Cloud
15 critères pour évaluer le niveau de confiance d’un cloud selon le Clusif
Par Laurent Delattre, publié le 11 juin 2024
Face à la confusion engendrée par les doctrines nationales et européennes sur la souveraineté numérique et le cloud de confiance, le Clusif lance un guide des DSI pour préciser les termes et offrir une grille d’évaluation destinée aux DSI.
Alors que l’Europe essaye d’accorder ses violons sur l’EUCS et ne veut apparemment pas se montrer aussi engagée que le SecNumCloud français sur ce qu’il faut faire pour assurer sa souveraineté, le Clusif (Club de sa Sécurité de l’Information Français) veut apporter sa pierre à l’édifice et apporter son éclairage sur la question de la confiance numérique et de la souveraineté dans le choix des solutions d’hébergement cloud.
Dans un contexte d’adoption massive du cloud par les entreprises et administrations pour héberger leurs données sensibles mais aussi de profusion des offres et solutions, le Clusif veut clarifier les termes « confiance » et « souveraineté » – souvent utilisés à tort et à travers par le marketing des fournisseurs de services – tout en proposant 15 critères clés pour évaluer le niveau réel de confiance d’un cloud. Il publie cette semaine un document de référence pour faire le point.
Une question de vocabulaire
En publiant sa doctrine « Cloud au Centre » et sa stratégie nationale pour le cloud en mai 2021, le gouvernement français a créé de la confusion autour de la confiance que l’on pouvait accorder aux clouds et des enjeux de souveraineté numérique. Cette confusion n’a fait que s’amplifier avec les spin-offs français d’hyperscalers américains, les revendications marketing des acteurs du marché et le désaveu européen avec son EUCS qui cherche à envoyer le SecNumCloud à la corbeille.
Pour le Clusif, il est temps de redonner du sens aux mots.
Selon l’association, « la confiance numérique vise à garantir un niveau de préservation des intérêts des organisations et de leurs utilisateurs en matière de services et de protection des données ».
De même, « la souveraineté numérique vise à garantir la préservation des intérêts fondamentaux d’un État ainsi que ceux de ses organisations nationales et de leurs utilisateurs en matière de services et de protection des données. Elle vise également à prévenir les fuites de valeur. »
La confusion nait du fait que les deux concepts sont imbriqués mais « le concept de souveraineté constitue un cadre renforcé et complémentaire à celui de la confiance numérique ».
Plus prosaïquement, la souveraineté engage la sphère régalienne. Les offres doivent donc réponde à une série de critères spécifiques qui n’ont pas vraiment d’écho dans les entreprises, voire ne leur sont pas accessibles.
15 critères à surveiller pour choisir en confiance
Revenant sur les risques associés à toute migration cloud et rappelant que « les solutions qualifiées SecNumCloud par l’ANSSI ou équivalent à l’échelle Européenne restent bien entendu à privilégier pour des solutions Cloud », le Clusif invite les DSI à opter pour des solutions qui répondent à des critères de confiance numérique alignée sur l’activité de leur entreprise.
Outre les critères techniques qui dépendent des projets, quinze critères plus stratégiques doivent donc être mis sur la table et évalués :
1 – L’emplacement physique des Datacenters
2 – La localisation des données (transit, repos, utilisation)
3 – La localisation des services et applications tierces
4 – La localisation des équipes d’admin / exploitation
5 – La localisation des sous-traitants
6 – La localisation si chaîne de sous-traitance
7 – La localisation des personnes à accès à privilèges
8 – La localisation des supervisions ET des sauvegardes
9 – La localisation du siège de la société
10 – La Nationalité des services ou produits utilisés
11 – La Nationalité du ou des hébergeurs
12 – La Nationalité des personnels à accès techniques
13 – La Nationalité des fonds de capitaux
14 – Le montage juridique de la société / entité
15 – Les Certifications pour l’hébergeur
Comme le rappelle l’association, à l’heure du choix, plusieurs critères peuvent se conjuguer voire entrer en concurrence. D’autant que, nécessairement, certains critères techniques peuvent aussi venir interférer avec ces critères « de confiance numérique ».
Afin d’assister les DSI dans la prise de décision, le Clusif a développé une grille d’évaluation des exigences des organisations concernant l’hébergement de leurs données et a produit un guide exhaustif à ce sujet. Initialement distribué aux membres de l’association, ce guide sera dans un second temps accessible gratuitement sur son site web : Publications du Clusif.