Depuis quelques années les grands fournisseurs de cloud américains multiplient les annonces, les initiatives ou les offres présentées comme souveraines. Oracle EU Sovereign Cloud est en ligne depuis juin 2023, les contours d’Amazon Web Services (AWS) European Sovereign Cloud ont été préfigurés en octobre de la même année. En 2022, c’est Microsoft Cloud for Sovereignty qui est dévoilé, tandis que Google a révélé son plan « Cloud. On Europe’s Terms » l’année précédente. Les quatre plus grands fournisseurs de cloud mondiaux, tous américains, ambitionnent d’accueillir les données les plus sensibles des services publics et entreprises françaises et européennes. Toutefois, la conquête de ce marché par des acteurs extérieurs au Vieux continent ne se fait pas sans polémiques.
Cloud de confiance ou cloud souverain, du marketing avant tout ?
L’émulation d’offres souveraines a suscité un certain émoi en France. L’emploi du terme souveraineté par des sociétés non européennes, en l’occurrence américaines, a été vivement discuté. « Toutes les appellations de cloud souverain des Microsoft, AWS… Elle relève du marketing, car elles n’ont rien à voir avec la notion de souveraineté » estime Henri d’Agrain, délégué général du Cigref, une association qui s’est donné pour mission de développer le numérique et sa maîtrise dans les grandes entreprises et les services publics. Il n’est pas le seul à exprimer cette opinion. Naturellement, les fournisseurs de cloud en question, contactés par Siècle Digital, s’en défendent.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Un problème se pose immédiatement lorsqu’il s’agit de démêler ce qui est souverain de ce qui ne l’est pas. La définition même de cette notion. Une problématique complexifiée par la popularité de la variante « souveraineté numérique ». « Souveraineté numérique est une formule prisée par les médias, car elle est facile à utiliser. Seulement, on met un peu tout et n’importe quoi dedans » signale Ophélie Coelho, chercheuse indépendante en géopolitique du numérique. Les journalistes ne sont pas les seuls à l’apprécier, les politiques en sont également friands : la nouvelle secrétaire d’État au numérique, Marina Ferrari, l’a mentionné à plusieurs reprises dans son discours de prise de fonction.
Face au flou de la notion, revenir à la définition première de la souveraineté est préconisé. Le Centre national de Ressources Textuelles et Lexicales parle de la souveraineté comme la « Qualité propre à l’État qui possède le pouvoir suprême impliquant l’exclusivité de la compétence sur le territoire national et sur le plan international, l’indépendance vis-à-vis des puissances étrangères ». Une bonne base, mais qui ne permet pas pour autant de mettre tout le monde d’accord.
Damien Rilliard, directeur chez Oracle EMEA, responsable des questions de souveraineté, aime à dire que « le mot souveraineté c’est un terme très précis, qui a autant de définitions que de personne à qui on s’adresse » il ajoute que « c’est encore plus vrai selon le pays où on l’utilise ». Impossible de s’entendre, si personne ne parle de la même chose. Pourtant l’enjeu est crucial. Dans le baromètre annuel du Club des Experts de la Sécurité de l’Information et du Numérique (CESIN), sur 450 responsables cybersécurité, 55 % estiment que la souveraineté est un sujet de préoccupation pour leurs entreprises.
Pour éclaircir la situation, le ministre de l’Économie, Bruno Le Maire a présenté la stratégie du gouvernement pour le cloud en 2021. Un label a été créé, « cloud de confiance » pour attester de la souveraineté d’un service. Il repose sur le référentiel SecNumCloud 3.2 de l’Agence nationale de la Sécurité des Systèmes d’Information (ANSSI). Ce dernier, qui contient environ 270 critères, vise à certifier, entre autres, que le cloud est hors de portée de législations extraterritoriales. Aux États-Unis, les lois qui effraient sont le Clarifying Lawful Overseas Use of Data Act, plus connu sous son acronyme CLOUD Act, et la section 702 du Foreign Intelligence Surveillance Act (FISA). Pour Henri d’Agrain, cette solution est adaptée aux préoccupations des entreprises et administrations concernées « SecNumCloud est un instrument de souveraineté. À ce titre-là, un service cloud qui est qualifié SecNumCloud répond à des critères de souveraineté ».
Bruno Le Maire, Ministre de l’Économie, des Finances et de la Souveraineté industrielle et numérique. Image : Twitter / @Economie_Gouv.
Les services dédiés d’Oracle et d’AWS ne prétendent pas, actuellement, à la qualification SecNumCloud. Si cette perspective n’est pas totalement exclue, elle n’est pas à l’ordre du jour. Les deux groupes estiment fournir ainsi de meilleurs clouds, tout en répondant à l’exigence de souveraineté.
Pour Oracle, Damien Rilliard met en avant que deux régions cloud déjà actives en Europe ont été construites à partir de zéro dans ce but. Elles sont « opérées par des Européens, déployées par des Européens, supportées par des Européens, sécurisées par des Européens, appartenant à des autorités légales soumises à des Européens ». Il avance qu’elles sont « complètement, physiquement, logiquement, organisationnellement, séparées, isolées du reste de nos clouds ».
Côté Amazon, pour l’offre à venir, Stephan Hadinger, directeur de la technologie AWS France, vante surtout l’outil de chiffrement maison, Nitro. « L’idée derrière Nitro est que si un juge, une administration, quel que soit son pays d’origine, nous demande des données, la seule réponse que nous ayons à chaque fois, c’est que nous sommes incapables de les fournir en clair ». Il n’y a que le client d’AWS qui a accès à ses données, donc c’est lui qui choisit de répondre ou non aux injonctions extraterritoriales américaines affirme Stephan Hadinger à Siècle Digital.
Les deux entreprises assurent avoir fait auditer la robustesse de leurs solutions, avec des résultats pleinement satisfaisants. Certains interlocuteurs de Siècle Digital en doutent toutefois. Il n’empêche, SecNumCloud est obligatoire pour les services publics, fortement conseillé pour les entreprises ayant des données sensibles voire stratégiques. Pour AWS et Oracle ce n’est pas un problème, ce serait une question de temps : les deux groupes ont en commun d’avoir en ligne de mire l’European Union Cybersecurity Certification Scheme for Cloud Services (EUCS). Une certification cloud à l’échelle européenne en cours de discussions (animées), destinée à supplanter le SecNumCloud.
Face à l’approche européenne d’AWS et Oracle, Microsoft et Google ont opté pour un autre chemin, spécifique au marché hexagonal. Ils ont fait le choix de conclure des partenariats avec des entreprises françaises de nature à permettre l’obtention de la qualification SecNumCloud à la sortie des services, prévue pour fin 2024.
Microsoft est partenaire technique d’une société, Bleu, fruit d’une alliance entre Orange et CapGemini. « Nous avons souhaité être jusqu’au-boutistes par rapport à SecNumCloud en ne faisant pas entrer d’acteurs non européens au capital », explique Jean Coumaros, PDG de Bleu.
Google, de son côté, a créé une joint-venture avec Thales pour donner naissance à S3NS. « L’exigence de SecNumCloud fixe à 24 % la part détenue par un acteur non européen, nous sommes largement en dessous de ça », rapporte Cyprien Falque, PDG de S3NS. Il précise que « Google dispose d’un siège d’observateur : sans aucun droit de vote, sans aucun droit de véto et tous les employés sont des employés Thales ». Détail intéressant, ni Bleu, ni S3NS ne mettent en avant la notion de souveraineté dans leur communication récente. « Tout le monde peut revendiquer qu’il est cloud souverain puisqu’il n’y a pas de définition précise » pointe Jean Coumaros. Cyprien Falque abonde, « Nous évitons de parler de cloud souverain, car c’est un terme galvaudé. Nous préférons se rapprocher de quelque chose d’objectif, qui ne fait pas débat comme le cloud de confiance ».
Derrière la souveraineté, une quête bien française d’autonomie stratégique
La voie empruntée par Google et Microsoft est perçue comme un compromis satisfaisant par certains, « Sur le papier, S3NS et Bleu devraient offrir des solutions qui seront conformes au référentiel SecNumCloud dans sa version 3.2. Cela donne un niveau de confiance raisonnable face au FISA ou au CLOUD Act » considère Henri d’Agrain du Cigref. Cela répond aussi à la volonté de Bruno le Maire exprimée lors de la présentation du cloud de confiance en 2021. Sa stratégie se voulait un équilibre pour profiter des « meilleures technologies » tout en garantissant une « protection maximale ».
L’argument ne convainc pas tout le monde. La perspective d’une certification de S3NS et Bleu serait un « discrédit majeur porté à la norme » juge Bertrand Leblanc-Barbedienne, derrière le média SouveraineTech. Ce dernier, qui ne cache pas travailler pour une société active dans le cloud, Whaller, développe, « il ne s’agit pas de dire qu’il n’y a pas une grande puissance technologique américaine, il s’agit de dire que sur le long ou moyen terme nous avons la capacité de rattraper ce retard pourvu que nous nous départissions de ce softpower qui nous a contaminés, qui fausse durablement notre vision des choses ».
Dans une certaine mesure, ce raisonnement se retrouve dans l’analyse d’Ophélie Coelho, auteure d’un ouvrage sur la géopolitique du numérique. Selon elle SecNumCloud tape à côté, même si l’intention est bonne. L’idée d’empêcher les États-Unis, la Chine ou tout autre État ayant les capacités techniques d’atteindre les données européennes à des fins d’espionnage économique est une illusion. Un avis largement partagé par la plupart de nos interlocuteurs. Ce faisant « la vraie question c’est de savoir produire la technologie et la maîtriser plutôt que de chercher des stratagèmes pour maîtriser des technologies qui ne nous appartiennent pas ».
Ce regard correspond au sens pris par la notion de souveraineté numérique en France, depuis sa première utilisation, en 2011 dans une tribune signée par Pierre Bellanger, PDG de la radio Skyrock. Professeur de droit du numérique à l’université de Grenoble, Théodore Christakis rapporte à Siècle Digital « deux acceptions du terme » l’un classique, la régulation, la seconde est celle de « la souveraineté en tant qu’autonomie stratégique et capacité d’agir dans la sphère numérique sans être limitée dans une mesure indésirable par des dépendances externes ».
L’autonomie stratégique est centrale en France depuis des décennies, la voilà désormais appliquée au cloud. Même les offres locales, certifiées, utilisent des logiciels, des matériels ou des capitaux non européens, aiment rappeler les fournisseurs de cloud américains. L’enjeu ne semble pas de se fermer aux services ou aux technologies venus des États-Unis, personne ne l’envisage ni ne le souhaite. Il est plutôt celui du degré de dépendance jugé acceptable pour la gestion de données sensibles.
C’est là une question éminemment politique. Le gouvernement actuel a prescrit sa réponse en France et tente aujourd’hui de l’intégrer au niveau européen via l’EUCS.