Le cloud public change la donne, et la grande majorité des entreprises européennes en ont bien conscience. C’est ce que démontrent les stratégies actuelles en matière de transformation numérique et notamment de Cloud First. Le potentiel de flexibilisation et de réactivité dans un environnement de plus en plus dynamisé sont incontestablement élevés. Cependant, recourir au cloud veut aussi dire être confronté à la planification, le conseil et la préparation. Ces aspects sont très importants dans le déploiement des offres cloud. Par ailleurs, la capacité d’investissement dépend du secteur, certaines industries ont plus de facilités à y investir.
En Europe, la protection des données sensibles est absolument prioritaire. Si bien qu’elle est encadrée par des lois et institutions. Les banques, assurances, la santé et le secteur public doivent ainsi relever d’énormes défis pour être compliant dans le cloud. Ces difficultés s’ajoutent à celles de la planification et la préparation, naturellement.
Les entreprises françaises vont donc se retrouver rapidement confrontées à un dilemme. En effet, elles sont conscientes que les technologies numériques comme le Cloud sont indispensables pour développer leur activité et rester compétitives à l’international. En parallèle, l’utilisation de ces technologies implique une énorme charge de travail, ce qui freine la dynamique et la simplicité du Cloud. Les Clouds européens ou le projet GAIA-X ont pour objectif de résoudre ce dilemme – c’est également le cas des entreprises issues de secteurs moins réglementés.
La souveraineté numérique implique tout d’abord un contrôle suprême, qui se reflète dans de nombreux aspects.
Le détenteur de données doit être certain du contrôle qu’il exerce sur celles-ci. Elles ne seront pas manipulées, supprimées, copiées ou consultées dans le cloud par des tiers non autorisés (y compris, et surtout, par l’opérateur du cloud). La souveraineté des données signifie par ailleurs que le chiffrement des informations se fasse hors de la plateforme du cloud ou que les codes de chiffrement soient administrés par le biais d’un Key Management externe au cloud.
Le client doit pouvoir se fier au fait que le fournisseur de services cloud développe l’infrastructure technique du cloud de sorte que les adaptations de la plateforme ne compromettent pas le principe de souveraineté. En clair, la portance d’avenir ainsi que l’entière performance de la plateforme doivent être garanties. En même temps, il convient aussi de prévenir l’accès par des tiers non habilités via des fonctions intrinsèques de la plateforme.
Principe le plus important du cloud souverain : éviter que vos clients tombent dans la dépendance. Les applications et les services doivent par conséquent pouvoir migrer à tout moment et simplement vers n’importe quelle autre infrastructure informatique (y compris en interne).
Un Cloud souverain fournit des services Cloud indépendants vis-à-vis de fournisseurs (« vendor lock-in »). Les services sont disponibles soit en « open source », soit il existe un service équivalent indépendant de tout fournisseur, si bien que chaque fonctionnalité peut être utilisée à tout moment, quel que soit le fournisseur. Le Cloud satisfait aux exigences de la réglementation/législation en vigueur dans cet espace juridique. Les données et leur usage restent à tout moment disponibles pour l’utilisateur – un accès administratif venant de l’extérieur n’est pas possible.
Pour avancer sur la voie de la souveraineté numérique, diverses approches sont abordées.
Outre l’approche classique d’une exploitation interne ou du Cloud privé, les Clouds publics tels que Google Cloud, Azure et AWS proposent actuellement également des services connexes pour garantir la conformité. Dans de tels projets, la rédaction du contrat et l’implication de partenaires fournisseurs de services gérés fiables et expérimentés connaissant parfaitement les bases juridiques internationales telles que le Règlement européen général sur la protection des données, mais aussi les exigences de conformité européennes et spécifiques à l’industrie, jouent un rôle essentiel.
L’initiative européenne GAIA-X visant à établir un espace de données souverain, travaille quant à elle à une solution plus centrale pour toutes les entreprises européennes. Le projet GAIA-X établit des normes européennes pour la réalisation de la souveraineté en définissant dans un premier temps et comme base les conditions selon lesquelles les solutions Cloud sont souveraines. L’une des conditions principales : le cloud est sous contrôle européen – notamment parce que sa conception et son déploiement sont en Europe. L’Open Telekom Cloud en est un exemple.
GAIA-X ne débouche pas sur un nouvel environnement de Cloud, mais travaille à la mise en place d’une infrastructure de données fédérée et sécurisée – avec pour objectif de construire une souveraineté numérique qui favorise l’innovation. L’objectif de cette initiative est d’établir un écosystème constitué de nombreux fournisseurs de services d’infrastructure Cloud et de garantir ainsi un échange sécurisé des données. Dans cet écosystème, les utilisateurs conservent un parfait contrôle de leurs données. Ceci constitue l’infrastructure de base en matière de gestion européenne des données pour demain.
Le Cloud souverain représente ainsi un facteur de réussite pour la transition de l’Europe vers le numérique. En effet, il supprime les obstacles réglementaires inhérents à l’utilisation du Cloud et donne aux entreprises européennes la sécurité d’une solution cloud « à la carte ». La disponibilité de Clouds souverains accélérera sensiblement le déploiement d’initiatives numériques variées en supprimant les obstacles existants en matière de conformité. Elle associe les exigences techniques liées au Cloud avec une capacité d’innovation et un esprit tranquille – dans une formule « all inclusive ».
Le Cloud souverain résout le dilemme entre capacité d’innovation et conformité. Il s’agit avant tout, mais pas seulement pour les secteurs réglementés, d’une opportunité d’exploitation rapide des possibilités qu’offre le Cloud public et d’une opportunité de réalisation des projets de numérisation. Souveraineté des données et Cloud n’entrent plus en contradiction, le respect des exigences de conformité ne nécessite pas de coûts supplémentaires. Le Cloud souverain devient ainsi un élément essentiel des environnements multi-cloud pour les utilisateurs de services Cloud.
