Chapitre 2

La nécessité d’un cloud souverain

Selon Gartner, 55 % des décideurs IT adopteront des écosystèmes de données d’ici 2025. De plus, d’ici 2026, les organisations qui adoptent des pratiques actives en matière de métadonnées passeront à 30 % pour les données et l’analyse afin d’accélérer l’automatisation, la découverte d’informations et les recommandations. Mais d’autres thématiques comme la confidentialité des données et la cybersécurité constituent également une source de préoccupation croissante. D’ici 2027, le risque de faille triplera pour les organisations qui ne parviennent pas à gérer de manière continue l’accès à distance à leur architecture et à leurs processus. Face à de telles prévisions, la nécessité d’un cloud souverain s’impose clairement. Quelles sont les autres raisons d’adopter le cloud souverain ?

Contexte géopolitique

Au-delà d’un choix technologique, le cloud souverain est aussi un choix stratégique influencé par différents facteurs géopolitiques. À l’heure où de plus en plus d’organisations tentent d’exploiter la valeur commerciale des données au-delà des frontières géopolitiques, les pays peinent à trouver un équilibre entre la stimulation de leur économie et la protection de la vie privée de leurs citoyens de manière sécurisée. De plus, les cadres règlementaires varient énormément d’une nation à l’autre. Cette situation représente un défi de taille pour les fournisseurs de cloud.

L’interaction dynamique entre la technologie et la géopolitique montre toute l’importance d’une compréhension globale du paysage mondial de la gouvernance des données à l’ère du cloud.

Le cloud souverain ne se limite pas à la technologie et à la sécurité, il prend également en compte les règles géopolitiques.

Vincent Dock,
Senior strategy manager chez Proximus NXT

Stratégie de l’UE

Pour les entreprises, il est très important de se rendre compte à quel point la protection des données est fragile quand elle est gérée par des clouds ne relevant pas des juridictions européennes. Il est ici essentiel de comprendre les règlementations et le contexte géopolitique qui influence(ro)nt vos données, aujourd’hui et demain.

Le Cloud Act américain de 2018, par exemple, a constitué un changement règlementaire majeur. Il permet aux services de renseignement américains d’avoir accès à vos données si celles-ci sont stockées chez des fournisseurs de cloud américains.

Le bouclier de prévention a été mis en place pour faciliter les transferts internationaux de données entre l’Union européenne et les États-Unis. Celui-ci a ensuite été invalidé par l’arrêt Schrems II, dans lequel la Cour a jugé que les États-Unis n’offraient pas de mesures adéquates de protection des données.

L’Union européenne est beaucoup plus stricte. Selon celle-ci, les organisations qui transfèrent des données à caractère personnel de l’UE vers les États-Unis ou d’autres pays doivent veiller à ce qu’elles soient protégées conformément au règlement général sur la protection des données (RGPD).

En juillet 2023, l’UE a adopté le cadre de protection des données UE-États-Unis. Cela montre que le sujet continue d’évoluer et que nous pouvons attendre l’introduction de nouveaux règlements dans les prochaines années.

Depuis lors, bien d’autres nouvelles lois ont été proposées ou promulguées. Citons par exemple les législations sur les marchés numériques, sur les services numériques et sur l’IA.

Dans le cadre du règlement sur la cybersécurité, un dispositif de certification a été élaboré pour les services cloud, appelé EUCS. Les fournisseurs de cloud pourront démontrer le niveau des mesures de cybersécurité mises en œuvre dans leurs services cloud grâce à différents niveaux d’assurance. Cette législation favorise les clouds dans lesquels les données sont stockées et traitées à l’intérieur des frontières de l’UE.

Règlementations en matière de sécurité

La directive NIS2 entre en vigueur en 2024 avec un impact majeur sur la façon dont les entreprises gèrent la cybersécurité.La directive NIS2 est une version actualisée de la directive NIS (Network and Information Security), qui visait à garantir un niveau élevé et homogène de cybersécurité à travers les États membres de l’UE. Sa mise en œuvre a amélioré le niveau général de cybersécurité, mais en raison de la hausse considérable des cybermenaces, un niveau plus élevé s’impose. La directive NIS2 propose un cadre pour relever efficacement ce défi, à travers l’élargissement de la portée de la directive originale et un renforcement strict des exigences en matière de sécurité. Elle aura un impact sur la manière dont les entreprises appliquent les mesures de cybersécurité et les incitera à déployer de nouvelles solutions pour renforcer la sécurité

Comment le cloud souverain s’inscrit dans cette philosophie (comment le cloud souverain peut vous aider à créer un avantage concurrentiel)

Ce contexte règlementaire a donné naissance au concept de cloud souverain, une solution qui répond à vos besoins en matière de souveraineté. Le cloud peut grandement vous aider à y remédier, mais aujourd’hui, vous n’avez presque pas d’autre choix que de vous tourner vers des fournisseurs américains, étant donné le manque d’options européennes offrant les mêmes fonctionnalités.

Les initiatives qui voient le jour en Europe, comme Gaia X, visent à créer une infrastructure de données basée dans l’UE. Les solutions de cloud souverain offrent les avantages du cloud public tout en respectant les restrictions européennes. À terme, leur adoption vous permettra de tirer parti de la valeur inexploitée de vos données sensibles ou de garantir le niveau de contrôle des services que vous proposez, vous offrant ainsi un avantage concurrentiel.

Comment migrer avec succès dans le cloud souverain?