Cloud Souverain Français : enjeux, principes et impact

La gestion des données sensibles représente une préoccupation partagée par de nombreux Français. 87 % d’entre eux seraient susceptibles de quitter les services d’une entreprise qui subiraient une fuite de données.

Aujourd’hui, selon IDC, 63 % des entreprises européennes ont déjà stocké des données sur un cloud public dont les datacenters se trouvent à l’étranger. Dans ce cas, ces données peuvent tomber sous le joug de lois étrangères et voir leur confidentialité mise à mal.

Le cloud souverain, basé en France et soumis aux lois françaises et européennes, s’avère une solution de confiance. La souveraineté numérique représente un enjeu important pour garder le contrôle sur ses données et préserver sa liberté et sa compétitivité. La migration vers un service cloud souverain constitue la condition nécessaire pour préserver son indépendance numérique.

Qu’est-ce que le cloud souverain ?

Comment définir le cloud souverain et ses spécificités ? Comment se situe-t-il par rapport aux différents types de cloud ?

Le cloud souverain désigne un service cloud basé sur le territoire français. Ainsi, l’hébergement des données, leur gestion et l’infrastructure utilisée sont circonscrits au territoire français. Le traitement des données s’effectue en accord avec la législation et les normes françaises.
Le cloud public, à l’opposé du cloud souverain, représente une infrastructure informatique qui met à disposition du public des ressources via internet. Dans cette configuration, les données s’avèrent peu sécurisées, car les ressources sont partagées publiquement. Toutefois, elles ne le sont pas forcément dans l’intégralité de la structure. Dans la majorité des cas, le stockage des données est effectué dans une zone non accessible au public à partir d’internet. Contrairement aux idées reçues, la sécurisation de ces données dépend du type de stockage (base de données, stockage bloc, stockage objet) et non du type de cloud utilisé.

La souveraineté des données n’est pas toujours une préoccupation pour les fournisseurs de cloud public. En effet, les datacenters s’avèrent le plus souvent situés à l’étranger. Dans ce cas, les données des utilisateurs sont donc stockées dans plusieurs pays sans que vous ayez la possibilité d’intervenir. Ces dernières peuvent être l’objet d’exploitations par les pays concernés s’ils sont situés en dehors de l’Europe. Néanmoins, certains fournisseurs comme Amazon Web Services ou Microsoft ont des projets de cloud européen pour répondre aux contraintes réglementaires de l’Europe. En outre, cette solution a des limites. Elle ne peut en aucun cas proposer une approche personnalisée : les services et les solutions étant standardisées. Bien que ce ne soit pas systématique, si le cloud public est partagé entre différents utilisateurs, il peut souffrir de problèmes de disponibilité.

Le cloud public s’oppose donc au cloud souverain sur différents aspects. Ce dernier propose une sécurisation accrue des données stockées sur des serveurs situés en France.

Le cloud privé désormais, est une solution qui offre plus de contrôle. Contrairement aux services mutualisés du cloud public, le cloud privé représente une infrastructure utilisée par une seule organisation. Son hébergement est assuré sur site ou par un hébergeur cloud indépendant. Dans ce cas, il s’agit de solutions cloud SaaS ou Iaas. Le cloud privé permet de bénéficier de certains avantages que le cloud public ne peut offrir :

• Un contrôle du matériel et des logiciels et machines virtuelles développés ou utilisés ;
• Une liberté de personnalisation pour développer des applications sur mesure qui s’adaptent pleinement à leurs besoins ;
• Une maîtrise de la sécurité des données et du contrôle des accès utilisateurs ;
• Le respect des lois et réglementations qui assure la conformité du cloud.

Le cloud privé possède cependant des inconvénients :

• Un coût plus élevé ;
• Une flexibilité limitée en fonction des capacités de stockage, du CPU et GPU de la solution cloud.

Cette solution de cloud computing peut s’avérer compatible avec la mise en place d’un cloud souverain. Pour cela, il faut organiser sa migration vers un cloud français. Kaliop peut vous aider dans ce choix.

Le cloud hybride : la solution intermédiaire

Le cloud hybride représente une solution intermédiaire entre cloud public et cloud privé. Il intègre de manière flexible des infrastructures issues de ces deux modèles. La partie privée du cloud est destinée à conserver les données sensibles : elles sont généralement hébergées sur site. Les applications et autres ressources informatiques non critiques sont, quant à elles, stockées sur le cloud public. Ainsi, le cloud hybride permet de gagner en flexibilité et de répondre aux exigences de l’entreprise :

• Une sécurisation accrue des données gérées par l’entreprise elle-même ;
• La possibilité d’avoir une capacité de stockage plus étendue qu’en utilisant uniquement le cloud privé ;
• L’ajout de modules complémentaires et techniques de virtualisation répondant aux nouveaux besoins de l’entreprise et nécessitant davantage de ressources n’est plus un problème.

Les caractéristiques principales du cloud souverain

Le cloud souverain permet de garantir la sécurité et la conformité des données aux réglementations en conservant celles-ci sur le territoire Français. Ces données sont soumises uniquement aux lois françaises qui préservent leur confidentialité. En bénéficiant de data-centers sur le territoire, le cloud souverain s’avère très performant. Cette proximité implique une grande stabilité, un temps de réponse rapide et une vitesse d’exécution améliorée.

Pourquoi le cloud souverain se développe de plus en plus ?

Le développement croissant du cloud souverain s’explique par plusieurs facteurs clés. Tout d’abord, la sensibilisation accrue aux enjeux de confidentialité et de protection des données pousse les entreprises et les institutions à rechercher des solutions de stockage conformes aux réglementations locales. En Europe, le RGPD impose des normes strictes qui favorisent l’adoption de services cloud situés sur le territoire national, garantissant ainsi que les données ne peuvent être accédées par des entités étrangères. Ensuite, le contexte géopolitique et les risques de cyberattaques incitent les organisations à sécuriser leurs informations sensibles, renforçant ainsi la demande pour des infrastructures souveraines. Enfin, les initiatives gouvernementales, comme la mise en place de la loi de programmation militaire en France, encouragent activement les entités publiques et privées à adopter des solutions de cloud souverain pour protéger les intérêts nationaux.

Les principes du cloud souverain français

Pour qui le cloud souverain est-il obligatoire en France ?

En France, le recours au cloud souverain est obligatoire pour plusieurs catégories d’organisations en raison de leur rôle crucial dans la sécurité nationale et la protection des données sensibles. Les institutions qui produisent des archives publiques doivent impérativement utiliser un cloud souverain pour garantir la confidentialité et l’intégrité des informations historiques et administratives. De même, les collectivités territoriales, leurs groupements et leurs établissements publics sont tenus de recourir à des services cloud souverains pour sécuriser les données locales. Les secteurs de la recherche et de la santé, étant hautement sensibles et stratégiques, doivent également se conformer à cette exigence pour assurer la protection des informations médicales et scientifiques. Cette obligation vise à prévenir les cybermenaces et à renforcer la résilience des infrastructures critiques face aux attaques potentielles.

Le cloud souverain se situe au cœur des enjeux de la souveraineté numérique. Quels sont les critères et les défis auxquels ce dernier est confronté ?

Les critères de souveraineté

Un état souverain exerce de manière indépendante son autorité. Il a le pouvoir suprême de créer des lois et de les mettre en application. Totalement libre de ses choix, ses compétences législatives, judiciaires et exécutives lui sont propres. À ce titre, il ne dépend d’aucun autre État. Ainsi, la souveraineté numérique implique une maîtrise des outils numériques, des ressources électroniques et des données sur le territoire Français. Elle permet de faire en sorte que le domaine numérique ne dépende que de la législation française. Le cloud souverain s’avère la réponse la plus appropriée à ces attentes.

La régularisation et les normes applicables

Le cloud souverain apparaît comme une solution pour garantir la sécurité et la conformité des données. En effet, la régulation et la protection des données sont une préoccupation majeure pour les entreprises et les pouvoirs publics. Le contexte réglementaire du RGPD (Règlement général sur la protection des données) en vigueur depuis mai 2008 impose des règles strictes sur la régulation des données personnelles. Leur traitement, leur stockage et leur communication sont encadrés et en vigueur pour toute organisation publique ou privée sur le territoire de l’Union européenne.

Le RGPD vise à :

• Renforcer les droits des utilisateurs ;
• Responsabiliser les acteurs traitant les données ;
• Crédibiliser la régulation des données.

Son rôle est d’éviter l’identification directe ou indirecte des personnes via l’exploitation de données personnelles.

La protection des utilisateurs a été renforcée par le Digital Service Act, entré en vigueur le 25 août 2023. Ce règlement des services numériques a pour objectif de lutter contre les contenus illicites et la désinformation en ligne. Il concerne les plateformes et moteurs de recherche, y compris les services cloud. Cet encadrement des contenus permet de renforcer la souveraineté numérique en mettant en cause les acteurs du web qui ne respectent pas la loi. De plus, la loi de programmation militaire (LPM) pour 2024-2030, prévoit de maîtriser les nouveaux espaces de conflictualité. Parmi ces derniers se trouve la cyberdéfense. Le gouvernement souhaite lutter contre les cyber-menaces actuelles et futures, notamment contre les OIV, c’est-à-dire les opérateurs d’importance vitale.

Les OIV sont considérés comme indispensables à la survie de la nation. Ce sont, par exemple, les acteurs de la santé, de la communication, des transports ou de l’armée. La loi précise qu’ une cyberattaque qui conduirait à leur destruction ou leur indisponibilité pourrait impacter la sécurité ou la survie de la population. La LPM ambitionne donc de protéger la souveraineté numérique du pays.

Les défis techniques et économiques du cloud souverain

Dans ce contexte législatif, l’État incite ses différents services à adopter une approche qui met le cloud au centre de tout nouveau projet numérique. Ce dernier devient le mode d’hébergement et de production par défaut au sein des services du gouvernement.

Les objectifs de cette approche sont :

• De garantir la continuité des services de l’État ;
• De protéger les données des citoyens ;
• D’accélérer la transformation numérique des services publics.

Cette préférence pour le cloud renvoie donc à des enjeux législatifs, mais aussi technologiques.

En outre, le ministère de l’Intérieur indique l’obligation de l’utilisation du cloud souverain pour :

• Les institutions qui produisent des archives publiques ;
• Les collectivités territoriales, leurs groupements et leurs établissements publics.

Il est également précisé que les organisations qui travaillent dans le domaine de la recherche et de la santé doivent utiliser un cloud français. L’État souhaite ainsi garantir une meilleure protection des intérêts nationaux. Néanmoins, cette mise en place du cloud souverain a un coût significatif. Les infrastructures informatiques existantes doivent être compatibles avec son déploiement et les équipes doivent être formées à son utilisation.

Quels sont les enjeux de sécurité, de souveraineté et de technologie du cloud souverain ?

Les enjeux de sécurité et de confidentialité des données

La sécurité et la confidentialité des données sur le cloud public peuvent être mises à mal par certains États. C’est notamment le cas des États-Unis avec la loi nommée Cloud Act. Cette dernière contraint les fournisseurs cloud établis sur le territoire américain à fournir un accès aux données hébergées, y compris hors des États-Unis si l’hébergeur a un lien avec le pays. De même, le USA Freedom Act (anciennement Patriot Act), oblige les fournisseurs d’accès internet à fournir un accès à leur base de données personnelles. Ces mesures sont contraires au RGPD, mais également à la confidentialité des informations stratégiques des entreprises.

L’importance de la souveraineté numérique dans le contexte géopolitique actuel

Ces législations américaines démontrent la nécessité de recourir au cloud souverain. Ces dernières sont en contradiction avec les lois françaises et européennes sur la protection des données. Elles démontrent également une faille de sécurité du cloud public et des datacenters situés à l’étranger. Dans ce contexte, comment une entreprise peut-elle garantir la sécurité de ses brevets et innovations ? Si les sociétés de notre pays souhaitent conserver leur compétitivité, elles doivent opter pour des datacenters basés en Europe.

Le cloud souverain et le secteur public

Aujourd’hui, les établissements de santé s’avèrent particulièrement touchés par des cyberattaques. Ces dernières ont de nombreuses conséquences. Ces établissements doivent faire face à une désorganisation de leur planning et aux risques pour la santé de leurs patients. À grande échelle, des dysfonctionnements font craindre des problèmes de souveraineté nationale en mettant des vies en danger. Ces attaques malveillantes posent également la question de la divulgation des données personnelles des patients.

L’utilisation d’un cloud souverain permet de maîtriser ce risque en s’assurant que les données sont localisées en France et donc protégées. Des problèmes identiques peuvent se poser pour d’autres acteurs publics comme l’administration ou l’éducation. En outre, ces services de l’État doivent être modernisés pour répondre aux exigences réglementaires et sécuritaires. Pour ces derniers, le cloud souverain possède de nombreux avantages en termes d’efficacité, de sécurité et de conformité. Le secteur public doit maintenir la souveraineté et la sécurité des données. Il doit également mener une transition numérique plus responsable. Ses besoins restent importants, mais dans la réalité, certains freins au cloud existent. Il persiste notamment un défi technique. Certaines infrastructures informatiques vieillissantes sont à renouveler pour être adaptées aux nouveaux besoins des usagers.

La migration des données vers une solution cloud demeure également une source d’inquiétude. C’est pourquoi il faut se tourner vers un accompagnement qui réponde aux besoins des services publics à travers un cahier des charges précis.

Kaliop a accompagné l’ADEME dans sa transition vers un cloud souverain.

L’Agence de la transition écologique recherchait un cloud souverain et éco-responsable en adéquation avec sa mission. Elle a choisi la solution Scaleway pour assurer :

• La souveraineté des données en assurant leur sécurité et leur confidentialité ;
• La souveraineté technologique afin d’utiliser librement les services cloud sans avoir de contraintes techniques.

Pour en savoir plus sur notre coopération avec l’ADEME, découvrez le webinaire suivant.

Vers une souveraineté numérique accrue

Selon cette étude d’IDC (International Data corporation), les dépenses internationales consacrées au cloud souverain devraient représenter 258,5 milliards de dollars en 2027.

Cette tendance qui vise à évoluer vers un cloud de confiance se développe au niveau européen. En effet, en février 2022 a eu lieu, la conférence « Construire la souveraineté numérique de l’Europe ». Cet évènement a fait émerger les 4 piliers de cette souveraineté numérique européenne :

• Renforcement de la sécurité du cyberespace en réponse aux lois de certains États ;
• Établissement de nouvelles réglementations afin de responsabiliser les acteurs du numérique ;
• Renforcement de l’attractivité de l’Europe pour les talents et les investisseurs avec puissance d’innovation ;
• Établissement de standards libres et ouverts en créant des infrastructures logicielles et matérielles, ouvertes et partagées et en contribuant financièrement et technologiquement.

Dans la continuité de ces objectifs, différentes initiatives sont nées. Par exemple, en janvier 2024, la Commission européenne a adopté le premier schéma européen de certification de la cybersécurité.

En outre, depuis 2020, l’Europe travaille sur Gaïa-X, un projet d’infrastructure cloud de confiance. L’objectif ? Détenir un écosystème cloud européen efficace, sécurisé, compétitif et fiable. Chaque pays possède son propre Hub pour le développement d’espaces de données de confiance. Un appel à projets devrait aboutir à l’horizon 2030 à la création d’espaces de données interopérables. Un accompagnement technologique de 3,4 millions d’euros est prévu dans le cadre du Data Space Lab. L’objectif est de fournir des outils concrets aux entreprises dans la perspective d’échanges de données en accord avec leur politique de souveraineté et de sobriété numérique. Ainsi, l’État souhaite donner aux entreprises les moyens d’accélérer leur transition numérique et écologique.

Comment mettre en place un Cloud Souverain ?

La mise en place d’un cloud souverain nécessite une approche méthodique et bien structurée. Tout d’abord, il est essentiel de réaliser un audit complet des infrastructures existantes pour identifier les besoins spécifiques et les contraintes techniques. Ensuite, la sélection d’un fournisseur de cloud souverain, comme Scaleway ou OVHcloud, qui respecte les normes de sécurité et de souveraineté françaises, est cruciale. Une fois le fournisseur choisi, il convient de planifier la migration des données en définissant des étapes claires et un calendrier précis pour minimiser les interruptions de service. La formation des équipes IT internes sur les nouvelles plateformes et technologies est également un élément clé pour assurer une gestion efficace et sécurisée du cloud souverain. Enfin, l’implémentation de politiques de gouvernance et de conformité robustes garantit que les opérations restent alignées avec les régulations en vigueur et les objectifs de souveraineté numérique.

Le cloud souverain représente l’avenir du cloud computing

En plaçant les données de votre entreprise sous l’égide des lois françaises, vous assurez leur sécurité et leur pérennité. Si vous êtes un acteur du secteur public, la migration vers un cloud souverain constitue une obligation requise par l’État. De plus, la sécurisation des données devient un facteur de réussite. Votre organisation peut ainsi faire preuve d’innovation en proposant de nouveaux services numériques en contrôlant leurs investissements.

Vous êtes une entreprise ou un acteur du secteur public et vous souhaitez être accompagné dans le choix de votre service de cloud souverain ? Contactez-nous pour discuter de votre projet.

Sources :

• Numérique : le règlement sur les services numériques entre en vigueur
• Le Cloud pour les administrations
• Le Cloud Souverain
• Construire la souveraineté numérique de l’Europe (7 février 2022)
• Gaia-X : l’écosystème numérique et industriel français réuni à Bercy accélère sur la création d’espaces de données de confiance
• Au cœur de la souveraineté des données : le cloud
• Premier schéma de certification de cybersécurité à l’échelle de l’UE pour rendre l’espace numérique européen plus sûr