Face à la multiplication des promesses autour du cloud souverain, CISPE introduit un cadre structuré et auditable pour permettre d’identifier clairement les services garantissant un contrôle effectif des données et des opérations, au-delà des déclarations marketing.
Un marché saturé de promesses difficilement vérifiables
CISPE (Cloud Infrastructure Service Providers in Europe) acte un constat partagé : le marché du cloud est aujourd’hui saturé d’offres revendiquant une forme de souveraineté, sans que les critères ne soient clairement établis ni vérifiables. Les définitions restent floues, les méthodes d’évaluation opaques et les clients peinent à mesurer les risques réels liés aux juridictions étrangères, à l’accès aux données ou à la continuité de service.
L’organisation estime que cette situation crée une confusion préjudiciable, notamment pour les acteurs publics et privés qui cherchent à arbitrer entre différentes offres. La seule certification en cybersécurité ne suffit pas à répondre à ces enjeux de contrôle.
Un cadre pour objectiver le contrôle sur les services cloud
Pour répondre à cette absence de lisibilité, CISPE lance un cadre baptisé « Sovereign and Resilient Cloud Services Framework ». Celui-ci vise à introduire une définition certifiable du contrôle exercé sur les services cloud, en couvrant les données, les infrastructures, les charges de travail et les opérations.
Deux approches complémentaires structurent ce référentiel. D’un côté, les services dits souverains reposent sur un contrôle par conception : ils sont détenus, opérés et gouvernés dans une juridiction donnée, ce qui exclut toute interférence extérieure. De l’autre, les services résilients s’appuient sur des capacités techniques et opérationnelles permettant de conserver la maîtrise, même en présence de composants non souverains. Cela inclut notamment le chiffrement géré par le client, la portabilité des données, les sauvegardes indépendantes ou encore la possibilité de changer de fournisseur.
Des premiers services déclarés et un mécanisme de labellisation
Au lancement, plus de 40 services ont déjà été déclarés selon ce cadre, couvrant des domaines variés tels que les assistants IA européens, le cloud public, Kubernetes ou encore le stockage. Ces offres doivent être intégrées dans le catalogue fédéré de CISPE, avec l’objectif d’enrichir progressivement cette base.
Le dispositif repose également sur un système de badges permettant d’identifier visuellement les niveaux de garantie. CISPE compare ainsi les services souverains à des pneus « increvables », censés empêcher toute interférence externe, tandis que les services résilients s’apparentent à des pneus « run-flat », capables de maintenir la trajectoire malgré une perturbation.
Le cadre ne vise pas à exclure certaines offres, mais à introduire un niveau de transparence suffisant pour permettre des choix éclairés. Il entérine aussi une réalité du marché : en l’absence de solutions pleinement souveraines dans certains cas, des alternatives résilientes peuvent constituer des options opérationnelles crédibles.
