Cloud souverain : souveraineté et résilience ou confiance ? Vaste question à laquelle Dominique Luzeaux, directeur de l'Agence du Numérique de Défense et ingénieur général de l'armement apporte des éléments de réponse et de réflexion dans une note parue dans la Revue Défense Nationale (RDN) et également publié sur Linkedin. « Rappelons que la confiance n’est pas un gage de souveraineté, que la souveraineté ne se bâtit pas que sur la confiance. En fait, déjà à la base, la souveraineté relève de soi-même, alors que la confiance relève d’une relation de soi à l’autre. Les deux ne sont pas comparables », explique Dominique Luzeaux.
Pour qu'un cloud soit souverain, il faut pouvoir en maitriser toutes les pièces du puzzle : des couches basses d'infrastructure (processeurs) jusqu'aux plus hautes briques applicatives (interface utilisateur). Un challenge pas facile à relever voire un combat perdu d'avance ? « Le sujet n'est pas aussi simple car être souverain signifie aussi de produire tous ses outils et d'être totalement en situation d'autarcie ou une situation avec une interdépendance plus intelligente et plus construite », nous avait ainsi glissé Paul-Olivier Gibert, président de l'Afcdp à l'occasion de la 16e édition de l'Université de l'association en mars dernier.
La souveraineté n'est pas la confiance
« On peut affirmer que le label de cloud de confiance apporte en effet à tout usager des garanties quant à une sécurité de ses données en termes de non-divulgation ou exploitation non maîtrisées, mais cela n’a pas grand-chose à voir avec la souveraineté, en particulier relativement aux technologies et procédures permettant de construire et mettre en œuvre un cloud à grande échelle », poursuit Dominique Luzeaux.
Le fossé séparant le cloud souverain du cloud de confiance est donc de taille. En mai 2021, le gouvernement Macron I avait d'ailleurs réorienté ses objectifs autour de plusieurs piliers : définition d'un label cloud de confiance, accord de licences avec les fournisseurs étrangers, renforcement juridique contre l'extra-territorialité de certaines lois étrangères et rationalisation des clouds pour l'administration. Autant d'initiatives et de volontés louables pour lesquelles le référentiel SecNumCloud ne peut cependant pas tout, la réalité du terrain étant sans doute plus complexe.
Le Cloud Act, éternelle épine dans le pied du cloud de confiance
Dans sa note, Dominique Luzeaux mentionne une étude, commandée par le ministère néerlandais de la Justice et de la Sécurité, au cabinet d’avocats américains Greenberg Traurig, assez éclairante sur le sujet : « pour qu’une entité de l’UE puisse éviter complètement d’être soumise au Cloud Act, il lui faudrait traiter les données en utilisant une entité non américaine, qui soit n’a pas de relation d’entreprise avec une société ayant une présence aux États-Unis (telle qu’une filiale américaine) et n’a pas de contacts avec les États-Unis tels que les États-Unis puissent raisonnablement affirmer leur compétence à l’égard de l’entité de l’UE (ce qui inclut le fait de ne pas vendre de produits ou de services à des clients). Si elle a une relation d’entreprise avec une société basée aux États-Unis, la société américaine ne doit pas avoir la possession, la garde, le contrôle ou la responsabilité de l’entité européenne. En aucun cas, l’entité de l’UE ne peut avoir une société mère américaine, car la société mère serait considérée comme ayant la possibilité ou le contrôle des données de sa filiale. En outre, il est conseillé de ne pas employer de ressortissants américains ayant accès aux données pertinentes ».
Pas de garantie totale d'immunité au droit extracommunautaire
« Pour résumer, il n’y a pas garantie totale d’immunité au droit extracommunautaire , comme il était écrit explicitement dans la version 3.2a de septembre 2021 du référentiel SecNumCloud. En conclusion, on peut affirmer que le label de cloud de confiance apporte en effet à tout usager des garanties quant à une sécurité de ses données en termes de non-divulgation ou exploitation non maîtrisées, mais cela n’a pas grand-chose à voir avec la souveraineté, en particulier relativement aux technologies et procédures permettant de construire et mettre en œuvre un cloud à grande échelle », souligne en outre Dominque Luzeaux.
Ces derniers mois des alliances se sont multipliées dans l'Hexagone entre des GAFAM et des sociétés françaises pour tenter d'apporter une réponse à aux enjeux (Bleu, S3NS...) de cloud de confiance. En Europe, des initiatives ont aussi fleuri comme Gaia-X sans toutefois parvenir à sortir vraiment du concept. En fait, à y regarder de près, on peut se poser une question : le cloud souverain a-t-il simplement jamais existé ?
Diplômé de l’École Polytechnique, de l’École Nationale Supérieure des Techniques Avancées et d’un DEA en informatique théorique et d’un doctorat de l’université Paris XI en intelligence artificielle, Dominique Luzeaux est habilité à diriger des recherches. Il a par ailleurs reçu le Prix Ingénieur Général de l’Armement Chanson pour ses travaux en robotique autonome militaire.