Aller au contenu
DevSecOps Logo DevSecOps
Docs
Blog
Blog

Cloud et Souveraineté

Mise à jour :

En ces temps troublés, où la donnée est devenue une ressource aussi stratégique que le pétrole, la question de la souveraineté numérique s’impose avec force. Utiliser le Cloud, c’est pratique, c’est rapide, c’est même souvent indispensable. Mais savez-vous vraiment où vos données sont stockées ? Qui y a accès ? Et surtout, dans quelle mesure vous en gardez le contrôle ?

Pourquoi la souveraineté dans le Cloud est-elle si importante ?

Ces questions ne sont pas seulement techniques. Elles sont politiques, économiques et sociales. Prenons un exemple concret : une entreprise européenne qui stocke ses données sensibles sur une plateforme américaine, bien que localisée en Europ, peut, sans le vouloir, les soumettre à des lois extraterritoriales comme le Cloud Act. Résultat ? Les données pourraient être accessibles à des entités étrangères, sans que l’entreprise n’ait son mot à dire… pire, sans en être informé. Inquiétant, non ?

Quelles solutions pour reprendre le contrôle ?

Face à cela, des initiatives comme Gaia-X, ou des offres locales telles qu’OUTSCALE ou OVHcloud, tentent de reprendre le contrôle, en proposant des solutions de Cloud souverain conformes aux normes européennes. Et il ne s’agit pas uniquement de respecter le RGPD ou d’éviter une dépendance aux géants du secteur (AWS, Microsoft Azure, Google Cloud). C’est aussi une question d’indépendance et de résilience numérique.

Rappel historique : comment en sommes-nous arrivés là ?

L’histoire du Cloud est fascinante, car elle reflète à la fois l’évolution de la technologie et les changements dans nos manières de travailler. Mais c’est aussi une histoire de dépendance croissante, de prises de pouvoir, et de questionnements sur la souveraineté numérique. Comment en sommes-nous arrivés là ? Voici un retour en arrière.

Dans les années 1960, l’idée même de ce que nous appelons aujourd’hui le Cloud a vu le jour. À l’époque, des entreprises comme IBM et AT&T développent des systèmes de time-sharing, permettant à plusieurs utilisateurs d’accéder à des ressources informatiques partagées. L’objectif ? Mutualiser des infrastructures coûteuses et optimiser leur usage.

C’était la première ébauche de ce que nous connaissons aujourd’hui : mettre des ressources (stockage, puissance de calcul) à disposition de plusieurs utilisateurs à distance. Mais à cette époque, tout restait très localisé : les infrastructures et les données étaient contrôlées directement par l’entreprise ou l’institution qui les utilisait.

Avec la démocratisation d’Internet dans les années 1990 et 2000, le concept de Cloud Computing prend son essor. Les infrastructures ne sont plus dans les locaux des entreprises, mais déportées chez des prestataires spécialisés. Cette externalisation permet aux entreprises de réduire leurs coûts et de bénéficier d’une flexibilité impressionnante.

En 2006, Amazon lance officiellement Amazon Web Services (AWS), considéré comme le pionnier des solutions Cloud modernes. AWS a ouvert la voie à d’autres géants comme Microsoft Azure et Google Cloud. Leur promesse était simple mais puissante : plus besoin d’investir dans des serveurs ou des data centers coûteux. Désormais, vous pouviez louer tout cela à la demande, à distance.

Dans les années 2010, le Cloud connaît une adoption massive, mais les premières préoccupations émergent autour du contrôle des données. Deux éléments majeurs ont alimenté ce débat :

  1. Le scandale PRISM et l’espionnage de masse (2013) Les révélations d’Edward Snowden sur le programme PRISM de la NSA ont montré que les services de renseignement américains pouvaient accéder à des données hébergées par des géants du Cloud, comme Google, Microsoft et Amazon. Cela a créé une véritable onde de choc : même les entreprises européennes se sont rendu compte qu’en utilisant ces services, leurs données pouvaient être accessibles à des gouvernements étrangers.

  2. Le Cloud Act (2018) Cette législation américaine donne aux autorités des États-Unis le droit de demander l’accès aux données stockées par des entreprises américaines, même si elles sont hébergées en dehors des États-Unis. Concrètement, si une entreprise européenne stocke ses données sur une plateforme comme AWS ou Microsoft Azure, ces données pourraient être saisies ou examinées à la demande des autorités américaines.

Ces deux événements ont changé la donne. Il ne s’agissait plus seulement de choisir un fournisseur Cloud pour ses performances ou son prix. Désormais, la question était : pouvons-nous vraiment faire confiance à ces géants non européens ?

Les principaux enjeux de souveraineté dans le Cloud

Les enjeux de souveraineté dans le Cloud sont nombreux et touchent à des dimensions technologiques, politiques et économiques. Voici les principaux points à retenir :

  1. Dépendance technologique et économique : Les entreprises et administrations européennes sont souvent dépendantes des grands fournisseurs non-européens. Cette dépendance limite leur capacité à contrôler leur propre infrastructure et à réagir en cas de conflit géopolitique ou de crise économique.
  2. Contrôle des données sensibles : Les données critiques, telles que celles liées à la santé, à la défense ou à la vie privée, sont parfois stockées sur des serveurs situés hors d’Europe, et parfois en Europe. Ces données peuvent être soumises à des législations extraterritoriales, comme le Cloud Act américain, qui autorise l’accès à ces données par des gouvernements étrangers.
  3. Respect des réglementations : Le RGPD impose des règles strictes sur la protection des données personnelles, et les entreprises doivent s’assurer que leurs fournisseurs Cloud sont conformes. Les qualifications comme SecNumCloud en France renforcent également la confiance dans les offres de services locales.
  4. Risques d’espionnage et de cybersécurité : Les fournisseurs étrangers peuvent être soumis à des obligations de collaboration avec leurs gouvernements, ce qui augmente les risques d’espionnage. Par ailleurs, les attaques ciblant les infrastructures Cloud soulèvent de sérieuses inquiétudes concernant la sécurisation des données.
  5. Résilience face aux crises : En cas de conflit ou de tensions internationales, les infrastructures européennes doivent être capables de fonctionner de manière autonome, sans dépendre de prestataires non-européens.
  6. Transparence des technologies : Les géants du Cloud utilisent souvent des technologies propriétaires, ce qui limite la visibilité sur le traitement des données. À l’inverse, les solutions européennes et open source offrent davantage de transparence sur le fonctionnement des infrastructures.

Ces enjeux sont au cœur des débats sur le Cloud souverain et expliquent pourquoi des initiatives sont nécessaires. Garder le contrôle, c’est bien plus qu’une option, c’est un impératif stratégique.

Qu’est-ce que le Cloud Act ?

Adopté en mars 2018, le Cloud Act (Clarifying Lawful Overseas Use of Data Act) est une législation américaine qui autorise les autorités des États-Unis à accéder aux données stockées par des entreprises américaines, même si ces données sont hébergées en dehors du territoire américain. En d’autres termes, si vous utilisez un fournisseur comme AWS, Microsoft Azure ou Google Cloud, vos données, même hébergées dans un data center européen, peuvent être accessibles aux autorités américaines sur simple demande.

Les implications concrètes :

  • Le Cloud Act concerne toutes les entreprises basées aux États-Unis, quel que soit l’endroit où leurs infrastructures sont déployées.
  • Il permet à des agences américaines (comme le FBI ou la NSA) de demander un accès direct aux données, sans forcément passer par les lois locales du pays où elles sont hébergées.
  • Cette loi entre en conflit direct avec des réglementations comme le RGPD, qui exige une stricte protection des données personnelles en Europe.

Un exemple concret : une entreprise française stockant des données clients sur des serveurs Microsoft Azure en Europe pourrait voir ces données transmises à des autorités américaines, sans même que les clients concernés n’en soient informés.

D’autres lois extraterritoriales similaires

Le Cloud Act n’est pas un cas isolé. D’autres pays ont mis en place des législations permettant un accès étendu aux données, même en dehors de leurs frontières. Voici quelques exemples notables :

  1. FISA (Foreign Intelligence Surveillance Act) - États-Unis Cette loi, et notamment sa section 702, autorise les agences de renseignement américaines à collecter des données sur des citoyens étrangers en dehors des États-Unis, dès lors qu’elles transitent par des infrastructures américaines.
  2. PATRIOT Act - États-Unis Bien que plus ancien (2001), le Patriot Act reste une base légale permettant aux autorités américaines d’accéder aux données hébergées sur des serveurs appartenant à des entreprises américaines, sous prétexte de lutte contre le terrorisme.
  3. National Intelligence Law - Chine Cette loi, adoptée en 2017, oblige toutes les entreprises chinoises (ou opérant en Chine) à collaborer avec les services de renseignement nationaux et à fournir un accès aux données si nécessaire. Les entreprises comme Huawei ou Alibaba Cloud sont directement concernées.

Pourquoi ces lois posent un problème de souveraineté ?

Ces législations extraterritoriales soulèvent plusieurs enjeux cruciaux :

  • Perte de contrôle : Les entreprises européennes qui utilisent des fournisseurs non-européens perdent une partie de leur souveraineté sur leurs propres données.
  • Risques juridiques : Une entreprise européenne pourrait être sanctionnée pour non-conformité au RGPD si les données de ses clients sont transmises à une autorité étrangère.

Comment limiter les risques liés à ces lois ?

  1. Privilégier les fournisseurs Cloud souverains : Optez pour des entreprises basées en Europe et non filiale d’une entité non-européène, comme , OUTSCALE, OVHcloud ou Scaleway qui garantissent que vos données restent sous juridiction européenne.
  2. Suivre les initiatives européennes : Projets comme Gaia-X, qui visent à créer un écosystème Cloud européen conforme aux normes de souveraineté, et qualifications comme SecNumCloud qui garantissent un haut niveau de sécurité et de conformité.

Voici un résumé basé sur mes connaissances ainsi que des informations publiques sur SecNumCloud et les acteurs qualifiés.

C’est quoi le SecNumCloud ?

Le SecNumCloud est un référentiel élaboré par l’ANSSI pour établir des normes de sécurité et de conformité élevées dans les services d’informatique en nuage. Il vise à garantir la sécurité, la confidentialité et la disponibilité des données traitées ou stockées par les prestataires de services Cloud, en s’alignant sur des standards internationaux comme l’ISO/IEC 27001 tout en ajoutant des critères spécifiques adaptés aux besoins européens.

Ce référentiel s’adresse principalement aux services IaaS, PaaS, SaaS, et CaaS, couvrant un large éventail d’activités Cloud pour répondre aux besoins variés des entreprises et des administrations. Les exigences incluent des mesures rigoureuses en matière de chiffrement, de supervision, de gestion des incidents, et de contrôle d’accès afin de protéger les données sensibles et d’assurer une résilience face aux menaces.

Conçu pour être utilisé à la fois par les prestataires souhaitant obtenir une certification et par les commanditaires recherchant des solutions conformes aux bonnes pratiques, SecNumCloud ne remplace pas les obligations légales mais les complète en offrant des garanties supplémentaires.

Quels sont les fournisseurs de Cloud qualifiés SecNumCloud ?

  1. OUTSCALE: IAAS
  2. OVHcloud: Hosted Private Cloud powered by VMware
  3. Cloud Temple: Secure Temple et Paas OpenShift
  4. Worldline: Cloud Services Secured IaaS
  5. CegNumCloud: Secured IaaS

Source : Prestataires qualifiés SecNumCloud

À cette liste s’ajoute ceux en cours de certification, comme :

  1. Ecritel
  2. Free Pro
  3. GIP Mipih
  4. NumSpot
  5. Orange Business (Cloud Avenue by Eolas)
  6. OVHcloud
  7. Scaleway
  8. SFR Business
  9. Thales Cloud Sécurisé (S3NS)

Source : Prestataires en cours de qualification

Gaia-X : un cadre européen pour la souveraineté numérique

Gaia-X est une initiative européenne lancée en 2020 avec un objectif ambitieux : créer un écosystème Cloud sécurisé, transparent et souverain. Porté par la France et l’Allemagne, ce projet rassemble des acteurs publics et privés pour définir des standards communs favorisant l’interopérabilité et la transparence des services Cloud, tout en respectant les réglementations européennes comme le RGPD.

Contrairement à un fournisseur Cloud classique, Gaia-X n’est pas une plateforme ou un produit, mais un cadre de collaboration. Il vise à permettre aux entreprises européennes de choisir librement des solutions Cloud répondant à leurs besoins tout en garantissant le contrôle total sur leurs données. Parmi ses principes clés figurent l’interopérabilité entre différents prestataires, la transparence sur la localisation et le traitement des données, ainsi que le respect des normes de sécurité.

Gaia-X s’appuie également sur des technologies open source pour favoriser l’innovation et éviter les dépendances technologiques vis-à-vis des hyperscalers non-européens. Plusieurs initiatives, comme les projets de Cloud souverains français et allemands, s’inscrivent dans cette vision en développant des services conformes au référentiel Gaia-X.

Avec ce projet, l’Europe ambitionne de reprendre la main sur sa souveraineté numérique. Lors du dernier Summit qui a eu lieu en mars 2024, plusieurs avancées ont été annoncées, notamment le lancement des premiers projets, l’adhésion de nouveaux membres et la mise en place de groupes de travail thématiques pour accélérer le développement de l’écosystème. À suivre de près !

Conclusion

Le Cloud souverain est devenu un enjeu important pour préserver l’indépendance et la sécurité des données face aux législations extraterritoriales et aux cybermenaces. Des initiatives comme SecNumCloud et Gaia-X montrent que la France ou l’Europe prend des mesures concrètes pour proposer des alternatives crédibles aux hyperscalers internationaux.

En combinant innovation, souveraineté et conformité, ces projets ouvrent la voie à un futur numérique où les entreprises et administrations pourront évoluer en toute confiance. Investir dans ces solutions, c’est non seulement répondre aux exigences réglementaires, mais aussi poser les bases d’une indépendance numérique durable.