Le gouvernement souhaite lancer un nouvel label "cloud de confiance" permettant de certifier des services Cloud sur lesquels pourront se reposer les entreprises, les administrations et les citoyens. Extension du SecnumCloud, ce label sera également délivré par l'ANSSI. Reste à savoir sur quels critères il sera délivré dans quelle mesure, il ne va pas profiter au modèle de licences des hyperscalers
Sur quels critères?
Le label reposera sur le visa SecNumCloud délivré par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Rappelons à ce titre que seuls trois fournisseurs de Cloud français ont reçu à ce jour ce visa, dont un seul pour une infrastructure de cloud public (Outscale), OVH n'étant qualifié que pour son offre de Cloud privé.
Les fournisseurs de cloud souhaitant recevoir le nouveau label devront donc respecter le référentiel technique de ce visa et les exigences du futur schéma européen connu sous le nom de "European Cybersecurity Certification Scheme for Cloud Services".
Par ailleurs, "les infrastructures et les systèmes" devront être localisés en Europe et donc au sein de datacenters européens.
Quant aux portages opérationnels et commercial de l'offre"( commercialisation d'offres de cloud US sous licences), ils devront être assurés par une entité européenne détenue par des acteurs européens. Sans précision pour autant de la part de l'actionnariat.
Quid des entreprises non européennes
La stratégie Cloud du gouvernement prévoit aussi que les entreprises extra européennes pourront également recevoir ce label, à condition de respecter certaines règles telles que la localisation des données en Europe, la localisation de l'entité opérant les services en Europe, et la commercialisation des offres via des fournisseurs de cloud français. Cette pratique aurait pour objectif d'outrepasser le CLOUD Act qui permet aux autorités américaines d'accéder aux données stockées par des entreprises américaines. Mais en pratique, quelle que soit la localisation des données, les autorités américaines ont accès aux données à partir du moment où elles sont stockées par une entreprise américaine en vertu du CLOUD Act. Quid de la filiale européenne d'une entité américaine qui opérerait ses services dans un datacenter européen, et qui serait donc en conformité.
En effet, la légalité du stockage de données d'européens par des fournisseurs américains est loin d'être assurée depuis l'invalidation du Privacy Shield. La Cour de justice de l'Union européenne avait justement décidé d'abroger ce texte à cause des lois américaines qui violent le Règlement général sur la protection des données (RGDP).
Un modèle avantageux pour les hyperscalers et pénalisant pour les clients finaux
Avec ce nouveau modèle de label, les entreprises américaines (hyperscalers) vont donc être "incitées" à commercialiser encore plus leurs offres, sous formes de licences, auprès des fournisseurs français, et, ce avec une marge de négociation qui va être plus difficile pour ces derniers. Les fournisseurs français vont devoir batailler sur les SLA, qui seront dès lors, sous leurs responsabilités. Ils n'auront d'autres choix que de répercuter leurs "pertes de marges", sur le client final, et de travailler sur un volume important de comptes et/ou d'instances de calcul. Pour garantir les SLA, ils devront aussi monter en compétence sur les aspects contractuels, techniques, règlementaires, sécuritaires et investir sur les services managés à valeur ajoutée fortement axés sécurité. Ils devront également investir massivement sur la sécurité physique et logique de leurs datacenters (au risque d'être confrontés aux incidents majeurs de sécurité vécus lors de l'incendie du datacenter d'OVH).
De leurs côtés, les fournisseurs américains vont et en contre partie, réviser leurs accords de licences, à leurs avantages et déporter encore plus la responsabilité des services managés sur leurs clients fournisseurs de cloud. Un changement de paradigme qui leur sera donc fortement avantageux d'un point de vue commercial et juridique. Avec le risque au final de creuser encore plus le fossé entre hyperscalers et CSP européens.
Comments