Un nouveau départ pour le Cloud de confiance ?

L’initiative « Cloud de confiance » va-t-elle rencontrer son public dans les prochains mois ?
Selon Gartner, les investissements dans le Cloud computing augmenteront de 50% en 2022. Si cette technologie suscite autant l’engouement, c’est parce qu’elle favorise un gain de temps et d’argent, un accès facile et rapide au marché et une scalabilité importante.

Christophe Duportet, de Magellan Consulting, voit dans cette tendance un nouveau départ pour le cloud de confiance européen.
Il apparaît néanmoins que beaucoup d’entreprises ne veulent pas s’inscrire dans une stratégie 100% cloud public en raison de contraintes réglementaires ou d’un manque de confiance sur la localisation et la confidentialité des données. Au-delà des problématiques d’enfermement propriétaire, de manque d’interopérabilité et de « shadowing » que l’on reproche habituellement aux fournisseurs, ce qui est en cause est le manque de réelles garanties sur la confidentialité/souveraineté des données.

Ce constat a été renforcé avec le Cloud Act qui met en lumière le danger de passer par des fournisseurs Cloud Américain, ou tout autre fournisseur qui n’aurait pas de séparation juridique stricte avec sa filiale aux Etats-Unis. L’arrivée sur le marché Européen de fournisseurs Cloud Chinois tels qu’Alibaba accentue cette problématique. En effet, le gouvernement Chinois met sous tutelle ses fleurons technologiques, les données des clients se retrouvant à portée de décisions politiques.

Pour survivre et rester compétitives, les entreprises françaises doivent à tout prix se démarquer sur le terrain de la créativité et de l’innovation. Elles doivent pour ces cas d’usages protéger : Savoir-faire (ex : Airbus pour l’aviation, Total pour la prospection) et propriété intellectuelle ; Recherche et développement (Renault pour les voitures électriques, Arkema pour ses polymères) ; Participation aux réponses d’appels d’offres (confidentialité de l’offre, ex : Airbus face à Boeing). Il est donc compréhensible qu’il ne soit pas envisageable d’héberger ces données si la confidentialité et l’intégrité n’étaient pas garanties.

Face au Cloud Act Américain et à l’interventionnisme Chinois, pour répondre aux problématiques d‘extraterritorialité des lois, de conformité RGPD et de protection des données stratégiques, le cloud provider, doit avoir ses infrastructures en Europe, détenus par une entité de droit européen, avec des équipes en charge de l’exploitation situées en Europe. Il faut également s’assurer du respect de hauts critères de sécurité (physique et environnementale, gestion des identités, des contrôles d’accès…). Critères qu’on retrouvent dans la certification ISO 27001 et SecNumCloud.

Les entreprises qui prennent le parti du 100% Cloud pourront héberger leurs données sensibles dans ces cloud de confiances en supplément de leurs souscriptions auprès des Hyperscaler pour les autres usages. Pour renforcer le caractère de confiance, il faut apporter une sécurité juridique et verrouiller tout changement de contrat de façon unilatérale. Par ailleurs, une protection des fournisseurs labélisés contre les rachats par d’hyperscalers hors EU devra être mise en place.

Face aux hyperscalers mondiaux

La question se pose sur la capacité à développer de nouvelles offres et services au même rythme que les géants mondiaux ? Il faut partir du principe qu’une offre européenne n’a pas vocation à remplacer mais plutôt à compléter les services offerts par les Hyperscalers.
Un fournisseur cloud tel que OVH a fait le pari, non pas de développer tous les services Cloud lui-même, mais de fournir son socle technologique et ses infrastructures sur lesquels viennent s’appuyer un ensemble de partenaires. Tout un écosystème d’entreprises est donc amené à l’appuyer dans la construction de son offre de services.
D’autre part, l’initiative Gaia-X, au travers d’enjeux de réversibilité, de portabilité, d’interopérabilité et de transparence amène les fournisseurs à travailler ensemble, à développer des solutions communes, et à favoriser et simplifier le recours au multi-Cloud.

Cette initiative purement Européenne au départ, s’est vue rejoindre par les Hyperscalers américains et chinois, laissant planer le doute sur la protection aux lois extraterritoriales.
Le Cigref, pleinement conscient des enjeux à disposer d’un Cloud européen, apporte son soutien par la voix de son Président Bernard Duverneuil : « Les règles du portail Gaia-X doivent être des règles définies pour l’Europe et par l’Europe ».
Un des soutiens de poids à l’initiative Gaia-X pourrait venir des usages IT qu’en font les collectivités locales, les régions… notamment au travers des Smarts cities. Les élus sont beaucoup plus sensibles que les entreprises privées aux opinions publiques et notamment la méfiance vis-à-vis des GAFAM, la protection des données, et leur localisation… Cela se traduit par des exemples concrets comme le recours à Docaposte pour la solution en smart city de la ville d’Angers. Ce cas d’usage, parmi d’autres, permettra de donner une impulsion supplémentaire au Cloud européen.

Tous les éléments semblent donc réunis pour que le Cloud de confiance se développe : une initiative, GAIA X, qui lui donne une légitimité en développant des labels confiance, des Cloud Providers européens fournissant des services en direct ou en s’appuyant sur des partenariats, et des entreprises prêtes à souscrire à des offres garantissant l’interopérabilité et la réversibilité des solutions.

Cet article est proposé en collaboration avec Ipresse (Ipresse.net)
Pour recevoir régulièrement les informations de Ipresse, abonnez-vous à sa Newsletter