Pour garantir que les solutions des fournisseurs cloud proposent un niveau de sécurité à la hauteur des attentes les plus élevées - tout autant en termes de souveraineté des données - il n'y a pas 36 solutions. Le plus simple et évident est ainsi de se tourner vers une solution et/ou service bénéficiant du label SecNumcloud délivré par l'ANSSI. L'un des derniers prestataires français à l'avoir obtenu est OVHcloud avec son offre Hosted Private cloud. Mais d'autres alternatives se profilent à l'horizon. Si l'Europe pousse une alliance à plusieurs niveaux (industriel, données, edge et cloud) avec un gros focus cyber, cette dernière demeure réservée aux fournisseurs cloud. Alors quel choix reste-il aux clients finaux et entreprises utilisatrices ? En positionnant la cybersécurité mais aussi la souveraineté dans son ADN, l'initiative Gaia-X se positionne comme un candidat pertinent pour couvrir ce besoin.
Certes les exigences portées par ceux deux forces ne sont pas interdépendantes car une offre SecNumcloud ne sera pas nécessairement labellisée Gaia-X et vice-versa. « Les utilisateurs savent ce qu'ils veulent, que ce soit par SecNumCloud ou autre chose », a expliqué Hubert Tardieu, président du conseil d'administration de Gaia-X à l'occasion d'un point presse French Gaia-X Hub vendredi dernier. « Je ne crois pas que mettre ensemble Google et OVH suffit à régler le problème de confiance. C'est davantage le cas quand EDF se tourne vers Gaia-X pour que ses données nucléaires ne sortent pas d'Europe ». Dans l'attente de la liste des solutions labellisées Gaia-X attendue à la fin de l'année, les offres poussées par des fournisseurs étrangers acceptés récemment en tant que membres ne manqueront pas quoi qu'il en soit d'être scrutées à la loupe.
Gaia-X perçu comme un environnement plus sécurisant
« On espère que les labels feront la différence pour les utilisateurs dont certains très demandeurs participent à des marchés réglementés dans la finance, la santé, l'automobile, l'énergie... Ils voudraient que nous puissions garantir que l'architecture cloud retenue soit conforme aux exigences de leurs autorités de marché comme la banque avec par exemple l'obligation de lutte du blanchiment d'argent », a indiqué Hubert Tardieu. Et Christophe Leblanc, chef du groupe Ressources et Transformation Digitale à la Société Générale et membre du Cigref de préciser : « La difficulté est de s'assurer d'avoir un environnement technique et juridique qui permet de le faire sans problème en partageant de la donnée avec une meilleure finesse et pertinence de détection. Cela peut se faire seulement auprès de fournisseurs cloud dont l'environnement est sécurisé ».
Faire un cloud européen souverain et sécurisé est une chose. Reste à savoir si les entreprises accepteront de lui confier leurs ressources critiques. « L'intérêt est évident pour un cas d'usage de partage de la donnée en commun contre le blanchiment d'argent mais nous avons, en tant que Société Générale, d'autres intérêts à participer à Gaia-X », indique Christophe Leblanc. « Si nous avons un label pour un environnement de développement et d'innovation serein, alors on se tournera bien volontiers vers lui plutôt que vers d'autres offres de fournisseurs cloud ».
L'énigme de la part des offres des fournisseurs cloud étrangers labellisées Gaia-X
Passées à la moulinette de Gaia-X, les offres cloud des fournisseurs américains (mais également chinois) seraient-elles donc plus à même de séduire les entreprises ? C'est possible, mais encore faut-il que le périmètre et la couverture fonctionnelle de ces offres soient identiques. Or, il y a fort à parier que, compte-tenu des contraintes et barrières à l'entrée fortes imposées par Gaia-X pour recevoir son label, de nombreux fournisseurs de cloud étrangers jettent l'éponge. Et se réservent par la même occasion la possibilité de jouer sur les deux tableaux, à savoir profiter du label Gaia-X sur une partie congrue de leur portefeuille pour revendiquer faire partie des offres labellisées et continuer à proposer surtout leurs services habituels coeur de gamme comme ils le font aujourd'hui. Une hypothèse qui pourra - ou pas - se vérifier lorsque les offres Gaia-X des fournisseurs cloud étrangers seront - ou pas - labellisées.