La Commission européenne a publié son cadre pour mesurer la souveraineté des offres cloud. (Crédit Photo: Commission européenne)
La Commission européenne a présenté son cadre définissant le cloud de confiance avec un outil pour mesurer le score de souveraineté des offres des fournisseurs. Une initiative qui suscite les critiques de l'association CISPE estimant que cette méthode privilégie les acteurs américains.
Le sujet est sensible, mais la Commission européenne a décidé de dévoiler son framework pour un cloud souverain à destination des autorités passant des marchés publics. Pour ce travail, l'exécutif bruxellois s'est appuyé sur plusieurs initiatives comme le référentiel cloud de confiance v2 du Cigref, les règles et l'architecture de la politique Gaia-X, ainsi que le cadre européen de certification de cybersécurité (Enisa, NIS2, Dora). Il a également tiré les leçons des politiques nationales comme le cloud au centre en France avec le SecNumCloud de l'Anssi et le Souveräner Cloud allemand avec le C5 du BSI.
Le fruit de cette réflexion est la mise en place d'un score de souveraineté pour les offres cloud avec différents critères. Au nombre de huit, ils s'attachent à évaluer plusieurs objectifs (SOV) comme le degré d'ancrage d'un fournisseur au sein de l'écosystème juridique, financier et industriel de l'UA, l'exposition juridique à des autorités étrangères, la protection et le contrôle des données et des services IA. D'autres critères portent sur la souveraineté opérationnelle (continuité des opérations, disponibilité des compétences et résilience face aux dépendances extérieures), la supply chain, la dépendance technologique, la sécurité et la conformité ainsi que les efforts en termes de développement durable. A chacun de ces piliers, un niveau de service (SEAL) est attribué allant de 0 (service, technologie ou opérations sous contrôle exclusif de tiers non européens, entièrement régis par des juridictions hors UE) à 4 (technologie et opérations sous contrôle total de l'UE, soumises uniquement au droit de l'UE, sans dépendances critiques hors UE). La Commission européenne donne aussi des éléments de pondération pour calculer le score de souveraineté en affectant des pourcentages sur chaque critère. Ainsi, celui de la supply chain pèse 20% dans la note finale et les volets opérationnels, stratégiques et technologiques comptent pour 15%. Les parties juridiques et conformité sont jugées à hauteur de 10%. Au final, l'UE donne une formule savante (voir ci-dessous) pour calculer ce score.
Le calcul pour obtenir le score de souveraineté d'une offre cloud. (Crédit Photo: UE)
Un outil contre-productif selon le Cispe
La méthode bruxelloise ne satisfait pas particulièrement les fournisseurs de cloud européens réunis au sein de l'association Cispe. Elle est jugée opaque et, en l'état, elle favoriserait les hyperscalers étrangers en obtenant de meilleures notes que les opérateurs européens. Pour l'association, cette démarche est intentionnelle pour aider les organismes du secteur public à ne pas résilier leurs contrats existants avec AWS, Microsoft et Google Cloud. De même, certains objectifs sont jugés irréalisables « comme le contrôle total de l'UE sur chaque composant matériel ». Sur le score de souveraineté, le Cispe n'est pas plus tendre estimant qu'en créant une moyenne de moyennes pondérées, l'UE s'éloigne un peu plus de la transparence.
Sur les réseaux sociaux, les avis sont plus mitigés. Certains saluent l'initiative de la Commission européenne comme un premier pas dans la définition et la mesure de la souveraineté des offres des fournisseurs cloud. D'autres soulignent que certains critères devraient être mieux représentés comme le juridique et la conformité face aux différentes réglementations à portée extraterritoriale. Plusieurs s'interrogent sur le score obtenu par des offres comme Bleu ou S3NS en France mêlant sociétés françaises et technologies américaines. Une chose est sûre les DSI, RSSI et offreurs vont devoir se pencher sur ce cadre et intégrer cette méthodologie dans leurs indicateurs.
Suivez-nous