Avec 446 Milliards de dollars de revenus pour le cloud public en 2022 au plan mondial selon Forrester, le marché du cloud qui est en expansion est une manne financière considérable pour les fournisseurs, très majoritairement américains. Les hyperscalers
(Amazon, Microsoft et Google) détiennent 72 % du marché en Europe.
Mais pour continuer d’empocher de copieux bénéfices pour les années qui viennent, ces hyperscalers doivent monter patte blanche en garantissant non seulement la sécurité de leurs infrastructures mais aussi la confidentialité absolue des données sensibles contre la curiosité des Etats-Unis au nom du Cloud Act édicté en 2018 et autres réglementations extraterritoriales américaines. Une édifiante étude publiée en août 2022 par le Ministère de la justice des Pays-Bas ne laisse pas beaucoup de doutes sur la capacité des Etats-Unis à mettre la main sur des données détenues en Europe par des fournisseurs de cloud américains, notamment en raison du Cloud Act. AWS répond favorablement à 20 % des réquisitions issues des services américains.
Face à ces doutes légitimes mais nuisibles à une indispensable relation de confiance avec ses clients, Amazon s’engage, outre le Digital Sovereignty Pledge, à leur offrir une solution avancée de gestion et de contrôle de la souveraineté des données en Europe. Elle repose, entre autres, sur l’option XKS (External Key Store) de l’outil KMS (Key Management Service), le service managé de génération et gestion de clés de chiffrement compatible avec une centaine de services AWS. En bref, Amazon affirme que désormais, ses clients peuvent détenir, gérer et de gérer leurs propres clés chez eux, dans leurs propres HSM (Hardware Security Module) à savoir un module matériel de sécurité. Ce qui leur garantirait un contrôle total sur leurs données.
Trois solutions aux effets inégaux pour un cloud souverain
Un cloud souverain est un cloud opéré et hébergé dans un Datacenter implanté sur le territoire, respectant les normes et le cadre juridique français.Christine Grassi, consultante en sécurité du cloud décrit les 3 façons de protéger la confidentialité des données. « D’une part, la mise en place de solutions de chiffrement souverain et de surveillance de l’infrastructure cloud » Il s’agit, notamment, de l’annonce par Amazon lors de l'événement re:Invent 2022 de l’option XKS pour l’hébergement des clés de chiffrement, détenues exclusivement par le client. « La deuxième solution repose sur l’usage d’un cloud de confiance reposant sur un partenariat entre des fournisseurs cloud américain et français. Je ne suis pas convaincue que ce type de partenariat puisse être mis en place de la façon dont ils ont été annoncés publiquement. Le client ne se dit pas « D’accord, tout va bien, c’est un opérateur national ». Le point essentiel reste que si le tiers de confiance français veut rassurer son client, il doit le convaincre que le niveau de sécurité qu’il met à sa disposition est maximal » Or, si notre cloud américain (hyperscaler) met en service une nouvelle fonction, comment le partenaire français ou européen peut-il garantir de façon sûre le niveau de sécurité de type « cloud souverain » (avec certification de l’ANSSI à la clé) dans un délai commercial acceptable, une semaine dans le cadre de certaines annonces ?
Une troisième solution serait GAIA-X - NDLR : une fédération européenne de prestataires de cloud souverain interopérables dans l’UE - Mais selon Christine Grassi « le processus de construction d’un espace de service de taille européenne pour y parvenir est très long. Aucune solution opérationnelle n’existe aujourd’hui. Les entreprises doivent donc arbitrer entre deux attitudes : attendre la mise en place de solutions strictement nationales ou européennes techniquement viables et à la hauteur technique de leurs attentes métiers ou utiliser des solutions internationales en mitigeant les risques »
Concernant le partenariat entre les hyperscalers américains et les fournisseurs de cloud français, l’objectif d’AWS est de les utiliser comme des chevaux de Troie, car ils sont éligibles au référentiel SecNumCloud 3.2 de l’ANSSI qui lie les exigences de sécurité ou de souveraineté à la provenance européenne du capital du fournisseur.