GAIA-X : le miroir aux alouettes ou la voie du salut pour l’Europe ? – partie 2

Temps de lecture : 6 minutes

Cet article est la deuxième partie d’une série de trois articles qui résument les échanges auxquels j’ai assisté dans le cadre du 3ème sommet de Gaia-X hébergé à Paris les 17 et 18 novembre (partie 1 accessible ICI, partie 3 à suivre).

Présentation de la bêta de « Digital Clearing House »

Au cours de cette session, une équipe constituée de Pierre Gronlier (CTO de Gaia-X), Roland Fadrany (COO de Gaia-X), Lauresha Memeti (chef de projet technique au sein du GXFS-DE – Gaia-X Federated Services allemand) et Benoit Tabutiaux (chef de projet au sein du GXFS-FR – Gaia-X Federated Services français) est venue nous présenter une démo de la version bêta du service « Digital Clearing House ».

Pour rappel, l’objectif de Gaia-X est de permettre aux écosystèmes existants et à venir de construire des services et d’échanger des données sur la base des valeurs européennes, à savoir l’ouverture, l’auto-détermination, la sécurité, la portabilité et l’interopérabilité.

Pour cela, Gaia-X a décidé de lancer un premier service, en l’occurrence une « chambre de compensation numérique » ou « Digital Clearing House ». Il s’agit d’une plateforme centrale qui permettra aux fournisseurs et aux consommateurs, dont l’identité aura été préalablement vérifiée, de proposer et acquérir des solutions de gestion de données conformes aux exigences de Gaia-X mentionnées ci-dessus. 

Pour appuyer cette démonstration, nous partirons du scénario suivant :

  • Dufour Storage est une entreprise qui propose depuis des années un service de stockage de données. Actuellement, elle essaie d’acquérir un avantage concurrentiel en s’appuyant sur les solutions et les concepts offerts par Gaia-X. A ce titre, Dufour Storage souhaite proposer une offre de services de stockage de données, dans un pays européen spécifique.
  • La société Mont-Blanc IoT fournit ses services aux clients sur la base du concept IoT. En raison de son développement dynamique, l’entreprise recherche actuellement un stockage de données sûr et fiable. Elle recherche un service de stockage de données portant le label « Gaia-X niveau 2 », disponible dans un pays européen spécifique.

Ces deux-là étaient faits pour se rencontrer ! 

Les deux schémas ci-dessous illustrent le processus fonctionnel et les sous-jacents techniques qui permettent à Bob, de chez Dufour Storage, et Alice, de chez Mont-Blanc IoT, d’utiliser la plateforme pour faire certifier leur identité puis, respectivement, de proposer un catalogue de services standardisés (description du service à travers une série de catégories dont les choix de libellés sont pré-définis : nature des services proposés, localisation, types de certification des services proposés, etc), et d’autre part de sélectionner ces services pour ensuite charger les données clientes dans l’espace de traitement ainsi acquis.

Schéma fonctionnel
Schéma des connexions avec le framework technique

Le dernier schéma ci-dessous met en avant le modèle utilisé pour garantir l’identité des individus (à noter : la version actuelle ne supporte pas encore l’usage de la plateforme par des API mais cette fonctionnalité fait partie de la roadmap du DCH).

Les bénéfices annoncés du DCH

Mon propos n’est pas de faire une présentation détaillée des principes de fonctionnement du DCH. Il me faudrait écrire des pages et des pages… ce qui serait bien inutile puisque toute la documentation du Gaia-X Trust Framework, dont le « Digital Clearing House » est partie prenante, est disponible ICI

Je vais plutôt me concentrer sur la mise en avant des avantages de cette solution, telle qu’ils ont été mis en avant par l’équipe projet :

  • Les avantages des fournisseurs et consommateurs à, respectivement, rendre disponibles et accéder à des services de gestion des données au sein de GAIA-X sont les suivants :
    • Interopérabilité : accès à un schéma commun pour décrire les participants et les offres de services.
    • Transparence : les déclarations de chaque participant sont signées, ce qui permet de vérifier l’identification et l’intégrité du contenu.
    • Confiance : le cadre de confiance définit les règles de conformité et nomme les « ancres de confiance ».
    • Complétude : des labels et certificats sont associés à l’offre de services.
  • Du point de vue d’Alice (consommatrice), les bénéfices à sélectionner un service au sein d’un catalogue fédéré à travers Gaia-X sont également les suivants : 
    • Interopérabilité : explorer un catalogue où tous les fournisseurs partagent leur liste de services au même format.
    • Confiance : afficher la chaîne de confiance de l’offre de services, explorer la liste des ancres de confiance et des certificats.
    • Transparence : explorer, comparer et filtrer à travers toutes les dimensions (certifications, label, pays, localisation des services, etc.).
  • Enfin ses bénéfices à consommer un service validé au sein de ce catalogue sont les suivants : 
    • Confidentialité : grâce au mécanisme de gestion des identités spécifiques à la plate-forme, Alice choisit quelles informations sont partagées avec le fournisseur et quel certificat fournit les bonnes informations.
    • Automatisation : en utilisant pour les contrats une sémantique lisible par une machine, le contrôle de l’utilisation peut être facilement mis en œuvre par la suite.
    • Confiance : les attributs des certificats d’autodéfinition sont utilisés et peuvent être contrôlés pendant toute la durée de vie du service.

Le projet DHC est encore au statut de version bêta mais l’ensemble du code source est mis à disposition par Gaia-X. Selon les annonces faites au sommet, ce service sera d’abord mis à la disposition des projets « lighthouse » d’ici la fin de cette année. Il sera ensuite accessible à tous au cours du premier trimestre de 2023. 

Les objectifs d’un tel projet sont louables. A l’heure actuelle, au-delà des enjeux techniques, mes questions portent sur les aspects suivants : 

  • Qu’en sera-t-il de la véracité des informations fournies dans le catalogue, sachant que toutes les informations descriptives sont fournies en mode « auto-déclaratif »
  • Quid de la plus-value des services proposés : rendre des services basiques facilement accessibles ne les rend pas fonctionnellement plus performants…
  • Quelles actions de communication seront mises en place pour aller chercher les early adopters, éléments clés pour favoriser le succès de ce service et alimenter une croissance pérenne et structurée.

Pour ne pas jeter la pierre avant d’avoir laissé les premiers utilisateurs tester la plate-forme, donnons-nous RDV mi 2023 pour un premier bilan ! 

GAIA-X Federated Services – les acteurs français

Pour terminer cet article sur une note cocorico, je profite de l’opportunité pour relayer cette annonce : l’équipe française de Gaia-X Federated Services (GXFS-FR) a dévoilé lors du sommet la démo d’un catalogue de plus de 176 services Cloud conformes au Gaia-X Trust Framework. L’objectif est de proposer aux utilisateurs Cloud une liste de services bénéficiant des labels Gaia-X, afin de les aider à sélectionner des services répondant à leurs exigences spécifiques, en termes de localisation des données, certifications sécurité, portabilité des données, voire la garantie de neutralité carbone.

Quelques éléments pour préciser le contexte de cette annonce : le GXFS-FR est un regroupement d’une partie des 11 membres fondateurs français de l’initiative Gaia-X, à savoir Atos, OVHcloud, 3DS Outscale, Docaposte et l’Institut Mines-Télécom. Le catalogue proposé par cette équipe française est encore actuellement à l’état de démonstration. Lors du sommet, il a été annoncé que la plateforme officielle devrait être disponible à partir de début 2023.

Fiche descriptive du catalogue

C’est définitivement une affaire à suivre à partir de début 2023, pour évaluer la liste finale des services et leur plus-value dans un contexte de couverture des besoins de cloud souverain pour les PME, les grandes entreprises et les acteurs du secteur public!

Commentaires :

A lire également sur le sujet :

Revolve Job Zero : la revue de presse sécur...

  • 16 mai 2023
Le mois de mai ne fait exception dans l’actualité de la sécurité informatique d...

Cloud de confiance : état des lieux 2022

  • 13 janvier 2022
La notion de “Cloud de confiance” s’est hissée, depuis quelques mois, au cœur d...

Encryption as a service : comment faire dis...

  • 01 juillet 2019
Secrets statiques ou dynamiques, ces notions n’ont plus aucun secret pour vous ...

Que retenir d’IAM Access Analyzer ?

  • 06 février 2020
IAM Access Analyzer a été l’une des tops annonces faites par AWS au re:Invent d...

A PROPOS DE L'AUTEUR

Christine Grassi

Passionnée par les enjeux autour de la sécurité informatique, Christine s’appuie sur la pluralité de ses expériences en France et au Canada pour accompagner ses clients dans le pilotage de leurs projets de transformation digitale et les aider à structurer et optimiser leur gouvernance et l’architecture de la sécurité de leur SI.

Le blog reBirth

Nous luttons contre les raccourcis intellectuels, proposons des alternatives, challengeons les pratiques, partageons nos expériences et provoquons une réaction. En ce sens nous ENTREPRENONS et révélons les singularités.