FR
  • Cyber stabilité
  • Secops
  • Gestion des risques
  • Transformation numérique
  • Souveraineté numérique
  • Cybercriminalité
  • Industrie et OT
  • Fraude
  • Identité numérique
  • Cyber +
    • ESTIA, une alliance pour promouvoir un cloud européen véritablement souverain

    ESTIA, une alliance pour promouvoir un cloud européen véritablement souverain

    Écrit par
    Xavier Biseul
    29.01.26
    Cybersécurité
    08
    MIN
    ESTIA, une alliance pour promouvoir un cloud européen véritablement souverain
    ESTIA, une alliance pour promouvoir un cloud européen véritablement souverain
    ESTIA, une alliance pour promouvoir un cloud européen véritablement souverain
    Image Les CISO face au défi de convaincre le ComEX
    Cybersécurité
    23.02.26 Cybersécurité
    Prochain article
    Les CISO face au défi de convaincre le ComEX
    Lire
    12
    MIN
    Image Startups cyber : 10 conseils pour passer du concept à la commercialisation
    Cybersécurité
    19.02.26 Cybersécurité
    Prochain article
    Startups cyber : 10 conseils pour passer du concept à la commercialisation
    Lire
    10
    MIN
    Image Stratégie nationale cyber : comme un avion sans aile ?  
    Cybersécurité
    17.02.26 Cybersécurité
    Prochain article
    Stratégie nationale cyber : comme un avion sans aile ?  
    Lire
    06
    MIN
    Image Cyber et cognitif : doctrines, vulnérabilités et transformation du cadre stratégique
    Cybersécurité
    17.02.26 Cybersécurité
    Prochain article
    Cyber et cognitif : doctrines, vulnérabilités et transformation du cadre stratégique
    Lire
    19
    MIN
    Cette nouvelle association, regroupant des acteurs de la tech et des utilisateurs, comme Airbus, entend peser sur le débat européen et arrêter une définition claire des critères de souveraineté du cloud. Explications.

    Qu’est-ce qu’un cloud souverain ? Si la question paraît simpliste, la réponse l’est beaucoup moins. Où débute et où s’arrête l’enjeu de souveraineté ? À la localisation de l’hébergement des données ? À la nationalité de l’opérateur et du personnel qui travaille dans ses datacenters ? Une infrastructure cloud reposant sur des processeurs GPU d’origine étrangère peut-elle être encore qualifiée de souveraine ? La confusion est savamment entretenue par les hyperscalers américains, AWS, Microsoft Azure ou Oracle Cloud commercialisant des solutions qu’elles présentent comme « souveraines ».

    En France, la question est censée être tranchée. Seuls les fournisseurs certifiés SecNumCloud peuvent se réclamer du label de cloud de confiance. Délivrée par l’Agence nationale de la sécurité des systèmes d’information (Anssi), cette qualification atteste du plus haut niveau de protection des données, d’un point de vue à la fois technique, opérationnel et juridique. Dans sa dernière version en date, la v 3.2, SecNumCloud assure une immunité contre les lois extraterritoriales de type Cloud Act, Patriot Act ou FISA (Foreign Intelligence Surveillance Act).

    Pour autant, Vincent Strubel, directeur général de l’Anssi, a récemment dû se fendre d’un long post sur LinkedIn pour faire taire les critiques suite à la qualification SecNumCloud obtenue, en décembre, par S3NS. Ce premier cloud dit hybride certifié, repose une technologie américaine (Google Cloud) mais opérée par un prestataire européen (Thales). Le patron de l’Anssi en a profité pour rappeler « ce que fait ou ne fait pas SecNumCloud » et dissiper « quelques incompréhensions persistantes ».

    L’immunité aux lois extraterritoriales, un enjeu clé

    Au niveau européen, cet effort de clarification est toujours attendu. EUCS, le schéma européen de certification des services cloud, devait, dans son niveau le plus élevé dit « High + », immuniser contre les lois extraterritoriales, en particulier américaines. Las, la publication le 20 janvier du Cybersecurity Act 2 a douché les espoirs des tenants d’un protectionnisme européen. Cette révision du règlement cyber européen limite le champ d’application des certifications cloud aux seuls risques techniques excluant les critères de souveraineté.

    Représentant les acteurs américains du numérique dont Amazon, Google ou Meta, l’association Computer & Communications Industry Association (CCIA Europe) s’est immédiatement félicitée de ce recul de l’exécutif européen. Le groupe de lobby « salue la décision de la Commission de se concentrer sur les benchmarks de sécurité technique et la certification fondée sur des preuves, plutôt que d’introduire des restrictions discriminatoires de « souveraineté ». »

    Airbus, Orange, Sopra Steria ou OVHcloud parmi les fondateurs

    C’est pour combattre ce flou qu’est née l‘European Sovereign Tech Industry Alliance (ESTIA). Annoncée lors du Sommet sur la Souveraineté numérique européenne de Berlin en novembre dernier, l’alliance sera officiellement lancée au cours de ce premier trimestre. Née d’un constat partagé par plusieurs acteurs européens du secteur numérique et extra-numérique, cette initiative vise à renforcer la capacité de UE à définir et à défendre ses propres standards en matière de cloud et à œuvrer pour « la construction d’un espace numérique réellement souverain et compétitif en Europe ». 

    Parmi ses douze membres fondateurs, on trouve des opérateurs télécoms – Orange, Deutsche Telekom, Telecom Italia –, des éditeurs, des providers et une ESN – A1 Digital, Sopra Steria, Dassault Systèmes, evroc, OpenNebula Systems, OVHcloud – et des utilisateurs – Airbus, Post Luxembourg, Schwarz Digits (le groupe Schwarz est propriétaire de Lidl). Si l’origine de ces acteurs est majoritairement franco-allemande, l’ESTIA vise une dimension paneuropéenne. La publication prochaine des membres associés devrait concrétiser cette ambition.

    « Face à la dépendance croissante de l’Europe à l’égard d’acteurs non européens – près de 90 % des données européennes étant aujourd’hui transférées hors UE selon le rapport Draghi », l’ESTIA se fixe quatre priorités définies dans son communiqué de lancement. Il s’agit de promouvoir les services de cloud souverain européen, soutenir l’instauration d’un principe de préférence européenne dans la commande publique cloud et de « renforcer la souveraineté numérique et la compétitivité de l’UE par des politiques industrielles fondées sur les valeurs européennes et portées par des acteurs européens de référence. »

    La dernière priorité est plus concrète. Elle vise à faire inscrire une définition claire du cloud souverain en pesant sur les débats européens dans le cadre du futur Cloud and AI Development Act (CAIDA). Attendu fin mars ou début avril, ce règlement promet d’harmoniser les pratiques et règles en matière de cloud souverain en Europe avec une nouvelle opportunité – après le raté du Cybersecurity Act 2 – d’introduire enfin un bouclier contre les lois extraterritoriales. 

    Prévue également à la fin du premier trimestre, la révision de la directive sur les marchés publics de l’UE (Public Procurement Act), est une autre occasion d’aborder l’enjeu de souveraineté. En l’absence d’accord sur un schéma européen commun, la Commission européenne a introduit dans son « Cloud Sovereignty Framework », un cadre de référence qui doit d’orienter les achats publics de l’administration européenne. Une sorte de score de souveraineté qui n’a pas convaincu le CISPE (Cloud infrastructure services providers in Europe), un collectif réunissant les cloud providers.

    Un cadre harmonisé pour les utilisateurs comme les fournisseurs

    « Depuis plusieurs années, le combat pour maintenir des critères de souveraineté dans le cadre du schéma de certification européenne du cloud (EUCS High +) est devenu primordial afin de pouvoir définir une norme européenne permettant aux utilisateurs européens de choisir une solution cloud européenne, et de répondre notamment à leurs besoins en matière de souveraineté et de protection de leurs données face aux lois non-européennes extraterritoriales », explique un porte-parole du groupe Orange à inCyber News.

    CTO du vertical Aeroline chez Sopra Steria, Benoit Spolidor rappelle que « des industriels menant des activités critiques ont un réel besoin d’un cloud souverain au cadre sécurisé. » En cela, la présence d’Airbus au sein d’ESTIA ne doit rien au hasard. Début janvier, l’avionneur européen lançait un appel d’offres pour constituer un cloud souverain et réduire sa dépendance à Google ou Microsoft. Ce qui ne semble pas simple, comme le relate un article de L’Usine Digitale

    Au-delà de l’enjeu de la protection contre les lois extraterritoriales, se posent les questions liées à la résilience et à la continuité d’activité, et donc à l’interopérabilité et la réversibilité des services cloud. Sur ce dernier volet, ESTIA pourra s’appuyer sur les travaux de l’initiative européenne Gaia-X. « En l’absence de critères communs, il sera difficile de mener à bien des projets cloud intra-européens certifiés et de collaborer efficacement, en particulier dans les secteurs de l’aéronautique, de la défense et de l’énergie, où le sujet du partage des données est crucial », juge Eve Gani, directrice de l’innovation au sein du vertical défense et sécurité chez Sopra Steria.

    Cette nécessaire harmonisation est également attendue du côté des fournisseurs. Pour l’heure, les providers cloud et les éditeurs logiciels doivent jongler avec les différentes certifications nationales comme SecNumCloud en France, C5 en Allemagne ou ENS en Espagne. Chacune d’elle représente un investissement conséquent – en argent et en temps -, ce qui limite d’autant leur capacité à se développer dans d’autres États-membres et avoir une couverture résolument paneuropéenne. 

    Si ESTIA n’a pas vocation à être la vitrine de la technologie européenne, à la différence du collectif EuroStack, l’alliance entend, par ses travaux, alimenter le débat sur la définition et la promotion d’un cloud souverain. Elle a ainsi entrepris un important chantier pour identifier les critères de souveraineté les plus pertinents en réalisant notamment un benchmark des qualifications nationales.

    Xavier Biseul
    29.01.26
    Articles du même auteur :
    1
    27.02.26 Fraude
    Avec l’IA, quelques secondes suffisent pour cloner une voix
    Lire
    09
    MIN
    2
    17.12.25 Cyber +
    Comment l’ANFH forme les hôpitaux publics à la gestion de crise cyber
    Lire
    08
    MIN
    3
    01.12.25 Gestion des risques
    Les navigateurs dopés à l’IA créent de nouvelles vulnérabilités
    Lire
    09
    MIN
    4
    18.11.25 Cybersécurité
    La réforme de la facturation électronique ouvre la porte à de nouvelles vulnérabilités
    Lire
    10
    MIN
    Image Les CISO face au défi de convaincre le ComEX
    Cybersécurité
    23.02.26 Cybersécurité
    Prochain article
    Les CISO face au défi de convaincre le ComEX
    Lire
    12
    MIN
    Image Startups cyber : 10 conseils pour passer du concept à la commercialisation
    Cybersécurité
    19.02.26 Cybersécurité
    Prochain article
    Startups cyber : 10 conseils pour passer du concept à la commercialisation
    Lire
    10
    MIN
    Image Stratégie nationale cyber : comme un avion sans aile ?  
    Cybersécurité
    17.02.26 Cybersécurité
    Prochain article
    Stratégie nationale cyber : comme un avion sans aile ?  
    Lire
    06
    MIN
    Image Cyber et cognitif : doctrines, vulnérabilités et transformation du cadre stratégique
    Cybersécurité
    17.02.26 Cybersécurité
    Prochain article
    Cyber et cognitif : doctrines, vulnérabilités et transformation du cadre stratégique
    Lire
    19
    MIN
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.