L’industrie de cybersécurité et l’État travaillent ensemble à l’émergence d’un cloud de confiance. Un catalogue d’offres est attendu en 2021.
Le cloud souverain, concrétisé par la création en 2012 de Numergy et Cloudwatt avec le soutien de l’État, a fait long feu. Mais le besoin d’un cloud indépendant, à l’abri d’intrusion de puissances étrangères, n’a pas pour autant disparu. Début 2018, Bruno Le Maire, le ministre de l’Économie et des Finances, a relancé l’idée. Mais pour éviter de rappeler le fiasco du cloud souverain, il a souhaité l’émergence d’un cloud de confiance !
Le concept est encore flou. Il fait l’objet d’un projet de développement dans le cadre du contrat conclu, début 2020, entre l’État et la filière stratégique de cybersécurité. La première étape consiste à en proposer une définition cette année. Y participent des offreurs de cloud comme OVH, Outscale et Oodrive, mais aussi de grandes entreprises à l’image de Thales, EDF et Docaposte. Il est copiloté par Michel Paulin, le directeur général d’OVH, et Édouard de Rémur, le cofondateur et directeur général d’Oodrive.
Pas question de refaire les erreurs du cloud souverain. À l’inverse de l’expérience passée, l’idée est, non pas de créer de nouveaux acteurs de cloud, mais d’agréger des briques existantes dans des solutions intégrées, performantes et compétitives avec celles des géants américains Amazon, Microsoft, Google, IBM et Salesforce, qui dominent aujourd’hui le marché. Et pour les briques manquantes, le projet entend soutenir l’émergence d’offres nationales. Un catalogue d’offres de confiance qualifiées sera proposé en 2021.
Se protéger du Cloud act
« L’objectif n’est pas d’évincer les clouds américains, mais de les compléter dans les applications sensibles », souligne Édouard de Rémur.
Pensé d’abord pour l’État, les collectivités locales et les opérateurs d’importance vitale, le cloud de confiance est censé protéger aussi les entreprises françaises du Cloud act.
Cette loi promulguée en 2018 donne au gouvernement américain accès aux données gérées par les clouds étasuniens, même dans leurs serveurs situés en dehors de leurs frontières. Bercy craint qu’elle soit détournée de son but affiché – la lutte antiterroriste – pour de l’espionnage économique au profit d’entreprises américaines.
Les promoteurs du cloud de confiance veulent sensibiliser les entreprises sur les risques du Cloud act et les amener à mettre la question de la confidentialité des données sur la table de négociations lorsqu’ils envisagent d’utiliser des clouds américains.
L’idée est de les inciter à faire le tri entre les données sensibles, qui doivent être protégées, et celles non sensibles qui peuvent être confiées à des clouds étrangers. Ils veulent aussi pousser les fournisseurs américains à plus de transparence sur la localisation des données et la loi qui s’y applique.
Pour aider les entreprises françaises à y voir plus clair dans l’offre, un ensemble de règles de réversibilité, portabilité et transparence sera publié en 2022.
Source : www.usinenouvelle.com