- Hébergeurs hexagonaux - Les bastions d’un Cloud de confiance et souverain
- AntemetA, le Cloud 100% français
- 3DS Outscale privilégie une approche multi-locale pour son Cloud de confiance
- Partage d’expérience - Un Cloud hybride soutient les analyses de Median Technologies
- INTERVIEW - L’Edge et le Cloud de confiance deviennent incontournables
Face à la force de développement des GAFAM, les CSP européens misent sur l’interopérabilité et la conformité règlementaire pour accompagner les migrations Cloud de leurs clients.
La souveraineté numérique est aussi importante que l’armée pour 78% des Français sondés fin 2019 par Carvea Consulting, explique son directeur Jean-Luc Koch : « Notre étude nous a amené à nous demander qu’est-ce que la souveraineté ? On la confond souvent avec le fait que les données soient stockées en France, ce qui est un vrai besoin. On la confond aussi avec des problèmes règlementaires, ce qui est un autre besoin. Mais le véritable enjeu du Cloud souverain, c’est l’écosystème économique français et européen. Il ne s’agit pas seulement de données numériques stockées sur le sol national, mais de traitements d’IA et de logiciels qui doivent interagir les uns avec les autres. Avec le Cloud Act, signé par l’administration Trump en 2018, les USA sont en capacité de remonter des informations électroniques y compris sur le territoire français pour des raisons d’enquêtes judiciaires ou d’intelligence économique. L’affaire Huawei a révélé que l’espionnage en ligne faisait également partie de la culture chinoise tandis que les acteurs du Cloud chinois s’installent en Europe. D’où la nécessité d’une alternative, un Cloud de confiance fondé sur un écosystème souverain. »
« Le véritable enjeu du Cloud souverain, c’est l’écosystème économique français et européen. »
Jean-Luc Koch, Carvea Consulting
Dans ce contexte, Thierry Breton, le commissaire européen au marché intérieur a précisé le 19 février 2020 dans un Livre blanc les solutions de gestion de données et d’intelligence artificielle pour que les données produites en Europe soient traitées localement, et bénéficient à l’innovation et à la recherche des entreprises européennes.
Dans son rapport du 26 juin 2019 intitulé « Rétablir la souveraineté de la France et de l’Europe et protéger nos entreprises des lois et mesures à portée extraterritoriales », le député Raphaël Gauvin assimilait déjà à une menace pour l’ordre économique mondial l’abus de telles lois et mesures : « Les États-Unis semblent considérer que dès lors que les données sont accessibles depuis leur territoire, le fait qu’elles soient stockées en dehors des États-Unis sur le territoire d’un autre État souverain n’est pas un obstacle, car elles se trouvent situées “à portée d’un simple clic”: renversant la logique de la compétence territoriale, la question n’est pas où se trouvent les données, mais d’où elles sont accessibles. »
« Un des premiers articles du Cloud Act dessine un périmètre large, incluant les prestataires et filiales d’entreprises ayant des capitaux américains. Si vos données sont stockées en France ou ailleurs par une telle entreprise, en cas d’incrimination d’un salarié soupçonné de terrorisme ou de trafic de drogue, le prestataire devra révéler ses e-mails et transactions électroniques », illustre l’avocate Garance Mathias. Il peut y avoir des accords de réciprocité bilatéraux avec d’autres pays, comme le Royaume-Uni ou l’Australie. « Ces accords permettent aux services d’enquêtes criminelles de chaque partie d’exiger des données électroniques concernant des délits graves détenus par des hébergeurs de services informatiques. Cependant, la portée de chaque accord fait l’objet de négociations », précise l’avocate.
Elle salue les efforts répétés de Margrethe Vestager, vice-présidente de la Commission Européenne pour tenir tête aux Gafam dans leurs abus de position dominante et pratiques anticoncurrentielles. En effet, la danoise inflige depuis quatre ans de lourdes amendes assorties d’obligations de nouvelles pratiques. En mars 2020, elle doit présenter une nouvelle enquête visant à réguler préventivement le comportement des entreprises technologiques dominantes, quitte à restreindre leur pouvoir de collecte et de monétisation de données, pour aider l’écosystème européen à mieux rivaliser.
Un écosystème souverain
Le règlement général sur la protection des données (RGPD) a conduit les entreprises à se poser la question de qui accède aux données privées des clients, via quels traitements en particulier. Ce premier effort d’inventaire et de classification des données doit être complété, dès lors que l’on souhaite externaliser tout ou partie de son système d’information.
« Il faut savoir précisément ce qui est sensible et ce qui ne l’est pas dans les données numériques stockées par l’entreprise », confirme Jean-Luc Koch. Selon lui, cette bonne pratique est encore loin d’être généralisée ; elle s’apparenterait encore à un exercice de spéléologie le plus souvent. « Entre 20% et 30% des données numériques d‘entreprise sont éligibles au Cloud de confiance, tandis que 20% restent trop confidentielles pour rejoindre un Cloud public. Les entreprises françaises gèrent leurs données sensibles dans leur propre datacenter ; il y a une prise de conscience avec la CNIL, le RGPD, les écoutes téléphoniques, on sait que cela peut se faire en France. Il n’y a pas de déni ».
Comment caractériser ce Cloud de confiance ? « En France, l’hébergeur de données de droit français dispose de ses propres centres de données sur le sol national, ainsi que d’équipes locales d’administration et d’un écosystème certifié, incluant plusieurs protections d’accès aux données régulièrement contrôlées par des experts. Le gouvernement français peut contribuer à faire progresser cet écosystème en canalisant les projets et les financements pour créer de la cohésion. La demande est là, avec plus de 10 milliards d’Euros pour créer des Clouds capables de répondre aux attentes de l’administration française et à celles des entreprises du CAC 40 », souligne Jean-Luc Koch.
Formuler des offres différentes
Il y a de la place pour plusieurs Clouds souverains soutenus par des datacenters français, des contrats de droit français et une capacité de personnalisation des environnements, affirme Nicolas Leroy-Fleuriot, le PDG de Cheops Technology. « Notre cible de clients est composée d’entreprises de taille intermédiaire qui ont confiance dans un prestataire Cloud à condition qu’il sache leur délivrer les certifications internationales comme l’ISO 27001, le titre d’hébergeur de santé ou encore le référentiel SecNumCloud qui devient de plus en plus important dans les appels d’offres ».
Pour le fondateur de Cheops, les offres Cloud de confiance doivent se différencier des services packagés du Cloud public. « La stratégie de nos clients consiste à mettre la bonne application dans le bon Cloud au bon prix. Tout ce qui est stratégique, confidentiel, critique, qui nécessite de la très haute disponibilité et un haut niveau de sécurité est stocké chez nous. Tout ce qui est environnement de développement et de pré-production, on peut le confier à un opérateur de Cloud public. Une grosse faille du Cloud public c’est que les engagements de niveaux de services ne sont quasiment pas assortis de pénalités. Et ensuite, quand vous avez mis toutes vos données et vos applications chez Azure ou AWS, la réversibilité chez ces opérateurs là est proche de zéro. Il y a des entreprises américaines qui sortent massivement du Cloud public car elles n’y ont pas trouvé les économies recherchées ; elles reviennent vers du Cloud privé mutualisé. »
Identifier les risques géopolitiques
L’enjeu crucial pour les années à venir passe par un outillage technique facilitant la migration des charges applicatives ainsi que par une proximité avec les organismes de normalisation pour suivre leurs préconisations et progresser avec eux.
Jules-Henri Gavetti, fondateur et PDG d’Ikoula voit un danger proche menacer la protection des données d’entreprises européennes : « Le Royaume-Uni est une île face à l’Europe bénéficiant d’une puissance électrique, d’un vaste réseau et de lois spécifiques. La circulation de flux financiers y est fréquente au travers de très grands datacenters. L’épisode de Facebook et de son prestataire Cambridge Analytics ne représente sans doute rien face à ce qui se prépare autour des bases de données personnelles, des casinos en ligne et de l’analyse comportementale des campagnes de marketing direct. »
Les startups insatisfaites des hyperscalers
Les décideurs français seraient toutefois conscients des risques de non conformité et en veille économique dorénavant : « Nos clients historiques évoluent. Hier, ils se tournaient vers une infrastructure IaaS d’un GAFAM, car c’était la tendance en vogue. A présent, ils n’en voient plus l’intérêt et préfèrent notre Cloud de confiance. Louer à un prix incertain plutôt qu’acheter, ce n’est pas vraiment faire des économies. Ce qu’ils veulent, c’est un service infogéré qui fonctionne avec un interlocuteur de proximité ».
Jadis tentées par les offres d’appel des GAFAM, les jeunes pousses seraient insatisfaites des hyperscalers. Une fois leur crédit gratuit épuisé, ces startups découvrent le véritable modèle économique du Cloud public, avec une facturation difficile à estimer par avance et une forte adhérence aux outils et aux plateformes du prestataire. « Du coup, lors de leur seconde aventure entrepreneuriale, elles recherchent un Cloud plus simple, bien packagé, où elles peuvent déployer leurs propres outils et bénéficier d’une réversibilité plus importante soutenue par des formats standards. Sachant combien elles paieront, elles resteront dans cet univers plus ouvert. »
Dernier point de déception du Cloud public selon Jules-Henri Gavetti, les grands groupes font revenir leurs données vers le sol français, ce qui peut s’avérer complexe lorsque la bascule a été quasi-complète. « Leur crainte principale ? C’est le risque légal : ils redoutent le Cloud act, le Chinese act ou l’Indian act et font très attention désormais à la gouvernance de leurs données ».
Avec la tendance edge computing, l’importance des standards de sécurité et de disponibilité du réseau va augmenter : « Le sérieux vient avec la disponibilité ».
Le dirigeant d’Ikoula prévoit qu’on assistera au retour des mandataires Cloud, ces brokers capables de réserver des machines virtuelles via une API unique, partout dans le monde. Le métier d’intégrateur devrait aussi revenir rapidement pour accompagner les clients avec des ressources locales, des réseaux conformes et performants.
« L’écosystème logiciel est très mondialisé à présent. Un développement Canadien peut être packagé par un Indien et exploité en France, ce qui implique une gestion de dépendances. Autrefois, le logiciel était monosociété, réalisé par l’éditeur et installé sur un serveur dédié. Avec les machines virtuelles, les applications sont devenues multilocataire et la containérisation a segmenté les usages avec un client par conteneur. Les ressources de base, partagées, sont plus économiques ».
Plus de transparence des prestataires
« Un client qui veut commercer partout dans le monde, voudra avoir des datacenters aux USA il et ne pourra pas s’abstraire du Cloud Act, même en étant chez un fournisseur autre qu’Américain, car c’est le droit américain qui s’applique là-bas, explique Alban Schmutz, vice-président senior du développement et des affaires publiques pour OVH. Il n’y a pas de lien hiérarchique ni d’ailleurs de lien technique entre notre société aux USA de droit américain et OVH en France, société de droit français, justement pour assurer cette étanchéité là. Il se trouve que l’on a beaucoup de clients qui vont au Canada pour adresser le marché nord-américain, afin d’avoir les performances techniques de latence qui vont bien, sans être soumis à la juridiction en interne ».
En résumé, les critères de sélection des clients internationaux demeurent surtout techniques, financiers et juridiques. « La réversibilité est un sujet important pour pouvoir changer de prestataire Cloud en conservant une liberté de choix. Les API de votre CSP sont-elles ouvertes ? Comment allez-vous récupérer l’ensemble de vos données et à quel prix ? »
Il reconnaît la difficulté actuelle à comparer précisément les coûts complets des machines virtuelles et des services externalisés faute d’éléments techniques toujours parfaitement comparables. Le coût du réseau entre deux datacenters est facturé par certains prestataires, mais pas pour tous. « OVH a fait le choix de ne pas facturer le coût du réseau, ce qui pour de nombreux retours clients apporte une notion du coût complet significativement moins cher. »
De même, les législations applicables et extra-territoriales appliquées mériteraient une plus grande transparence de la part des prestataires.
Fédérer les industriels
« Les géants du Cloud mondial avancent très vite. Amazon Web Services et Microsoft disposent d’une puissance de Recherche & Développement annuelle nettement supérieure au Chiffre d’Affaires total d’EBRC. En comparaison, les Clouds régionaux de France et du Luxembourg ressemblent à des villages gaulois. L’alternative Européenne est fortement liée à une conformité réglementaire et reste encore très théorique », observe Michel Ackerman, Business Consultant d’EBRC.
Le prestataire Luxembourgeois a entamé des discussions outre-Rhin dans le contexte du projet Gaia-X, où de grands acteurs industriels dont Siemens et Bosch sont fédérés pour former une alternative aux hyperscalers.
« A l’échelle d’EBRC, nous pouvons nous développer dans quelques secteurs de niches et nous différencier, par exemple avec les membres d’Hexatrust en France, sur la gouvernance des données et des traitements dans le Cloud », ajoute Jean-François Hugon, responsable de l’innovation et du marketing d’EBRC.
Trois cercles de confiance distincts
Dès l’été 2018, Mounir Mahjoubi résumait la stratégie Cloud de l’Etat en trois cercles, aux niveaux de sécurité et de confiance requis distincts. Le premier est un Cloud interne où coopèrent le Ministère de l’Intérieur et le Ministère des Finances ; le second décrit un Cloud externalisé piloté par le Ministère des Armées et le troisième un Cloud public piloté par l’UGAP et la Dinum (l’ex-Dinsic). Cette stratégie est en cours de mise en œuvre. Pour autant, l’Etat n’investit plus directement, comme cela a été le cas en 2011 à la création d’entreprises comme Cloudwatt et Numergy. L’idée consiste plutôt à s’appuyer sur les prestataires qui existent déjà, car l’état n’a pas les moyens de suivre l’évolution technologique requise.
Le cadre évolue aussi avec de nouvelles contraintes comme le référentiel SecNumCloud qui invite les administrations et certaines entreprises privées à s’appuyer sur des niveaux de sécurité et de confiance supérieurs. Ce référentiel est un label d’infrastructure de l’Anssi – déjà délivré à 3DS Outscale et qui devrait être attribué à quelques autres CSPs cette année et dont le texte est accessible en ligne https://www.ssi.gouv.fr/uploads/2014/12/secnumcloud_referentiel_v3.1_anssi.pdf
« Le Cloud Act a contribué à une prise de conscience de l’importance de la confiance et de la souveraineté. Il y a plus d’échos et de compréhension sur ce sujet depuis un an ; il existe une feuille de route conjointe sur le sujet Cloud de confiance entre les fournisseurs et les utilisateurs. Elle est discutée et sera intégrée dans une perspective plus large du comité stratégique de filière de la sécurité, avec des engagements de l’industrie et de l’Etat qui seront signés dans les semaines à venir », prévoit Alban Schmutz.
A l’échelle Européenne, l’agence Enisa est mandatée pour la mise en œuvre d’une politique de sécurité unifiée avec également trois niveaux de sécurité au niveau du Cloud de confiance.
A partir du moment où une entreprise adopte le Cloud computing, la direction informatique se pose des questions légitimes de sécurité et de disponibilité. « Les données externalisées pourront-elles être compromises ? Que se passera-t-il si le prestataire devient faillible ? Quel est le risque de voir les données inaccessibles en cas d’attaque en déni de service ? De même, lorsque l’on met en place un datacenter sur un site de l’entreprise, faut-il le doubler, prévoir un plan de reprise d’activités à chaud ou à froid ? » explique Christophe Auberger, Directeur technique de Fortinet France
Les stratégies de réduction des risques
Il existe plusieurs stratégies pour réduire de tels risques, selon lui. « On peut chiffrer les données dans le Cloud afin de les rendre inexploitables si elles sont volées. On assiste même à un tronçonnage des données : une partie seulement des data est confiée au Cloud public, de sorte qu’en cas de brèche, aucune reconstruction ne soit possible. Dès que le risque de perte de données sensibles intervient, l’entreprise conserve une partie de ses données en interne. Les DSI perçoivent comme un plus d’avoir une offre managée de sécurité provenant d’un éditeur tiers. Lorsqu’ils souscrivent une offre IaaS, seule la partie infrastructure est sécurisée, mais pas l’application, ni le middleware, ni la base de données. C’est au client d’assurer la sécurité de ces points là et cela n’était pas forcément bien perçu au départ. »
L’innovation durable passe par de nouveaux modèles distribuant l’intelligence des données, via l’edge computing et de nouveaux indicateurs éco-responsables qui viennent compléter les niveaux de sécurité et de confiance actuels.
