Des clés pour bâtir son autonomie
stratégique
Une dépendance qui expose à de nombreux risques
La dépendance de l’Union Européenne en matière de technologie cloud n’est plus à prouver : le Synergy Research Group rapporte que 72% des services cloud en Europe sont fournis par des hyperscalers* américains [1] (AWS, Microsoft Azure and Google Cloud) et jusqu’à 90% des données européennes seraient stockées dans des zones hors d’une juridiction européenne selon Broadcom [2].
Ce recours quasi systématique à des fournisseurs extra-européens implique un certain nombre de risques pour les entreprises et industries. En premier lieu celui d’une exposition plus grande à l’intelligence économique. Plusieurs pays imposent ainsi des lois à portée extraterritoriale à leurs entreprises. On peut notamment citer le Cloud Act et la FISA 702 aux Etats-Unis ou encore la Cybersecurity Law en Chine. Ces fournisseurs doivent dès lors coopérer avec les autorités pour fournir des informations sur leurs clients. Par exemple, 173 requêtes d’information au sujet d’entreprises ont été réalisées auprès d’Azure (filiale cloud de Microsoft) qui ont données lieu à 26 cas de divulgation de données clients au deuxième semestre 2024 [3].
On recense également des risques opérationnels en cas de dépendance vis-à-vis d’un nombre restreint d’acteurs du marché. Par exemple, on peut constater une augmentation significative des coûts des licences dans le cas de monopole (rachat de VMWare par Broadcom) ou de panne généralisée à tous les clients d’un même service (comme cela a été le cas en 2024 avec Crowdstrike qui a paralysé nombre d’hôpitaux et d’aéroports à travers le monde). Plus récemment, le contexte géopolitique fait craindre une instrumentalisation des services numériques dans le cadre de tensions commerciales. Ceci pourrait être véritablement destructeur pour bon nombre d’acteurs européens.
Bâtir une autonomie stratégique: un exercice d’anticipation au long cours
Face à ce constat, il est primordial pour les entreprises de développer une autonomie stratégique numérique. Être autonome ne signifie pas être souverain (la souveraineté relevant de la compétence de l’état) mais être en capacité d’agir librement. Cette autonomie repose sur trois piliers : la transparence de la part des fournisseurs sur les politiques et traitements appliqués, la maîtrise des solutions et la sécurité opérationnelle. La transparence permet d’agir en connaissance de cause, notamment pour comprendre ses risques et adapter sa stratégie en conséquence. Elle repose entre autres sur les preuves et les audits de sécurité. La maîtrise des solutions, par exemple d’un point de vue technique, évite les verrouillages auprès d’un fournisseur. Enfin la sécurité opérationnelle assure la protection des actifs vis-à-vis d’attaques d’acteurs malveillants.
Construire son autonomie stratégique nécessite du temps. Il s’agit d’abord de procéder à un inventaire de son système d’information. L’objectif est de comprendre la criticité de sa donnée, de sa chaîne de production ainsi que ses enjeux de performance et besoins métiers. Dans un second temps, il faut hiérarchiser ses risques pour prioriser ses chantiers stratégiques. Chacun de ses chantiers doit ensuite être décliné d’un point de vue tactique puis opérationnel par les entités concernées. Par exemple, le besoin stratégique de sécurité des données critiques peut faire l’objet d’un hébergement vers un cloud dit de confiance (point de vue tactique) qui doit être étudié techniquement parlant : migration move to cloud, schéma d’architecture, format de donnée utilisé… (plan opérationnel).
Cloud de confiance : un élément de réponse dans une équation complexe
A mi-chemin entre les cloud dits publics (offre des hyperscalers soumise à une juridiction extraterritoriale) et les infrastructures on premise hébergées localement par l’utilisateur, le cloud dit de confiance cherche à offrir un compromis entre sécurité et performances. Selon le CIGREF (Club Informatique des Grandes Entreprises Françaises), le cloud de confiance repose sur trois piliers : « la sécurité, l’immunité aux législations extra-européennes et la maîtrise de la dépendance des utilisateurs vis-à-vis de leurs fournisseurs de solutions et services de cloud ». Plus précisément, on peut distinguer deux niveaux. Un premier palier avec des exigences liées à un safe cloud assurant la sécurité opérationnelle des informations. Le deuxième aspect vise à un trusted cloud plus porté sur l’immunité à l’extra-territorialisation.
Cette notion de confiance fait l’objet de la qualification SecNumCloud en France. Cette qualification délivrée par l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information) est la plus contraignante en Europe. Plus récemment, on observe une forte augmentation du nombre d’opérateurs visant la qualification (plus d’une dizaine à l’heure actuelle [4]), signe d’une préoccupation croissante de la part des acteurs publics et privés sur ces sujets. En termes de cas d’usage, le cloud de confiance correspond plus particulièrement aux cas où les données sont sensibles mais nécessitent plus de flexibilité que ne peut offrir un hébergement local chez l’utilisateur. Le principal frein de ces offres aujourd’hui est une maturité qui n’est souvent pas au même niveau que celle des hyperscalers, qui incluent de nombreux services gérés et boîtes à outils prêtes-à-l ’emploi (gestion de base de données, IA, outil DevOps…). Cependant, ce passage vers des clouds de confiance est nécessaire pour exploiter le potentiel de ses données, réduire les temps de développement et de mise sur le marché.
Pour résoudre ce paradoxe, il s’agit d’anticiper sur le long terme en tenant compte des feuilles de route des fournisseurs et en identifiant les fonctionnalités manquantes pour y palier. Construire dès aujourd’hui ses plans de migrations permettra d’être prêt demain car ces projets de transformation s’inscrivent dans des cycles long-terme, parfois à l’échelle de la décennie ! Cet engagement doit être pris conjointement par les différents acteurs de la chaîne (clients, fournisseurs, prestataires etc…) et l’Etat par le biais de la commande publique afin d’atteindre la masse critique de fonctionnement et offrir une alternative pérenne en Europe.
*Hyperscaler : entreprise du cloud de très grande taille, en capacité d’adapter immédiatement ses infrastructures en fonction de la demande.
[1] European Cloud Providers Continue to Grow but Still Lose Market Share | Synergy Research Group
[2] Europe’s Sovereign Cloud Crossroads: Competitiveness vs Control – Broadcom News and Stories
[3] Government Requests for Customer Data Report | Microsoft CSR
[4] Prestataires de services d’informatique en nuage (SecNumCloud) | ANSSI
