Le Cloud Souverain, un enjeu de souveraineté

Pour Monaco, avoir son propre cloud souverain est une question de souveraineté dans un monde numérique dominé par les mastodontes du digital américains et chinois.

« Je suis particulièrement fier que la Principauté de Monaco soit le premier pays en Europe à disposer d'un Cloud Souverain d'État. Cette réalisation entre dans le cadre de notre politique ambitieuse de développement numérique de notre économie et constitue un aspect essentiel de son attractivité pour notre population et tous ceux qui souhaitent s'y installer », avait déclaré, au lancement de Monaco Cloud en 2021, le Prince Albert II. Il faut dire que sur le continent, la naissance d’un cloud souverain européen s’enlise. Le projet Gaia-X, qui avait été présenté comme le « premier pas » vers une « infrastructure européenne du cloud », a pris du plomb dans l’aile, avec le départ de l’un de ses fondateurs, Scaleway. En février 2022, douze États membres de l’Union (la France, l'Allemagne, la Belgique, l'Espagne, la Hongrie, l'Italie, la Lettonie, le Luxembourg, les Pays-Bas, la Pologne, la Slovénie, la République tchèque) ont alors annoncé leur volonté de lancer un grand projet de cloud souverain à l’échelle européenne. Il prend la forme d’un PIIEC (projet important d’intérêt européen commun) financé à hauteur de 7 milliards d’euros qui impliquerait quelques 180 entreprises européennes.  En France, les initiatives de cloud souverain ou de confiance se multiplient, comme OVH Cloud qui propose une offre isolée des législations extraterritoriales et une labellisation SecNumCloud.

Eviter le cloud Act

Pourquoi vouloir créer un cloud souverain à tout prix ? Pour les États, c’est une question de souveraineté numérique. Il s’agit de lutter contre la domination des GAFAM américains et des BATX chinois (Baidu, Alibaba, Tencent et Xiaomi) qui dominent les marchés européens et les placent en situation de dépendance technologique en dictant leurs normes. Pour la majorité des entreprises européennes, le virage vers le cloud a commencé il y a une dizaine d’années. Faute de solution attractive en Europe, 70 à 80% d’entre elles ont externalisé leurs données y compris les plus sensibles à travers les leaders américains comme Amazon ou Microsoft. Ce qui pose un problème majeur de sécurité, surtout après le scandale du programme d'espionnage Prism, révélant que le gouvernement américain avait eu accès à des données sur les serveurs de Google, Facebook, Microsoft, Yahoo, Apple et Skype… Quant au Cloud Act, il autorise carrément l'administration américaine à saisir légalement les emails ou tous autres documents et communications électroniques stockés sur des serveurs américains à l'étranger ! Grâce à cette loi extraterritoriale, l’exécutif peut réclamer en effet à tous les fournisseurs de service travaillant sur le sol des Etats-Unis les données stockées sur leurs serveurs et ce, "quelle que soit" leur localisation.

C’est pourquoi Monaco est entré dans la course. Avec ce cloud souverain dont l’Etat est actionnaire majoritaire, l’objectif est d’offrir des services cloud répondant « aux plus hauts standards technologiques et de sécurité » au Gouvernement, aux organisations d’importance vitale et aux entreprises privées. « Les données les plus sensibles peuvent même bénéficier d’une solution de chiffrement souveraine mise en œuvre par Monaco Cloud », avance la société, rappelant que « les infrastructures de l’opérateur sont localisées à Monaco ». Ce qui implique que les données hébergées sont stockées en principauté (transitant par le réseau de Monaco Telecom sur le territoire monégasque). Placées sous loi monégasque, elles ne risquent pas d’être exfiltrées puisqu’elles ne sont soumises au Patriot Act, au Cloud Act, ni à aucune juridiction hors de Monaco. En 2022, les services de Monaco Cloud ont de plus été homologués en suivant la méthodologie recommandée par l’Agence monégasque de sécurité numérique (AMSN). Une homologation qui repose sur la politique de sécurité des systèmes d’information de l’État (PSSI-E) visant à se prémunir des cyberattaques comme le piratage, les atteintes à la vie privée ou le sabotage des systèmes d’information. Ils seront bientôt qualifiés PINH (équivalent SecNumCloud).

Aujourd’hui, Monaco Cloud compte 30 clients, acteurs économiques et institutionnels et propose déjà « des solutions souveraines comme le coffre-fort, la signature électronique ou le chiffrement souverain ». Cette offre sera prochainement étoffée avec un « nouveau service de sauvegarde et de restauration autonome ainsi qu’un service de stockage de grande capacité optimisé et immuable (S3) », a annoncé récemment la société. Le lancement de sa « marketplace » est quant à lui prévu au premier semestre 2023.

Pour inciter les entreprises à migrer leurs infrastructures vers le cloud souverain, Monaco Cloud utilise un autre argument : les économies générées. Jusqu’à 50% sur 5 ans pour une entreprise « par rapport au modèle on-premise »*… L’État, lui, donne l’exemple. Il a déjà commencé la migration de ses données sur le Cloud Souverain et devrait terminer cette opération - nom de code « Gouv to cloud » - d’ici à la fin 2024/2025.

Milena Radoman

*Source : www.idc.com Fostering Business and Organizational Transformation to Generate Business Value with AWS.