Le 17 mai 2021, le Gouvernement français a dévoilé sa stratégie nationale pour le cloud. Bruno Le Maire, Amélie de Montchalin et Cédric O ont présenté les trois axes suivant lesquels cette stratégie doit s’articuler. À l’occasion de la présentation de cette stratégie, le Président du Cigref, Bernard Duverneuil, est revenu sur l’engagement du Cigref depuis deux ans et demi pour faire émerger la doctrine du Cloud de confiance et mettre en cohérence les besoins des entreprises et des administrations publiques, notamment en publiant un référentiel du Cloud de confiance, ayant pour ambition d’inspirer les différents travaux en la matière, tant au niveau national qu’européen.
Nous vous invitons à nous faire part de vos commentaires et remarques afin d’enrichir ce référentiel d’ici le 15 juin 2021. Nous établirons une version consolidée avec les différents retours, que nous partagerons en juin.
Le Cigref remercie chaleureusement le pilote du Groupe de travail Vincent Niebel, Directeur des Système d’Information du groupe EDF, les participants des 40 entreprises présentes lors des sessions du Groupe de travail, avec le support de l’équipe Magellan Consulting.
Participer à la construction d’offres à l’état de l’art, économiquement accessibles et conformes au label Cloud de confiance
Si nous avons franchi une étape importante avec l’annonce de cette stratégie nationale pour le cloud, le plus compliqué reste à faire, et d’abord la construction d’offres à l’état de l’art, économiquement accessibles et conformes au label Cloud de confiance. La filière industrielle s’y prépare et plusieurs acteurs devraient faire des annonces substantielles dans ce sens à court terme. Le Cigref lui-même va continuer à se mobiliser pour expliciter le besoin de ses adhérents, publics et privés, notamment avec ce référentiel du Cloud de confiance, dont l’ambition est d’inspirer les différents travaux en la matière, tant au niveau national qu’européen.
Présentation du référentiel Cloud de confiance du Cigref
Le référentiel Cloud de confiance du Cigref se décline en trois piliers : la sécurité, l’immunité aux législations extra-européennes et la maîtrise de la dépendance des utilisateurs vis-à-vis de leurs fournisseurs de solutions et services de cloud.
En travaillant collectivement autour de ces trois piliers, les membres du Cigref ont donc dressé une liste d’exigences permettant aux fournisseurs cloud de démontrer leur capacité à se conformer au Cloud de confiance. Ces dernières proviennent de plusieurs référentiels, à la fois français et européens (SWIPO, SecNumCloud, GAIA-X, EU Cloud CoC), auxquels s’ajoutent des exigences d’immunité juridique et géopolitique. Les exigences imposées aux fournisseurs cloud sont à la fois opérationnelles et contractuelles. Ainsi, toute exigence opérationnelle doit être également contractuellement exigible.
Pour une lecture simplifiée du référentiel, et dans un objectif de définition d’un socle minimal et d’une cible complète, ces exigences ont été divisées selon deux niveaux :
- Un premier niveau de confiance assurant un « Safe Cloud » : ce niveau traduit une exigence de sécurité informatique élevée et une transparence des règles juridiques applicables et des dépendances potentielles afin que le client soit parfaitement informé ;
- Un niveau supérieur de confiance assurant un « Trusted Cloud » : ce niveau, cumulant ses exigences avec celles du premier niveau, vise une sécurité élevée, une immunité aux lois extra-européennes ainsi qu’une maîtrise forte du niveau de dépendance.
Il est essentiel de rappeler que ce référentiel n’est ni un label, ni une certification, le Cigref n’ayant pas vocation à être opérateur d’un tel dispositif. Il appartient aux organismes qui le souhaitent de se saisir de ce dernier, lequel présente le besoin des utilisateurs, pour l’adapter aux modalités d’une démarche de labellisation ou de certification de solutions et services de Cloud de confiance. Par ailleurs, les utilisateurs de ces solutions et services pourront s’en inspirer pour enrichir leurs démarches contractuelles avec leurs fournisseurs.
Cloud de confiance & référentiel : objectifs
Un Cloud de confiance est un cloud qui, en plus de proposer des services, IaaS et SaaS (a minima), respectant des exigences techniques, technologiques, de contrôle, de sécurité, de réversibilité, de portabilité, d’interopérabilité et de transparence imposées par le marché et les pouvoirs publics, permet également de se protéger :
- Des risques juridiques liés à l’application de lois extra-européennes à des clients, français et européens, d’opérateurs de services cloud ;
- De l’impact d’une crise géopolitique sur l’activité des clients d’opérateurs de services cloud.
Ainsi, le référentiel Cloud de confiance répond à plusieurs objectifs :
- Clarifier le code de conduite entre le fournisseur de services cloud (CSP) et le client de services cloud (CSC).
- Lister toutes les exigences IT (sécurité, réversibilité, interopérabilité, portabilité), et intégrer toutes les exigences transverses (juridique, géopolitique) qui sont indispensables à un Cloud de confiance.
- Solliciter les acteurs du marché cloud, principalement les membres du Cigref ayant recours à des services cloud, quant aux exigences nécessaires et suffisantes pour un référentiel garantissant un niveau maximal de confiance dans le cloud.