Cloud sécurisé, cloud de confiance, cloud souverain… Verra t-on un jour clair dans les multiples dénominations utilisées par les acteurs du secteur pour se distinguer ? C’est l’objectif du futur schéma européen de certification des services cloud (EUCS) sur lequel planche l’Union européenne. Un label continental – similaire au SecNumCloud tricolore – que devraient obtenir les fournisseurs de service cloud pour déployer leurs offres en Europe. Pour cela, ils devront remplir un certain nombre de critères, selon le niveau de sécurité visé – le texte en prévoit 4. Pour travailler avec des entreprises sensibles, les fournisseurs devront probablement disposer du plus haut niveau de qualification.
Une dernière version plus restrictive
Or la dernière version du texte, dévoilée par le média Contexte, a connu une évolution majeure : plusieurs critères liés à la souveraineté ont fait leur apparition dès le 3e niveau de sécurité. Et non plus seulement au dernier échelon. Ainsi, les prestataires souhaitant être certifiés niveau 3 devront avoir leur siège en Europe et prouver qu’ils sont hermétiques aux législations non-européennes. Sans être cité, c’est pourtant à l’évidence le Cloud Act américain qui est visé. Ils devront également se reposer sur au moins un datacenter situé dans l’UE. Et les employés ayant un accès aux données devront résider dans l’UE.
Une évolution majeure qui a provoqué l’ire de ceux qui se voient comme les premières victimes : les hyperscalers américains. Au mieux, ils devraient investir massivement pour développer leurs infrastructures et leurs équipes en Europe – si l’Europe estime qu’une filiale dont le siège est situé dans l’UE peut être considérée comme hermétique aux législations extra-territoriales. Au pire, ils devraient s’associer à des acteurs européens pour garder des parts du marché local. Une situation comparable aux exigences chinoises, qui imposent aux entreprises étrangères de créer des co-entreprises avec des sociétés autochtones.
Une victoire de l’influence française ?
Ce durcissement réglementaire correspond à la volonté française d’imposer à l’échelle européenne une vision particulièrement exigeante du cloud souverain, incarnée par le label national SecNumCloud. À laquelle plusieurs pays s’opposent farouchement. En septembre, lors des éditions d’été du consortium Hexatrust, Jean-Noël Barrot avait évoqué « les vents puissants » contraires à la doctrine voulue par l’Hexagone et les réticences « de nombreux pays » européens. D’autres pays disposent de leurs propres labels en la matière, à l’instar de la certification C5 en Allemagne ou ENS en Espagne. Mais ils sont plus souples en matière de souveraineté. Ainsi, une offre d’AWS a pu obtenir le fameux sésame outre-Rhin.
Une situation inimaginable en France selon les critères retenus pour le label SecNumCloud. Néanmoins, la certification est facultative. Aucun besoin donc de l’obtenir pour opérer sur le territoire. Et concurrencer frontalement les entreprises qui disposent du fameux label. Les géants du secteur ont ainsi développé des offres de « cloud de confiance » associant des acteurs européens et américains. Orange et Capgemini se sont alliés à Microsoft, Atos à AWS et Thales à Google. Une stratégie qu’ils pourraient répliquer à l’échelle européenne pour respecter la dernière version de l’EUCS. Et qui fait enrager certains acteurs tricolores. « Cloud souverain, cloud de confiance… ces termes n’ont pas de statut légal et cela entretient une confusion. Surtout pour les petites entreprises qui ne sont pas assez informées sur ces notions », regrette Arnaud Meauzoone, co-fondateur de Leviia.
Un combat de colosses… qui laisse les « petits » sur leur faim
Aussi importants sont-ils, ces débats laissent pantois une partie de l’écosystème cloud, adepte d’un certain pragmatisme. « La certification SecNumCloud, c’est 3 ans de travail, des milliers d’euros d’investissement mais pour quels débouchés commerciaux ?, s’interroge Arnaud Meauzoone. Le label a été créé pour les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE) mais tout le monde n’en a pas besoin. »
Faut-il donc dupliquer à l’échelle européenne un système particulièrement verrouillé – en France, seules 14 sociétés sont certifiées SecNumCloud dont 5 pour des services cloud ? Pour encourager davantage d’entreprises à se faire certifier, l’État a mis en place un dispositif d’accompagnement dédié. Il intègre notamment une aide au financement. 21 PME du cloud en bénéficient actuellement pour espérer obtenir le sésame de l’Anssi. Et une deuxième vague devrait suivre. Mais la certification SecNumCloud perdra de sa valeur lors de l’adoption de l’EUCS. De quoi décourager les entreprises tricolores les plus motivées.