Le Cloud Sovereignty Framework : un premier pas pour l’évaluation de la souveraineté

Regard sur cette initiative en 3 questions à Pierre-Louis Mauratille, Directeur des Opérations chez HarfangLab.

Que contient le Cloud Sovereignty Framework ? 

Pierre-Louis Mauratille : Le Cloud Sovereignty Framework est un document concis de 6 pages qui établit une grille de critères permettant aux soumissionnaires d’appels d’offres publics européens d’évaluer le niveau de souveraineté d'un service cloud. Il s’appuie sur d’autres initiatives européennes telles que le cloud de confiance en France, le Souveräner Cloud en Allemagne, ou encore les référentiels de l’ENISA, NIS 2 ou DORA.

Ce framework permet de prendre en compte différents aspects de la souveraineté avec des objectifs pour chacun : souveraineté stratégique, légale et juridique, opérationnelle, technique, de la chaîne d'approvisionnement, des données et des systèmes d’IA, de la sécurité et de la conformité, soutenabilité environnementale. 

L’atteinte des différents objectifs est mesurée par le Sovereignty Effectiveness Assurance Level (SEAL) sur une échelle allant de 0 à 4. Le framework propose également un score de souveraineté calculé à partir des résultats obtenus sur les différents critères.

Cette approche incluant les multiples dimensions de la souveraineté permet aux acteurs du marché de l’évaluer en fonction de leur contexte et de leurs besoins. En effet, les enjeux de souveraineté sont différents pour une entreprise par rapport à une institution publique ou une industrie critique.

Quelles garanties pose le Cloud Sovereignty Framework pour la souveraineté d’un service cloud ? 

Pierre-Louis Mauratille : L'intérêt de ce framework réside dans le fait qu’il n’a pas vocation à poser des contraintes, mais il permet d’indiquer des niveaux de souveraineté pour les différentes dimensions d’un service cloud. A partir de ces données, le mandataire d’un appel d’offres peut choisir le niveau de souveraineté souhaité pour les différents aspects d’un service en fonction de ses propres priorités. C’est une démarche qui prend en compte la complexité de la souveraineté. En effet, aujourd’hui, un service est rarement monolithique mais composé de différentes briques, voire de services tiers, et une évaluation des différentes dimensions de la souveraineté est mieux adaptée.

Un service cloud repose sur différents composants, et c’est une des raisons pour lesquelles, même si la souveraineté est une priorité, il faut savoir rester ouvert. La souveraineté est cruciale et la cohérence sur toute la chaine de valeur également. Mais pour un fournisseur de solution, la porte doit rester ouverte et permettre les meilleurs choix technologiques tout en veillant à préserver l’autonomie stratégique et la confidentialité des données. Ainsi, de la même façon qu’une organisation choisit un fournisseur sur des critères de performance, le fournisseur lui-même doit être en mesure de construire la solution la plus performante en répondant aux exigences de souveraineté, mais sans qu’elle devienne un critère bloquant et contre-productif.

Le Cloud Sovereignty Framework fait aussi l’objet de critiques. Pourquoi ?

Pierre-Louis Mauratille : Le Cloud Sovereignty Framework est remis en question par le CISPE (Cloud Infrastructure Service Providers in Europe), pointant son caractère trop vague pour être réellement contraignant en termes de souveraineté, et remettant en question le calcul du score de souveraineté qui serait désavantageux pour les acteurs européens.

En pratique, les fournisseurs américains dominent encore largement le marché. Microsoft Azure, Amazon Cloud Services et Google Cloud représentent 70% des revenus générés par des services cloud en Europe. Cette tendance soulève une autre question en plus de la souveraineté des données : quid de la disponibilité des services si nos alliés commerciaux d’aujourd’hui ne le sont plus demain ? La construction d’un écosystème européen souverain vise aussi à assurer notre autonomie stratégique. C'est la raison pour laquelle nous avons notamment fait le choix de travailler avec OVH, partenaire de confiance de longue date, pour la version cloud de notre plateforme.

Néanmoins, la Commission européenne ne pouvait pas ignorer le contexte actuel dans l’élaboration de son framework, au risque d’être inapplicable en l’état. Mais il ne tient qu’à nous de consolider cette souveraineté en choisissant des acteurs européens pour envisager à terme un cadre peut-être plus contraignant en termes de souveraineté, qui pourra réellement être appliqué par un plus grand nombre de parties prenantes sur le marché.

Cybersécurité et souveraineté :
quels sont les enjeux et comment choisir la bonne solution ?