L’étude « Sovereign Cloud for Europe », menée par Broadcom en février dernier, pointe les défis actuels pour les entreprises et le rôle central des fournisseurs de cloud. L’enjeu de souveraineté numérique n’est pas nouveau, mais il se pose aujourd’hui avec
une acuité particulière.
L’hyperscaler Amazon affirmait lors de re:Invent 2022 que la détention exclusive des clés privées de chiffrement des données par ses clients assurait une confidentialité absolue d’AWS. Mais le Cloud ACT de 2018 et le Foreign Intelligence Surveillance Act (FISA) de 1978 qui obligent toutes les sociétés américaines, a fortiori les hyperscalers opérant à l’étranger, à répondre aux requêtes de la NSA, contredisent ces déclarations rassurantes. Autant dire que la souveraineté des pays hors des États-Unis n’est pas la préoccupation majeure pour rester mesuré.
Pour rassurer les clients sur la confidentialité, Delos, filiale de l’allemand SAP et Bleu Cloud proposeront tous deux Microsoft Office 365 aux clients allemands et français dans le cadre d'une offre dite souveraine. Mais avec un cloisonnement théorique des données qui seraient sanctuarisées. Nous sommes priés de le croire.
Dans un plaidoyer pro domo, l’américain Broadcom qui a racheté VMware, avance que ses clients européens ont accès à ses logiciels, mais promet de protéger leurs données sensibles contre l'accès indiscret des gouvernements étrangers. Ce qui suscite le doute. L’étude de Broadcom pointe les cinq principales préoccupations des organisations européennes concernant leur environnement cloud. Les résultats sont explicites qui montrent les fortes inquiétudes sur la sécurité et la souveraineté des données.
Source : Cap GeminiLe fait que le Health Data Hub, à savoir les précieuses données de santé françaises soient hébergées sur Microsoft Azure, malgré les objections de la CNIL, n’est pas rassurant malgré les récentes déclarations officielles.
Les défis de l’interopérabilité et de la portabilité des données
Mettre en musique la migration des applications et surtout des données vers un cloud souverain n’est pas une mince affaire. Tout d'abord, l'organisation doit hiérarchiser les données en fonction des exigences techniques, de sécurité et de conformité. En bref, déterminer et classer quelles sont les données sensibles et personnelles en conformitéavec le RGPD.
Ensuite, il faut faire face au manque d'interopérabilité entre les divers prestataires pour les différents services. L'interopérabilité rend plus complexes les déploiements intégrés du multicloud. Une opération qui permet d’éviter l'exécution des charges de travail séparées et cloisonnées. Enfin, il faut disposer d’équipes qualifiées et prêtes à effectuer ces évolutions techniques vers la souveraineté.
Les codes de conduite signés en 2021 par les hyperscalers et autres géants tels Alibaba et Huawei, Cisco, Dropbox, IBM, Oracle, Salesforce, etc. n’existent que sur le papier. Mais tous se gardent bien d’aborder le sujet central du principe d’extraterritorialité américain et les nuisances d’autres puissances étrangères.
