À quoi sert le cloud souverain ?
Cela semble aujourd’hui inéluctable : le futur est dans le cloud. Cette migration massive pose néanmoins des enjeux aussi bien en termes de sécurité des données que de souveraineté numérique. L’émergence du cloud souverain promet de les résoudre tout en accélérant l’innovation.
Voilà déjà plusieurs années que la France défend l’idée d’une solution nationale ou européenne pour abriter les données sensibles et assurer son indépendance numérique. Un objectif qui doit beaucoup à la mainmise des acteurs étrangers, et en particulier américain, dans ce secteur. Porté par une croissance annuelle supérieure à 30 %, le marché du cloud public est en effet dominé aujourd’hui à 71% par les trois géants américains que sont Amazon, Microsoft et Google, selon les données du cabinet Synergy Research. Les concurrents asiatiques ne sont pas en reste comme le démontrent Alibaba Cloud ou encore Huawei.
L’enjeu n’est pas seulement économique, il recouvre aussi un enjeu de souveraineté. C’est dans cette perspective qu’a été pensé le label SecNumCloud délivré par l’Agence nationale de la sécurité des systèmes d'information (ANSSI). Celui-ci définit un cloud de confiance qui, comme le rappelle Frédéric Malicki, CTO Europe du Sud d’Atos, doit « garantir l’autonomie de l’opérateur cloud, dont le siège social doit être en Europe et dont le capital doit être majoritairement détenu par des acteurs européens », tout en assurant en parallèle la protection des données sur le plan technique. « Celui-ci doit pouvoir opérer ses services même si les relations commerciales entre cet opérateur européen et l’hyperscaler, qu’il soit américain ou chinois, venaient à être rompues », ajoute-t-il. Le cas de la Russie, où MasterCard, Amex et Visa ont suspendu leurs opérations dans le contexte de la guerre en Ukraine, illustre bien les conséquences potentielles d’une rupture des relations diplomatiques sur la pérennité des services numériques.
La migration vers le cloud s’accélère
Ces garanties seront précieuses pour les opérateurs d’importance vitale (OIV) ou de services essentiels (OSE), dont les données sont particulièrement sensibles (défense, énergie, gestion de l’eau…). De fait, si le taux d’adoption du cloud parmi les OIV est « relativement faible » aujourd’hui selon Frédéric Malicki, c’est parce que « jusqu’ici, le cadre réglementaire et la classification de leurs données les empêchaient d’aller dans le cloud », précisément pour des raisons de sécurité.
L’émergence d’offres de cloud de confiance comme celles d’OVHcloud et d’Outscale, mais aussi des services issus du partenariat d’Atos et IBM annoncé en juin 2022, devrait justement accélérer la migration sur le cloud de ces acteurs. L’offre développée par Atos et IBM fournira en effet un mécanisme de sécurité supplémentaire au cloud public au travers de services de supervision et de conformité à la Loi de Programmation Militaire et à la directive NIS (sans pour autant aller aussi loin que le label cloud de confiance, notamment sur la protection contre les lois extraterritoriales). « L’objectif est de superviser les données et systèmes composant le cloud au travers des services du SOC d’Atos conformément au référentiel PDIS défini par l’ANSSI », détaille Frédéric Malicki, précisant que ce type d’offre s’adresse notamment aux institutions financières.
Plus largement, les entreprises dotées d’une propriété intellectuelle forte, notamment dans l’industrie ou dans la recherche médicale, pourraient y avoir recours afin de la protéger. La demande pourrait aussi venir des utilisateurs finaux, qui « attacheront demain plus d’importance à la localisation de leurs données, en particulier les données de santé », envisage-t-il. C’est d’ailleurs tout l’enjeu de la plateforme Mon Espace Santé qui « sera largement adoptée si on peut garantir justement la sécurité des données, leur confidentialité et le respect de la réglementation. »
Frédéric Malicki défend par ailleurs une approche « graduée » en fonction du degré de sensibilité des données. Par exemple, un acteur de l’énergie pourra placer ses applications commerciales – dont le niveau de sensibilité n’est pas très élevé – sur le cloud public. En revanche, « ses données les plus sensibles devront être placées dans un cloud de confiance voire dans des solutions dédiées on-premise [hébergées sur les serveurs de l’entreprise, ndlr] pour assurer un niveau de protection optimal », illustre-t-il.
La souveraineté, vecteur d’innovation
Pour les OIV comme les autres entreprises, l’adoption du cloud est aujourd’hui stratégique puisqu’elle permet d’accélérer la digitalisation de leurs services. « Ils seront en capacité d’aller beaucoup plus vite dans le développement de leurs produits et de répondre beaucoup mieux aux enjeux de leur métier et aux besoins de leurs clients, tout en étant conformes à la réglementation avec les plus hauts niveaux de sécurité », déclare Frédéric Malicki. Le cloud computing verra aussi le « développement de plateformes d’entreprise étendue, permettant à l’ensemble de la chaîne – fournisseurs, partenaires, clients… – d’échanger de la donnée et de faire du co-design de produits puis d’assurer une intégration complète sur l’ensemble de la chaîne », poursuit-il.
Le développement du cloud souverain soutiendra en outre le développement des data spaces, soit des plateformes propices aux collaborations et aux échanges entre organisations, grâce à une interopérabilité complète. Alignée avec l’architecture Gaia-X, l’approche développée par Atos et VMware veut favoriser de cette façon l’émergence de synergies dans le domaine de la santé afin d’accélérer la recherche et les essais cliniques, ou encore dans celui de la mobilité en optimisant les réseaux électriques pour la recharge des véhicules électriques.
Aux yeux de Frédéric Malicki, la souveraineté n’est « pas simplement défensive, mais aussi offensive, c’est-à-dire capable de soutenir l’innovation et de doter l’Europe de capacités de calcul importantes ». En collaboration avec OVH Cloud, Atos entend ainsi accélérer le développement de l’informatique quantique. Objectif : permettre aux entreprises de consommer des ressources quantiques directement dans le cloud et de mettre ces dernières à disposition du plus grand nombre. « Ce serait une erreur de confondre la souveraineté avec du protectionnisme, appuie-t-il. Si ces solutions cloud ne répondent pas aux besoins de nos clients, personne n’en voudra. Il faut vraiment embarquer l’innovation et tâcher de rattraper notre retard en Europe et de nous différencier par l’innovation par rapport aux acteurs de niveau mondial. »