« Est-ce que la protection de votre cloud contre les arrêts forcés ou les événements géopolitiques est pour vous une préoccupation majeure ? » Ainsi se conclut le questionnaire que Google Cloud soumet dans le cadre de son « indicateur de souveraineté numérique ».
Cette initiative vise à « accompagner la définition d’une stratégie » dans ce domaine. Ciblant, en l’état, les organisations européennes, elle met en œuvre la vision que le groupe américain communique depuis 2020. Celle-ci s’articule en trois axes :
– Souveraineté des données (localisation, contrôle sur le chiffrement et les accès…)
– Opérationnel (visibilité et contrôle sur les actions du fournisseur)
– Logiciel (portabilité des charges de travail, usage en mode déconnecté…)
« La souveraineté numérique est définie différemment selon les pays », reconnaît Google Cloud en ouverture de son questionnaire. Aussi demande-t-il, en premier lieu, à quelle échelle on souhaite déployer des solutions. Dans la pratique, qu’on sélectionne « Toute l’Europe » ou l’un des pays listés, la suite du parcours est la même. Sauf si on choisit l’option France, auquel cas on nous interroge sur l’éventuel besoin d’un fournisseur certifié SecNumCloud.
Sur la partie data, il s’agit d’abord de déterminer le degré de sensibilité des données. Quatre options sont proposées :
– Données publique soumises à aucune contrainte
– Obligation de protection conformément au RGPD et/ou aux recommandations du CEPD
– Données sensibles du point de vue des règles de l’organisation, mais non soumises à des exigences réglementaires
– Classifiées ou nécessitant un isolement physique
Étapes suivantes :
– Évaluer le niveau de visibilité et de contrôle sur les accès du fournisseur cloud… ainsi que ceux d’organisations tierces
– Estimer le besoin de gestion des clés de chiffrement (par le client ou par le fournisseur ? dans l’environnement de ce dernier ou en dehors ?)
– Définition du besoin de contrôle des lieux depuis lesquels se font les accès des utilisateurs finaux
Sur le volet opérationnel, le principal enjeu consiste à définir si l’assistance technique doit être confiée uniquement à du personnel basé dans l’UE. Sur la partie logicielle, Google Cloud aborde essentiellement l’exécution des projets sur site, éventuellement en air gap.
En sélectionnant les critères les plus restrictifs (SecNumCloud, traitement des accès au cas par cas, assistance d’un partenaire local…), deux options ressortent. D’un côté, « Contrôles locaux avec S3NS », l’offre « intermédiaire » de la joint-venture entre Google Cloud et Thales (elle a son équivalent en Allemagne, avec T-Systems dans la boucle). De l’autre, le catalogue « cloud distribué » sur base Anthos, avec les services GDC Edge (concurrent d’Azure Stack et d’AWS Outposts) et GDC Hosted (orienté sur les workloads sensibles exécutés dans des environnements non connectés).
À consulter pour davantage de contexte :
CLOUD Act : quel degré d’exposition pour Bleu et S3NS ?
Cloud souverain : comment VMware l’envisage et l’orchestre
IT souveraine : le cloud de confiance cherche sa voie
Cloud souverain : l’EU Data Boundary de Microsoft, encore loin du compte ?
Peut-on développer un SaaS bureautique « souverain » avec 8 M€ ?
IT souveraine : 6 pépites made in France
Cloud et sécurité : les référentiels-clés selon le Clusif
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
Sous la bannière SpreadSheetLLM, Microsoft propose un framework destiné à optimiser le traitement des feuilles…
Selon le magazine Wired, AT&T aurait payé près de 400 000 $ à un pirate…