Publicité

Sécurité des données : la bataille des clouds souverains

  • cloud-souverain-securite-donnees.jpg

    cloud-souverain-securite-donnees
    Le cloud souverain nécessite d'investir dans de grands centres d'hébergement en France, comme celui d'OVHcloud, à Roubaix. (OVHcloud)
  • Face à la domination des gigantesques clouds internationaux, et aux risques qu'ils font peser sur la sécurité des données, la France s'organise autour du cloud souverain. Avec l'aide d'une multitude d'acteurs plus ou moins indépendants de leurs grands frères américains.

    Si vous lisez régulièrement Archimag, il ne vous a pas échappé que de nombreuses sociétés françaises se positionnent sur le marché du cloud actuellement.

    Des clouds européens

    Cela ne date pas d'hier. On se souvient de l'échec cuisant du projet Andromède et des deux premiers clouds souverains, CloudWatt et Numergy, créés en 2012 par Orange et Thales, pour le premier, et SFR et Bull/Atos, pour le second : ils n'ont pas trouvé leur marché et ont été rachetés et réintégrés par leurs principaux actionnaires (Orange et SFR) en 2015.

    D'autres clouds européens ont ensuite, fort heureusement, créé leurs propres infrastructures et pris le relais : il s'agit, notamment, d'OVHcloud, de Scaleway (filiale du groupe Iliad), de 3DS Outscale (racheté par Dassault Systèmes en 2017) et d'Orange Business Services. Ils ont été rejoints récemment par Oxeva (Groupe La Poste), avec Nu.age, et l'entreprise de services du numérique Cyllene, par exemple..

    > Lire aussi : Toutes les actualités, les chiffres, les dossiers, les enquêtes et les analyses de la rédaction d'Archimag sur le cloud souverain

    Clouds hyperscale : Amazon, Microsoft et Google

    Au niveau mondial, comme en France, le marché est toutefois dominé de la tête et des épaules par trois grands acteurs américains, dits "hyperscale" (parce que leurs infrastructures distribuées sont capables de s'adapter très rapidement pour faire face à de nouvelles utilisations) : Amazon, avec Amazon Web services (AWS) ; Microsoft, avec Azure ; et Google, avec Google Cloud Platform (GCP).

    Pour le cabinet Canalys Research, ces trois acteurs captent à eux seuls 64 % du marché au quatrième trimestre 2021 – 33 % pour AWS, 22 % pour Microsoft Azure et 9 % pour Google Cloud, arrivé plus tardivement. Le marché affiche une croissance insolente, puisqu'il a crû de 34 %,par rapport à la même période en 2020, pour atteindre 53,5 milliards de dollars sur le dernier trimestre (47 milliards d'euros). La hausse est de 35 % sur toute l'année 2021, avec un chiffre d'affaires estimé à 191,7 milliards de dollars (169 milliards d'euros).

    > Lire aussi : Cloud public ou cloud privé : quel hébergement choisir pour ses données ?

    Un contexte réglementaire favorable aux clouds souverains

    "Naturellement, ces croissances à deux chiffres aiguisent les appétits, d'autant qu'elles se font au détriment des architectures historiques", confie Eric Beaudet, consultant chez Pierre Audoin Consultants (PAC, groupe teknowlogy) :

    "Pour se différencier face à ces géants, les plus petits acteurs n'ont pas beaucoup de marges de manœuvre", estime-t-il. "Ils peuvent difficilement être plus innovants d'un point de vue technologique et ils ne peuvent pas être moins chers, ce qui supposerait de grossir", analyse-t-il. "Mais ils peuvent se différencier sur la sécurité et la souveraineté."

    Et c'est le cas. Car les clouds européens ont pour principal atout d'offrir aux entreprises une protection contre le risque de surveillance de leurs données par les agences de renseignement américaines. Un risque qui est tout sauf anecdotique depuis l'adoption du Cloud Act américain, en 2018. Cette loi permet en effet aux autorités étatsuniennes d'accéder aux données de tout client d'un opérateur de cloud d'origine américaine, par mandat ou assignation, y compris de ce côté-ci de l'Atlantique : le ministère de la Justice américain considère qu’une société d'origine américaine doit répondre favorablement à la demande de l’administration, même lorsque les données sont hébergées dans des datacenters européens.

    Les inquiétudes des entreprises et administrations européennes ont été renforcées en 2020 avec l'annulation, par la Cour de justice de l’Union européenne (CJUE), de l'accord "Privacy Shield" ("bouclier de protection des données"), qui fixait quelques règles minimales pour encadrer légalement le transfert de données personnelles entre l'Union européenne et les États-Unis.

    Côté administration, plus récemment, les mises au point de la Dinum (Direction interministérielle du numérique) ont agi comme un coup de semonce, et rappelé l'urgence de rapatrier les données. Cet organisme précise que "le recours à une offre de cloud commercial est uniquement possible si cette offre est qualifiée SecNumCloud" (par l'Anssi) et si elle "est immunisée contre les réglementations extracommunautaires".

    > Lire aussi : Cloud : le gouvernement annonce une enveloppe de 1,8 milliard d'euros

    Nouvelles déclinaisons tricolores

    Avec sa stratégie cloud, annoncée en novembre 2021, l’État français ne ferme pas pour autant la porte aux groupes américains, dès lors qu'ils nouent des alliances avec des entreprises hexagonales et proposent "des offres de confiance détentrices du label SecNumCloud" – un certificat de sécurité décerné par l'Anssi (Agence nationale de la sécurité des systèmes d'information) aux opérateurs de services cloud qui ne sont pas susceptibles d'être concernés par la loi américaine.

    "Les offres qui en résultent sont censées offrir le meilleur des deux mondes aux entreprises", explique  Eric Beaudet. "Elles s'appuient sur des centres d'hébergement français, qui ne sont pas soumis aux lois extraterritoriales américaines. Mais elles utilisent les outils et les couches logicielles développés par de grands acteurs américains."

    Des exemples ? Capgemini et Orange ont annoncé, mi-2021, la création d'un "cloud de confiance" appelé Bleu, qui sera localisé en France mais utilisera (dans un environnement indépendant) " les solutions sécurisées cloud de Microsoft, en l’occurrence les suites de collaboration et de productivité Microsoft 365 ainsi que l’ensemble des services de la plateforme cloud Microsoft Azure". Sont en ligne de mire l’État français, la fonction publique, les opérateurs d’importance vitale, les opérateurs de services essentiels, les hôpitaux et les collectivités territoriales.

    Dans la même veine, Thales s'est rapproché de Google Cloud, en octobre, pour développer une offre de cloud souverain, répondant aux critères du label "cloud de confiance". Elle s’appuiera sur une infrastructure dédiée, et sera gérée et opérée par une nouvelle société de droit français. Quant à OVHcloud, détenteur d'une certification SecNumCloud pour ses datacenters de Roubaix et Strasbourg, il a noué une alliance avec Google dès 2020 pour proposer aux entreprises une offre de cloud privé utilisant la technologie Anthos de Google : toujours attendue, elle devrait leur offrir prochainement plusieurs outils dédiés à la migration de données et à la gestion du multi-cloud et des clouds hybrides. Le multi-cloud étant l'utilisation de plusieurs services de cloud computing et de stockage dans une seule architecture hétérogène, tandis que le cloud hybride permet de combiner plusieurs types de cloud (public ou privé).

    > Lire aussi : Plateforme cloud vs digital workplace : quelles différences ?

    Souveraineté française ou européenne

    "Le problème est que le marché public, très convoité, reste limité", relève Eric Beaudet. "Pour que les clouds souverains puissent grandir, il faudrait que les entreprises aillent elles aussi vers les clouds souverains. Mais cela semble très incertain pour le moment."

    L'Union européenne pourrait-elle leur offrir un autre levier de croissance ? Malgré quelques retards à l'allumage et des réticences (liées, entre autres, à la présence d'Amazon, Google, Microsoft et Alibaba au sein de l'association), les clouds français sont déjà nombreux à avoir rallié l'initiative européenne Gaia-X. L'objectif ? Créer une infrastructure de données en forme de réseau, interopérable, et faire un pas vers une future architecture sécurisée au niveau européen. Pour 3DS Outscale, l'un des membres fondateurs, le projet doit "briser les structures rigides du marché du Cloud" et "permettre d’établir des règles et standards communs sur lesquels les entreprises pourront se baser pour renforcer leurs propositions de valeur."

    Car le cloud souverain est un sujet aussi chez nos voisins, comme l'Espagne ou l'Allemagne : Telefonica vient par exemple de se rapprocher de Microsoft à cet effet, tandis que l'éditeur SAP et la société de services Arvato Systems s'apprêtent à créer avec Microsoft un nouvel opérateur de cloud indépendant, pour répondre aux besoins du secteur public.

    mail Découvrez Le Brief de la Démat, la newsletter thématique gratuite d'Archimag dédiée aux projets de dématérialisation et de transformation numérique !

    Enfin, douze États membres de l'Union, dont la France, ont annoncé début février leur souhait de s'unir "pour développer la prochaine génération de services et infrastructures cloud". Ils envisagent d'investir au total 7 milliards d'euros dans un Projet important d’intérêt européen commun (PIIEC) dédié au cloud (comme cela a aussi été le cas récemment pour les batteries électriques). L'investissement étant jusqu'ici le talon d’Achille des clouds européens, cela ne peut pas faire de mal.

    Ce sujet vous intéresse? Retrouvez-en davantage dans les Guides Pratiques Archimag !
    archimag-guide-dematerialisation
    Cherchant à toujours mieux répondre aux besoins des activités privées et publiques, la dématérialisation ne cesse d’évoluer. Selon le contexte, telle approche conviendra mieux qu’une autre… Affaire d’état du système d’information, de gouvernance et de stratégie. Mais derrière l’engouement pour le cloud (Saas), le marché doit être décrypté. De la Ged au réseau social d’entreprise, de multiples briques et assemblages peuvent servir la dématérialisation, tandis que l’intelligence artificielle bouscule les habitudes. Les derniers impératifs juridiques sont rappelés. Les concepts et les normes utiles sont décrits. Des méthodes montrent comment analyser ses processus et flux documentaires et élaborer le Swot déclencheur de son projet de dématérialisation. Comment se lancer dans la mise en oeuvre ? En connaissant les outils, matériels et logiciels, en acquérant de la méthode et en prenant exemple sur des retours d’expérience : gestion du courrier, traitement de la facture, signature électronique, coffre-fort numérique, automatisation des processus.
    Acheter ce guide  ou  Abonnez-vous
    À lire sur Archimag
    Le chiffre du jour
    1
    est en moyenne signalée toutes les semaines dans les établissements de santé depuis janvier 2021. Les hôpitaux ont subi 27 cyberattaques majeures - qui ont effectué tout ou partie de leurs systèmes d'information - en 2020.
    Publicité

    supplement-confiance-numerique-270500.png