Dans le contexte de l’adoption du schéma européen de certification du cloud EUCS, la capacité des acteurs économiques à protéger leurs données stratégiques est au cœur des débats. Souveraineté, confiance numérique, ces termes utilisés sans distinction entraînent une confusion qui dessert la sécurité de l’information. Le Clusif plaide pour une clarification rapide.
Les organisations font des choix de solutions d’hébergement de cloud en intégrant plusieurs dimensions : la sécurité, l’accessibilité, le droit applicable, la performance, les coûts etc.
Depuis quelques années la notion de souveraineté tente de s’inviter dans les critères d’évaluation de ces solutions. Notamment car les questions d’autonomie et d’indépendance sont au cœur du débat public. Mais cette notion, la souveraineté, concernant les solutions d’hébergement du cloud, est employée sans fondements clairs. Ce qui a pour conséquence de créer de la confusion chez les acheteurs et des effets d’aubaine chez les fournisseurs.
Plutôt que d’employer la notion de souveraineté, notion régalienne, à tort et à travers, le Clusif lui préfère la notion de confiance numérique. Celle-ci peut être définie avec des critères objectifs et concrets, nous en proposons 15 :
- Localisation physique des Datacenters
- Localisation des données (transit, repos, utilisation)
- Localisation des services et applications tierces
- Localisation des équipes d’administration / exploitation
- Localisation des sous-traitants
- Localisation si chaîne de sous-traitance
- Localisation des personnes à accès à privilèges
- Localisation des supervisions / sauvegardes
- Localisation du siège de la société
- Nationalité des services ou produits utilisés
- Nationalité du ou des hébergeurs
- Nationalité des personnels à accès techniques
- Nationalité des fonds de capitaux
- Montage juridique de la société / entité
- Certifications pour l’hébergeur
« La souveraineté est un enjeu trop important pour être dévoyé. Cela se joue au niveau de l’État. En matière d’hébergement de cloud, appuyons-nous déjà sur la notion de confiance numérique pour viser un meilleur niveau de sécurité et une offre réellement adaptée aux besoins de chacun », souligne Benoît Fuzeau, président du Clusif.
Nous n’ignorons pas les besoins de certaines organisations d’avoir accès à des solutions réellement souveraines. Mais le Clusif œuvre pour que les professionnels de la cybersécurité puissent guider les choix d’achats de solutions en se basant sur des besoins différenciés. Et pour cela il faut sortir d’un emploi excessif et trop flou de la notion de souveraineté.
