Cloud de confiance : Etat des lieux et perspectives – partie 2

Temps de lecture : 13 minutes

Souveraineté alimentaire, énergétique, militaire… Depuis 2021, nous avons pu constater une résurgence des débats autour des enjeux de souveraineté nationale, et ce dans toutes ses déclinaisons. Et bien sûr, la notion de souveraineté numérique est loin d’être en reste. Mise à jour de la doctrine cloud de l’Etat, évolution du référentiel SecNumCloud, annonce de partenariats entre fournisseurs IT français et américains, deux jours de conférences sur ce thème animées en février dans le cadre de la présidence française du Conseil de l’Union européenne… L’actualité est riche en annonces et débats d’opinion.

Pour lire la partie 1, c’est par ici.

Critères de sélection d’une offre de cloud de confiance 

Au vue de ce premier panorama (voir article précédent), force est de constater qu’à l’heure actuelle, les responsables sécurité, et au-delà tous les acteurs de la DSI, font face à une abondance d’annonces d’offres à venir de cloud souverain…. et à une réalité beaucoup moins riche. Seules quelques offres franco-françaises sont actuellement concrètement disponibles et elles sont loin d’offrir la puissance de calcul et les fonctionnalités IaaS, PaaS et serverless qui font la force des offres de cloud public portées par les géants du marché.

Dans cette situation, quelle position adopter ? Doit-on bloquer tous les projets de migration cloud et attendre la mise sur le marché (prochaine ?) de solutions en tout point identiques aux cahiers des charges fièrement annoncés à travers les sites web et articles de presse ?

On se rappellera pour l’occasion que non seulement les promesses n’engagent que ceux qui y croient, mais aussi et surtout que des initiatives de cloud souverain français avaient déjà été lancées en fanfare en 2012 : à cette époque l’Etat français avait soutenu à hauteur de près de 150 millions d’euros la création de Numergy (SFR et Bull) et Cloudwatt (Orange et Thales). En 2015, Numergy a été placé sous procédure de sauvegarde et 2020 a vu la fermeture officielle de CloudWatt.

De fait, nous pourrions être tentés de suivre le chemin opposé, traitant de Cassandre tous les défenseurs du cloud de confiance, et de déployer massivement et sans discernement toutes nos applications et données dans des environnements de cloud public “standards”. La politique de l’autruche face à la posture de la paranoïa….

On sent bien qu’aucune de ces réponses à l’emporte-pièce n’est satisfaisante, incapables qu’elles sont d’intégrer les nuances des gris qui composent la palette des mondes économiques, industrielles  et politiques dans lesquelles nous vivons.

Dressons un rapide parallèle avec les enjeux actuels en termes de souveraineté énergétique : on voit bien que même parmi les discours les plus catégoriques sont mis en avant des solutions mixant, ne serait-ce qu’à court terme, l’intégration à la fois du nucléaire, des énergies fossiles et des énergies renouvelables, avec un approvisionnement reposant à la fois sur des fournisseurs nationaux et internationaux. 

Soit, comparaison n’est pas raison. Mais il n’est pas interdit non plus de s’inspirer des réflexions menées sur des terrains similaires. La voie la plus pertinente en termes de souveraineté numérique semble donc de favoriser une approche granulaire, visant à définir le juste “mix numérique” des environnements entre plateformes de cloud public “standards” et cloud de confiance. Un mix à constituer en ayant pris le temps au préalable de partager avec toutes les parties prenantes de l’organisation (direction générales, équipes sécurité et conformité, lignes métiers, IT et juridique) les enjeux et contraintes réelles et rationalisées; et ce en se tenant loin des débats d’idéologies, alimentés par d’un côté les chantres de l’apocalypse et et de l’autre les visionnaires d’un monde coloré en rose bonbon.

D’autant plus que l’adoption d’un cloud de confiance permet de répondre à des enjeux qui vont bien au-delà de la “simple” question de la souveraineté numérique. Pour de nombreux défenseurs de ce type de plateforme, l’obligation d’intégrer la sécurité by design dans la conception et la mise à disposition des services Cloud vise à mettre sur le marché des produits et services d’une meilleure qualité et plus robustes en termes de sécurité, et ainsi d’augmenter la confiance client. Un avantage concurrentiel jugé significatif qui permettrait de compenser une éventuelle perte d’innovation ou d’agilité. De plus, au-delà des enjeux économiques propres à chaque entreprise, certains défenseurs de l’approche réglementée estiment qu’il est du devoir de tous les acteurs français de favoriser l’émergence de fournisseurs nationaux et de dynamiser à travers cela l’ensemble du tissu industriel et tertiaire du pays. 

La question n’est donc pas de savoir s’il faut utiliser des solutions de cloud de confiance mais quelles offres utiliser, pour répondre à quels besoins et en prenant en compte la réalité des solutions disponibles.

La première étape est donc de qualifier de façon granulaire le périmètre des applications et données obligatoirement éligibles à une migration dans un cloud de confiance. Au sein du patrimoine informationnel, quels sont les composants les plus critiques qui méritent de bénéficier d’un tel hébergement, et ceux qui pourront être déployés dans des environnements de cloud publics standards ? L’approche multi-fournisseurs est déjà une réalité pour la plupart des organisations qui ont migré la majorité, voire 100%, de leur patrimoine dans le cloud public. Cette approche permet de mitiger les risques de dépendance et d’accéder aux services les plus avancés de chaque fournisseur. L’approche cloud hybride avec une répartition entre déploiement dans un cloud standard et cloud de confiance semble donc la voie pour associer autonomie et performance.

Une fois le périmètre éligible identifié, les critères de sélection des offres de cloud de confiance pertinentes pourraient selon nous être regroupés a minima en 3 catégories : 

Technologie

S’assurer de disposer d’une offre de service qui couvre une partie significative des fonctionnalités offertes par les fournisseurs de cloud public standard (aussi bien en termes de richesse des services que de scalabilité). Et que les fournisseurs disposent des capacités financières à investir à long terme sur le développement de ses technologies. L’objectif est que le choix de la souveraineté ne soit pas de facto celui de l’appauvrissement des capacités de développement des entités IT et des services et produits offerts aux consommateurs par les entreprises clientes. Il convient aussi de s’assurer de s’associer avec un fournisseur bénéficiant d’une réelle expertise tant dans l’administration que le développement d’offres et plateformes cloud et utilisant un nombre significatif de centres de données sur le territoire français, ou au moins européen. En ce sens, les offres de cloud de confiance basées sur un partenariat franco-international semblent avoir une longueur d’avance.

Economie

Il est important de s’associer avec un fournisseur solide, qui dispose d’une assise financière lui permettant de proposer un catalogue de services à des coûts raisonnables à court mais surtout moyen et long terme et ayant fait le choix d’une politique de markup transparente et raisonnable (dans le cadre d’un partenariat avec un tiers). La volonté du fournisseur à créer des alliances et ententes avec d’autres acteurs européens, pour faciliter le développement de solutions et plateformes structurées autour d’un vertical métier est également un élément important à prendre en considération (dans la lignée par exemple des travaux menés au sein de GAIA-X). 

Confiance

Le pré-requis évident est que les données sont hébergées sur le territoire national ou européen et que le fournisseur est à l’abri des lois extraterritoriales. Au-delà, le critère de la confiance se matérialise aussi par :

  • la capacité à assumer une politique de certification ambitieuse qui va au-delà du SecNumCloud et GDPR et couvre également les réglementations sectorielles ou européennes comme PCI-DSS, HDS, etc. 
  • une transparence contractuelle garantissant un modèle de responsabilité clair et exhaustif, un accès aux logs générés par tous les fournisseurs impliqués dans l’offre de service et des droits d’audit forts. C’est d’ailleurs pour nous un des aspects cruciaux de qualification des offres de cloud souverain, comme nous le détaillerons dans le chapitre suivant.
  • la mise en œuvre par le fournisseur et la possibilité pour le client d’utiliser des technologies open source et / ou des standards communément adoptés afin de favoriser la réversibilité des environnements (en prenant pour acquis que cette migration arrière ou de côté est elle aussi traitée et autorisée dans les clauses contractuelles).
  • un engagement dans le temps : les programmes de migration demandent de forts investissements (technologique, applicatif, en formation et transformation organisationnelle, etc) et impactent grandement la capacité de développement économique et métier des organisations qui les mettent en place. À ce titre, il est crucial que les fournisseurs démontrent leur volonté de s’engager dans un partenariat fort avec leurs différents clients plutôt que dans une simple relation courtermiste et opportuniste en mode “client / fournisseurs”.

Cette liste de critères, probablement non exhaustive, a pour objectif d’aider les DSI et RSSI à sélectionner les offres les plus pertinentes. Mais cette étape n’exclut pas tous les travaux de préparation à mener en interne des organisations. À titre d’exemple, il convient que toutes les parties prenantes, et notamment les équipes de développement et d’architecture, évaluent ensemble les possibilités d’évolution de leur infrastructure et de leur patrimoine applicatif, et notamment de les ré-architecturer pour faciliter le découplage et l’isolation des données les plus sensibles et ainsi la migration d’un même environnement applicatif reposant à la fois sur des plateformes cloud “standard” et de confiance.

Les limites des offres de cloud de confiance 

Comme nous l’avons vu au tout début, les promesses du cloud de confiance sont d’assurer l’autonomie des organisations à travers une garantie de protection à la fois de la confidentialité des données et de la disponibilité des environnements face à un fournisseur soumis à des lois extra-territoriales.

À ce titre, toutes les offres de partenariat associant un acteur français et un acteur non-national présentent selon nous au moins deux limites propres à la nature même de leur structure.

En premier lieu, un des éléments clés de ces offres de cloud de confiance basées sur un partenariat avec un acteur non-national mais leader du marché est de pouvoir mettre à disposition rapidement les nouveaux services qu’il publie. Or, à quel point sera-t-il possible d’associer mise sur le marché rapide et évaluation approfondie dans un “sas de sécurité” du niveau de sécurité du service proposé et de l’absence de porte dérobée ? Et dans ce cas-là, il nous semble opportun de nous demander ce qui l’emportera entre logique financière et garantie de souveraineté.

À titre d’exemples : 

  • Gestion du transit des secrets : comment s’assurer que la solution de chiffrement de confiance mise en place aura la capacité à se protéger d’accès indésirable du fournisseur non-européen ? Au moment du transit des secrets vers la plateforme de cloud de confiance, quelles garanties pouvons-nous avoir que l’entité non-européenne ne peut pas mettre en place des mécanismes pour profiter de cette opération et y avoir accès ? Notamment si les technologies support lui appartiennent, et/ou sont construites à partir de composants provenant de pays non-européen. D’autre part, si des ponts entre les plateformes de cloud public “standard” et les écosystèmes de confiance sont construits, il semble difficile de garantir en continu le principe de la muraille de Chine entre ces deux environnements. Dans ce contexte, comment s’effe tueront les contrôles de flux, et avec quel niveau de fiabilité ? 
  • Authentification du demandeur d’un secret : l’objectif des solutions de chiffrement (de confiance ou pas) est de fournir des secrets de chiffrement aux instances / composants technologiques qui en font la demande. À ce titre, comment garantir l’identité du demandeur ? On pourrait arguer qu’il suffit que ce dernier fournisse un certificat assurant son identité. Soit… Mais comment être sûr que ce certificat, qui devra circuler à un moment donné sur des plateformes potentiellement accessibles par le fournisseur non-européen, soit complètement protégé et jamais falsifié ?

En second lieu, un autre sujet d’attention : nous sommes nombreux à avoir voulu croire à l’avènement d’un temps de paix à long terme a minima entre tous les membres des pays occidentaux, assurée par un ensemble d’ententes et accords économiques, militaires et politiques. On peut toutefois constater que les conflits armés n’ont pas disparu de la surface de la terre, et que certains se déroulent même encore aux portes de l’Europe. Les amis d’un jour peuvent être les ennemis de demain. Dans cette perspective, quelles garanties avons-nous que les offres de cloud souverain reposant sur un partenariat avec un acteur non national ne seront pas directement impactées en cas de montée des tensions entre puissances européennes et non-européennes ? Quelles garanties qu’un dirigeant ne demandera pas aux fournisseurs informatiques de son pays de “tirer le câble” qui alimentent les plateformes de cloud de confiance qu’elles fournissent, réduisant à néant la disponibilité des environnements de confiance construits par dessus ? 

Nous en sommes encore au début de l’ère du cloud de confiance et des innovations technologiques sont encore à découvrir. Il serait prétentieux d’affirmer que des réponses ne pourront pas être apportées à ces questions. Toutefois, à l’heure actuelle, il ne semble pas incohérent d’affirmer qu’aucune solution reposant sur au moins un acteur non-national ne peut garantir une protection à 100% contre les risques de perte de confidentialité et de disponibilité. 

Ces deux limites nous semblent suffisamment importantes pour qu’il ne nous semble pas nécessaire de creuser plus avant la 3ème limite, déjà abondamment documentée, liée au fait que toutes les offres de confiance, même les plus franco-françaises, reposent sur des technologies matérielles et/ou logicielles fabriquées pour la plupart par des acteurs non français et parfois même non-européens.

Pour dépasser les limites inhérentes aux solutions de cloud de confiance non 100% nationale, il convient de déployer un bouclier reposant a minima sur :

  • Une délimitation stricte, complète et transparente des rôles et responsabilités entre les différents partenaires constituant le regroupement fournisseur.
  • La surveillance complète et en continu par l’entité française des actions menées sur l’environnement technique par l’entité partenaire non française. 
  • La mise en place, et le respect contrôlé par un tiers de confiance, d’un processus d’audit approfondi des composants techniques intégrés au fil du temps dans la plateforme et services mis à disposition.

Il suffit de poser ces trois exigences pour comprendre qu’il sera hautement ambitieux de pouvoir garantir “les yeux dans les yeux” leur respect en permanence ….

Les étapes préparatoires au sein des organisations

En conclusion, il est actuellement illusoire de vouloir répondre à tous les besoins IT et métiers des organisations en s’appuyant exclusivement sur des solutions de cloud de confiance 100% françaises, du fait de leur difficulté à fournir des offres techniques suffisamment élaborées et à s’assurer des capitaux suffisants pour garantir un développement sur le long terme une concurrence crédible avec les leaders actuels du marché.

De l’autre côté, aucune solution reposant sur au moins un acteur non-national ne peut garantir actuellement une protection à 100% contre les risques de perte de confidentialité et de disponibilité. 

Une troisième voie a été ouverte via les projets menés au niveau européen, qui visent à la fois à traiter les enjeux financiers et de souveraineté. Ces solutions sont toutefois encore à l’état embryonnaire et rien ne nous garantit que ces initiatives seront couronnées de succès, et tout cas pas à court terme.

En attendant des catalogues de services de cloud de confiance plus enthousiasmants, il nous semble important de lutter contre les simplifications et les postures irrationnelles, qui produisent surtout du bruit et de la confusion, faute de pouvoir proposer des solutions opérationnelles efficaces. 

Les migrations dans des environnements de cloud de confiance répondent à des besoins réels mais rarement prépondérants. Sachons faire la part des choses pour ne pas brider le développement technologique et économique des organisations françaises. Bien que la solution magique de cloud de confiance n’existe pas aujourd’hui, il est encore trop tôt pour adopter une position tranchée, il y a encore largement place aux réflexions et débats. 

Et finalement, ce temps de gestation peut être aussi vu comme une opportunité en or pour les organisations de mener les travaux internes préparatoires indispensables, à savoir :

  • Former et acculturer les différentes équipes IT, Métier, juridiques, etc aux concepts et enjeux propres à la souveraineté numériques, pour permettre à chaque partie prenante de faire des choix rationnels et éclairés.
  • Qualifier les périmètres propices à être migrés vers un environnement de cloud de confiance.
  • Se doter de critères technologiques, organisationnels et contractuels objectifs permettant de cibler les offres plus adaptées à leurs besoins.
  • Qualifier le mix des solutions de sécurité à déployer en complément (solution de type zero trust, outils de contrôle de type CSPM et associée, etc) et adapter aux environnements cloud les processus de contrôle et de réaction aux incidents existants, pour renforcer la protection des données en termes d’intégrité, confidentialité, traçabilité et contrôle.
  • Définir de nouveaux modèles d’architecture d’infrastructure et logicielles ou re-factorer le parc existant pour faciliter le découplage et l’usage de technologies open source qui faciliteraient la réversibilité (et donc la disponibilité).
  • Réévaluer la stratégie de gestion de la disponibilité et de la continuité en faisant évoluer leur PRA pour qu’ils intègrent une approche multi-cloud associant des offres de fournisseurs nationaux et transnationaux.

À notre niveau, nous continuons à suivre de près les évolutions réglementaires en France et en Europe, les nouvelles propositions de catalogues de services et à offrir des services de conseil pour accompagner les organisations à préparer leur terrain et faire des choix basés sur une compréhension d’ensemble de leur écosystème interne, sectoriel, national et international.

Sources : 


Article initialement publié dans le hors-série reBirth, à télécharger ici.


Commentaires :

A lire également sur le sujet :