L’étude de 2022 commandée par le ministère néerlandais de la Justice et de la Sécurité sur la souveraineté numérique des prestataires de cloud en Europe est sans appel. Selon cette étude, il n’existe aucune certitude de confidentialité des données sensibles confiées aux hyperscalers Amazon, Microsoft et Google qui détiennent 72 % du marché européen. Le glissement sémantique de la notion de cloud souverain à cloud de confiance est explicite sur le fait que l’Europe n’est pas une forteresse numérique. Le projet communautaire
Gaia-X toujours en développement vise à développer une infrastructure d’hébergement des données pour le cloud mais son objectif n’est pas d’exclure les géants américains. Plus modestement, Gaia-X veut, notamment, pousser les hyperscalers à rendre leurs offres plus transparentes. Une requête peu ambitieuse qui ne doit pas les inquiéter outre mesure.
En France, l’Anssi a édicté le référentiel SecNumCloud, un label qui vise à démontrer le niveau de protection des données sensibles et critiques contre les pirates et en théorie, contre l’indiscrétion des puissances étrangères extra-européennes.
Une enquête de CIO éclaire l’enjeu de souveraineté numérique en France. Ainsi, 46 % des entreprises hébergent leurs données sensibles en interne. Une proportion de 39 % des répondants préfèrent l'externalisation vers le cloud. Pour les TPE et PME, il s’agit surtout de réduire les coûts.
Les partenariats des entreprises françaises avec les hyperscalers
S’assurer que les datacenters sont bien hébergés en France est une exigence minimale à laquelle souscrivent 37 % des organisations répondant à l’étude de CIO. Mais cette démarche n’est pas la garantie d’une confidentialité absolue. Noter cependant que deux tiers du panel préfèrent d’autres approches. Résultat préoccupant, seules 37 % des organisations chiffrent leurs données hébergées dans le cloud et une part significative, soit 42 %, ne les chiffre pas. L’échange de données sensibles entre les organisations et les hébergeurs est mieux loti avec 49 % des organisations qui les chiffrent.Le référentiel SecNumCloud, notamment, semble influencer les comportements des entreprises. Ainsi, 45 % des organisations exigent systématiquement des certifications de sécurité de la part de leurs hébergeurs et fournisseurs cloud. L’audit des hébergeurs par les entreprises ne concerne que 21 % des organisations mais suppose la mise en place délicate d’une relation de confiance a postériori.
Les partenariats entre les grandes entreprises en française et les hyperscalers ne peuvent se prévaloir du respect complet de souveraineté numérique des données sensibles. Il s’agit des projets Bleu (Orange, Capgemini et Microsoft), S3NS (Google et Thales) ou encore Numspot (Docaposte, Dassault Systèmes et Bouygues Telecom).
Il existe cependant des initiatives purement européennes avec les services du leader OVHCloud et son service d’hébergement VMware vSphere qualifié SecNumcloud ou encore Outscale SecNumCloud et d’autres. Certes, ces offres sont moins étoffées que celles des hyperscalers mais elles apportent une garantie de souveraineté pour les projets intégrant des données sensibles.
