Cloud de confiance et souveraineté numérique : quelle stratégie adopter ?

Alors que les offres de cloud souverain restent peu matures et sont amenées à fortement évoluer, quel choix stratégique les entreprises doivent-elles adopter ?

L’Etat français a défini plusieurs réglementations s’appliquant aux organismes publics, aux collectivités ainsi qu’aux opérateurs d’importance vital (OIV) imposant des contraintes fortes sur la question de la souveraineté. Dans ce cadre, ces entreprises ont l’obligation d’utiliser un « Cloud de confiance » tel que défini par la doctrine Cloud publié par l’état Français.

Pour ces entreprises, la question de la souveraineté, plus qu’un enjeu, est donc une obligation imposée par la règlementation.

Cependant, les principaux acteurs, et en premier lieu les 3 leaders du marché, AWS, Microsoft Azure et Google Cloud, sont des entreprises américaines soumises aux réglementations extra européennes notamment le Cloud Act. De fait, ces offres ne respectent pas les contraintes réglementaires définies pour un Cloud de confiance. Conséquence : ces solutions se révèlent incompatibles avec les besoins du secteur public et impropres à l’hébergement des systèmes d’importance vitale (SIV).

L’offre du marché répondant à ces contraintes de souveraineté manque actuellement de maturité. Cette offre devrait ainsi connaître une transformation notable au cours des années à venir. De ce fait, dans un paysage aussi mouvant, tant sur le plan réglementaire que sur celui des solutions proposées, le choix d’une stratégie peut s’avérer difficile.

Face à cette réalité, une analyse en trois temps apparaît nécessaire.

• En premier lieu, un éclairage sur les enjeux de souveraineté et les cadres réglementaires en vigueur, avec un focus particulier sur les obligations pesant sur les organismes de service public et les opérateurs d’importance vitale (OIV).
• Ensuite, un tour d’horizon des solutions disponibles sur le marché, décryptant leurs atouts et leurs limites.
• Enfin, une exploration des stratégies envisageables, adaptées aux principaux cas d’usage et aux profils variés des acteurs concernés.

 

 

Souveraineté numérique – Enjeux et règlementation

Qu’est-ce que la souveraineté numérique ?

La souveraineté numérique selon Bernard Benhamou, c’est la capacité à « maîtriser l’ensemble des technologies, tant d’un point de vue économique que social et politique », et de « se déterminer pour avoir sa propre trajectoire technologique¹. »

La souveraineté numérique s’exerce principalement sur trois axes :

• En premier lieu, la technologie et notamment la capacité à exercer une réversibilité
• Les données avec par exemple le choix de la localisation des données
• Et enfin les opérations, à savoir le choix des personnes opérant les systèmes, depuis quel pays et avec quel niveau de sécurité.

Dans un contexte où les tensions géopolitiques entre les grandes puissances économiques, Europe, Chine, États-Unis, Russie sont de plus en plus fortes, la souveraineté numérique devient un enjeu majeur.

Ainsi, le coup de force de l’administration Trump contre le « Privacy and Civil Liberties Oversight Board » (PCLOB) fragilise le « Transatlantic Data Privacy Framework », l’accord établi par la commission européenne permettant aux données personnelles européennes de circuler librement vers les États-Unis.

Si cet accord était dénoncé, l’utilisation des services des fournisseurs de cloud américains se trouverait en dehors de tout cadre juridique. Pour les PME et les grands groupes basés dans l’UE, la situation deviendrait rapidement intenable.

 

Le cloud souverain : un enjeu pour les états

Le cloud souverain est un modèle de services de cloud conçu pour respecter les spécificités juridiques et réglementaires d’un pays ou d’une zone en matière de traitement et de stockage des données.

En d’autres termes, il s’agit d’un ensemble de services en ligne fonctionnant exclusivement dans un état ou une région particulière. Ainsi, l’hébergement et l’ensemble des traitements effectués sur les données sont réalisés dans les limites du territoire national par une entité de droit local.

Ce modèle protège les données sensibles et sécurise l’accès aux informations. En outre, il soutient l’économie numérique de l’État. Il est particulièrement pertinent pour les entreprises et collectivités locales qui doivent se conformer aux lois et normes nationales en matière de sécurité et de confidentialité des données.

 

Le cloud souverain : un bouclier contre la mondialisation

Le cloud souverain constitue une réponse stratégique aux défis posés par la mondialisation des données et la dépendance aux fournisseurs de services étrangers. Il permet de garantir la confidentialité, la sécurité et la souveraineté des données tout en soutenant l’innovation locale.

En France et en Europe, ce modèle répond à plusieurs enjeux cruciaux :

• Protection des données : En hébergeant les données sur le territoire national, le cloud souverain garantit que les informations sensibles sont protégées par les lois locales, évitant ainsi qu’elles ne soient soumises à des législations étrangères.
• Souveraineté numérique : Il permet aux pays de conserver le contrôle sur leurs données et leurs infrastructures numériques, ce qui est essentiel pour préserver leur indépendance et leur sécurité.
• Sécurité renforcée : En limitant l’accès aux données aux seules entités autorisées par la législation nationale, le cloud souverain renforce la sécurité des informations et réduit les risques de cyberattaques.
• Innovation et compétitivité : En favorisant le développement de solutions locales, le cloud souverain stimule l’innovation et soutient l’économie numérique nationale.
• Conformité réglementaire : Les entreprises et les administrations peuvent se conformer plus facilement aux régulations locales et européennes en matière de protection des données, telles que le RGPD.

 

Cloud souverain : la France sécurise ses données et booste son économie

Afin d’apporter une réponse concrète aux enjeux de souveraineté numérique, l’État français a défini une doctrine concernant l’usage du cloud. La première circulaire en date du 8 novembre 2018 pose les bases de la doctrine :

En synthèse, le cloud est un chantier prioritaire de la transformation numérique de l’Etat. Il doit être un facilitateur structurel pour la transformation de l’Etat. Il doit répondre aux enjeux de souveraineté et de sécurité et permettre de développer le marché du cloud en France et en Europe en créant de la demande.

En 2021, après 2 ans de réflexion, l’État revoit certaines de ses positions, et complète sa doctrine.

1. Création du label cloud de confiance qui intègre SecNumCloud et qui dorénavant bloque l’extraterritorialité de certaines lois étrangères comme le Cloud Act ou le FISA (Foreign Intelligence Surveillance Act).
2. Nouvelle doctrine pour les administrations nommée « cloud au centre », le cloud devient l’hébergement par défaut des services numériques de l’Etat, soit dans un cloud interne, soit dans un cloud externe labélisé.
3. Un renforcement de la souveraineté en s’appuyant sur les infrastructures des providers souverains européens qui pourront licencier les technologies des cloud providers américains (Exemples : OVH ou Thales avec Google, Orange/CapGemini avec Microsoft).

 

Souveraineté numérique : la France impose un cadre strict pour le cloud

L’État français a défini plusieurs réglementations s’appliquant aux organismes publics, aux collectivités ainsi qu’aux opérateurs d’importance vitale (OIV) imposant des contraintes fortes sur la question de la souveraineté. Dans ce cadre, ces entreprises ont l’obligation d’utiliser un « Cloud de confiance » tel que défini par la doctrine Cloud publié par l’État français.

Pour ces entreprises, la question de la souveraineté, plus qu’un enjeu, est donc une obligation imposée par la règlementation.

Loi de Programmation Militaire (LPM)

La loi de programmation militaire (LPM) est un plan stratégique de défense. Elle est votée tous les 5 ans. La LPM 2024-2030 désigne près de 250 opérateurs d’importance vitale (OIV) :

Il s’agit d’entités privées et publiques indispensables au bon fonctionnement de la Nation. Les OIV ont notamment des obligations légales concernant la cybersécurité.

Pour les opérateurs d’importance vitale (OIV), pas de compromis possible. Une partie de leurs systèmes d’information doit respecter la Loi de programmation militaire (LPM). On parle alors de SIIV : « systèmes d’information d’importance vitale ». Ces SIIV sont soumis à un cahier des charges strict. Vingt règles précises encadrent leur sécurité.

La mise en œuvre de la LPM par un OIV a des impacts importants :

La certification SecNumCloud

SecNumCloud, c’est la qualification de haute sécurité de l’ANSSI pour les prestataires spécialisés dans la fourniture de services de cloud computing (IaaS, PaaS, SaaS).

Basée sur la norme ISO 27001, elle impose un niveau de sécurité supérieur. Valable trois ans, elle exige un audit tous les 18 mois.

Elle impose notamment :

• Une détection des incidents en temps réel pour en limiter au maximum les conséquences,
• Des données chiffrées et cloisonnées,
• La mise en œuvre de moyens visant à minimiser les risques de sinistres, comme les incendies ou les dégâts des eaux…,
• Un contrôle d’accès et une gestion des identités renforcés,
• Le durcissement de la sécurité physique avec la mise en place de zones privées contrôlées,
• La conformité aux exigences du RGPD (règlement général sur la protection des données).

 

DORA

Depuis le 17 octobre 2024, la réglementation DORA (Digital Operational Resilience Act) est en vigueur. Objectif ? Garantir la continuité des activités financières malgré les perturbations informatiques.

Seules les entités financières et leurs prestataires tiers de services opérant dans le domaine des Technologies de l’Information et de la Communication (TIC) sont concernées par cette règlementation.

DORA impose des mesures techniques et organisationnelles solides. Cinq piliers clés structurent en effet le dispositif. Tous visent un but : muscler la résilience opérationnelle numérique.

• Gestion des risques informatiques (articles 5 à 16) : Mettre en place un dispositif des risques informatiques pour limiter les perturbations causées par les incidents liés à l’informatique.
• Notification des incidents liés à l’informatique (articles 17 à 23) : Développer le dispositif de gestion des incidents liés à l’informatique afin d’avoir la capacité de réagir efficacement face aux menaces actuelles.
• Test de résilience opérationnelle numérique (articles 24 à 27) : Tester l’efficacité du cadre de gestion des risques informatiques afin de détecter, identifier et analyser des vulnérabilités puis apporter des corrections.
• Risque lié aux tiers prestataires de services informatiques (articles 28 à 44) : Maîtriser les risques liés aux tiers prestataires de services informatiques gérants des processus critiques ou importants.
• Dispositifs de partage d’informations (article 45) : Partager les informations et de renseignements sur les cybermenaces entre entités financières.

La directive NIS2

NIS2 (Network Information Security 2) est une directive européenne fournissant un socle commun de mesures de sécurité.  Ces mesures permettent de garantir que chaque Etat au sein de l’UE dispose des éléments nécessaires à se protéger face à la cybermenace, notamment les services essentiels et/ou importants que fournit un Etat.

Pourquoi une nouvelle directive ?

Face à une cybercriminalité en augmentation accompagnée des technologies en constante évolution, la directive NIS 2 vise à améliorer la cybersécurité en Europe. NIS2 étend le périmètre d’application déjà définit par la directive NIS1 à de nouveaux secteurs d’activité.

Les obligations apportées par NIS2 sont de 3 ordres :

Cloud souverain : l’offre du marché

Les offres de cloud souverain, actuellement proposées par les providers, peuvent être classifiées en deux catégories :

1. Les offres basées sur les technologies des géants du cloud (hyperscalers). D’une part, l’offre S3nS de Thales basée sur la technologie Google. D’autre part, l’offre Bleu du groupement Orange / Cap Gemini basée sur la technologie Azure.
2. Les offres des providers Français tels que OVH ou Outscale, indépendantes de la technologie des Cloud provider Américain.

 

Les offres reposant sur les technologies des hyperscalers

L’offre S3NS construite sur la technologie Google

S3nS est un Cloud Provider Français opéré par Thales et proposant une offre de service Cloud Public basée sur la technologie Google Cloud. S3NS vise la certification SecNumCloud 3.2, mais ne possède pas, à ce jour, cette certification.

Les données & workloads sont hébergés au sein de datacenters en France, et uniquement accessible par du personnel S3NS.

L’ANSSI a validé l’entrée de l’offre « cloud de confiance » de S3NS dans le processus de qualification SecNumCloud. S3NS a entamé la démarche officielle auprès de l’ANSSI, avec l’objectif d’une qualification à l’été 2025.

Cette solution devrait être disponible pour les premiers clients « early adopters » dès le début 2025. Une trentaine de clients ont ainsi commencé cette trajectoire, parmi lesquels la Matmut, AGPM, Club Med, Thales, Birdz (filiale de Veolia) et B. Connect.

L’offre de services de S3NS est constituée d’un sous-ensemble des Services Google Cloud. Un premier ensemble de services sera proposé dès 2025. Le catalogue de service continuera ensuite à s’enrichir.

L’offre Bleu basée sur la technologie Microsoft

Bleu est un Cloud Provider Français opéré par Orange et Cap Gemini et proposant une offre de service Cloud Public s’appuyant sur la technologie Microsoft Azure. Bleu vise la certification SecNumCloud 3.2, mais ne possède pas à ce jour cette certification.

L’offre de services de Bleu est constituée :

• D’un sous ensemble des services de Microsoft Azure,
• De la marketplace Azure,
• De l’offre Microsoft 365 comprenant les outils bureautiques, la messagerie ainsi que les outils collaboratifs tels que Microsoft teams.

Les centres de données sont localisés en France avec une infrastructure résiliente dimensionnée selon le modèle des hyperscalers.

Les datacenters sont localisés en France, dans deux régions (1+1) distantes de plus de 300 kilomètres, conçus pour assurer une haute disponibilité des données et la continuité de service.

Les services Azure dans un cloud de confiance :

Microsoft 365 dans un cloud de confiance :

Les offres des providers français

OVHCloud

OVHCloud est un Cloud Provider Français opéré par OVH et proposant une offre Cloud Privé. L’offre OVH « Hosted Private Cloud » est certifiée SecNumCloud 3.2.

Cette offre propose la mise à disposition de ressources d’infrastructure dans un Cloud privé. Trois solutions sont proposées :

Outscale

Outscale est un Cloud Provider Français proposant une offre Cloud Public. L’offre Outscale est certifiée SecNumCloud 3.2.

Outscale propose essentiellement des services de type IaaS avec la fourniture de machines virtuelles, de stockage et de services réseaux. A noter également la disponibilité d’un service de stockage objet compatible Amazon S3, le système de stockage objet d’AWS.

Cloud Temple

Cloud Temple est un Cloud Provider Français proposant une offre Cloud Public. L’offre Cloud Temple est certifiée SecNumCloud 3.2.

Cloud Temple propose essentiellement des services de type IaaS avec la fourniture de machines virtuelles, de stockage et de services réseaux.

A noter également la disponibilité de quelques service PaaS : Une plateforme Kubernetes managée, un service de stockage objet et des services de sécurité tels que des coffres-forts logiciels pour le stockage sécurisé des clés de chiffrement.

Scaleway

Scaleway est un Cloud Provider Français proposant une offre Cloud Public. L’offre de Scaleway est en cours de certification SecNumCloud 3.2.

Scaleway propose des services de type IaaS mais également des services de type PaaS tels que des bases de données managées, une plateforme de messaging, une plateforme Kubernetes managée, des services d’IA …

Cloud souverain : des critères décisifs pour une stratégie gagnante

Les critères de choix d’une offre

La stratégie à adopter pour le choix d’une offre de Cloud souverain dépend avant tout du contexte et des priorités.

Voici les principaux critères de choix pour trancher.

La maturité et disponibilité de l’offre

La solidité d’une solution se mesure d’abord à son vécu. Combien de clients l’utilisent déjà ? Que disent les retours d’expérience? L’ancienneté des services pèse aussi. Mais attention : certaines offres brillent dans les annonces, mais ne sont dans les faits pas réellement disponibles.

La richesse de l’offre

Il existe actuellement trois types d’offre :

• Les offres IaaS fondées sur des services d’infrastructure de bas niveau
• Les offres PaaS issues des services managés de plus haut niveau
• Les offres SaaS proposant des progiciels prêt à l’emploi

Les offres de type PaaS, proposant des services managés à plus forte valeur ajoutée ainsi que les offres SaaS, sont en général à privilégier.

L’évolutivité de la solution

L’évolutivité de la solution peut être évaluée grâce à la feuille de route annoncée par le provider. Cela inclut notamment les prévisions de mise à disposition de nouveaux services de type PaaS, selon un calendrier défini.

La pérennité de l’offre

Il s’agit ici d’évaluer la taille et la capacité financière du provider. Ceci afin de déterminer s’il s’agit d’un acteur établi proposant des garanties suffisantes ou bien d’un acteur de niche dont la pérennité n’est pas assurée.

La feuille de route d’obtention des certifications imposées par la réglementation

Enfin, il s’agit de prendre en compte les certifications du provider. Notons par exemple, l’obtention des certifications obligatoires au regard de la certification SecNumCloud.

Il s’agit d’évaluer la feuille de route annoncée par le fournisseur pour l’obtention de ces certifications. Par exemple certaines offres possèdent déjà la certification SecNumCloud.

D’autres sont en cours de certification auprès de l’ANSSI. Enfin certains fournisseurs ont simplement annoncé leur intention d’obtenir la certification SecNumCloud mais sans feuille de route précise.

Les perspectives d’évolution des offres de cloud souverain

Les offres actuelles certifiées SecNumCloud sont principalement des offres IaaS de bas niveau telles que celles proposées par Outscale ou bien OVH Private Cloud.

L’avenir : cap sur les PaaS

Le défi ? Monter en gamme vers des services PaaS à plus forte valeur ajoutée. Plusieurs acteurs s’y attellent déjà. S3nS, Bleu et Scaleway promettent des offres PaaS ambitieuses. Ces solutions sont en cours de certification SecNumCloud par l’ANSSI.

Bleu de Microsoft

L’offre Bleu, exploitant la technologie Microsoft, se distingue par son positionnement. D’un côté, elle propose des services PaaS composés d’un sous-ensemble de services Microsoft Azure. De l’autre, elle intègre en SaaS la plateforme bureautique Office 365 de Microsoft ainsi que la plateforme collaborative Microsoft Teams.

Cette offre est cependant encore en devenir car les premiers services ne seront disponibles qu’au deuxième trimestre 2025. Par ailleurs, Bleu a annoncé son intention d’obtenir la certification SecNumCloud mais n’a pas encore, à ce jour, initié le process de certification.

Cloud souverain : trois stratégies pour transformer son système d’information

Le choix d’une stratégie doit être avant tout guidé par les cas d’utilisation envisagés. On peut distinguer trois grandes stratégies correspondant à des orientations différentes pour l’évolution du SI.

Le cloud est considéré comme une simple extension du SI existant

L’objectif est avant tout d’apporter plus de capacité en termes de CPU et de stockage au SI existant. Il s’agit dans ce cas d’une approche purement technique consistant à étendre la capacité de l’infrastructure déjà en place. L’organisation, les process et la gouvernance sont conservés sans évolution majeure.

Dans ce contexte, le choix d’une offre de type IaaS, telle que Outscale ou OVH Private Cloud, répond à l’objectif. Ces offres sont par ailleurs déjà certifiées SecNumCloud et peuvent donc être immédiatement utilisées pour déployer des applications en production.

Le cloud est vu comme un nouvel espace permettant d’accélérer la modernisation du SI

L’objectif est dans ce cas de bénéficier de la valeur ajoutée offerte par les services PaaS pour la modernisation des applications existantes et pour le développement de nouvelles applications Cloud natives. Dans ce cas, il s’agit de privilégier les offres proposant des services PaaS de plus haut niveau, telles que Scaleway, S3nS ou bien Bleu.

Le choix de l’offre se fera ensuite en fonction des critères retenus et de l’évaluation des offres par rapport à ces critères. La richesse et la maturité de l’offre en termes de service PaaS, sont dans ce contexte des critères importants à considérer.

La feuille de route pour l’obtention de la certification SecNumCloud est également un critère majeur.

Le cloud vu comme support de la transformation du SI incluant également la bureautique et les plateformes collaboratives

La volonté de migrer dans le cloud les systèmes bureautiques ainsi que les plateformes collaboratives est structurant pour le choix de l’offre.

En effet, la seule offre répondant à ce besoin est Bleu, basée sur la technologie Microsoft. Cette offre proposera, à terme, la plateforme Office 365 de Microsoft ainsi que la plateforme collaborative Microsoft Teams dans un Cloud souverain certifié SecNumCloud.

Cette offre, propose par ailleurs un large éventail de services PaaS issus de l’offre Cloud Microsoft Azure.

Elle change donc la donne et propose un vrai différenciateur par rapport à la concurrence. Les services publics et collectivités locales l’attendent avec impatience. Seule ombre au tableau, le calendrier pour l’obtention de la certification SecNumCloud reste flou.

Cloud de confiance : privilégier la prudence en attendant la maturité

Comme nous l’avons vu précédemment, l’offre de cloud souverain Européen reste encore peu mature et sera amenée à évoluer de manière importante.

Le marché Européen est morcelé. Chaque pays a défini sa propre réglementation : SecNumCloud en France, C5 en Allemagne, …

Une règlementation unifiée et applicable au niveau Européen est nécessaire afin d’élargir le marché et de permettre l’émergence de champion Européen. La problématique est posée et la réflexion est en cours, notamment avec la norme EUCS qui a pour objectif de remplacer les réglementations locales. Le chemin sera cependant encore long et semé d’embûches. La règlementation EUCS possède encore certaines lacunes qu’il conviendra de combler.

Dans ce contexte, les entreprises doivent jouer la carte de la prudence. Le choix d’un fournisseur aujourd’hui doit être murement réfléchi.

Une note d’espoir néanmoins, la certification SecNumCloud des nouveaux entrants, S3nS et Bleu, constituera un jalon attendu par de nombreuses entreprises.

¹ Bernard Benhamou, cité dans : Amaelle Guiton, « Souveraineté numérique : un modèle à inventer », Libération.fr, 20 mai 2016.