Germany unveils its anti-kill-switch framework

The BSI has just published the C3A framework. It defines the obligations of providers wishing to respond to a public tender in terms of sovereignty and resilience. The aim is to counter the risk of a kill-switch, but without truly turning away from American technologies. Germany is making its moves while Europe prepares the EU Cloud and AI Development Act.

Équivalent allemand de l’ANSSI, le BSI (Bundesamt für Sicherheit in der Informationstechnik) vient de publier un référentiel dédié aux critères d’autonomie des services Cloud. Le C3A, acronyme de Criteria enabling Cloud Computing Autonomy, reprend des éléments du Cloud Sovereignty Framework européen. Il ne s’agit pas d’une certification à décrocher comme peut l’être le C5, équivalent allemand de notre SecNumCloud, mais de critères à remplir si l’on veut concourir à un appel d’offres public en Allemagne.

La question clé de la maîtrise de la technologie

Ce référentiel de critères n’est pas axé sur la cybersécurité comme le C5, mais sur la capacité à opérer des services Cloud en cas de kill-switch. Servane Augier, VP Hexatrust commente cette évolution : « Pendant des années, on a traité le sujet de souveraineté du Cloud sur le plan de la protection juridique contre le Cloud Act, FISA et de toutes les lois étrangères qui peuvent permettre des réclamations de données. Depuis le Covid et les récentes turbulences géopolitiques, on voit bien que le sujet est désormais celui de la dépendance. Il y a une dépendance à des acteurs qui peuvent augmenter leurs tarifs, il y a une dépendance à des acteurs qui peuvent couper l’accès à leurs services, c’est le fameux kill-switch dont on a eu une illustration avec l’affaire du juge Guillou et de la cour pénale internationale. »

Avec SecNumCloud, la France n’a qu’une réponse très partielle à cette problématique de dépendance, alors que l’Allemagne a désormais clarifié sa vision avec le C3A. Globalement, ce référentiel traite 6 grands domaines :

Souveraineté stratégique : lieu où opère l’entreprise, localisation de son siège social et de ses sous-traitants,
Souveraineté juridique : droit juridique qui s’applique à l’entreprise, exposition à une loi extraterritoriale,
Souveraineté des données : garantir la localisation et la traçabilité des données, le fournisseur doit supporter un chiffrement côté client, ainsi que la gestion des clés de chiffrement et des identités externes via les standards du marché,
Souveraineté opérationnelle : tout le personnel doit être localisé dans l’UE, de même que le SOC. Le service cloud doit pouvoir fonctionner en étant déconnecté des réseaux hors-UE. Cette capacité doit être testée régulièrement,
Souveraineté de la chaîne logistique : tous les composants matériels et logiciels des services doivent être documentés, avec leur origine. Toutes les dépendances critiques doivent être identifiées,
Souveraineté technologique : l’entreprise doit disposer du code source de ses logiciels et de la capacité à en assurer la maintenance et le développement de correctifs de manière indépendante.

Alessandro Fiorentino, expert en protection des données chez Adequacy considère la publication du C3A comme un signal positif : « Le C3A est issu du référentiel de souveraineté de l’Union européenne. Cette publication montre que l’Allemagne est en train de bouger sur cette question de la souveraineté, alors que la France reste immobile. La France défendait l’image d’être indépendante, alors que l’Allemagne restait sous le parapluie américain. Aujourd’hui, l’Allemagne a adopté une stratégie beaucoup plus tranchée en transposant ce référentiel de souveraineté. »

L’expert souligne les challenges techniques posés par ce référentiel, notamment le fait de devoir isoler totalement l’infrastructure Cloud vis-à-vis des infrastructures américaines, avec aucun flux d’API, endpoint, SOC, licences serveurs, etc. « Pour moi, le point le plus sensible sera le maintien des mises à jour en mode isolé. Le point 4-09 du texte stipule que le fournisseur doit prouver sa capacité à continuer d’appliquer les mises à jour critiques, y compris en mode déconnecté et tester ce scénario une fois par an. » Les fournisseurs Cloud vont devoir se mettre en condition pour corriger des CVE critiques sur les applications ou matériels dans leurs infrastructures en cas de Kill-Switch. Sur du code Open Source, les ingénieurs pourront trouver les patchs communautaires ou développer des correctifs à partir du code source public. En revanche, ceux qui proposent des services d’éditeurs comme Broadcom/VMware, Microsoft ou Google n’auront pas cette possibilité. Disposer des sources de Microsoft 365 ou de Google Cloud SQL est clairement plus complexe, voire impossible mis à part pour les quelques clouds de confiance européens qui ont signé des accords très spécifiques avec les hyperscalers.

L’accès au code source devient essentiel

Servane Augier, VP Hexatrust, souligne que pour les fournisseurs Cloud proposant des services basés sur l’Open Source, la conformité au C3A devrait être plus simple à atteindre : « Le référentiel C3A impose par exemple des exigences en termes de publication du code source pour fournir des services. Si vous êtes full open source, aucun problème, vous pourrez répondre à l’ensemble des exigences. En revanche, l’éditeur qui n’est pas directement lié à l’hyperscaler, il ne pourra pas fournir le code source des 5 dernières versions du service qu’il délivre. Il n’aura pas d’experts en interne capables de corriger le code source en cas de rupture de relation avec les États-Unis. » Seuls des acteurs comme Delos Cloud en Allemagne et Bleu dans le clan Microsoft et S3ns avec Google Cloud pourront le faire, les autres ne pourront jamais prétendre à la conformité C3A et proposer des solutions américaines sur leur Cloud.

Du côté des fournisseurs de services Cloud, les dirigeants de Bleu ne souhaitent pas commenter la publication du C3A. En revanche, Thales est directement impacté par ce texte, puisque sa filiale cloud de confiance S3ns prépare le lancement de ses services outre-Rhin. Faute d’une certification européenne unique de type EUCS High+, le français a fait le choix d’obtenir une conformité croisée avec SecNumCloud et son équivalent allemand C5 et le fameux C3A. Lors du lancement, Cyprien Falque, CEO de S3ns, a résumé son approche : « Nous allons désigner la solution pour répondre le mieux possible aux exigences du C3A qui, je précise, n’est pas une qualification. Nous sommes en train de préciser le calendrier de l’annonce de notre conformité, mais la disponibilité générale de nos services en Allemagne est prévue pour fin 2026 et nous ne voyons pas de contre-indication et que l’offre est désignée pour que ce soit compatible avec le C3A. »

L’Open Source s’impose comme l’arme la plus efficace contre un kill switch

Autre acteur du Cloud avec une stratégie radicalement différente, Cloud Temple. Ce fournisseur est l’un des premiers à avoir été qualifié SecNumCloud et celui-ci se réjouit de la publication du C3A : « Depuis la création de Cloud Temple en 2017, notre stratégie a été d’internaliser le développement de notre plateforme Cloud. Bien sûr, nous achetons des serveurs et des équipements réseau américains, mais surtout nos équipes, nos ingénieurs développent la couche de services que nous commercialisons auprès de nos clients et nous nous appuyons principalement sur des briques Open Source » explique Nicolas Duffour, VP Strategy de Cloud Temple. « Cette approche nous met à l’abri d’un kill switch américain, car ce sont des ingénieurs qui développent et opèrent nos briques logicielles ainsi que les applications Open Source. Si nous devons intervenir sur une faille de sécurité d’un de nos composants, il est soit issu d’un éditeur français ou européen, soit d’une communauté qui maintient ce code, soit c’est notre propre code sur lequel nous pourrons intervenir directement. » Et si un client de Cloud Temple est impacté par un kill switch sur une solution qu’il exploite sur son infrastructure, le fournisseur Cloud aidera son client à migrer ce client sur une solution équivalente. « Cette capacité à migrer est l’une des forces de Cloud Temple par rapport aux autres fournisseurs Cloud. Nous sommes capables de faire l’étude, de mener la migration et d’assurer les opérations de leurs applications sur notre cloud. » Nicolas Duffour donne l’exemple des solutions VMware de Broadcom. « Nous avons pris la décision stratégique de nous départir de VMware définitivement en 2027. Pour nos clients encore sous VMware, nous leur proposons une offre open source, le superviseur édité par Vates, une société française, qui remplace désormais toutes nos offres de cloud de type infrastructure de services. »

Une manœuvre politique de l’Allemagne avant le CADA ?

Si le responsable estime que le C3A est une bonne chose, il regrette que l’Europe ne se soit toujours pas dotée d’un schéma EUCS qui unifie les certifications et exigences au niveau du continent. De son côté, Servane Augier estime que cette publication du référentiel C3A n’est pas fortuite. Elle se produit en pleine préparation du CADA (EU Cloud and AI Development Act), alors que les discussions relatives à la préférence européenne sont en cours. Elle ajoute : « Par le biais de la résilience, le C3A entérine des solutions qui ne sont pas souveraines. Ces critères nous semblent crédibiliser une approche telle que celle de Delos Cloud, filiale de SAP opérée par Arvato, avec Microsoft comme fournisseur technologique. C’est l’équivalent de Bleu, en France. Au sein d’Hexatrust, nous défendons la position que la souveraineté du Cloud repose sur 3 piliers : la souveraineté des données via une approche réglementaire, une souveraineté opérationnelle avec des services opérés sur le territoire européen, et enfin une souveraineté technologique. » L’association milite pour une souveraineté technologique qui n’est pas en phase avec la conception de la souveraineté technologique telle que définie par les critères de résilience du C3A.