De l’industrie au cloud : la souveraineté au cœur des enjeux

Fiabilité, Sécurité, Confidentialité. Trois mots-clés qui définissent assez bien la notion de cloud souverain. Dans une société massivement digitalisée, la souveraineté du cloud devient un outil d’intelligence économique. Tour d’horizon et décryptage avec David Chassan, Directeur de la Stratégie pour 3DS OUTSCALE.

David Chassan 3DS OUTSCALE
David Chassan, Directeur de la Stratégie pour 3DS OUTSCALE.

Chacun mesure désormais que le numérique est un socle indispensable pour les acteurs économiques comme pour les collectivités — David Chassan

Difficultés d’approvisionnement, pénuries de masques, tissu industriel en souffrance, la crise sanitaire a remis l’enjeu de la souveraineté au sens large du terme, au premier plan. Au-delà des contingences logistiques, le numérique et les données n’échappent pas aux questionnements associés à la souveraineté. « 3DS OUTSCALE a vu le jour en 2010 et l’enjeu de la souveraineté était déjà clairement identifié, observe David Chassan. Déjà à l’époque, des projets de clouds souverains étaient amorcés, mais il est indéniable que la COVID a agi à la fois comme un révélateur et un accélérateur ». Une réalité qui dépasse le cadre du cloud et s’entend dans une acception plus large : celle d’une place centrale du numérique comme un vecteur de continuité de l’activité des entreprises. « Chacun mesure désormais que le numérique est un socle indispensable pour les acteurs économiques comme pour les collectivités », continue David Chassan.

Dès les premières semaines de confinement des tensions sont apparues sur les infrastructures de connectivité. Face à la criticité de la situation, « des acteurs comme Microsoft ont revu la priorisation des flux de données en faveur du système de santé américain, commente David Chassan. Ce choix bien compréhensible a mis cependant en exergue que le numérique devait être pensé comme un levier d’intelligence stratégique et économique ». Une première alarme était déjà apparue lorsque le Président Donald Trump avait émis l’injonction de fournir Android au fabricant chinois de smartphones Huaweï. En se développant dans tous les pans des sociétés humaines, le numérique est devenu sinon une arme, du moins un levier géopolitique incontournable.

Quand souveraineté rime avec confiance

Dans ce contexte, l’enjeu de souveraineté devient crucial, notamment avec le développement des lois extraterritoriales comme le Cloud Act. « Ce dernier permet aux institutions juridiques américaines d’accéder à toutes les données d’entreprises stockées sur des clouds américains, même si elles sont stockées en dehors du territoire US… y compris en France ! », précise David Chassan. Dans le monde de l’industrie, où la préservation de secrets de conception et de fabrication, cela représente forcément un risque. « Aucun secteur d’activité n’échappe à ce risque, précise David Chassan. Mais il est possible pour les entreprises d’évaluer ce risque et, en fonction, de ventiler les données pour limiter leur exposition ». Intelligence économique, données personnelles des clients, des citoyens, des salariés, « il faut avoir conscience de ce risque et prendre ses responsabilités en prenant les bons arbitrages. C’est aussi un enjeu de confiance ».

Une confiance qui passe notamment par une démarche de certifications. « Au-delà du RGPD qui pose des principes clairs, la France, l’Europe peuvent intervenir pour orienter vers des acteurs de confiance ». Il existe déjà des normes et certifications à l’instar d’ISO 27001 qui garantit une gestion et un traitement sécurisé des données. « ISO 27001 ne se limite pas aux données personnelles comme le RGPD, précise David Chassan. Il peut s’agir également de données émanant de machines comme les données de vol d’un avion par exemple. Choisir un cloud certifié ISO 27001 offre donc un certain confort par rapport à la protection des données ». La France s’est dotée du label SecNumCloud dont le référentiel a été actualisé au début du mois de mars. Portée par l’ANSSI, la version 3.2 de SecNumCloud explicite des critères de protection vis-à-vis des lois extra-européennes et définit des exigences garantissent ainsi que le fournisseur de services cloud et les données qu’il traite ne peuvent être soumis à des lois non européennes.

« SecNumCloud a vu le jour en 2019, c’est un référentiel très exigeant et seuls 4 opérateurs cloud en France ont obtenu ce label. Le processus est complexe, exigeant, contraignant, explique David Chassan, C’est le prix de la confiance ». En Allemagne, c’est le label C5 qui se veut le pendant de SecNumCloud mais avec un niveau d’exigence inférieur. « L’Europe travaille aujourd’hui a créer cette dynamique autour de la souveraineté avec l’ENISA et le projet de certification européenne appelée EUCS ». Dans son cahier des charges, l’EUCS reprend à son compte les spécifications de SecNumCloud pour son niveau d’exigences le plus élevé. « C’est la première fois en Europe, qu’une autorité de sécurité s’empare d’une problématique réglementaire dans ses éléments techniques », observe David Chassan.

3DS OUTSCALE

Souveraineté : entre éducation et responsabilisation

Protéger la souveraineté des données en misant de préférence sur un cloud français ou européen. Une question de bon sens qui ne va pas nécessairement de soi. Ainsi, très souvent les start-ups s’orientent-elles vers des opérateurs de cloud américain soit par méconnaissance de l’enjeu soit par facilité, soit encore par opportunisme économique. « C’est un important travail d’éducation et d’évangélisation que nous avons à accomplir auprès des entreprises et des décideurs informatiques », affirme David Chassan qui fait le parallèle avec les stratégies RSE des entreprises. « Cela ne peut pas passer par une obligation, mais bien par une prise de conscience et une volonté de transformation que nous devons, en tant qu’acteur du cloud, accompagner du mieux que nous le pouvons. Chacun est responsable de ses actes et peut définir sa stratégie en fonction de la criticité de ses données ».

En France, comme dans différents pays, on retrouve la notion d’opérateur d’importance vitale (ou OIV). L’ANSSI a ainsi défini différents secteurs d’activité et entreprises très sensibles pour le pays. Pour ces OIV, l’ANSSI recommande très clairement de s’orienter vers des clouds SecNumCloud. Une fois encore la réalité fait souvent bouger les lignes de front. Ainsi, avant la crise sanitaire Doctolib était perçue comme une plateforme bien utile pour organiser les rendez-vous médicaux des patients. À la faveur de la pandémie, la startup s’est progressivement muée en outil incontournable à la bonne marche de la vaccination des français et s’apparente à un OIV. Or, Doctolib exploite le Cloud d’Amazon Web Services. « Cette évolution ne pouvait pas être soupçonnée auparavant, analyse David Chassan. Chacun a dû, face à l’urgence, œuvrer pour le bien commun. C’est ainsi que l’appli TousAntiCovid a été hébergée sur le cloud de 3DS OUTSCALE sur les recommandations de l’ANSSI ».

Pour les start-ups, le recours au cloud est souvent un réflexe de praticité pour se lancer et les questions liées à la souveraineté passent souvent au second plan des priorités. À mesure qu’elles se développent, de nouveaux besoins peuvent émerger. L’enjeu : créer alors des passerelles entre les clouds. 3DS OUTSCALE offre ainsi une compatibilité avec AWS pour faciliter le passage au cloud OUTSCALE lorsque le besoin s’en fait sentir. « Ce qu’il faut faire comprendre aux entreprises, conclut David Chassan, c’est que les choix opérés au début d’une aventure ne sont pas gravés dans le marbre et que la montée en maturité d’une entreprise amène parfois à repenser la stratégie cloud ».

Pour en savoir plus sur les enjeux de souveraineté dans l’industrie, réservez votre place pour l’événement CLOUD DAYS organisé par 3DS OUTSCALE, le 21 juin prochain. 

José Roda

Observateur de tendances, spécialiste des nouvelles technologies et de la transformation digitale, José RODA met sa plume au service du décryptage de l'information auprès de différents médias B2B, depuis 1998.