Acteurs it

Cloud : souveraineté et confiance ne sont pas des buzzwords

Par Bertrand Lemaire | Le | Cloud

L’hébergeur français OVHcloud et l’éditeur VMware ont pris ensemble la parole pour défendre le cloud souverain en expliquant comment garantir la confiance.

Marc Dollois, DG de VMware France, et Caroline Comet-Fraigneau, VP OVHcloud. - © Républik IT / B.L.
Marc Dollois, DG de VMware France, et Caroline Comet-Fraigneau, VP OVHcloud. - © Républik IT / B.L.

Le terme de « cloud souverain » est souvent critiqué car la « souveraineté » est un attribut des Etats. On peut donc lui préférer le terme de « cloud de confiance ». Mais, dans les deux cas, il s’agit de s’assurer d’une chose : que les données des entreprises sont bien stockées dans un endroit qui garantisse non seulement leur sécurité mais aussi leur confidentialité vis-à-vis d’états étrangers trop curieux. Cette curiosité n’est réellement dramatique, en théorie, que sur certaines données sensibles (personnelles ou relevant de la propriété intellectuelle par exemples). « Mais une bonne partie des entreprises ignore si leurs données sont ou non sensibles » a souligné Marc Dollois, directeur général de VMware France, lors d’une prise de parole commune avec l’hébergeur français OVHcloud en avril 2023. Pour lui, « le sujet n’est pas le cloud souverain mais la data souveraine ». La seule bonne question à se poser est donc : « où est la data et quelle est la sûreté garantie face aux accès non-désirés ? »

Ce sujet est évidemment hautement politique, traité au niveau gouvernemental français comme européen, y compris au travers du RGPD qui s’applique à toutes les données concernant les citoyens européens. Pour garantir la confiance dans un hébergement cloud, il faut bien sûr s’intéresser aux infrastructures elles-mêmes. Il est notamment indispensable de prouver le respect des normes déclarées. Enfin, il faut aussi être transparent sur ce qui est ou non en garantie de souveraineté. C’est bien cette transparence qui va être la base de la confiance. Le gouvernement travaille avec les acteurs du cloud sur un « contrat de filière » dont les grands principes peuvent et doivent être anticipés par les hébergeurs.

Garantir la confiance par la souveraineté

Au niveau européen, quand on parle de « cloud de confiance », on ne peut que penser à GaïaX, un consortium qui devrait accoucher de normes et de bonnes pratiques en la matière. Mais force est de constater que chaque participant a sa propre feuille de route et qu’une action commune efficace reste à ce jour illusoire. La direction de GaïaX a beau être strictement européennes, l’ouverture des travaux à des acteurs extra-européens ayant leurs propres intérêts, même si elle part d’une bonne intention (garantir que chaque acteur appliquera les bonnes pratiques), n’a pu que semer le trouble.

Pour Caroline Comet-Fraigneau, vice-présidente France, Benelux, Africa & Middle-East chez OVHcloud, « la confiance repose bien sûr sur la souveraineté des données des clients finaux, via la maîtrise réelle des accès donc du stockage, mais aussi par la souveraineté technologique. » OVHcloud commercialise ainsi une offre baptisée Hosted Privated Cloud, basée sur les technologies VMware, et certifiée SecNumCloud. Côté souveraineté technologique, OVHcloud a non seulement des initiatives sur les outils open-source de gestion du cloud (en particulier Open-Stack) mais aussi sur le matériel équipant les datacenters (notamment sur le cooling). L’offre Open-Stack d’OVHcloud n’est pas, à ce jour, certifiée.

Souveraineté strictement nationale : juste une illusion

Or la norme SecNumCloud, définie par l’ANSSI, est franco-française. « Le marché strictement français est beaucoup trop petit pour développer un acteur d’une taille suffisante » a estimé Caroline Comet-Fraigneau. Il faudrait donc pouvoir développer des offres à l’échelle européenne… mais la norme commune au niveau de l’Union Européenne se fait attendre. La conformité avec les différentes législations nationales, le minimum minimorum, est déjà, pour l’heure, assez complexe pour un acteur mondial tel que OVHcloud. Cet acteur d’origine française est en effet déjà présent en Australie, à Singapour, en Allemagne, au Royaume-Uni, en Pologne, au Canada, aux Etats-Unis (avec une filiale séparée pour éviter la contamination du Cloud Act)… « La présence mondiale d’acteurs américains comme AWS, Azure ou GCP n’est de fait pas un argument pour les préférer à des acteurs européens comme OVHcloud » a souligné Caroline Comet-Fraigneau.

A côté des offres IaaS, OVHcloud multiplie les offres PaaS (MongoDB, stockage S3, cold archive, ForePaaS…) avec une feuille de route très riche. OVHcloud est le premier client de VMware en Europe parmi les hébergeurs, facilitant ainsi la création de clouds hybrides par les entreprises du continent. Là encore, la préférence accordée à des acteurs extra-européens ne se justifie pas selon OVHcloud. Mais garantir la souveraineté de ses données n’est pas une contrainte pour les entreprises. C’est, au contraire, un vrai catalyseur des échanges de données grâce à la confiance retrouvée.

Sur le même sujet

Club Hacktiv’Talk #3 - Géopolitique & Cyber-guerre : et si nous n'étions qu’au début des ennuis ?

- Club Disruptor #4 - Souveraineté : héberger chez soi les technologies Cloud des hyperscalers.

Club Data Onboard #6 - Maintenir la conformité RGPD : comment faire ?