Dans le contexte de l’adoption du schéma européen de certification du cloud EUCS, la capacité des acteurs économiques à protéger leurs données stratégiques est au cœur des débats. Souveraineté, confiance numérique, ces termes utilisés sans distinction entraînent une confusion qui dessert la sécurité de l’information. Le Clusif plaide pour une clarification rapide.
Les organisations font des choix de solutions d’hébergement de cloud en intégrant plusieurs dimensions : la sécurité, l’accessibilité, le droit applicable, la performance, les coûts etc.
Depuis quelques années la notion de souveraineté tente de s’inviter dans les critères d’évaluation de ces solutions. Notamment car les questions d’autonomie et d’indépendance sont au cœur du débat public. Mais cette notion, la souveraineté, concernant les solutions d’hébergement du cloud, est employée sans fondements clairs. Ce qui a pour conséquence de créer de la confusion chez les acheteurs et des effets d’aubaine chez les fournisseurs.
Plutôt que d’employer la notion de souveraineté, notion régalienne, à tort et à travers, le Clusif lui préfère la notion de confiance numérique. Celle-ci peut être définie avec des critères objectifs et concrets, nous en proposons 15 :
- Localisation physique des Datacenters
- Localisation des données (transit, repos, utilisation)
- Localisation des services et applications tierces
- Localisation des équipes d’administration / exploitation
- Localisation des sous-traitants
- Localisation si chaîne de sous-traitance
- Localisation des personnes à accès à privilèges
- Localisation des supervisions / sauvegardes
- Localisation du siège de la société
- Nationalité des services ou produits utilisés
- Nationalité du ou des hébergeurs
- Nationalité des personnels à accès techniques
- Nationalité des fonds de capitaux
- Montage juridique de la société / entité
- Certifications pour l’hébergeur
« La souveraineté est un enjeu trop important pour être dévoyé. Cela se joue au niveau de l’État. En matière d’hébergement de cloud, appuyons-nous déjà sur la notion de confiance numérique pour viser un meilleur niveau de sécurité et une offre réellement adaptée aux besoins de chacun », souligne Benoît Fuzeau, président du Clusif.
Nous n’ignorons pas les besoins de certaines organisations d’avoir accès à des solutions réellement souveraines. Mais le Clusif œuvre pour que les professionnels de la cybersécurité puissent guider les choix d’achats de solutions en se basant sur des besoins différenciés. Et pour cela il faut sortir d’un emploi excessif et trop flou de la notion de souveraineté.
Voir le dossier de synthèse complet
Le Clusif a par ailleurs publié un outil complet d’aide au choix d’une solution d’hébergement de cloud. Il comprend notamment :
- Un guide technique présentant le contexte de la réflexion (move to cloud, besoin d’autonomie des organisations et protection face à l’extra-territorialité…) ainsi que deux ensembles de critères de souveraineté et de confiance
- Un questionnaire d’auto-évaluation du besoin de typologie de solution cloud
Cet outil est actuellement réservé à nos adhérents et sera offert en accès libre sur ce site à l’automne.