Cloud souverain : pourquoi et comment y aller ?

Début juillet 2024, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) publiait ses recommandations concernant l’hébergement des SI sensibles dans le cloud.

En effet, alors que le marché du cloud souverain est en pleine expansion et accueille de nouveaux entrants (Bleu, S3NS, AWS Sovereign Cloud, Outscale, etc), on constate également que les entreprises peinent à comprendre la notion exacte de « souveraineté ». On vous en dit plus.

Comprendre les différents niveaux de souveraineté dans le cloud

Le cloud souverain désigne une approche du cloud qui garantit que les données sont hébergées, contrôlées et gérées conformément aux lois et régulations d’un pays ou d’une région spécifique. Il repose sur l’idée de protéger les données sensibles en évitant que celles-ci ne soient soumises à des législations étrangères. 

Le cloud souverain peut se décliner en plusieurs niveaux, chacun répondant à des besoins spécifiques : 

• Notion d’hébergement : Les données et les applications sont-elles hébergées dans un pays unique (France, États-Unis) ou une zone géographique unique (Europe, Asie) ?
• Gestion des opérations : Le cloud est non seulement hébergé, mais aussi entièrement opéré dans le pays concerné. C’est-à-dire que toutes les activités de maintenance et de gestion sont effectuées dans un unique pays.
• Contrôle du cloud souverain : La mise à jour et la gestion des infrastructures est un enjeu crucial. Ces contrôleurs permettent de poser des contraintes de sécurité ou de déployer de nouvelles versions. Certaines plateformes hébergent leurs données localement, mais les contrôleurs, eux, sont basés à l’étranger. C’est le cas de Microsoft qui possède des hébergements en France et en Europe, mais leurs contrôleurs sont hébergés aux États-Unis. 
• Infrastructure logicielle : Le développement des infrastructures de cloud repose souvent sur des outils open source avec un développement international, ce qui rend très difficile la création de logiciels entièrement locaux. 
• La complexité du matériel : Le niveau le plus complexe à atteindre en matière de souveraineté est la fabrication du matériel dans un pays unique. Cette contrainte réside dans le fait que le matériel soit développé dans un seul pays, ce qui rend ce niveau de souveraineté extrêmement complexe à atteindre.

Panorama des hébergeurs de cloud souverain

Le marché du cloud souverain compte plusieurs acteurs, locaux et internationaux, qui se positionnent comme des alternatives aux grands fournisseurs de cloud mondiaux (Microsoft, Amazon ou Google).

Voici un panorama de ces hébergeurs : 

Les enjeux du cloud souveraineté

La sécurité des données

La multiplication des cyberattaques et des incidents de sécurité dans le cloud ont révélé la vulnérabilité des infrastructures cloud, surtout lorsqu’elles sont opérées depuis l’étranger.

Les entreprises et les gouvernements craignent de plus en plus que leurs données sensibles puissent être exploitées à des fins d’espionnage industriel ou de sabotage. Les récentes affaires de vol de données, notamment dans le secteur industriel, ont mis en lumière l’importance de protéger ces informations stratégiques et de mettre un point d’honneur sur la sécurité dans le cloud en général. 

La souveraineté numérique 

La dépendance excessive envers les grandes entreprises du numérique est une autre raison majeure de l’émergence du cloud souverain. En France et en Europe, il existe une réelle volonté de réduire cette dépendance pour renforcer l’autonomie technologique et garantir un meilleur contrôle sur les infrastructures.

Ce besoin de contrôle et de maîtrise sur les infrastructures et l’hébergement est notamment soutenu par la prise de conscience des citoyens de protéger leurs données personnelles et éviter qu’elles soient revendues, exploitées à l’étranger ou sur le dark web.  

Réglementations nationales et internationales 

La réglementation, à la fois nationale et internationale, joue un rôle déterminant dans le développement du cloud souverain.

Le Règlement Général sur la Protection des Données (RGPD) impose des règles strictes en matière de protection des données personnelles, obligeant les entreprises à stocker et traiter ces données dans des conditions de sécurité optimales. À cela s’ajoutent des législations spécifiques de certains pays ou de certains secteurs qui imposent des contraintes supplémentaires en matière de sécurité. 

Cloud souverain : quelles questions se poser ?

Le cloud souverain est-il obligatoire ? 

Le recours à un cloud souverain dépend de la nature de l’activité et du type de données manipulé. Par exemple, une entreprise dans le secteur de la défense, de l’armement ou de la santé devra probablement opter pour une infrastructure souveraine afin de garantir un haut niveau de sécurité. En revanche, une plateforme de streaming comme Netflix n’a pas d’intérêt à opter pour un cloud souverain. Il est donc crucial d’identifier les applications et les données critiques pour déterminer si une migration partielle ou totale vers un cloud souverain est nécessaire. 

Quelles typologies de données sont concernées par la souveraineté ? 

Le respect de la souveraineté des données concerne principalement les données personnelles et celles à caractère sensible (par exemple les données de santé). En application du RGPD et d’autres réglementations locales, de nombreuses entreprises doivent protéger certaines de leurs données. Cela inclut non seulement des secteurs comme la santé ou la défense, mais aussi toutes les entreprises manipulant des informations confidentielles concernant leurs employés ou leurs clients.

Une autre complexité réside dans l’imbrication de données souveraines et non souveraines, qui peut entraîner la « contamination » des données non souveraines par les données protégées. De ce fait, une donnée non souveraine qui ne peut pas être découplée d’une donnée souveraine sera également considérée comme sensible.

Quelles sont les différences entre un projet cloud classique et un projet cloud souverain ?

Bien que les projets de migration vers le cloud classique et vers le cloud souverain se ressemblent en apparence, ils diffèrent par les contraintes technologiques et les options disponibles.

Les solutions cloud souverain proposent généralement moins de services prêts à l’emploi, exigeant ainsi plus d’efforts de personnalisation et de développement de la part du client. De plus, les contraintes réglementaires sont plus strictes, ce qui impose un suivi et une gestion plus rigoureuse de la conformité.

Combien de temps faut-il compter pour une migration vers le cloud souverain ?

La durée totale du projet dépendra de la taille de l’entreprise. Pour une petite entreprise, les premières étapes pourraient être réalisées en quelques mois, tandis qu’un grand groupe comportant de nombreuses données sensibles (par exemple un groupe bancaire) pourrait nécessiter plusieurs années pour accomplir une migration complète. 

Conclusion sur le cloud souverain 

Le cloud souverain offre plusieurs avantages : 

• Sécurité renforcée : En répondant aux exigences locales en matière de sécurité et de protection des données, le cloud souverain garantit une meilleure protection contre les cyberattaques et l’espionnage industriel. 
• Souveraineté numérique : Il permet aux pays de conserver le contrôle sur leurs infrastructures et de réduire leur dépendance vis-à-vis des grandes puissances technologiques. 
• Conformité réglementaire : Il assure une protection accrue des données personnelles et sensibles en adéquation avec les législations locales (par exemple le RGPD)
• Confiance des utilisateurs : Le cloud souverain renforce la confiance des entreprises et des citoyens envers les solutions cloud, en particulier pour les données critiques, car il se positionne comme une alternative plus sécurisée et locale

Cependant, les avantages apportent leur lot d’inconvénients. Renforcer la sécurité entraîne inévitablement des coûts plus élevés, une complexité technique non négligeable, ainsi qu’une vigilance accrue de la part des utilisateurs et des clients quant à l’utilisation des services fournis par leur prestataire de cloud. 

Le cloud souverain est une solution qui répond à des besoins de sécurité et de conformité. Son adoption est particulièrement adaptée pour les entreprises manipulant des données sensibles (telles que des données personnelles ou de santé) ou soumises à des régulations strictes. Mais cela n’empêche pas de posséder un hébergement cloud public ou privé à côté pour héberger des données et des applications non soumises à la contrainte de souveraineté.