Retour sur le site entreprise
Alors que nos données les plus sensibles migrent massivement dans le cloud, la notion de souveraineté revêt un intérêt accru. Pour être considéré comme souverain, un fournisseur de cloud doit être une société française soumise au droit français et opérant sur le sol national. Décryptage.
Le principe de souveraineté n’a jamais été autant à l’honneur que ces dernières années. Alors que le numérique est omniprésent dans notre vie professionnelle comme privée, les pouvoirs publics tentent à grand renfort de plans stratégiques de recouvrir notre souveraineté dans les domaines de l’intelligence artificielle, de la cybersécurité ou du quantique.
Le cloud ne fait pas exception. Dès 2011, avec le plan Andromède, la France a essayé de faire émerger deux clouds souverains Cloudwatt et Numergy, avec le succès que l’on sait. Douze ans plus tard, l’enjeu est plus que jamais d’actualité alors que les trois hyperscalers américains Amazon Web Services (AWS), Google Cloud, Microsoft Azure – accaparent 71 % du marché français du cloud public selon une étude de Markess by Exaegis(1) .
Poser un cadre grâce au label “cloud de confiance”
Plutôt que de créer un cloud souverain en partant de zéro, la France, comme d’ailleurs l’Europe à travers l’initiative GAIA-X(2), cherche aujourd’hui à s’appuyer sur les acteurs existants tout en posant un cadre de confiance pour assurer la sécurité et la confidentialité des données.
En mai 2021, le Gouvernement énonçait ainsi sa stratégie nationale(3)en la matière avec la création d’un label « cloud de confiance » à destination des entreprises et des administrations, reposant sur le référentiel SecNumCloud(4)délivré par l’Agence nationale de la sécurité des systèmes d’information (Anssi).
La doctrine dite « Cloud au centre » fait, elle, du cloud « un prérequis pour tout nouveau projet numérique au sein de l’État ». Un ministère ou une administration doit héberger ses applications et ses données dans le cloud interne de l’État ou dans un cloud industriel certifié par l’Anssi.
Se prémunir du Cloud Act
L’État décrit le cloud souverain comme un « modèle de déploiement dans lequel l’hébergement et l’ensemble des traitements effectués sur des données par un service de cloud physiquement réalisés dans les limites du territoire national, par une entité de droit français et en application des lois et normes françaises ».
La localisation de l’hébergement des données et la nationalité du provider constituent donc les deux critères clés qui caractérisent le principe de souveraineté. Il s’agit de se conformer au cadre réglementaire en matière de protection des données personnelles (RGPD) mais aussi de se prémunir du principe d’extraterritorialité propre au droit américain.
Comme le Patriot Act avant lui, le Cloud Act contraint les prestataires américains à divulguer des informations personnelles sur leurs utilisateurs dans le cadre d’enquêtes judiciaires, même si les données ne sont pas hébergées sur le sol états-unien.
Concept plus étendu que le cloud souverain, le « cloud de confiance » intègre également les principes de transparence, de portabilité, de réversibilité et d’interopérabilité des services cloud mais aussi d’auditabilité des infrastructures du prestataire.
Des datacenters basés en France
C’est sur la base de ce cahier des charges qu’est née en 2021 la division OnCloud, le « cloud de confiance » de Bouygues Telecom Entreprises. Société française, soumise au droit français, Bouygues Telecom Entreprises OnCloud s’appuie sur des infrastructures basées sur le sol national. Ses datacenters, lui appartenant en propre ou à son partenaire Equinix, sont classés TIER III et certifiés ISO 27001.
« Bouygues Telecom Entreprises OnCloud n’est ni un hyperscaler ni un provider local », avance Basile Biard, son responsable marketing digital et communication. « Nous sommes une jeune structure, à même d’intégrer les derniers standards de protection des données, tout en étant adossée à un opérateur national »
Bouygues Telecom Entreprises OnCloud intègre nativement des fonctionnalités de détection et d’analyse approfondie des menaces (Firewall, WAF, IDSP/IPS…) et s’appuie pour l’accès et la gestion des comptes à privilèges sur une solution certifiée Anssi.
A la différence d’un hyperscaler dont le modèle économique repose sur les volumes et l’industrialisation, le nouvel acteur s’écarte, sur le plan juridique, des seuls contrats type pour proposer des contrats sur-mesure, assortis de clauses spécifiques. Un point clés pour les PME et les ETI que Bouygues Telecom Entreprises OnCloud adresse.
Numspot, naissance d’un cloud de confiance 100 % français
Pour répondre à des besoins encore plus spécifiques, Bouygues Telecom a annoncé en octobre dernier, en association avec Docaposte, filiale numérique du groupe La Poste, Dassault Systèmes et la Banque des Territoires la création de Numspot. Ce consortium industriel 100 % français proposera une offre complète de services européens de cloud souverain et de confiance, reposant sur les derniers standards de sécurisation (SecNumCloud).
Disponible dès cette année en France, Numspot se destine prioritairement aux acteurs publics (hôpitaux, administrations, collectivités…) et aux entreprises qui ne trouvent pas actuellement de solutions cloud répondant à leurs besoins, notamment dans le secteur financier. La nouvelle entreprise entend aussi constituer un écosystème européen de référence en fédérant des éditeurs de logiciels, des entreprises de services numériques (ESN), des startups ou des laboratoires de recherche comme l’Inria.
Lire aussi : Cyberattaque : le guide complet pour se prémunir en entreprise
Source :
(3) https://www.numerique.gouv.fr/uploads/Strategie-nationale-pour-le-cloud.pdf
(4) https://www.ssi.gouv.fr/actualite/lanssi-actualise-le-referentiel-secnumcloud/
Basile Biard
Responsable marketing digital et communication
