Dans le domaine du cloud computing, le sujet de la souveraineté des données a évolué d'un simple concept à un argument de vente convaincant, puis même en un élément différenciateur crucial dans le discours marketing des fournisseurs de services cloud.
Cette montée en puissance illustre l'évolution des attentes des clients et des normes de l'industrie en matière de protection des données.
Cloud souverain : un argument marketing qui répond à un besoin
Tout d’abord, il convient de définir le cloud souverain. Ce modèle de cloud où les services et les infrastructures sont gérés et contrôlés par des entités nationales ou régionales, partageant les mêmes exigences normatives, sécuritaires et les mêmes règles que les autorités et pouvoirs publics du territoire sur les sujets de la confidentialité des données, de l’autonomie et de l’indépendance. Le contre-exemple en la matière, pour nous européens, concerne les acteurs américains soumis au Cloud Act. Cette loi, adoptée par le Congrès américain en 2018, permet aux autorités américaines d'accéder aux données stockées par des fournisseurs de services des cloud américains, même si ces données sont situées en dehors des États-Unis. Rendant par définition l’annonce de l’AWS European Sovereign Cloud caduque, malgré une communication pavée de bonnes intentions. Faire le choix d’une infrastructure cloud souveraine pour l’hébergement et le traitement des données attire donc, à juste titre, les entreprises en raison de plusieurs facteurs-clés.
Tout d'abord, c’est l’assurance d’un contrôle direct de leurs données sensibles et d’une protection de leurs informations stratégiques conformément à leurs propres politiques de sécurité. C’est également la garantie d’une sécurité accrue, par la réduction des risques liés aux accès extraterritoriaux non-autorisés. Et c’est aussi la promesse d’une meilleure performance grâce à un taux de latence plus court, du fait de la proximité des données. In fine, la souveraineté du cloud renforce la confiance des utilisateurs, comme c’est le cas en France avec pour exemple OVHcloud, 3DS Outscale, Cloud Temple, Scaleway ou encore T-Systems en Allemagne. Mais derrière cette notion, il existe un débat complexe qui soulève des questions fondamentales sur la conciliation entre la souveraineté, la qualité des produits ou services et les coûts associés.
Il est difficile de défendre efficacement la souveraineté dans un environnement où les règles de financement, de concurrence et les règlementations varient d'un pays à l'autre. Par exemple, les États-Unis utilisent la commande publique comme financement des entreprises de cybersécurité, accélérant grandement leur développement et déploiement. Ce qui n’est pas forcément le cas en Europe, où ces solutions outre-Atlantique sont même souvent préférées, créant ainsi des déséquilibres et des inégalités concurrentielles. Dans ce contexte, accepter de segmenter son infrastructure informatique auprès de spécialistes, plutôt que de faire appel à un acteur global, malgré un potentiel surcoût, peut être considéré comme une option légitime pour garantir la souveraineté. D’un point de vue étatique, cela amène à poser la question de l'introduction de taxes sur les produits ou services étrangers, pour compenser les disparités réglementaires et assurer une concurrence équitable, ce que font déjà plusieurs gouvernements et institutions.
Mais s’il faut rester réaliste, les opérateurs de clouds souverains rencontrent aussi des limites dans leur quête d'autonomie totale, notamment en ce qui concerne la dépendance envers les matériels et logiciels utilisés, comme VMware, Veeam et les solutions Kubernetes développées par des entreprises étrangères telles que Google.
Repenser la stratégie cloud
Si la bataille du cloud BtoC semble déjà perdue, celle du cloud BtoB ne l’est pas encore. Les solutions souveraines offrent un moyen de pallier à cette omniprésence d’acteurs étrangers, principalement américains (41% du cloud français est exploité par 5 acteurs américains, selon une étude IDC). Mais la souveraineté du cloud n'est qu'un élément parmi d'autres dans une stratégie globale de gestion des données et de sécurité informatique, qui se doit d’être flexible pour pouvoir s’adapter aux futures évolutions et nouvelles orientations stratégiques.
Le bon compromis réside dans la diversification des solutions cloud, en évitant de mettre tous ses œufs dans le même panier et en envisageant la réversibilité ; un modèle hybride entre le cloud souverain, le cloud standard et les solutions on-premise. Des entreprises telles que Netflix, qui ont adopté une approche multi-cloud avec succès, en utilisant simultanément les services de fournisseurs comme Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform, démontrent les avantages d'une stratégie multi-cloud en matière de résilience, de flexibilité et de réduction des risques liés à la défaillance d'un fournisseur unique.
En complément, la sécurisation des données hébergées sur ces cloud peut être renforcée via des technologies de chiffrement des données avec des clefs de chiffrement externes gérées par un acteur souverain, afin que les données sensibles stockées ou en transit ne soient lisibles que par l’expéditeur ou le destinataire.
Et enfin, il est crucial de rendre transparente la gestion et l’exploitation des données, incitant les entreprises à fournir des informations détaillées sur la manière dont leurs données et celles de leurs clients sont gérées dans le cloud : exploitants, zone géographique nationale, gestion managée… La responsabilité partagée entre les fournisseurs de services cloud et les entreprises clientes représente une garantie de l’utilisation responsable et sécurisée des données.
De nombreuses évolutions sont à venir dans le domaine du cloud, avec l'émergence de nouvelles technologies telles que le chiffrement post-quantique, l’edge computing, l'intelligence artificielle et la blockchain. Les fournisseurs français et européens de solutions d’hébergement sont de ce fait fortement attendus dans leur capacité à proposer des solutions de pointe, en restant flexibles et ouverts à l'innovation. C’est ainsi qu’ils pourront dès à présent positionner leurs stratégies cloud pour tirer pleinement parti des avancées futures et assurer leur succès à long terme, tout en assurant notre souveraineté économique.
