Juridique

À peine publié, le référentiel cloud souverain de l'UE suscite le débat

Les huit critères qui entrent dans l'évaluation du degré de souveraineté des offres cloud par la Commission européenne. (Photo: Commission européenne)

La Commission européenne a présenté son cadre de définition du cloud de confiance, accompagné d'un outil de mesure du score de souveraineté des offres. L'initiative suscite déjà les critiques de l'association Cispe, selon laquelle la méthode privilégie les acteurs américains.

PublicitéLe sujet est sensible, mais la Commission européenne a décidé de dévoiler un framework du cloud souverain (cloud sovereignty framework) à destination des autorités passant des marchés publics. Pour ce faire, l'exécutif bruxellois s'est appuyé sur plusieurs initiatives comme le référentiel cloud de confiance v2 du Cigref, les règles et l'architecture de la politique Gaia-X, ainsi que le cadre européen de certification de cybersécurité (Enisa, NIS2, Dora). Il a également tiré les leçons des politiques nationales comme le « cloud au centre » français avec le SecNumCloud de l'Anssi et le Souveräner Cloud allemand avec le C5 du BSI.

Fruit de cette réflexion, la Commission a mis en place un score de souveraineté pour les offres cloud du marché qui s'appuie sur huit critères. Ceux-ci évaluent plusieurs « objectifs de souveraineté » (SOV) comme le degré d'ancrage d'un fournisseur au sein de l'écosystème juridique, financier et industriel de l'UE, l'exposition juridique à des autorités étrangères, la protection et le contrôle des données et des services IA. La souveraineté opérationnelle (continuité des opérations, disponibilité des compétences et résilience face aux dépendances extérieures) est également prise en compte, ainsi que la supply chain, la dépendance technologique, la sécurité et la conformité ou encore les efforts en matière de développement durable. A chacun de ces piliers, un niveau de service (SEAL) est attribué allant de 0 (service, technologie ou opérations sous contrôle exclusif de tiers non européens, entièrement régis par des juridictions hors UE) à 4 (technologie et opérations sous contrôle total de l'UE, soumises uniquement au droit de l'UE, sans dépendances critiques hors UE).

La formule du score européen de souveraineté pour une offre cloud. (Photo: UE)

La Commission européenne donne aussi des éléments de pondération de chaque critère. Ainsi, la supply chain pèse-t-elle 20% dans la note finale alors que les volets opérationnels, stratégiques et technologiques comptent pour 15%. Les parties juridiques et conformité sont jugées à hauteur de 10%. L'UE partage dans son framework la formule de calcul du score final (voir image).

Un outil contre-productif selon les offreurs européens

La méthode bruxelloise ne satisfait pas particulièrement les fournisseurs de cloud européens réunis au sein de l'association Cispe. Elle juge l'outil opaque et en l'état, favorable aux hyperscalers étrangers, ceux-ci obtenant de meilleures notes que les opérateurs européens. Pour l'association, cette démarche est intentionnelle et vise à pousser les organismes du secteur public à ne pas résilier leurs contrats existants avec AWS, Microsoft et Google Cloud. De même, certains objectifs sont jugés irréalisables « comme le contrôle total de l'UE sur chaque composant matériel ». Sur le score de souveraineté, le Cispe n'est pas plus tendre estimant qu'en créant une moyenne de moyennes pondérées, l'UE s'éloigne un peu plus de la transparence.

PublicitéSur les réseaux sociaux, les avis sont plus mitigés. Certains saluent l'initiative de la Commission européenne comme un premier pas dans la définition et la mesure de la souveraineté des offres des fournisseurs cloud. D'autres soulignent que certains critères devraient être mieux représentés comme la composante juridique et la conformité aux différentes réglementations à portée extraterritoriale. Plusieurs s'interrogent sur le score obtenu par des offres comme Bleu ou S3NS en France mêlant sociétés françaises et technologies américaines. Une chose est sûre les DSI, RSSI et offreurs vont devoir se pencher sur ce cadre et intégrer cette méthodologie dans leurs indicateurs.