Trop de pseudo clouds souverains. Le CISPE réagit
Un cadre pour « labelliser » les clouds souverains. Développé, défini et testé exclusivement par des fournisseurs européens d’infrastructure cloud, le « Verifiably Sovereign » permet de sélectionner facilement des services cloud rigoureusement audités afin de vérifier leur souveraineté et leur résilience.
Souverain, ou pas souverain ? Difficile à dire. Le marché est actuellement inondé d’offres « souveraines » non vérifiées, ce qui complique la compréhension des clients quant à la nature des services qu’ils acquièrent, estime CISPE (Cloud Infrastructure Service Providers in Europe). Même les définitions officielles de la souveraineté restent floues et les indicateurs et méthodes d’évaluation sont opaques…
Les clients sont en droit de savoir si les services cloud sont protégés contre les ingérences juridictionnelles étrangères. Sont-ils à l’épreuve des décisions de Trump ? Présentent-ils des risques liés aux interruptions de service et à l’accès aux données ? Il est urgent d’instaurer la transparence et de mettre en place un système d’audit pour prévenir le « sovereignty washing ».
Deux approches distinctes, mais complémentaires
Le cadre « Verifiably Sovereign » comble cette lacune en fournissant une définition claire et certifiable du contrôle dans les services cloud. Il aide les clients et les autorités publiques à identifier les offres qui garantissent un contrôle effectif des données, de l’infrastructure, des charges de travail et des opérations. Il est essentiel de souligner que la certification de cybersécurité, à elle seule, ne garantit pas la souveraineté.
Ce faisant, CISPE introduit deux approches distinctes mais complémentaires pour un contrôle effectif. Un : les services souverains garantissent le contrôle dès leur conception ; ils sont détenus, gouvernés et exploités au sein de la juridiction concernée, empêchant ainsi toute ingérence étrangère ou toute perturbation.
Deux : les services résilients garantissent le contrôle par les capacités ; même en présence d’éléments non souverains, les clients conservent le contrôle grâce à des garanties techniques et opérationnelles robustes, telles que le chiffrement géré par le client, la portabilité, les sauvegardes indépendantes et la possibilité de changer de fournisseur ou de redéployer les charges de travail.
Elargir le choix
Bref, la souveraineté prévient le risque ; la résilience garantit aux clients leur capacité à y faire face. L’approche du CISPE offre la transparence nécessaire pour choisir en toute connaissance de cause la voie la plus appropriée.
Au lancement, plus de 40 services ont été déclarés conformes au cadre. Il s’agit notamment de services européens d’assistance IA souverains et résilients, de solutions de cloud public, de Kubernetes et de stockage. D’autres services conformes sont attendus dans les prochaines semaines. Ils seront répertoriés dans le catalogue de cloud fédéré du CISPE (limité à ses membres).
Le cadre CISPE vise à promouvoir la souveraineté et à élargir le choix. Il reconnaît que, même lorsque des services pleinement souverains ne sont pas encore disponibles, des alternatives résilientes peuvent offrir des solutions légitimes et efficaces aux clients. Il ne s’agit pas d’exclure des services du marché, mais simplement de renforcer la confiance dans le contrôle des données et des charges de travail dans le cloud.
