffrées ;
    • Un support client assuré par des équipes en local ;
    • Des services de sécurité assurés par la nouvelle société, notamment la gestion des identités, le chiffrement des données, l’administration ou encore la supervision ;
    • Des mises à jour reçues en continu mais réceptionnées, évaluées et validées au sein d’un sas de sécurité piloté par Thales.

Cloud de confiance : OUI

SCALEWAY

Suite collaborative qualifiée SecNumCloud

Scaleway, filiale du groupe Iliad, s’associe depuis le 10 juin 2021 à WIMI, un acteur français sur le marché des solutions numériques collaboratives intégrées, pour fournir une suite collaborative qualifiée SecNumCloud. 

  • A ce jour, WIMI est engagé depuis près de deux ans dans le dispositif SecNumCloud pour obtenir la certification. 
  • Concernant Scaleway, ils ont développé leur propre technologie cloud pouvant répondre aux exigences du futur label “Cloud de confiance”  : 
    • Scaleway conçoit, gère et opère ses propres datacenters localisés en France ; 
    • Elle répond aux normes et certifications des réglementations françaises et européennes telles que HDS pour son offre salle blanche et ISO 27001 2013 attestant la mise en œuvre d’un système de management de la sécurité de l’information.  De plus, ils sont engagés dans des processus de certification exigeants avec l’ENISA.

Cloud de confiance : OUI

3DS OUTSCALE (Dassault Systèmes)

3DS Outscale, filiale de Dassault Système, dispose de la certification SecNumCloud sur son offre IaaS Cloud on Demand, à destination prioritairement des acteurs critiques disposant de données sensibles.

Cloud de confiance : OUI

OODRIVE

Oodrive est le premier acteur cloud à avoir reçu la certification SecNumCloud pour les 3 offres de cloud privé suivantes : 

  • BoardNox
  • iExtranet 
  • PostFile

Cloud de confiance : OUI

ACCENTURE MICROSOFT BUSINESS GROUP

Centre d’Excellence Cloud de confiance Microsoft

Le 27 mai 2021, Accenture et Avanade annoncent la création d’un Centre d’Excellence Cloud de confiance Microsoft. Avec ce Centre d’Excellence, ils souhaitent mettre à disposition des entreprises françaises des expertises ayant pour objectif de prendre en compte l’ensemble des considérations financières, réglementaires, industrielles et transformationnelles dans leur stratégie de gestion des risques sur le cloud, ainsi que leurs mises en œuvre. 

🔔 Cette offre ne rentre pas dans le périmètre de la certification SecNumCloud, il s’agit uniquement d’une offre de conseil et d’évaluation des environnements cloud.

Cloud de confiance : NON

En conclusion

Certains d’entre vous auront peut-être remarqué qu’AWS n’a pas été beaucoup évoqué dans cet article, contrairement à ses deux principaux concurrents : Azure et GCP. En effet, actuellement, AWS n’a pas fait d’annonce similaire à Bleu ou au partenariat Thalès/GCP.

Dans une série d’articles à venir, nous vous proposerons donc de découvrir la solution Sovereign Keys, que Devoteam Revolve propose à ses clients. Bien que ne pouvant pas être qualifiée de “solution de Cloud de confiance”, notre solution constitue un atout pour les entreprises souhaitant migrer vers AWS car elle fournit des garanties de souveraineté et d’indépendance complémentaires à celles du fournisseur sans impacter significativement les processus de RUN existants.

Pour en savoir plus dès maintenant, la fiche produit est en ligne sur notre site web

Le prochain article sera consacré à définir plus précisément notre perception du contexte de souveraineté sur AWS et pourquoi nous pensons que Sovereign Keys est une solution appropriée. Dans les articles suivants, nous traiterons de sujets plus précis et plus techniques permettant de mieux comprendre le fonctionnement de la solution Sovereign Keys, les garanties qu’elle apporte et les limites de ces garanties.

Commentaires :

A lire également sur le sujet :

Sécurité sur le Cloud : quelles sont les bo...

  • 10 décembre 2018
Le Cloud est un nouveau terrain de jeu qui change les règles et l’organisation ...

Revolve Job Zero : la revue de presse sécur...

  • 14 avril 2023
Le mois passé n’a pas fait exception dans l’actualité de la sécurité informatiq...

Veolia Eau France, de la migration sur le C...

  • 24 mai 2022
Dans le cadre de sa stratégie de Datacenter Exit, Veolia a migré l’ensemble de ...

Revolve Job Zero : la revue de presse sécur...

  • 09 mars 2023
Dans cette édition de mars 2023 de la revue de presse Sécurité, nous vous propo...

A PROPOS DE L'AUTEUR

Eva Elouadrhiri Cotillard

Consultante Project Manager et FinOps au sein de Devoteam Revolve, Eva contribue également au centre de recherche contributive Gravity, en traitant notamment des enjeux de souveraineté, d’éthique, de sobriété numérique et de sécurité informatique. Retrouvez-la dans les podcasts de Revolve, ou encore au Hackerspace.

Le blog reBirth

Nous luttons contre les raccourcis intellectuels, proposons des alternatives, challengeons les pratiques, partageons nos expériences et provoquons une réaction. En ce sens nous ENTREPRENONS et révélons les singularités.