Le Cigref publie son référentiel du Cloud de confiance (V1)

27 mai 2021 | ACTUALITÉS, Communiqués, Publications du Cigref

Le 17 mai 2021, le Gouvernement français a dévoilé sa stratégie nationale pour le cloud. Bruno Le Maire, Amélie de Montchalin et Cédric O ont présenté les trois axes suivant lesquels cette stratégie doit s’articuler. À l’occasion de la présentation de cette stratégie, le Président du Cigref, Bernard Duverneuil, est revenu sur l’engagement du Cigref depuis deux ans et demi pour faire émerger la doctrine du Cloud de confiance et mettre en cohérence les besoins des entreprises et des administrations publiques, notamment en publiant un référentiel du Cloud de confiance, ayant pour ambition d’inspirer les différents travaux en la matière, tant au niveau national qu’européen.

Nous vous invitons à nous faire part de vos commentaires et remarques afin d’enrichir ce référentiel d’ici le 15 juin 2021. Nous établirons une version consolidée avec les différents retours, que nous partagerons en juin.

Le Cigref remercie chaleureusement le pilote du Groupe de travail Vincent Niebel, Directeur des Système d’Information du groupe EDF, les participants des 40 entreprises présentes lors des sessions du Groupe de travail, avec le support de l’équipe Magellan Consulting.

Participer à la construction d’offres à l’état de l’art, économiquement accessibles et conformes au label Cloud de confiance

Si nous avons franchi une étape importante avec l’annonce de cette stratégie nationale pour le cloud, le plus compliqué reste à faire, et d’abord la construction d’offres à l’état de l’art, économiquement accessibles et conformes au label Cloud de confiance. La filière industrielle s’y prépare et plusieurs acteurs devraient faire des annonces substantielles dans ce sens à court terme. Le Cigref lui-même va continuer à se mobiliser pour expliciter le besoin de ses adhérents, publics et privés, notamment avec ce référentiel du Cloud de confiance, dont l’ambition est d’inspirer les différents travaux en la matière, tant au niveau national qu’européen.

Présentation du référentiel Cloud de confiance du Cigref

Le référentiel Cloud de confiance du Cigref se décline en trois piliers : la sécurité, l’immunité aux législations extra-européennes et la maîtrise de la dépendance des utilisateurs vis-à-vis de leurs fournisseurs de solutions et services de cloud.

En travaillant collectivement autour de ces trois piliers, les membres du Cigref ont donc dressé une liste d’exigences permettant aux fournisseurs cloud de démontrer leur capacité à se conformer au Cloud de confiance. Ces dernières proviennent de plusieurs référentiels, à la fois français et européens (SWIPO, SecNumCloud, GAIA-X, EU Cloud CoC), auxquels s’ajoutent des exigences d’immunité juridique et géopolitique. Les exigences imposées aux fournisseurs cloud sont à la fois opérationnelles et contractuelles. Ainsi, toute exigence opérationnelle doit être également contractuellement exigible.

Pour une lecture simplifiée du référentiel, et dans un objectif de définition d’un socle minimal et d’une cible complète, ces exigences ont été divisées selon deux niveaux :

  • Un premier niveau de confiance assurant un « Safe Cloud » : ce niveau traduit une exigence de sécurité informatique élevée et une transparence des règles juridiques applicables et des dépendances potentielles afin que le client soit parfaitement informé ;
  • Un niveau supérieur de confiance assurant un « Trusted Cloud » : ce niveau, cumulant ses exigences avec celles du premier niveau, vise une sécurité élevée, une immunité aux lois extra-européennes ainsi qu’une maîtrise forte du niveau de dépendance.

Il est essentiel de rappeler que ce référentiel n’est ni un label, ni une certification, le Cigref n’ayant pas vocation à être opérateur d’un tel dispositif. Il appartient aux organismes qui le souhaitent de se saisir de ce dernier, lequel présente le besoin des utilisateurs, pour l’adapter aux modalités d’une démarche de labellisation ou de certification de solutions et services de Cloud de confiance. Par ailleurs, les utilisateurs de ces solutions et services pourront s’en inspirer pour enrichir leurs démarches contractuelles avec leurs fournisseurs.

Cloud de confiance & référentiel : objectifs

Un Cloud de confiance est un cloud qui, en plus de proposer des services, IaaS et SaaS (a minima), respectant des exigences techniques, technologiques, de contrôle, de sécurité, de réversibilité, de portabilité, d’interopérabilité et de transparence imposées par le marché et les pouvoirs publics, permet également de se protéger :

  • Des risques juridiques liés à l’application de lois extra-européennes à des clients, français et européens, d’opérateurs de services cloud ;
  • De l’impact d’une crise géopolitique sur l’activité des clients d’opérateurs de services cloud.

Ainsi, le référentiel Cloud de confiance répond à plusieurs objectifs :

  • Clarifier le code de conduite entre le fournisseur de services cloud (CSP) et le client de services cloud (CSC).
  • Lister toutes les exigences IT (sécurité, réversibilité, interopérabilité, portabilité), et intégrer toutes les exigences transverses (juridique, géopolitique) qui sont indispensables à un Cloud de confiance.
  • Solliciter les acteurs du marché cloud, principalement les membres du Cigref ayant recours à des services cloud, quant aux exigences nécessaires et suffisantes pour un référentiel garantissant un niveau maximal de confiance dans le cloud.

Critères de décisions RSE à intégrer dans les projets IT : l’outil d’évaluation disponible !

Peut-on encore, en 2023, lancer un projet SI sans se préoccuper de sa contribution à la RSE et de son impact Numérique Responsable ? Quelles sont les bonnes questions à se poser pour justement, engager un tel projet en toute connaissance de cause ? Et d’ailleurs,...

Réagir à une cyberattaque massive : Gérer les conséquences d’une crise d’origine cyber

Le risque cyber est aujourd’hui considéré comme le risque le plus élevé par la plupart des organisations et entreprises. Le travail d'intelligence collective présenté dans ce rapport a donc pour objectif de mettre à disposition des lecteurs des éléments très concrets...

Élaborer et mettre en place la stratégie data : Gouvernance et Architecture Data & Analytics

Le Cigref publie, sous forme de rapport, le résultat des travaux de son groupe de travail sur le thème « Gouvernance et architecture data », co-piloté par Alice Guéhennec, Chief Digital & Information Officer du groupe SAUR et à Patrick Mahu, architecte...

Mise en application du Digital Market Act

Le Digital Market Act ou DMA, réglementation européenne sur laquelle le Cigref s’est beaucoup impliqué au cours de ces dernières années, entre en application à compter d’aujourd’hui, mardi 2 mai 2023. Télécharger le communiqué de presse Maintenant que le DMA...

Cloud Migration Strategies: a structural challenge for companies

Cigref publishes a report on the results of the work of its working group on "cloud migration strategies", co-chaired by Jean-Christophe Lalanne, EVP IT at Air France KLM, and Stéphane Rousseau, CIO at Eiffage. This updated version of the first version of the Cloud...