Aujourd’hui nous allons parler d’un sujet vieux comme Internet à savoir le stockage des données et plus précisément ces dernières années le stockage des données via la technologie Cloud et les nombreuses questions techniques et juridiques que celle-ci soulève. Après de nouvelles annonces autour du lancement d’un cloud souverain porté entre autres par Orange et Microsoft, c’est l’occasion de faire un point d’étape sur les prochains enjeux du stockage en ligne.
Quel est le principe du Cloud et comment celui-ci fonctionne au quotidien ?
Il y a quelques mois, nous vous proposions un article complet sur l’usage du Cloud en entreprise où nous vous présentions les 3 solutions possibles en matière de stockage en ligne.
Les différents types de solution d’hébergement
Une solution où vous stockez simplement des fichiers et des programmes et vous restez maître de l’installation des bases de données, système d’exploitation etc., cette solution s’appelle l’Infrastructure as a Service (IaaS)
Une solution intermédiaire nommée PaaS (Platform as a service) en plus de vos données au sens propre du terme, votre prestataire gère aussi la gestion des bases de données et des systèmes utilisés. Il vous reste à prendre en charge les applications et logiciels nécessaires pour traiter ses données et bien sûr à en assurer la maintenance et les mises à jour.
Enfin la dernière solution baptisée SaaS (Software as a Service) est la solution qui vous permet un travail collaboratif poussé à son maximum. Le prestataire assure le déploiement de l’ensemble des softwares, des bases de données, des fichiers ainsi que leur maintenance et leurs mises à jour. Cette solution, vous la connaissez par exemple sous le nom de Microsoft Office 365. Elle a connu un regain d’intérêt lors des différentes périodes de confinement et permet ainsi quand c’est possible de télétravailler avec souplesse.
Les différentes contraintes et enjeux que nous allons évoquer s’appliquent à l’ensemble des solutions présentées ci-dessus, mais sont encore plus importants dans le cadre d’un cloud Saas.
Le stockage hors Union Européenne de vos données n’est pas conforme au RGPD
Bien que le cloud puisse être traduit en français par nuage, l’ensemble de vos données est stocké dans des data centers. La majorité des data centers se trouvent aux États-Unis, en Chine, Au Royaume-Uni et en Allemagne. Attention, les chiffres présentés ci-dessous résument le nombre de centres et non leur capacité de stockage. Il est fort à parier que les deux principaux pays en matière de stockage de données sont les États-Unis et la Chine.
Et c’est en partie là que le bât blesse avec le stockage extraterritorial des données.
Une des dispositions du RGPD est le non stockage de vos données hors Espace Économique Européen. Celle-ci a été mise en place afin de limiter les risques d’espionnage économique ou étatique de données sensibles.
Et ce risque, qui est réel, est par exemple incarné par le Cloud Act aux USA. Ce texte de loi stipule « qu’un fournisseur de services de communication électronique ou un fournisseur de service informatique distant », est tenu de transmettre aux autorités les données du client ou de l’abonné qu’il a « en sa possession, sous sa garde ou sous son contrôle, peu importe que la communication, l’enregistrement ou l’information en question soient localisés sur le territoire ou en dehors du territoire américain.
Pour résumer si vos données sont hébergées sur le sol américain ou par une entreprise américaine, les services de l’État américain ont le droit de parcourir l’ensemble des informations hébergées. Prenons un exemple concret, jusqu’à peu, certains services de l’État (ministères, services publics, santé) utilisaient la suite Microsoft 365 qui hébergeait leurs données sur le sol américain.
Afin d’éviter ses dérives et de maîtriser notre hébergement informatique, plusieurs projets de clouds souverains ont été annoncés il y a plusieurs années.
D’Andromède à Blue plusieurs tentatives de clouds souverains ont vu le jour
En 2009 François Fillon alors Premier Ministre lance le projet Andromède qui avait pour but de former une société avec les géants Français du monde de l’informatique (Thales, Dassault Systèmes, Bull,…) mais ce projet ne fit pas long feu et n’existe plus aujourd’hui.
Vers une quête d’autonomie et de maitrise de notre hébergement
La force des Cloud Service Providers américains est de proposer une solution clé en main, avec de nombreuses applications ce qui entraîne une forte dépendance à leurs services pour leurs utilisateurs, pourtant des solutions européennes et françaises existent.
Une principale faiblesse des solutions européennes en matière de clouding est qu’elles sont moins accessibles et ce pour plusieurs raisons : elles doivent réussir à « casser » l’omniprésence des solutions US et une fois qu’elles sont identifiées par les entreprises, elles souffrent de la nécessité pour celles souhaitant collaborer avec elles d’avoir en interne un salarié déjà formé sur des technologies moins « clés en main ».
Un chiffre pour illustrer cet écart : alors qu’Amazon et Microsoft proposent chacun plus de 200 services intégrés à leur solution SaaS, OVHCloud, le leader français, en propose une quarantaine.
Mais la riposte s’organise avec le visa SecNumCloud
L’agence ANSSI fournit désormais un visa de sécurité baptisé SecNumCloud qui garantit pour les infrastructures et systèmes localisés en Europe tout comme l’entreprise qui porte ce projet, que les données sont protégées par rapport aux lois extraterritoriales américaines.
Concrètement et grâce à une licence accordée aux poids lourds du secteur, cette certification permet à des entreprises européennes et donc françaises de développer leurs offres de cloud en s’appuyant sur la technologie des géants Américains et ainsi proposer la même offre de service. La sécurité des données en plus.
En 2020 OVH, ouvre le bal en annonçant un partenariat avec Google et sa solution Anthos. Pour être conforme au visa sécurité les données sont hébergées au sein d’OHV. Cette alliance, qui porte le nom de Hosted Private Cloud, permet de bénéficier des logiciels et services de la firme de Moutain View.
Google qui en 2021 annonce avoir signé un accord avec l’entreprise Thalès pour proposer dès 2023 un cloud de confiance qui sera piloté et abrité par Thalès et enrichis des services et logiciels américains.
Enfin le projet Bleu annonçait en 2021 le mariage de Microsoft, d’Orange et de Cap Gemini pour proposer une offre d’hébergement basée sur les services et la licence de la firme de Redmond. Projet qui après s’être fait espérer vient de connaître une nouvelle phase de son histoire avec la désignation de son directeur général et le lancement de la procédure de migration pour les entreprises de leurs solutions actuelles vers la solution Bleu, et ce, pour 2024.
La souveraineté de l’hébergement des données est un enjeu majeur pour les entreprises
Comme évoqué dans cet article le cloud est à la fois la solution dont les entreprises avait besoin mais aussi une nouvelle menace pour la confidentialité des données. La solution car cette technologie permet de travailler en équipe que ce soit en présentiel ou en travail hybride, elle permet aussi à l’ensemble des salariés d’avoir accès aux ressources et softwares nécessaires au bon déroulé de sa mission. Enfin elle offre un support technique conséquent, ce qui permet à des TPE-PME sans service informatique de profiter des dernières avancées en matière de logiciel. Devant ce formidable marché, les GAFAM se sont imposés comme les principaux fournisseurs de services avec un risque : un accès quasiment illimité pour l’ensemble des services et administrations de leurs pays d’origines (USA, Chine,…). Pour proposer une solution viable pour l’ensemble des partenaires une troisième voix est proposée : des données hébergées en France ou en Europe, protégées par le RGPD mais offrant les nombreux services proposés par les leaders du marché.
Un équilibre fragile qui ne doit masquer la nécessité de créer un leader de services dans l’ U.E pour ne plus être dépendant des CSP. Ce leader sera-t-il le projet européen Gaia X ? Avec la présence d’entreprises extra européenne dans son conseil d’administration, rien n’est moins sûr.
