Quiconque pense actuellement à une transformation du cloud en Allemagne ne peut pas faire l’impasse sur le cloud souverain. Mais que se cache-t-il derrière la souveraineté et pourquoi est-elle si importante ?
Les entreprises européennes ont besoin du cloud public pour se développer, mais elles doivent le mettre en conformité avec les exigences légales. En revanche, les clouds souverains combinent la souveraineté des données, des logiciels et des opérations, permettant ainsi aux entreprises d’agir de manière autonome. Et ouvrent ainsi la voie à une protection de l’environnement autodéterminée dans l’utilisation des ressources données.
On peut discuter de la date de naissance d’Internet. Voici les chiffres : En 2022, 93% des Allemands et environ 5,3 milliards de personnes dans le monde étaient déjà « connectés » par ce biais – et la tendance est à la hausse. Selon les estimations, le volume de données généré annuellement atteindra 181 zettaoctets dès 2025. Si, au début, même les experts pensaient qu’Internet était une application de niche limitée à quelques cas d’usage, aujourd’hui, pour la plupart des gens, il fait partie intégrante de leur vie privée et professionnelle.
La digitalisation a pleinement gagné l’Allemagne, qu’il s’agisse de payer à la caisse du supermarché ou d’effectuer des démarches administratives : suite aux restrictions imposées par la pandémie de coronavirus, on recherche aujourd’hui une solution flexible, rapide et fiable. L’un des principaux moteurs de cette évolution est le cloud, qui propose via Internet des solutions toujours plus innovantes pour le commerce électronique, la conduite autonome, l’intelligence artificielle et l’Internet des objets. Mais qu’advient-il de toutes ces données et qui y a accès ?
Les jours mémorables où les chefs d’entreprise discutaient pour savoir si leur société devait intégrer l’Internet appartiennent depuis longtemps au passé. Les activités sur Internet font partie des activités courantes des entreprises modernes, quelle que soit leur taille. Il va de soi qu’ils discutent jour après jour de la manière dont ils peuvent utiliser Internet et ses dérivés technologiques, comme le cloud, pour créer de la valeur ajoutée dans de nouveaux modèles commerciaux et des innovations techniques. Outre la recherche d’une plus grande efficacité et de nouveaux débouchés, la question de la durabilité occupe une place de plus en plus importante ; les entreprises et les utilisateurs savent aujourd’hui que tout est (presque) possible sur Internet. Par conséquent, ils recherchent également des solutions qui répondent à leurs exigences en matière d’éthique, de protection des données et de préservation des ressources. Et les revendiquent à juste titre avec assurance.
La digitalisation ne se résume pas à des discussions techniques. En effet, les possibilités techniques se heurtent toujours à des questions organisationnelles telles que : Que pouvons-nous faire ? Dans quelles conditions pouvons-nous traiter les données, et quel type de données ? Pouvons-nous exploiter les possibilités techniques de manière à ce qu’elles nous fassent progresser tout en ayant un impact positif sur la société ? Une question à laquelle on répond différemment d’une culture à l’autre, d’un espace juridique à l’autre. Car aussi évidente que puisse paraître la digitalisation, elle n’existe pas dans un espace de non-droit et n’est pas une fin en soi.
Les entreprises européennes doivent trouver des moyens d’exploiter le potentiel (concurrentiel) lié à la digitalisation tout en respectant les réglementations en vigueur dans leur espace juridique. En font partie le traitement des données externes confiées, par exemple dans le cadre du RGPD (règlement général européen sur la protection des données), mais aussi la protection des données internes à l’entreprise dans les réseaux collaboratifs de création de valeur, la protection de la « propriété intellectuelle ». La digitalisation pose à nouveau la question de la confiance – également aux plateformes utilisées pour la digitalisation, en particulier aux solutions cloud.
De nombreuses entreprises espèrent que les approches de souveraineté donneront un élan décisif à l’innovation. Elles attendent des clouds souverains qu’ils répondent aux exigences suivantes : l’agilité et le potentiel d’innovation de l’environnement cloud, la conformité aux réglementations en vigueur et la possibilité d’influer de manière autonome sur les facteurs éthiques ou écologiques. Les utilisateurs attendent non seulement une sécurité en matière de protection des données, un contrôle total sur leurs données et le respect des dispositions légales, mais aussi une fiabilité, une transparence et une interopérabilité élevées. Répondre à ces attentes donne aux utilisateurs la confiance nécessaire pour avoir le contrôle et la flexibilité de leurs données et du fonctionnement de leurs services cloud.
Mais qu’est-ce qui se cache derrière la souveraineté numérique ? Au début, il ne s’agit que d’un mot-clé – tout comme la digitalisation et le cloud. La souveraineté vise l’environnement commercial d’une entreprise. Elle se caractérise par une compétence décisionnelle globale sur la manière dont les affaires et l’entreprise se développent. La souveraineté commerciale doit se traduire par une souveraineté numérique. Et celle-ci présente au moins trois facettes techniques – qui s’appliquent en particulier aussi à l’utilisation d’une solution en nuage.
La souveraineté des données implique en premier lieu le contrôle total et souverain de l’accès aux données. Le propriétaire des données doit avoir la certitude que ses données dans le cloud ou le datacenter ne seront pas manipulées, effacées, copiées ou consultées par des personnes non autorisées – ni par l’opérateur du service cloud. La voie royale actuelle vers la souveraineté des données se compose de deux éléments fondamentaux : le stockage et le traitement des données dans un espace juridique défini et l’utilisation du cryptage. Pour ce faire, il est préférable d’utiliser un cryptage externe – la gestion des clés cryptographiques doit être effectuée en dehors du cloud du fournisseur et doit également être gérée en externe.
Le principe central d’un cloud souverain est de protéger les clients contre les dépendances. La capacité de migrer à tout moment et sans problème des applications vers d’autres infrastructures informatiques, y compris une infrastructure interne, est essentielle. Ceci constitue par exemple l’une des exigences de la BaFin pour la stratégie de sortie d’une entreprise financière. On pense par exemple à une entreprise qui souhaite transférer ses données d’un cloud externe vers ses propres serveurs afin de garder un contrôle total et une certaine flexibilité. Ou bien Une entreprise migre ses données depuis un cloud traditionnel vers une solution de serveur plus durable afin d’encourager l’utilisation d’énergies renouvelables. Avec la souveraineté logicielle, les entreprises sont libres de choisir leurs applications. Ainsi, leurs cas d’usage peuvent être exploités indépendamment des infrastructures spécifiques. Cela permet d’éviter efficacement un verrouillage des fournisseurs. L’approche Open source joue un rôle déterminant sur cette voie ouverte et transparente...
Que se passe-t-il si les fournisseurs de cloud décident d’installer des portes dérobées ? S’ils ne proposent pas certains paramètres de sécurité ou s’ils décident tout simplement de fermer leur plateforme cloud ou de ne plus la proposer dans la juridiction concernée ? Une confiance aveugle ne peut suffire aux entreprises dans ce domaine. Les utilisateurs du cloud doivent avoir la garantie que leurs fournisseurs de cloud feront évoluer l’environnement de manière à ce que l’évolution de la plateforme elle-même sécurise le principe de souveraineté. La plateforme doit rester viable et offrir des performances complètes, tout en empêchant les personnes non autorisées d’accéder aux fonctions originales de la plateforme.
Les entreprises ont besoin de leviers de contrôle et de sécurité de planification. Elles doivent avoir la garantie que l’infrastructure informatique dans son ensemble (au-delà du traitement des données) se comporte comme si les ressources se trouvaient en interne ou étaient suffisamment sous leur contrôle. Et elles doivent avoir la garantie de pouvoir continuer à exploiter leurs charges de travail, même si la plateforme cloud devait disparaître. Ce qui est demandé, c’est une utilisation du cloud avec un minimum de dépendance vis-à-vis du cloud. La combinaison de la transparence et du contrôle des opérations dans l’infrastructure cloud et de la pérennité ou de l’indépendance sont les caractéristiques d’un cloud souverain.
Pour ce faire, le cloud souverain doit mettre en œuvre un modèle cohérent Zero Trust. Les processus de décryptage et les accès administratifs doivent être transparents à 100% et pouvoir être audités par les clients. Ceci s’applique également aux modifications apportées aux configurations de sécurité. Seuls les administrateurs des juridictions autorisées peuvent accéder aux ressources du cloud. De plus, le cloud souverain doit être conçu comme une plateforme ouverte. Les charges de travail doivent pouvoir être administrées de manière cohérente à travers des paysages multicloud – et également être déplacées à tout moment du cloud souverain vers d’autres plateformes.
Mais il ne faut pas oublier que le cloud souverain n’est pas une solution unique. La réalité commerciale sera le cloud hybride. Et les clouds souverains font partie de cette réalité commerciale – partout où les entreprises veulent s’assurer qu’elles respectent toutes les réglementations nécessaires dans le cadre de projets commerciaux agiles. Ou précisément là où un niveau de sécurité élevé est de rigueur, par exemple pour le partage sécurisé de données internes dans les réseaux de création de valeur. Ou en d’autres termes : Rien ne s’oppose à ce qu’une boutique en ligne soit exploitée dans un cloud public.