Souveraineté numérique : une expression à bannir ?

Dans un éditorial intitulé « Souveraineté, autonomie, indépendance et numérique de confiance », Henri d’Agrain, délégué général du Cigref (Club informatique des grandes entreprises françaises), dénonce l’usage abusif du mot souveraineté associé au numérique. Sa position est claire : « La souveraineté est un attribut exclusif des États, et qu’il appartient aux seuls États de mettre en œuvre des politiques de souveraineté. » En clair, les entreprises qui fournissent des services cloud n’ont pas la légitimité pour employer l’expression de « souveraineté numérique ».

Numérique de confiance : une alternative raisonnable

Si l’expression souveraineté est bannie, par quoi peut-on alors la remplacer ? « Numérique », « Cloud de confiance », s’imposent de plus en plus en tant que bonnes réponses. Ce que recherchent les entreprises publiques et privées, ce sont des solutions numériques dans lesquelles elles ont « confiance ». Un cloud de confiance, c’est un cloud garantissant d’une part une bonne protection contre les pirates informatiques. D’autre part, que les données sont à l’abri des yeux indiscrets des cybercriminels, des concurrents ou des gouvernements étrangers.

Est-ce que ces solutions de confiance existent aujourd’hui ? Oui. Des fournisseurs français et étrangers proposent des solutions sur lesquelles on peut s’appuyer en toute confiance. Ce débat entre confiance et souveraineté n’est pas près de s’éteindre, comme on peut le lire dans cet article faisant référence à l’analyse de Dominique Luzeaux, directeur de l’Agence du numérique de défense et ingénieur général de l’armement.

La bonne démarche consiste à fixer des critères précis et rationnels pour définir ce que recouvre le mot « confiance » pour une entreprise. Les niveaux de confiance dont a vraiment besoin une entreprise sont très variés : ils dépendent de sa taille, de son secteur d’activité et de la criticité des données traitées. Ensuite, et ensuite seulement, chaque entreprise peut comparer les solutions disponibles, indépendamment de la nationalité du fournisseur.

SecNumCloud : l’Arlésienne de la sécurité du cloud

Les fournisseurs français masquent souvent un point : la certification SecNumCloud doit s’obtenir, service par service. Un fournisseur de services cloud n’a pas le droit de dire : « Je suis SecNumCloud. » Il peut simplement lister ses services qui sont certifiés.

En consultant la version la plus récente de la liste des services certifiés, datant du 30 novembre 2023, on découvre qu’ils sont très peu nombreux. Dans ce tableau ci-dessous sont regroupés les services d’Infrastructures (IaaS) :

• Cloud Temple : date de fin de validité : 15/3/2025 ;
• Outscale Cloud on Demand : date de fin de validité : 30/11/2023. C’est la date du jour de publication du document ;
• OVH, mais pour son seul service cloud privé : date de fin de validité : 23/12/2023, avant la fin de l’année 2023 ;
• Worldline Secure IaaS : date de fin de validité : 22/10/2024.

En pratique, cela signifie qu’une entreprise française cherchant un service IaaS SecNumCloud, début 2024, aurait deux services à sa disposition. Pour rappel, les trois grands acteurs cloud public américains proposent chacun plus de 200 services cloud.

Cette certification a aussi un autre défaut : elle est « hors de prix ». Dans un article de décembre 2023, Cloud Temple, l’un des quatre IaaS certifiés, explique qu’ils ont dépensé 7 millions d’euros pour cette certification, quand leur chiffre d’affaires était seulement de 40 millions d’euros. Est-ce raisonnable ? Non.

On trouve aussi trois services SaaS sur la liste de l’Anssi. Ils sont tous proposés par une seule entreprise, Oodrive, et valables jusqu’au début 2025.

La conclusion est sans appel : il est aujourd’hui impossible, pour une entreprise française qui souhaite utiliser sérieusement des solutions cloud public, de s’appuyer exclusivement sur des services certifiés SecNumCloud.

SecNumCloud vs EUCS

Un fournisseur qui fournit des efforts techniques et financiers importants, pour obtenir que l’un de ses services obtienne le référentiel SecNumCloud, devrait répéter l’exercice dans chacun des pays de l’Union européenne. Nul ne peut se permettre une telle gabegie. Pour être certifié dans 27 pays, Cloud Temple devrait dépenser 190 millions d’euros. Pour éviter cette impasse, des travaux sont en cours au niveau européen autour de l’EUCS (European Cybersecurity Certification Scheme for Cloud Services).

Quelle est la probabilité que l’EUCS voie le jour ? À quel horizon ? Aujourd’hui, personne ne peut répondre à ces deux questions.

En 2023, la situation est compliquée. Le SecNumCloud 3.2 français exige des sécurités plus fortes que celles de l’EUCS dans des domaines tels que la protection contre les lois extra européennes, en visant en priorité les lois américaines. L’une des réponses envisagées est de créer un EUCS à plusieurs niveaux. Cela permettrait à chaque pays de choisir le niveau qu’il exige des fournisseurs sur son territoire.

Mes recommandations

Toutes les entreprises qui migrent sérieusement vers des solutions clouds public doivent le faire en agissant comme si SecNumCloud n’existait pas.

Une certification qui a démarré en 2016 et ne couvre que quatre services IaaS et trois services SaaS en 2023 n’a aucune crédibilité. Vouloir croire le contraire serait criminel et condamnerait les entreprises à renoncer aux bénéfices du cloud public. Ceci entraînerait par la même occasion leur incapacité à déployer des solutions d’IA s’appuyant massivement sur les clouds publics.

Sans cloud public et sans IA, je n’ose pas imaginer dans quel état catastrophique seraient les SI des entreprises françaises. Si par un miracle auquel l’Europe ne nous a que trop rarement habitués, l’EUCS devenait une réalité, alors, oui, on peut espérer que les fournisseurs de services cloud public feront les efforts nécessaires pour obtenir une certification EUCS, qu’ils soient européens ou non.