A l’ère du digital, les frontières n’existent plus pour les données confiées par les utilisateurs aux entreprises. La maîtrise et l’exploitation des données font intervenir des acteurs aux stratégies différentes. Si elles représentent un enjeu de sécurité et de souveraineté pour les États, il s’agit également d’une source de création de valeur fondamentale pour les entreprises.
L’année 2016 a marqué la fin officielle de l’initiative de Cloud souverain lancée par l’État quatre ans auparavant. Le projet « Andromède » visait à créer deux acteurs étatiques susceptibles de concurrencer les géants américains du Cloud computing.
Toutefois, ceux-ci ne sont pas parvenus à rivaliser avec les spécialistes déjà en place. La notion de souveraineté n’a pas disparu pour autant puisqu’elle regroupe désormais quelques acteurs qui ont déjà fait leurs preuves sur ce marché, avant même le lancement de ce projet.
Cloud de confiance français ou européen ?
La notion de Cloud « souverain » qui permet de garantir que les données soient localisées en France et opérées par des acteurs français est évoquée depuis plusieurs années. La création d’un Cloud souverain national est-elle une bonne idée ? Faut-il un Cloud français ou européen pour assurer la protection des données des citoyens recueillies par les institutions et les entreprises publiques ?
« Lorsqu’on parle de Cloud souverain, on part d’un constat de plus en plus évident : la data est au cœur des enjeux régionaux, démocratiques et commerciaux. Le contexte géopolitique actuel place l’Europe face à deux visions du web : d’un côté la vision américaine, où les données des champions du web peuvent servir les intérêts politiques ; de l’autre, l’Internet chinois où les données sont systématiquement utilisées par les pouvoirs publics afin de servir leurs intérêts géopolitiques. De là découle une conviction : l’Europe ne trouvera pas sa place dans la compétition mondiale sans se doter d’un système qui lui ressemble et reflète ses valeurs. Cela doit passer d’abord par une impulsion au niveau des décideurs politiques, puis une déclinaison réglementaire et la définition d’un code éthique des données », précise Adam Smith, Directeur des Affaires Juridiques chez OVH.
La question de la protection des données et leur localisation géographique est incontournable. En effet, le pays de localisation conditionne les lois qui seront appliquées et auxquelles les entreprises devront se conformer.
Les données personnelles sont régies par le droit national mais aussi par le droit européen, notamment avec le RGPD. Il en est de même pour les données circulant à l’intérieur de nos frontières.
Le Patriot Act (qui autorise le gouvernement américain à accéder à tout moment sous motif de sécurité nationale aux données informatiques des entreprises et particuliers stockées sur des clouds américains), le Cloud Act (permettant aux autorités américaines de négocier avec d’autres gouvernements des accords bilatéraux pour des échanges d’informations) et le scandale Cambridge Analytica placent également le Cloud au cœur de l’actualité. « L’enjeu majeur du Cloud souverain est la maîtrise de la localisation et de la protection des données au sein de systèmes distribués sur un Internet sans réelles frontières. Ceci, tout en assurant l’homogénéité des niveaux de sécurité entre le système d’information du client et des données confiées au Cloud », souligne Stéphane Nappo, Responsable Sécurité des Systèmes d’Information chez OVH.
« Je pense qu’il faut éviter la notion de « Cloud souverain » pour deux raisons. D’abord, parce que cela n’a pas laissé un bon souvenir en France. Le projet Andromède a représenté un coût important pour les contribuables. Il y a eu un énorme malentendu sur le fait que l’État allait créer un Cloud souverain puis l’utiliser. L’échec de ce projet s’explique aussi par le manque de maturité du marché et des acteurs. Par ailleurs, cela pourrait laisser penser que l’État est un actionnaire ce qui ne correspond pas à la vision de T-Systems davantage européenne. Un Cloud souverain est un Cloud qui s’inscrit dans un contexte européen en termes de géographie, de législation, de sécurité afin que l’ensemble des petites et grandes entreprises qui concourent à la sécurité et la réussite des nations européennes puissent y trouver leur compte », indique Jean-Paul Alibert, Président T-Systems France.
Penser agile et scalable
L’échec de la tentative de mise en place d’un Cloud souverain français a conduit le gouvernement à revoir sa stratégie. Lors des Rencontres du Cloud en 2018, le secrétaire d’État au numérique, Mounir Mahjoubi, a révélé les dernières orientations de la stratégie Cloud de l’État.
Il s’agit d’une offre de Cloud hybride divisée en trois solutions répondant à des besoins différents. La première est un Cloud maîtrisé en interne reposant sur des technologies OpenStack réservé aux données sensibles et piloté depuis un portail interministériel. La seconde solution est un Cloud dédié aux applications et données moins sensibles des organismes publics et hébergé par des tiers.
L’Agence nationale de sécurité des systèmes d’information (ANSSI) est chargée d’assurer la sécurité de cette infrastructure.
Enfin, la troisième offre est dédiée aux données et applications peu sensibles. Le dernier niveau est constitué d’un Cloud externe géré intégralement par un prestataire extérieur. Autrement dit, les administrations peuvent accéder au Cloud public d’entreprises tierces. L’agilité et la scalabilité sont ainsi au cœur de la stratégie Cloud de l’État.
« Le marché du Cloud est à un niveau de maturité extrêmement différent selon les entreprises. Le fait que l’État ait annoncé cette classification en trois niveaux est un signe de maturité. En effet, cette approche multi-cloud va obliger les entreprises à classifier leurs données », ajoute Jean-Paul Alibert.
Confidentialité et sécurisation des données
« Le Cloud est de nos jours une émanation croissante du système d’information des entreprises et des collectivités. Ce phénomène est lié à la transition numérique qui requiert une rapidité d’évolution technique, une scalabilité et des modèles financiers que seule la logique de Cloud est en mesure de procurer. En parallèle, la sophistication croissante des cybermenaces et le renforcement strict des cadres réglementaires poussent les clients à faire preuve de prudence dans le choix de leur partenaire cloud », indique Stéphane Nappo.
Les organisations françaises doivent être en mesure de détecter rapidement les incidents et protéger leurs données contre les menaces futures. Or, une enquête publiée par le fournisseur de logiciels de sécurité de l’information et de gouvernance Netwrix montre que la moitié des organisations qui stockent des données dans le Cloud ont été confrontées à des incidents de sécurité en 2018.
Un renforcement de la visibilité sur leurs systèmes critiques s’avère donc nécessaire.
« Nous sommes entrés dans une nouvelle dimension numérisée et connectée, où tout est data : la vie privée, le commerce, les institutions, les guerres. La transformation numérique fait que de plus en plus de choses passent par les données, tandis que les puissances économiques basculent d’une ère à une autre », explique Adam Smith.
La confidentialité et la transparence des données représentent un enjeu crucial. À ce sujet, l’ANSSI a récemment publié une nouvelle version du référentiel d’exigences applicables aux prestataires de services cloud connu sous le nom de SecNumCloud (anciennement Secure Cloud). La création de ce label de confiance doit notamment permettre d’améliorer la gestion des risques d’attaque vis-à-vis des OIV. Il représente une véritable garantie sur le respect des bonnes pratiques de sécurisation des données.
L’Agence travaille d’ailleurs à son équivalent au niveau européen.
« Parmi les principaux enjeux du Cloud souverain figure également la mise en œuvre d’une sécurisation et d’une protection qui correspond au bon niveau de classification des données et process des entreprises et OIV. Celles-ci doivent faire l’effort en amont de classifier leurs données pour entrer dans un usage efficace et mature du Cloud. Je pense que la communication du gouvernement faite au sujet de cette classification est la bonne approche et que le fait de disposer d’un Cloud européen permettra une mutualisation des expertises sans déperdition des compétences. Effectivement, si la localisation des données est fondamentale, le choix des entreprises est avant tout guidé par des paramètres économiques et réglementaires. Or, les acteurs européens sont soumis à des réglementations particulièrement strictes comme le RGPD. La construction d’un Cloud souverain européen est donc la seule façon de concurrencer les géants américains », conclut Jean-Paul Alibert.
Source : sd-magazine.com