AWS European Sovereign Cloud annonce l’obtention de rapports SOC 2 et C5 de type 1 ainsi que sept certifications ISO, couvrant 69 services. Dans le même temps, Eviden rend disponible son système de gestion externe des clés sur cette infrastructure, avec une racine de confiance matérielle conservée hors périmètre AWS. Ces annonces renforcent la pertinence de l’offre pour les organisations dont les charges de travail ne présentent pas de sensibilité particulière, indépendamment du nombre ou de la nature des certifications obtenues.
L’offre constitue un environnement d’hébergement techniquement isolé, adapté à des données soumises à des exigences de résidence et de conformité réglementaire intermédiaires, ou à des données non sensibles pour lesquelles la question de l’extraterritorialité américaine n’est pas un critère. Elle ne constitue pas une offre souveraine au sens strict. Ce n’est pas l’absence de telle ou telle certification qui la disqualifie, c’est son montage capitalistique. La subordination d’AWS à Amazon.com Inc. expose ses filiales européennes aux injonctions fondées sur le Cloud Act et le FISA, indépendamment de la localisation des données, du profil des opérateurs ou du nombre de certifications obtenues. Aucune certification ne peut lever cette hypothèque : elle est juridictionnelle, pas technique.
AWS ESC publie ses premiers rapports d’attestation indépendants. Le rapport SOC 2 Type 1 couvre trois critères AICPA (Sécurité, Disponibilité, Confidentialité) et intègre des contrôles mappés au Sovereign Reference Framework (ESC-SRF) d’AWS, qui formalise les engagements de gouvernance indépendante, de résidence des données et d’isolement opérationnel. Le rapport C5 Type 1, délivré selon le référentiel du BSI allemand, atteste la conception des contrôles sur des critères de base (sécurité organisationnelle, gestion des accès, cryptographie, continuité) et des critères additionnels pour les données sensibles.
Sept certifications ISO accompagnent ces attestations : 27001:2022 pour le management de la sécurité de l’information, 27 017 et 27 018 pour les contrôles spécifiques au cloud et la protection des données personnelles, 27 701 pour le management de la confidentialité, 22 301 pour la continuité d’activité, 20000-1 pour le management des services IT, et 9001 pour la qualité. Ces certifications couvrent les 69 services actuellement disponibles sur la région et sont accessibles aux clients via AWS Artifact. Une attestation de type 2, qui valide l’efficacité opérationnelle dans le temps, et non seulement la conception, interviendra dans une phase ultérieure.
Gestion externe des clés par Eviden, avec HSM européen
Pour une entreprise soumise à DORA ou aux exigences d’audit de NIS 2, cette base documentaire fournit les éléments d’assurance requis pour les audits internes et les échanges avec les autorités de contrôle. Elle documente la rigueur des contrôles techniques et organisationnels en place. Elle ne constitue pas une réponse à la question du risque de réquisition extraterritoriale, qui relève d’un registre distinct : celui du droit applicable à l’entité mère, non de la qualité des contrôles de l’infrastructure.
Eviden, branche produits d’Atos Group spécialisée en cybersécurité, rend disponible son KMS sur AWS ESC. La solution repose sur un module de sécurité matérielle (HSM) d’origine européenne opéré par Eviden, qui fait office de racine de confiance. La clé maîtresse est conservée hors infrastructure AWS. Ce mécanisme de gestion externe des clés (External Key Management, EKM) produit un effet technique rassurant, car AWS ne détient pas, et ne peut pas extraire, la clé permettant de déchiffrer les données client.
Yann Vincent, responsable mondial des produits de cybersécurité chez Eviden (Atos Group), positionne cette disponibilité comme un moyen de libérer « les charges de travail particulièrement sensibles de clients dont les exigences de souveraineté et de conformité sont parmi les plus strictes ». L’architecture répond effectivement à une contrainte opérationnelle réelle : dans un modèle de chiffrement natif AWS KMS, les clés restent sous contrôle AWS. Avec un EKM adossé à un HSM dont l’opérateur est une entité de droit européen, la clé maîtresse sort du périmètre de contrôle d’AWS.
Cette séparation réduit l’exposition sur les données au repos. Elle ne couvre pas l’ensemble du périmètre du risque extraterritorial, la structure capitalistique d’AWS ESC reste inchangée, et une injonction légale peut cibler d’autres vecteurs que les données chiffrées stockées. Comme pour les certifications, la robustesse technique de la solution ne modifie pas la nature du risque juridictionnel.
Un niveau de protection pertinent
AWS ESC avec gestion externe des clés via Eviden constitue un niveau de protection pertinent pour les charges de travail à contrainte réglementaire intermédiaire. Pour les organisations dont les données ne présentent pas de sensibilité particulière, l’offre propose un hébergement localisé dans l’UE, opéré par des résidents européens, avec un socle de certifications solide. Elle reste pertinente pour les données et les flux de travail qui ne sont pas sensibles à l’extraterritorialité des lois américaines.
Elle ne convient pas aux données dont la protection implique une imperméabilité juridique vis-à-vis du droit américain : données classifiées, informations relevant de la défense ou de la santé, données couvertes par le secret professionnel dans des secteurs exposés aux contentieux transatlantiques. Pour ces cas, les infrastructures pleinement déconnectées de tout contrôle extraeuropéen restent la seule réponse applicable.
