AWS ne manque pas de rappeler son engagement concernant la souveraineté

Face à l’environnement réglementaire complexe (RGPD^[i], NIS^[ii], CLOUD Act^[iii], etc.) et la conjoncture politique incertaine, exacerbée par la guerre en Ukraine, l’Europe multiplie ses initiatives liées à la souveraineté numérique. Toutefois, le concept reste toujours un peu ambigu et a différentes acceptions, allant du soutien au développement de solutions innovantes françaises pour faire face aux acteurs dominants du marché et éviter le verrouillage technologique (l’effet de “lock-in” technologique) à la capacité de l’État à agir dans le cyberespace.

La confidentialité et la sécurité de l’information sont les conditions sine quoi non pour préserver la souveraineté numérique. Les entreprises françaises sont de plus en plus conscientes de cet enjeu et cherchent des solutions adaptées à leurs besoins d’autant plus que les géants américains, sujets au CLOUD Act, au Patriot Act et au FISA^[iv], ont un poids important sur le marché des technologies numériques en France, notamment dans le domaine du cloud. Pour préserver leur positionnement sur ce marché, les hyperscalers s’attèlent à rassurer leurs clients et instaurer la confiance dans leurs services. La mise en avant des différentes solutions de chiffrement de données en est un des leviers principaux car, aujourd’hui, le CLOUD Act n’oblige pas le fournisseur de cloud concerné à déchiffrer les données qu’ils hébergent (et cela peut aussi, parfois, leur être impossible). Tous les hyperscalers proposent désormais le chiffrement des données sur leurs services cloud, à périmètre plus ou moins large, avec la possibilité pour un client de contrôler les clefs d’accès à leurs données, y compris via HSM^[v] dédiés. Certains hyperscalers vont encore plus loin en s’engageant en parallèle dans les initiatives de “cloud de confiance” via des partenariats avec des acteurs locaux, comme l’a fait Microsoft avec Orange et Capgemini (création d’une JV appelée Bleu) ou Google avec Thales. Cette stratégie vise à accélérer leur pénétration sur le marché français.

Bien que membre de Gaia X, AWS semble être moins actif que ses confrères sur le marché du cloud de confiance. Toutefois, AWS a largement abordé le sujet de la souveraineté du cloud dans son agenda du Summit AWS qui s’est tenu en France la semaine dernière. L’hyperscaler y a dédié de nombreuses sessions, plus ou moins techniques, allant de l’explication de l’application du CLOUD Act aux dispositifs de sécurité et de confidentialité des données dans le cloud mise en œuvre pour protéger ses clients français. Selon AWS, la souveraineté dans le cloud est tout d’abord l’autonomie stratégique de l’entreprise. Autrement dit, l’accès aux technologies de pointe d’AWS tout en ayant la liberté de choisir la localisation de ses données la réversibilité (possibilité de changer de solution technologique) ainsi que la conservation de la propriété de ses données grâce aux garde-fous incluant :

• Les contraintes juridiques comme la conformité réglementaire (post Schrems II) et l’engagement à faire une contestation systématique à toutes les requêtes dans le cadre du CLOUD Act en cas de conflit avec les lois français ou européennes ainsi qu’à ne fournir que le strict minimum de données requis pour satisfaire la requête.
• Les certifications et les contrôles incluant ISO 27001-27018-27701, HDS^[vi], PCI DSS^[vii] et SOC^[viii]1, 2 et 3.
• Les mesures techniques, tels que AWS Key Management Service, AWS SecretsManager, AWS Certificate Manager et AWS CloudHSM ou encore son système AWS Nitro qui assure la confidentialité de la charge de travail et empêche tout accès administrateur, y compris de la part de personnes d’AWS.

Même s’il n’y a pas eu de grande surprise lors de ces communications, les mesures d’AWS pour concilier l’extraterritorialité du droit américain et le RGPD ne se distinguent pas autant de celles des autres hyperscalers. Cela ne fait que confirmer que cet enjeu a gagné en importance dans les dernières années. Les hyperscalers ont commencé à prendre au sérieux la souveraineté dans le cloud et misent sur leurs communications pour “vulgariser” les enjeux et instaurer la confiance avec leurs clients souvent confus dans cette conjoncture complexe.

Cette stratégie est aujourd’hui un succès alors que les hyperscalers continuent à gagner des parts de marché aux dépends des plus petits acteurs. En effet, dans un contexte où le marché du cloud connait une croissance explosive, les solutions souveraines alternatives 1/ offrent un catalogue de services beaucoup moins développés (OVH, Scaleway) ou 2/ ne devraient pas être opérationnelles avant, au mieux, début 2023 (Bleu, Thales/Google). Prenant en considération que la vitesse est un élément toujours plus important pour les entreprises, nous pouvons nous demander quel potentiel marché sera encore “disponible” lorsque ces offres “de confiance” seront disponibles sur le marché.

Si le chiffrement des données lors de leur stockage et leur traitement doit aujourd’hui devenir le mantra de toute entreprise désirant protéger ses données sensibles, ces dernières doivent néanmoins rester vigilantes et ne pas se fier aveuglément à ce type de solutions, les dispositifs proposés étant un bon pas en avant, mais pas la panacée à tous les maux, notamment pour les secteurs les plus sensibles (défense, OIV…).

———————

^[i] Règlement Général sur la Protection des Données
^[ii] Directive Network and Information System Security
^[iii] Clarifying Lawful Overseas Use of Data Act
^[iv] Foreign Intelligence Surveillance Act
^[v] Hardware Security Module
^[vi] Hébergeur de Données de Santé
^[vii] Payment Card Industry Data Security Standard
[viii] Service Organisation Controls