Un jeu d’équilibriste, c’est le sport auquel s’est livré Oracle pour présenter son offre EU Sovereign Cloud. Indiquons tout de suite que le terme de « souveraineté » est mal employé au regard des détails de l’offre. Elle propose une grande partie du catalogue de la firme américaine, au même prix, sur deux datacenters situés en Espagne (Madrid avec Digital Realty) et en Allemagne (Francfort avec Equinix). L’objectif est d’avoir les mêmes fonctionnalités qu’OCI mais sur des infrastructures distinctes.
Pour opérer ce cloud, Oracle a créé « deux entités légales indépendantes » dans chacun des pays, avec du personnel européen. Mais il y a un hic. Ces entités sont entièrement détenues par Oracle, elles restent donc soumises à l’arsenal des lois extra-territoriales américaines comme le Cloud Act, le Patriot Act ou le FISA Act. Difficile donc de proposer ce type d’offres au secteur public en France, qui s’en remet à la labellisation SecNumCloud de l’Anssi. Cette dernière a revu son référentiel pour imposer une immunité aux lois extra-territoriales en s’assurant notamment que le capital des sociétés opérantes soit à 61% européen).
Un partenariat avec Thales et un débat sur la certification européenne
Lors d’une conférence de presse, Richard Smith, vice-président exécutif des solutions cloud et technologies chez Oracle pour la zone EMEA, n’a pas écarté l’idée de nouer des partenariats à l’avenir. Mais pas question pour l'instant de suivre les pas de Bleu ou SENS. Une collaboration avec Thales a toutefois été annoncée pour la partie chiffrement. Les clients peuvent passer par le KMS de la société française pour gérer eux-mêmes leurs clés de chiffrement. A noter que l’offre d’Oracle est disponible dès aujourd’hui pour l’ensembles des pays de l’UE et de l’EEE (espace économique européen) et vise le secteur public, mais aussi les télécoms et la finance. Si tout le portefeuille est disponible, il faudra attendre un peu pour bénéficier de la suite Fusion Cloud Applications. Il rejoint ainsi d'autres fournisseurs de cloud, Microsoft, Google et AWS sur ce type d'offres.
Avec son initiative, Oracle joue sur l’ambiguïté de la réglementation européenne en discussion autour des niveaux de certifications ou EUCS (European Cybersecurity Certification Scheme for Cloud Services). Aujourd’hui, le débat est intense entre le camps porté par les Français qui souhaitent que le référentiel adopté soit le plus proche possible de SecNumCloud avec des exigences fortes en matière d’immunité aux lois extra-territoriales. De l’autre, le camp promu par les Pays-Bas, l’Irlande et la Suède estime que ce niveau de certification va exclure plusieurs acteurs (dont ceux qui disposent de datacenters sur leurs territoires). Une bataille à ne pas négliger, comme l’a indiqué récemment Jean-Noël Barrot, ministre délégué en charge de la Transformation Numérique lors d’une audition au Sénat sur le projet de loi de régulation de l’espace numérique : « SecNumCloud pourrait être jugé illégal si le niveau de certification retenu n’était pas celui-là ». Une porte ouverte pour les le équipes marketing des fournisseurs de cloud non-européens.
Commentaire