Afin d’éclairer les choix d’entreprise en termes de cloud de confiance et de cloud souverain, Séverine Denys (Docaposte), Geoffroy De Lavenne (ITS Integra), Pierre Puchois (Opcore) et Francis Weill (Eurocloud) ont confronté leurs points de vue sur les certifications et leur impact sur l’hébergement de données professionnelles.
Lors du récent forum IA.Cloud, Séverine Denys, directrice des affaires institutionnelles et réglementaires du groupe Docaposte, représentait cette filiale du groupe La Poste qui opère des services numériques de confiance (eIDAS, signature, archivage, vote, BPO…).
« Ma mission pour Docaposte ? Accompagner l’entreprise pour pouvoir affirmer nos valeurs de cybersécurité, confiance et souveraineté. J’interviens dans les groupes de normalisation pour trouver les standards nous permettant d’être interopérables les uns avec les autres, au niveau français et international. »
Pour sa part, Geoffroy De Lavenne, directeur général d’ITS Integra définit son entreprise comme un MSSP (managed secured service provider), un prestataire de services managés sur des infrastructures cloud opérées en interne ou avec des hyperscalers. « La partie sécurité-souveraineté est un élément extrêmement important, tout particulièrement lorsqu’on héberge des données critiques. Pour l’utilisateur, maîtriser sa donnée est essentiel, » observe-t-il.
Pierre Pluchois, DSI d’Opcor représente l’activité d’opérateur de datacenters du groupe Iliad. Présente en France, Opcor s’est déployée en Pologne, sa première expansion européenne. Attaché à la souveraineté, il a été COO de Cloudwatt puis, en 2022, CEO de Monaco Cloud. « On constate que 75% du business cloud public est pris par les hyperscalers américains. La France et l’Europe veulent réagir, s’organiser pour disposer d’infrastructures souveraines, c’est à dire autonomes du point de vue juridique, capitalistique et technologique. »
SecNumCloud en attendant EUCS
Séverine Denys nuance : « Imposer une réglementation extraterritoriale [comme le font les USA], c’est nous priver de notre souveraineté sur nos propres données. Quand on laisse 70% du chiffre d’affaires sortir d’Europe, ce sont des taxes non prélevées en Europe qui ne bénéficient pas à nos valeurs d’équité, nos formations et services sociaux. La souveraineté est un sujet très large. SecNumCloud est un outil de souveraineté. L’autonomie recherchée consiste à faire tout son possible pour que le chiffre d’affaires reste en Europe. Je fais ce rêve qu’un jour, on se mette tous d’accord en Europe. Avec le futur EUCS – et ses quatre niveaux de certifications -, nous aurons des schémas de certification européens communs. En France, nous avons déjà SecNumCloud. C’est un outil objectif qui permet de démontrer, avec un tiers, que l’on n’est pas assujetti à une réglementation extraterritoriale ; donc qu’on est opérateur cloud souverain. »
Francis Weill, président de l’association Eurocloud France qui réunit des acteurs du cloud en Europe et aussi de grands acteurs américains, est également associé de la filiale française d’une banque d’affaires anglo-néerlandaise spécialisée dans les opérations de fusion-acquisition sur le marché cloud. « On peut être de confiance sans être souverain. Pour être souverain au sens SecNumCloud, il faut investir 1 à 2 millions d’Euros pendant 18 mois ; hors de portée d’un grand nombre d’acteurs français, » observe-t-il.
Surcoût de 20% à 30% pour l’acheteur SecNumCloud
Hors éditeurs SaaS, le panorama français des hébergeurs de clouds souverains (IaaS-PaaS-CaaS) compte une petite poignée d’acteurs tels 3DS Outscale, Cloud Temple et OVH, rappelle Geoffroy De Lavenne. « Une entreprise française alliée à un hyperscaler américain peut proposer une solution fondée sur un haut niveau de sécurité. C’est la différence entre un cloud de confiance et un cloud souverain. »
Revenant sur la notion d’extraterritorialité, Pierre Puchois observe qu’il est extrêmement complexe de savoir si une entreprise est soumise au non au Cloud Act ou au Patriot Act. Entrent en considération la répartition de son capital social, son chiffre d’affaires aux États-Unis et même la langue de son site web. « Pour savoir si un opérateur est concerné ou pas, il y a un effort de simplification à faire en Europe car sa qualification en tant que cloud souverain en dépend, » suggère-t-il.
« L’acheteur public ou privé souhaitant externaliser des données sensibles dans un bastion SecNumCloud doit prévoir un surcoût de 20% à 30%, le coût de la certification étant répercuté sur le tarif client. Les décideurs ne sont pas prêts à mettre tous leurs œufs dans le même panier, mais la demande est encore faible ; le marché SecNumCloud est très étroit, » complète Francis Weill.
Un label de maturité servant l’image du prestataire certifié
ITS Integra a néanmoins entamé, depuis un an, la démarche de certification SecNumCloud. Son DG Geoffroy De Lavenne confirme les montants avancés en termes d’investissement : « pour nos clients, c’est un élément différenciant. Nous démontrons, au travers de cet investissement fort, notre montée en expertise sur l’ensemble de nos offres. »
« SecNumCloud est un outil fort, représentant le plus haut niveau de cybersécurité, contrôlé par des audits. Donc, oui c’est cher. La qualité est rarement gratuite. Mais, lorsque vous achetez un service de GED en mode SaaS, est-il totalement immunisé contre tout transfert de données ? Ce n’est pas le cas avec les sous-jacents américains. Cette question de la transparence, nous devons tous apprendre à nous la poser, » conseille Séverine Denys.
Justement, le DSI se transforme en directeur des achats au moment de retenir un ou plusieurs hébergeurs cloud. « Il gagnerait à investir du temps pour distinguer, au sein de son SI, ce qui est critique de ce qui ne l’est pas. Il pourrait ainsi retenir le bon socle technologique en fonction de la criticité de la donnée. Il faut avoir le courage d’héberger ses données les plus critiques sur des infrastructures souveraines, en tous cas très sécurisées, » recommande Geoffroy De Lavenne.
Classification des données assistée par l’IA
L’IA contribue à la classification automatique des données, un prérequis dorénavant. Simultanément, une segmentation et une hybridation des infrastructures apparaît pour cloisonner les différents usages professionnels de l’IA.
« La souveraineté, ce n’est pas que de la confidentialité. Il faut prendre en considération l’autonomie technologique, l’impact économique, la confidentialité et le transfert de données pour pouvoir dormir tranquille, » prescrit Séverine Denys.
Francis Weill conclut : « Il faut une volonté politique et une motivation économique pour faire progresser les choses. Le coût moyen d’un incident cyber externe atteint 5 millions d’Euros. Pour un incident interne, c’est le double. Il reste un vrai travail de formation à mener ; avec les métiers, c’est toute une chaîne de responsabilités qu’il faut surveiller. Généralement, les failles de sécurité viennent de l’individu. Elles ne proviennent pas toujours des technologies. Sans être un grand fan de régulation – toujours un équilibre délicat entre la carotte et le bâton -, je reconnais que la mise en conformité pousse à relever son degré de maturité et à accélérer sa transformation. C’est son plus grand bénéfice. Cependant, je note une certaine déception des entreprises face aux offres cloud public, plus chères qu’on ne l’imaginait au départ. »
