Thales se lance à son tour dans la course à la souveraineté numérique avec le lancement de son cloud de confiance

Thales se lance à son tour dans la course à la souveraineté numérique avec le lancement de son cloud de confiance

Thales a annoncé hier matin avoir signé un accord stratégique avec Google Cloud pour co-développer, au sein d’une nouvelle société indépendante de droit français gérée et opérée majoritairement par Thales, une offre de cloud souverain qui répondra aux critères du label français « cloud de confiance » certifié par l’ANSSI. L’offre commune de Thales et Google s’appuiera sur les technologies et services les plus avancés de chacun des partenaires, Google fournissant les dernières innovations de sa plateforme cloud et Thales les garanties de souveraineté requises en France en assurant, notamment, la gestion des clés de chiffrement, des accès, des identités et la supervision de son Centre Opérationnel de Cybersécurité. Notons que les données seront hébergées, contrôlées et opérées en France par cette joint-venture et que les mises à jour du stack technologique Google seront gérées en continu mais réceptionnées, évaluées et validées au sein d’un sas de sécurité piloté par Thales agissant comme tiers de confiance. La nouvelle entreprise devrait être créée au cours du premier semestre 2022 et les services opérationnels dès le début 2023.

L’annonce de Thales s’inscrit dans un contexte de multiplication des initiatives faites par différents acteurs en France, mais aussi en Europe, autour du cloud de confiance et, plus globalement, de la souveraineté numérique.

  • Capgemini et Orange ont ainsi annoncé, en juillet dernier, la création prochaine de leur cloud de confiance, Bleu, basé sur le stack technologique de Microsoft.
  • OVHcloud a quant à lui beaucoup communiqué et participé à l’initiative Gaia-X et annoncé, début septembre, avoir obtenu la certification SecNumCloud et cloud de confiance pour deux de ses datacenters (Roubaix et Strasbourg).
  • En Allemagne, T-Systems et Google ont aussi annoncé, il y a quelques semaines la création d’une entreprise pour fournir une offre de cloud souverain pour l’Allemagne avec un large éventail de solutions et d'infrastructures cloud basées sur les technologies Google Cloud. Le service devrait être disponible d'ici la mi-2022 et s'adressera aux entreprises allemandes, au secteur public et aux organisations de soins de santé.
  • Enfin, au niveau européen, l’initiative Gaia-X continue de se structurer et de s’étendre avec pour objectif de présenter une harmonisation des normes autour du cloud et de créer des espaces d’échanges de données par secteurs garantissant l’interopérabilité des acteurs tout en protégeant la souveraineté des données, ceux-ci devant aujourd’hui se conformer à différentes certifications dans chacun des pays européens (SecNumCloud en France, C5 en Allemagne, AgID en Italie, ENS en Espagne...).

L’objectif de telles annonces est, avant tout, d’offrir une alternative pour se prémunir du « Cloud Act » américain (2018) et, plus récemment, de l’invalidation de l’accord Privacy Shield sur les transferts de données US-UE (2020) qui donne à la justice américaine l’accès aux données gérées/hébergées par des acteurs américains et ce, même si leurs serveurs se trouvent en dehors de leurs frontières. Au-delà, la souveraineté de l’Europe et de ses états membres autour du numérique implique également des enjeux bien compréhensibles concernant leur développement, leur indépendance et leur positionnement géopolitique, à l’heure où le numérique se diffuse dans tous les secteurs et toutes les strates d’une économie mondialisée et de sociétés plus ouvertes et plus connectées que jamais. L’objectif de souveraineté numérique traduit également l’enjeu de garantir la sécurité des états, de ses opérateurs d’intérêt vital et de services essentiels, en cas de crise ou de conflit. En novembre 2020, la DGSI a ainsi alerté sur les risques d’actions d’ingérence étrangère relatives aux données stratégiques et sensibles françaises, et recommandé de faire appel à des prestataires cloud qualifiés par l’ANSSI.

Enfin, mi-septembre, dans une circulaire de la direction interministérielle du numérique, le premier ministre souligne que les solutions Office 365 de Microsoft ne sont pas conformes à la doctrine Cloud au Centre de l’état et qu’il donnait 12 mois, après la date à laquelle une offre de cloud acceptable sera disponible en France, pour en migrer.

Pour s’en prémunir, le gouvernement a donc établi, en mai dernier, une nouvelle doctrine : le « Cloud de Confiance ». Afin d’obtenir cette certification, il est nécessaire d’avoir obtenu au préalable la certification SecNumCloud de l’ANSSI qui garantit un niveau de sécurité grâce à un audit des infrastructures de stockage, des habilitations des employés, de la conformité au RGPD et du respect de la réglementation CRYPO_B1 de l’ANSII (chiffrement des données stockées, des flux et du hachage des mots de passes). Ensuite, le cloud de confiance rajoute à ces exigences de sécurité une assurance juridique sur la souveraineté de ces données en obligeant les fournisseurs de solutions cloud à 1/ localiser les infrastructures et les opérer en Europe et 2/ assurer les portages opérationnel et commercial de l’offre par une entité européenne, détenue par des acteurs européens.

Si les fournisseurs de cloud sont de plus en plus nombreux à se lancer dans la course et prétendre au titre de cloud de confiance, PAC recommande néanmoins aux fournisseurs de services IT et aux utilisateurs finaux de suivre cette tendance à la souveraineté avec une certaine dose de prudence. En effet, si le label « cloud de confiance » permet aux ESN françaises de tirer parti de leur identité nationale pour se positionner comme partenaire privilégié, il demeure dangereux de fonder un modèle commercial uniquement basé sur des motifs de souveraineté dans un contexte où les réglementations et les comportements d’achat évoluent très vite. Ensuite, l’obtention du label « cloud de confiance », et les mesures de sécurité nécessaires à sa mise en place, coûtent cher (+20% à +30% vs une offre « standard » selon Outscale) ce qui rendra ces solutions pertinentes que pour certains marchés de niche (OIV, OSE, HDS, autres secteurs régulés…). Enfin, malgré la multiplication des annonces sur le sujet, le « cloud de confiance » demeure aujourd’hui plus un terme marketing qu’une réalité opérationnelle alors que la plupart des solutions annoncées ne sont pas encore disponibles sur le marché (Bleu sera lancé courant 2022, Thales/Google qu’en 2023…). Or, pour une entreprise utilisatrice, ces échéances, dans un marché du cloud en pleine explosion et mutation rapide, sont souvent trop éloignées et il faut considérer le fait qu’elles ont déjà largement investi dans les services cloud des leaders américains pour transformer leur IT et migrer ou déployer des applications / données…. Finalement nous recommandons donc aux entreprises et organisations utilisatrices de nuancer leur politique de gestion des données en caractérisant bien leur nature (confidentialité, niveau de sécurité, disponibilité, performance, valeur…) et opter chaque fois que possible pour une stratégie hybride, afin de pouvoir bénéficier du meilleur des deux mondes, à savoir de la sécurité du « cloud de confiance » (voire d’un cloud privé classique) pour les données les plus sensibles, mais avec des coûts bas, de la flexibilité et des outils favorisant l’innovation (IA, automatisation, data, API…) offerts par le cloud public.

 

Pour en savoir davantage sur le cloud de confiance, référez-vous au récent document « European Sovereign Cloud Providers – InBrief Analysis - Worldwide » publié sur SITSI [accès abonnés].