Quelle stratégie adopter vis-à-vis du cloud souverain et du cloud de confiance (1/2) ?

Introduction

L’ambition mondiale de continuer à investir dans des solutions de cloud computing reste affirmée. En témoignent les estimations de Gartner qui prévoit une inversion des courbes pour 2025 en faveur des investissements dans le cloud computing par rapport aux investissements on-premises (lien vers l’étude de Gartner).

Ce gain d’intérêt, est constaté quotidiennement sur le terrain par Pramana et ses architectes cloud. Toutefois, nos clients, bien que très volontaires et désireux de développer leur utilisation du cloud sont tous confrontés à des problématiques de sécurité et de souveraineté, et ce peu importe leur secteur d’activité. Les tensions internationales, aggravées par le conflit russo-ukrainien, sont sans aucun doute venues s’ajouter aux problématiques historiques que sont notre forte dépendance aux fournisseurs américains et la protection des données externalisées.

En conséquence, on observe deux prises de positions distinctes : d’un côté des projets souhaitant bénéficier de tous les avantages du cloud computing et de l’autre, des équipes de cybersécurité ayant tendance à freiner l’externalisation de données par manque de maîtrise sur les hébergeurs. Dans ce contexte, difficile de construire une feuille de route cloud et de concevoir des applications. Nos architectes pourront en témoigner !

En réponse à ces problématiques, les notions de cloud souverain et de confiance apparaissent et prennent de plus en plus de place dans la presse.  On peut, entre autres, citer l’intervention du ministre de l’Économie et des Finances, Bruno LE MAIRE, lors de l’inauguration d’un Datacenter d’OVHCloud en septembre dernier.

De ce fait, comprendre et tenir compte de ces éléments sont devenus des points essentiels à la bonne réalisation des  et cela, nos architectes l’ont bien en tête.

Nous sommes donc en droit de nous interroger : quelles sont les différences entre cloud souverain et cloud de confiance ? Qu’est-ce que ces terminologies impliquent ? Comment se positionner vis-à-vis de ces notions ?

Petit tour d’horizon pour comprendre tout cela et mieux prendre en considération ces distinctions dans une stratégie cloud.

I – Cloud souverain, cloud de confiance… De quoi parlons-nous ?

La notion de cloud de confiance est associée en France au Visa de sécurité SecNumCloud délivré par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Il s’agit d’une norme française créée en 2018 énonçant un certain nombre de mesures de sécurité techniques, organisationnelles et juridiques pour assurer la confidentialité, l’intégrité et la disponibilité des données stockées dans le cloud. Ce Visa permet ainsi d’identifier des offres de services cloud justifiant d’un haut niveau de compétence et de qualité de service en matière de cybersécurité, tout en démontrant une protection forte des données sensibles.

De son côté, le cloud souverain est un environnement de cloud computing géré et contrôlé par des entités locales comme l’état, ou des entreprises en partenariat avec ce dernier, plutôt que par des entreprises étrangères. L’objectif est de protéger les données et les informations sensibles d’un pays contre les risques de perte de données, de piratage ou d’accès non autorisé par des acteurs étrangers.

Le cloud souverain est considéré depuis plus d’une dizaine d’années comme une solution par le gouvernement français, les opérateurs de services essentiels (OSE) et les opérateurs d’importance vitale (OIV) qui cherchent à éviter l’externalisation de données souveraines sur des solutions de cloud computing étrangères telles que AWS, AZURE, GCP,  par les géants américains Amazon, Microsoft et Google (l’ombre du Cloud Act et du Patriot Act n’est jamais très loin).

Pour résumer, le cloud de confiance est un environnement cloud qui offre des mesures de sécurité et de confidentialité avancées pour protéger les données des clients et suivant le Visa de sécurité SecNumCloud, tandis que le cloud souverain est une infrastructure cloud qui est gérée et contrôlée par le gouvernement ou une organisation souveraine pour protéger les données sensibles contre les menaces étrangères.

II – Des projets ambitieux mais émergeant non sans difficultés

La chronique mortuaire des initiatives de cloud souverain français ne cesse tristement de s’allonger d’année en année et pour cause, la mise en place d’une offre de cloud computing prend du temps et coûte cher, très cher.

S’ajoute à cela une certaine hésitation incompréhensible à réellement investir au niveau étatique dans ce secteur, où l’on peine à trouver un réel positionnement stratégique. Difficile de rivaliser avec les géants américains qui disposent de budgets colossaux, d’un soutien gouvernemental fort, d’années d’avance dans ce domaine et se développant à vitesse grand v.

Ainsi, on nommera des projets comme Cloudwatt ou Numergy qui ont tenté sans succès l’aventure il y a une dizaine d’années de cela. Pourtant, ce ne sont pas les compétences qui manquent en France ou en Europe avec des entreprises telles qu’OVHCloud, Atos, Orange, Thales, Dassault et bien d’autres.

Plus récemment, un regain d’intérêt pour le sujet, le contexte international n’y étant pas pour rien, a permis de mettre en lumière l’initiative européenne GAIA-X lancée en 2019 et portée par la France et l’Allemagne. Très prometteur, le projet n’a pas manqué de jouer avec les émotions des équipes cloud européennes via une communication au compte-goutte qui finira par lâcher une mini bombe en avouant impliquer les hyperscalers américains dans la conception des futures infrastructures GAIA-X. Est-ce grave me demanderez-vous ? Pas vraiment puisqu’ils ne font pas partie du conseil d’administration du projet. Il est cependant fort probable que ces derniers ne voient pas d’un bon œil l’initiative qui finira par leur soustraire des parts de marché. De là à penser qu’ils interfèrent ou le feront d’une manière ou d’une autre pour freiner le projet, je vous laisse vous faire votre propre avis… Le fait est que GAIA-X n’est pas encore disponible et qu’il faut trouver d’autres solutions en attendant.

Ainsi, la notion de cloud de confiance est récemment apparue pour compenser le triste constat que le cloud souverain prend du temps à se développer, si tant est qu’il finisse par réellement voir le jour sous la forme d’une offre concrète et pérenne. Moins ambitieux, ou plus pragmatiques, (à vous de voir), ces projets tentent de proposer des alternatives aux offres des hyperscalers américains.

Nos amis d’outre Atlantique ne sont cependant jamais très loin puisqu’ici aussi, ils participent au développement de certaines offres sous une forme beaucoup plus assumée mais aussi plus intrusive que dans le cadre de GAIA-X.

On nommera pêle-mêle des offres existantes telles que celles de 3DS Outscale (Dassault), ou OVHCloud auxquelles viendront s’ajouter progressivement et sous peu de nouvelles offres de cloud de confiance comme Bleu (Orange, Capgemini et Microsoft), S3NS (Google et Thales) ou encore Numspot (Docaposte, Dassault Systèmes et Bouygues Telecom). AWS en n’est pas exclu pour autant puisque des bruits de couloir laissent entendre qu’un partenariat avec ATOS serait sur la table.

Conclusion

Il va sans dire que l’offre de solutions de cloud de confiance semble se développer beaucoup plus rapidement que l’offre de cloud souverain européen. L’existant est cependant relativement basique en termes de possibilité, essentiellement du IaaS, et il n’est pas exclu que les futures solutions soient également de ce type. Difficile d’innover face aux hyperscalers américains quand ils sont intégrés dans les projets qui ont vocation à les concurrencer.

Ainsi, comment se positionner vis-à-vis de ces offres ? Comment les intégrer dans une stratégie cloud ? Autant de problématiques concrètes sur lesquelles nous nous sommes penchés et que nous adresserons dans un prochain article. D’ici là, n’hésitez pas à échanger avec nous sur le sujet !