Rechercher

Cloud souverain ou de confiance : garder la tête froide dans le nuage

cloud
Comment le boom de l'IA a fait naître une nouvelle génération d'entreprises de cloud à plusieurs milliards de dollars. Getty Images

Avec la montée des tensions internationales, les concepts de « cloud de confiance » et de « cloud souverain », apparus il y a dix ans, prennent une résonance particulière depuis quelques mois. Qu’est-ce qui a changé dans l’UE depuis la création du consortium Gaia-X ? Que pèse la qualification SecNumCloud ?

Un article issu du numéro 26 – printemps 2024, de Forbes France

 

La souveraineté des systèmes d’information et le cloud de confiance intéressent les organisations : selon le club d’experts Cesin (cybersécurité), une entreprise sur deux (55 %) montre « un attrait marqué pour les initiatives en cours ».

« La souveraineté renvoie à des services de cloud computing qui sont conformes aux réglementations territoriales, européennes et nationales », constate Noham Medyouni, CTO ambassador chez Dell Technologies France, tandis que le concept de cloud de confiance serait « complémentaire, moins restreint, moins strict ».

Dans ce contexte, la qualification SecNumCloud élaborée en France par l’Anssi (Agence nationale de la sécurité des systèmes d’information) se justifie : « C’est un référentiel prescrivant des règles de sécurité et s’inspirant des directives européennes, dont celles sur la protection des données personnelles (RGPD). Il impose que le fournisseur soit européen, qu’il détienne la certification ISO 27001 sur l’ensemble de sa plateforme, qu’il soit opérationnel localement, avec du personnel basé en Europe, sous contrat européen », précise Noham Medyouni.

Les fournisseurs de services cloud qualifiés SecNumCloud ne sont pas légion en France. On peut citer OVH Cloud, CloudTemple (groupe Neurones), Oodrive, Prolival (Horizon), Scaleway, ou deux nouveaux entrants, Bleu et NumSpot (cf. encadré).

L’Allemagne recense quelques acteurs également capables de rivaliser avec les géants américains du cloud, dits « hyperscalers » (Amazon AWS, Google, iCloud d’Apple, Microsoft…), sans oublier les chinois Alibaba et Huawei.

 

Quelle vision européenne ?

Cette distinction entre cloud de confiance et cloud souverain est entendue par l’Union européenne. Il s’agit de fixer des règles du jeu, comme celles sur la protection des données personnelles (RGPD), ou encore les DMA (Digital market act), et DSA (Digital services act), et bientôt sur l’IA.

L’Europe réplique ainsi au Patriot act et au Cloud act (poussé par Donald Trump), deux dispositifs qui ouvrent aux administrations centrales des États-Unis l’accès aux données des entreprises américaines à l’étranger. Pour faire contrepoids, le consortium franco-allemand Gaia-X, initié par une vingtaine d’acteurs allemands et français, avait eu le soutien de la Commission de Bruxelles. Mais sur un malentendu : « En réalité, les Allemands ne voulaient pas exclure les hyperscalers américains mais plutôt susciter des agrégations ou passerelles avec leurs plateformes », observe Noham Medyouni (Dell).

Du coup, en 2021, certains membres cofondateurs de Gaia-X, dont Scaleway (Yann Lechelle, proche de Xavier Niel), ont claqué la porte. Aujourd’hui, l’alliance compte plus de 370 membres du monde entier et veut faciliter la création de data spaces. On est loin de la souveraineté… « Tout le monde s’y est donné rendez-vous, y compris Google, Huawei… Ça pose des questions sur le lobbying », observe Mos Amokhtari, responsable Stratégie cloud chez Red Hat France (distributeur de logiciels libres ou en sources ouvertes, acquis par IBM).

De leur côté, Outscale (Dassault Systèmes) et Docapost ont créé NumSpot (cf. encadré). Citons également Cloud Temple choisi par des institutions publiques, dont l’EFS (Don du sang).

 

La question de l’extraterritorialité subsiste

Il n’empêche, le cloud de confiance suffit à de nombreuses entreprises : selon une récente étude d’IDC, 82 % des organisations en Europe déclarent l’utiliser ou l’envisager.

« Les fournisseurs de cloud public y viennent, constate Mos Amokhtari, mais il reste que les données ne doivent pas pouvoir quitter le territoire. » En clair, s’assurer que les clés de chiffrement des données ne soient pas exposées au Cloud act américain.

La qualification SecNumCloud (dans sa version 3.2) écarte précisément tout risque d’extraterritorialité des données. Et pourtant, on voit naître des alliances comme celle scellée entre Google et Thales autour de la coentreprise S3NS pour une offre de cloud de confiance. « Ce rapprochement inattendu, un peu hors nature, a tout d’une réplique à la coentreprise Bleu annoncée en 2022 et réunissant Microsoft, Orange et Capgemini, observe Mos Amokhtari. À travers ces alliances, les géants du cloud semblent vouloir anticiper le durcissement des règles du jeu édictées par l’UE. »

 

Garder le contrôle, surtout avec l’IA

La bonne pratique consisterait à conserver les données critiques chez soi sur un cloud privé ou cloud de confiance ; et, pour le reste, une partie du système d’information serait étendu à un cloud public tout en gardant le contrôle.

« Le qualificatif “souverain” est invoqué lorsque l’activité est très sensible, par exemple dans la banque, la défense nationale, la recherche nucléaire, etc.», ajoute le responsable de Red Hat. Le secteur de la santé, très friand de modélisation, utilise des algorithmes d’IA (comme LLM, large language model) qui nécessitent de piocher dans de vastes ensembles de données. Or, au nom de la souveraineté, cet accès aux données peut se fermer : « Pour les chercheurs, c’est un dilemme compliqué, une question de géopolitique et non de technologie », observe Noham Medyouni (Dell).

Le monde de l’édition s’intéresse aussi au cloud souverain, surtout s’il utilise une IA générative :

« Ici se pose la question de la propriété intellectuelle et des droits d’auteur. Or, dans ce domaine, la France est bien placée avec des start-up comme Hugging Face, bien accueillie aux États-Unis, ou encore Mistral AI [IA générative] », ajoute le spécialiste de Dell.

 

Réversibilité et portabilité

La réversibilité et la portabilité restent cruciales : comment passer d’un cloud à un autre ?

Cela reste techniquement compliqué et coûteux. Ce qui explique le succès de solutions open source comme Openshift. « Il s’agit souvent de services managés, donc externalisés, et à la demande, facturés par “instance”, à l’usage. L’accès au code doit rester ouvert », insiste Noham Medyouni.

Ainsi, comme HPE, IBM, Oracle et d’autres, Dell a développé sa propre plateforme (Cloud APEX for Openshift). Il existe des alternatives à Openshift (environ 47,8 % du marché, selon IT Pro, 2021) : citons Suse Rancher, choisie par France Travail, ou des serveurs virtuels (clusters) Tanzu Kubernetes chez VMware ou encore Canonical Kubernetes sur Ubuntu (autre open source)…

On peut aussi concevoir d’entraîner sa modélisation chez un hyperscaler avec quelques données pour ensuite la développer sur un cloud souverain indépendant. Bref, tous les scénarios restent possibles.

 


À lire égalementEffet d’annonce ou réalité : l’IA dépassera-t-elle l’intelligence humaine ?

Vous avez aimé cet article ? Likez Forbes sur Facebook

Newsletter quotidienne Forbes

Recevez chaque matin l’essentiel de l’actualité business et entrepreneuriat.

Abonnez-vous au magazine papier

et découvrez chaque trimestre :

1 an, 4 numéros : 30 € TTC au lieu de 36 € TTC