La forte montée en puissance du Cloud ces dernières années, largement portée par l’externalisation de tout ou partie du Système d’Information, amène les entreprises et structures publiques à être particulièrement vigilantes sur le choix de leurs partenaires IT. Cela est renforcé par les tensions géopolitiques actuelles qui ont fait émerger à grande échelle l’importance des notions de souveraineté.
Dans ce contexte, le sujet du Cloud souverain est plus que jamais une priorité stratégique à intégrer dans sa gouvernance IT. Mais derrière le mot « souverain », il convient d’être particulièrement vigilant et de bien s’assurer qu’il ne s’agit pas d’un simple argument marketing opportuniste.
5 grands piliers permettant d’évaluer la souveraineté de son partenaire Cloud/hébergement
– La notion d’actionnariat et de propriété des infrastructures : Ce premier point est un élément clé à prendre en compte pour bien identifier les actionnaires portant l’offre de cloud proposée. Ainsi, opter pour une société détenue par un actionnariat français est une approche différente que de sélectionner un fournisseur détenu par un fond américain par exemple. Cette première grille de lecture est donc à prendre en considération.
– Ne pas avoir de dépendances technologiques : Ce critère, souvent peu mis en avant, est pourtant stratégique. Le fournisseur cloud sélectionné ne doit pas être enclavé dans des écosystèmes partenaires et doit pouvoir proposer des solutions alternatives sans entraîner de rupture d’exploitation. Il est donc nécessaire d’évaluer rigoureusement l’indépendance et la pluralité de l’offre sur l’ensemble de ses strates. S’ajoute à cette exigence la force de concevoir, détenir et opérer ses propres datacenters : cette maîtrise verticale garantit une souveraineté technique complète, renforce la résilience opérationnelle et préserve l’agilité commerciale en écartant tout risque de verrouillage ou de dépendance critique vis-à-vis d’un tiers.
– Connaitre le lieu d’hébergement de ses données : Cette notion est fondamentale en matière de souveraineté. Ainsi, garantir un hébergement des données clients en France est un prérequis non négociable. Les données sont alors protégées par la législation française à l’image du RGPD et non exposées à des lois étrangères à l’image du Patriot Act pour les États-Unis par exemple.
– Piloter les projets localement : les opérations sont gérées depuis la France et les services de supports y sont localisés. Cette approche couplée à une gestion des aspects cyber en local est un impératif.
– Se conformer aux meilleures pratiques du marché : Un fournisseur de Cloud souverain ne peut s’affranchir des normes, certifications et qualifications qui attestent d’une approche réellement souveraine et respectant le cadre réglementaire. Nous pouvons aussi bien évoquer des initiatives transversales à l’image de SecNumCloud ou d’autres plus sectorielles comme HDS.
À travers ces éléments, il est possible de s’assurer qu’un certain nombre de fondamentaux sont réunis pour évaluer la pertinence des approches souveraines proposées par les fournisseurs du marché. Seules les organisations qui prendront le temps de bien qualifier toutes les spécificités des offres pourront alors faire un choix éclairé, souverain et travailler dans une bulle de confiance.
Fabien MOLLET, CTO cegedim.cloud
