Découvrez Le Brief de la Démat, la newsletter thématique gratuite d'Archimag dédiée aux professionnels des data, de la dématérialisation et de la transformation numérique !
Les pays et juridictions exigent un plus grand contrôle sur les données qu'ils possèdent à l'intérieur de leurs frontières. Et les entreprises demandent à leurs fournisseurs de cloud davantage de transparence et de contrôle sur la manière et l'endroit où leurs données sont stockées, gérées et sécurisées.
Sous la pression des régulateurs sectoriels et même du gouvernement, ces organisations qui hébergent des données particulièrement sensibles sont fortement découragées, pour des raisons de confidentialité, de souscrire directement auprès des plateformes américaines qui dominent le marché (Amazon Web Services, Microsoft Azure, Google Cloud). Or, en face, les solutions françaises se comptent encore sur les doigts d'une main.
Qu’est-ce qu’un cloud souverain ?
Lancé dès 2009 par les institutions nationales, le projet « cloud souverain » visait à se prémunir de l’espionnage industriel et préserver la souveraineté numérique française. Avec la digitalisation de nos services, le besoin d’hébergement de données ne cesse de croître. Les entreprises se sont longtemps naturellement tournées vers les leaders mondiaux de l’hébergement. Et notamment les géants américains, soumis aux lois du Patriot Act.
Ces lois autorisent en toute légalité les services de sécurité américains à accéder aux données détenues par les entreprises sans autorisation préalable. Ces entreprises s’exposent donc à un risque d’espionnage. Le cloud souverain peut se définir comme le stockage des données et des applications par un hébergeur français sur le sol français.
Lire aussi : Gouvernement : la souveraineté numérique en ligne de mire
Les données hébergées sont ainsi dépendantes du droit français. Le cloud souverain s’adresse aux entreprises, collectivités ou toute organisation utilisant des données sensibles. A l'image de l’administration publique, du secteur de la santé ou de la recherche par exemple.
“Cloud de confiance”
L’avantage des acteurs locaux est donc celui de « l’immunité » au droit américain. Une labélisation « Cloud de confiance » – voulue par le gouvernement français et annoncée lors du lancement de sa nouvelle doctrine « Cloud au centre » – a même vu le jour en 2021.
Elle est décernée après avoir obtenu la certification SecNumCloud de l’ANSSI. Á celle-ci s’ajoute la nécessité de disposer de serveurs domiciliés en France. La structure qui les détient doit être européenne et possédée par des Européens.
Qui est concerné ?
Le label “cloud de confiance” concerne les fournisseurs de service cloud PaaS, SaaS ou IaaS qui veulent prouver leur respect des bonnes pratiques en matière de sécurité. Seuls les fournisseurs de services cloud européens dont les serveurs se situent en France seront éligibles à ce label. Ils doivent s’engager à respecter des normes strictes en matière de sécurité et de protection des données.
Cette qualification intéresse également les entreprises clientes qui cherchent un service cloud offrant un maximum de sécurité et une protection juridique pour leurs données. Le critère de la souveraineté est de plus en plus recherché et il est désormais un argument à mettre en avant pour développer les activités commerciales.
Les acteurs incontournables du cloud souverain
Toutes les organisations veulent aujourd’hui bénéficier des avantages du cloud avec toutefois de fortes exigences concernant l'emplacement de leurs données. Mais aussi les réglementations qu'ils doivent respecter et le personnel qui exploite l'infrastructure sous-jacente. Voici les partenaires vers lesquels elles peuvent se tourner :
Scaleway
Scaleway, filiale cloud du groupe Iliad et fournisseur français d’infrastructure cloud public, en forte croissance, apporte une réponse éprouvée aux besoins en infrastructure numérique des organisations du secteur public. Sa solution de cloud public souveraine et de confiance, hautement efficace sur le plan énergétique, soutient la stratégie cloud de l’Etat. Et sa doctrine d’utilisation des services cloud en permettant à l’ensemble des entités publiques (des collectivités aux hôpitaux) d’accéder aux catalogues des services cloud.
L’entreprise est d’ailleurs devenue en 2022 le premier fournisseur cloud européen à offrir de la résilience sur trois Zones de disponibilité (AZ) dans une même région : Paris. Poursuivant son expansion dans l’Union Européenne, Scaleway a ouvert deux nouveaux datacenters à Amsterdam et Varsovie. L’entreprise se dit d’ailleurs fière de ses datacenters et de leur sécurité.
Lire aussi : Transition numérique : « Aujourd’hui, les grandes évolutions concernent la data »
“Nous estimons avoir mis en œuvre ce qui se fait de mieux pour protéger ce qu’il y a de plus précieux pour vous : vos données”, souligne-t-elle. Ainsi, les quatre datacenters français sont audités au minimum une fois par an. Enfin, Scaleway met en avant plusieurs certifications, notamment la certification HDS (Hébergement des données de santé) et ISO 500001:2018. Cette dernière atteste de la mise en œuvre d’un système de gestion de l’énergie et qui garantit le respect des meilleures pratiques dans ce domaine.
Free Pro (ex Jaguar Network)
Iliad a également décidé, en fin d’année dernière, de réunir ses offres entreprises sous la marque Free Pro, en remplacement de Jaguar Network. Le nom reste toutefois associé à une gamme d’offres baptisées XPR Jaguar Network by Free Pro. Elles regroupent les différents services de télécoms, d’hébergement et de cloud, ainsi que les services managés.
Au cœur de ces offres figurent XPR Cloud, un cloud privé dédié et mutualisé pour répondre à des enjeux et besoins de sauvegarde et de traitement de données sensibles ou d'élasticité. Reposant sur un socle technologique VMware, cette offre s'articule autour de 5 services adossés à une vingtaine de modules dont certains complémentaires (serveur dédié, stockage objet, marketplace, PRA, etc.).
Ce service est en voie de labellisation SecNumCloud. Une plateforme sécurisée pour héberger les données de santé est également proposée par la marque qui s’appuie pour cela sur des datacenters certifiés ISO 27001 et HDS (Hébergeur des données de Santé). L’un de ses principaux clients n’est autre que Doctolib, service qui revendique plus de 50 millions d’utilisateurs en France et plus de 300 000 professionnels de santé abonnés.
Orange Business Services
OBS propose deux offres : Flexible Engine et Cloud avenue (basé sur VMware). La solution de cloud de confiance d’Orange, Microsoft et Capgemini, “Bleu”, devrait voir le jour en 2024. Ce cloud de confiance s’adresse à toutes les organisations publiques ou privées qui manipulent des données personnelles et surtout des données sensibles.
Ce service cloud devrait être labellisé SecNumCloud par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en France, garantissant la sécurité des données. La société Bleu, née de l'alliance entre Orange, Capgemini et Microsoft, devrait proposer son offre de cloud dit "souverain" en 2024. Sous réserve des approbations réglementaires.
L'objectif est de proposer les services de Microsoft Azure tout en hébergeant les données sur le sol français. Et ce, afin qu'elles ne puissent a priori pas être examinées par les autorités américaines dans le cadre du Cloud Act.
Clever Cloud
La promesse de Clever Cloud est la suivante : « vous développez, nous déployons ». Ainsi, Clever Cloud est plus qu’une solution de Platform-as-a-Service (PaaS) tel que certains l’entendent. Mais plutôt une sorte de « Software Defined Hosting », tendance « Serveless », au sens où le client n’a jamais à se préoccuper de l’infrastructure.
L’entreprise implantée à Nantes assure le maintien en conditions opérationnelles des applications de ses clients. Elle simplifie le plus possible le processus de déploiement qui peut être totalement automatisé. Elle maintient également les applications en ligne, même en cas de mise à jour ou de pic de charge exceptionnel.
Lire aussi : Stratégie cloud : pourquoi les acteurs publics doivent changer leur approche
Clever Cloud gère aussi les sauvegardes, la reprise en cas de problème et assure la mise à jour du système et des briques logicielles sur lesquels elle s’appuie. Et ce, en se limitant le plus possible au strict nécessaire afin de maximiser l’efficacité, le niveau de performances et de sécurité proposés aux clients.
Notez que les services de Clever Cloud sont accessibles au sein du marché d’informatique cloud de l’UGAP. Ils peuvent donc être utilisés par tous les acteurs publics et parapublics, qui disposent ainsi de tarifs préférentiels. “Nos offres viennent apporter des solutions concrètes, économiques et faciles à prendre en main pour les acteurs du service public naturellement soucieux de leur souveraineté numérique”, confirme Quentin Adam, Président de Clever Cloud.
Oodrive
Oodrive propose des solutions SaaS et des infrastructures qualifiées SecNumCloud permettant de protéger les données sensibles des entreprises privées, des administrations publiques, des Organismes d’Importance Vitale et des Opérateurs de Services Essentiels. Selon l’entreprise dont le siège social est à Paris, la souveraineté numérique reste trop souvent résumée à la seule localisation des données, donc à l’emplacement des datacenters.
Or, le principal problème n’est pas de savoir où sont localisées les données, mais plutôt qui les contrôle et comment elles sont protégées. Le marché de la donnée est dominé par les Gafam (Google, Amazon, Facebook, Apple et Microsoft) aux USA et par les BATX (Baidu, Alibaba, Tencent et Xiaomi) en Chine.
Oodrive rappelle qu’un cloud souverain est un modèle de déploiement dans lequel l’hébergement et l’ensemble des traitements effectués sur des données par un service de cloud sont physiquement réalisés dans les limites du territoire national par une entité de droit français et en application des lois et normes françaises.
Oodrive s’est d’ailleurs lancé dans le processus de qualification du nouveau label Secure Cloud développé par l’ANSSI. Ce label proposera à terme deux niveaux de certifications : Secure Cloud et Secure Cloud+ sur les problématiques de sécurité. Pour bénéficier du premier niveau, les prestataires devront justifier de contrôles d’accès physiques, d’un système d’authentification fort avec mots de passe hachés. Mais aussi d’un chiffrement logiciel ainsi que d’un hébergement des données en Europe.
La certification Secure Cloud + ira plus loin. Les prestataires devront obligatoirement proposer un système d’authentification multi-facteurs, une infrastructure dédiée, un chiffrement matériel (via HSM) et garantir un hébergement 100% français. Oodrive est déjà sur les rangs.
3DS Outscale (Dassault Systèmes)
Filiale du groupe Dassault Systèmes, 3DS Outscale propose des services de type Infrastructure as a Service. L’entreprise française a fait le choix de dédier son activité à la fourniture de solutions Cloud, en donnant priorité à la souveraineté, la protection des données et l’innovation pour permettre à ses utilisateurs de réussir leur transformation numérique.
3DS OUTSCALE est le seul Cloud souverain en France en conformité avec le RGPD et le premier Cloud Provider en Europe à être certifié sur l’intégralité de l’entreprise et de son infrastructure. 3DS OUTSCALE s’engage ainsi pour une meilleure gestion des risques de sécurité de l’information.
Lire aussi : Coup d’envoi du projet d’espace européen des données de santé
L’entreprise revendique également les certifications ISO 27001, ISO 27017 et ISO 27018 par le Groupe LNE. Ces normes de sécurité internationale consistent à qualifier la sécurité des outils et des processus du système d’information. Et aussi à valider la conformité des systèmes de management de la sécurité de l’information de la plateforme Cloud aux exigences industrielles les plus strictes.
Le cloud 3DS OUTSCALE s’appuie cependant sur des technologies américaines, à savoir un système de stockage NetApp et des équipements réseau Cisco. Ce qui n’est pas un problème pour David Chassan, directeur de la stratégie de 3DS Outscale. Selon lui, la certification SecnumCloud impose des dispositifs spécifiques pour détecter le trafic réseau tiers, provenant par exemple de sniffers orientés espionnage intégrés dans les technologies américaines dans le cadre du FISA (Foreign Intelligence Surveillance Act). Les données hébergées sont donc bel et bien à l’abri des regards.
NFrance
NFrance est une PME toulousaine spécialiste de l’hébergement et de l’infogérance d’applications critiques. Elle a obtenu la certification ISO 27001 pour ses infrastructures d’hébergement et les capacités réseau de son datacenter. NFrance rejoint le cercle restreint des entreprises nationales à en être labellisées.
Avec cette certification, NFrance garantit la mise à disposition et le maintien en conditions opérationnelles des infrastructures d’hébergement associées au datacenter principal et à l’approvisionnement réseau. Cette certification atteste des bonnes pratiques et procédures qui sont mises en place pour assurer la sécurité des données confiées par les clients.
NFrance réalise par ailleurs de manière récurrente une réévaluation des risques et s’investit quotidiennement dans une amélioration continue de la sécurité. NFrance travaille sur de nouvelles certifications pour ses activités d'infogérance et pour celles d'hébergeur de données de santé (HDS). La boucle réseau NFrance est constituée d’un Datacenter principal et de 2 Datacenters secondaires. Ce réseau est interconnecté avec Cogent, Zayo et Orange, opérateurs de transit renommés.
OVHCloud
Né du partenariat entre Orange-Capgemini et Thales, OVHCloud propose évidemment une structure juridique qui isole son offre des réglementations extraterritoriales. Il conçoit par ailleurs lui-même ses serveurs et les assemblées au sein de son usine de Croix (Nord).
Cette internalisation permet à OVH d'optimiser et surtout de sécuriser en grande partie sa chaîne d'approvisionnement. OVHCloud a par ailleurs décroché la certification SecNumCloud pour son service de cloud privé qui, à la différence de son offre de cloud public (basée sur un socle open source), s'appuie sur une technologie VMware.
Cloud Temple
Filiale de l’ESN française Neurones, Cloud Temple est basée à La Défense et compte 330 salariés. Elle propose aux grandes entreprises hexagonales un cloud sécurisé qui repose sur une infrastructure redondée et répartie sur trois datacenters (Equinixe, Interxion et Telehouse), tous basés en France.
Lire aussi : Le Conseil constitutionnel proposera un portail QPC en 2023
Parmi les clients de l'offre cloud de Cloud Temple figurent plusieurs grandes entreprises de l'industrie dont Suez pour sa plateforme IoT (taillée pour gérer ses compteurs d'eau connectés), Naval Group (pour ses plateformes de communication externe) ou encore Framatome.
En mars 2022, Cloud Temple a obtenu la labellisation SecNumCloud décerné par l'Agence nationale de la sécurité des systèmes d'information (Anssi). Résultat : une bulle de sécurité isole désormais chaque client. Depuis sa qualification SecNumCloud, l'entreprise a ouvert un canal de vente indirect en se rapprochant des principaux intégrateurs et infogérants de la place : Capgemini, CGI, Kyndryl, Sopra Steria, Thalès, etc.
Numspot
Créée par La Poste, Dassault Systèmes, Bouygues Telecom et la Caisse des Dépôts, Numspot proposera dans le courant de l’année 2023 des services cloud hébergés en France aux entreprises et clients publics. Numspot espère capter une part du marché. Numspot proposera un hébergement « 100 % français » aux grandes banques et assurances hexagonales, aux hôpitaux et plus globalement au secteur public.
Thalès
Thales et Google ont créé fin 2021 une nouvelle entité afin de commercialiser une offre de cloud labellisée "cloud de confiance" avec des données hébergées en France dans une infrastructure séparée de celle de Google Cloud. Trois niveaux de séparation entre Thales et Google Cloud sont prévus : une séparation physique, matérielle et logicielle.
La société créée, filiale de Thales, aura ses propres serveurs, son réseau et son personnel. En revanche, les datacenters seront ceux de Google, installés en région parisienne, mais sur des machines séparées. L'architecture de l'offre a été présentée à l'Anssi pour obtenir la labellisation SecNumCloud.
Vers une certification européenne
Un projet de certification européenne EUCS (pour European cybersecurity certification scheme for cloud services) est également à l’étude. Portée par l'ENISA (European network and information security agency), celle-ci est largement inspirée du label SecNumCloud qui a été retenu comme référence pour concevoir son niveau le plus élevé.
Lire aussi : Sécurité des données : la bataille des clouds souverains
L'EUCS qui est actuellement en phase de discussion contribuera à homogénéiser les certifications des clouds en matière de cybersécurité en Europe. Ce qui permettra de disposer d'une offre, pas seulement française, mais européenne à l'état de l'art en termes de sécurité et d'étanchéité avec les législations extraterritoriales.