Le Cloud de confiance, un nouveau label pour sécuriser les opérations en ligne
Le 17 mai dernier, le gouvernement a présenté sa stratégie nationale en matière de Cloud. Son objectif ? Renforcer la sécurité des données des entreprises, tout en contrant l’hégémonie des géants américains. Pour cela, l’État lance un label, le « Cloud de confiance », qui vise à sécuriser les services de cloud computing au sein des frontières européennes.
Un Cloud de confiance au service des entreprises françaises et européennes
Si le gouvernement a abandonné son idée d’un « Cloud souverain », il n’en abandonne pas pour autant sa volonté de mieux protéger les données cloud des entreprises, jusqu’ici largement dépendantes du bon vouloir d’entreprises américaines. Le problème identifié est simple : les principaux acteurs mondiaux du Cloud sont susceptibles de se voir appliquer des lois extraterritoriales, non conformes aux valeurs européennes. Dans le cadre du Cloud Act par exemple, le gouvernement américain est en mesure de demander l’accès aux informations stockées sur le Cloud par Google, Amazon et Microsoft -qui détiennent 70 % du Cloud mondial¹- y compris en dehors des États-Unis.
À défaut d’une souveraineté totale, impossible en raison de l’avance technologique des GAFAM, le gouvernement mise donc sur une autre stratégie : un Cloud encadré. Une stratégie permise par la création d’un label, baptisé « Cloud de confiance », délivré aux prestataires remplissant un cahier des charges strict :
- d’un point de vue technique, les fournisseurs doivent développer des solutions mieux à même de lutter contre le risque de cybermalveillance ;
- d’un point de vue juridique, les solutions de Cloud labellisées sont soumises aux normes françaises et européennes.
Ainsi, l’idée est de permettre aux entreprises dont les services ou les solutions évoluent dans le cloud de s’assurer de bénéficier de prestataires fiables en toute circonstance.
Un SecNumCloud européen, fondation du Cloud de confiance
C’est l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information, qui sera en charge de la rédaction du cahier des charges, de l’examen des candidatures et de l’attribution du label « Cloud de confiance » aux prestataires retenus. Pour ce faire, l’ANSSI va essentiellement s’appuyer sur SecNumCloud. Ce visa créé en 2016 définit les normes techniques et juridiques à respecter par les fournisseurs d’infrastructures Cloud. Un référentiel portant à la fois sur le niveau de sécurité des installations, le contrôle des accès, le chiffrement des données ou encore la gestion des incidents.
Le référentiel est enrichi de plusieurs contraintes géographiques, visant à limiter la dépendance aux entreprises étrangères et notamment américaines. En plus de se conformer aux exigences du SecNumCloud, les prestataires labellisés « Cloud de confiance » devront :
- garantir un hébergement en France ;
- gérer leurs services de Cloud depuis un pays européen ;
- être une entreprise européenne, détenue par des acteurs européens.
Un compromis entre qualité de services et protection des données
Si le « Cloud souverain » a échoué par le passé, c’est pour une raison évidente : les entreprises françaises – et même européennes – accusent un retard technologique conséquent sur les géants américains. Le gouvernement ne souhaitant pas faire de compromis entre qualité de services et protection des données, un choix fort a été fait : les solutions des GAFAM pourront être labellisées, à condition qu’elles soient exploitées sous licence par des acteurs du Vieux Continent. Des acteurs régis par la réglementation européenne, mais qui proposeront aux entreprises et internautes français le meilleur de la technologie Cloud.
Les acteurs du Cloud n’avaient d’ailleurs pas attendu l’annonce du gouvernement pour opérer des rapprochements. Le plus emblématique : le partenariat entre Google et le français OVHcloud, leader du cloud computing en Europe. Des partenariats qui, en raison du quasi monopole qu’ils pourraient engendrer, sont néanmoins susceptibles de porter préjudice au second grand objectif du gouvernement : soutenir la filière tricolore afin de faire émerger des champions nationaux du Cloud. Un enjeu stratégique, puisque le marché européen devrait connaître une croissance de 900 % à en croire KPMG².
Ces contenus pourraient également vous intéresser :
- Les données dans le Cloud : une sécurité renforcée pour les DAF
- Logiciels Cloud pour les PME : l’alliance durable !
¹Cloud : la France veut s’affranchir des Gafam – Le Monde – 2021
²Le Cloud européen – KPMG – 2021