Cloud, souveraineté et rentabilité : est-ce incompatible ?

Par Kilian Alain Michel Goëtz, analyste au sein du département géoéconomie de l'Institut d'études de géopolitique appliquée

Prix dérisoire, scalabilité, évolutivité, accessibilité et sécurité, le cloud computing public séduit de plus en plus d'entreprises. Avec des fiches techniques plus qu'attirantes, les cloud provider public, majoritairement dominés par des entreprises des GAFAM et BATX telles que AWS fournis par Amazon ou Azure par Microsoft, sont vues comme une importante source de rendement. Le cloud peut accentuer la compétitivité d'une entreprise de manière significative ; une nécessité dans un monde géoéconomique où la compétition est devenue très importante. Au sien de l'Union européenne, 41% des entreprises ont utilisé le cloud en 2021 [1].

Par leurs expériences, les cloud provider public proposent des services IaaS, PaaS et SaaS (Infrastructure as a Service, Platform as a Service, Software as a Service) à des prix très abordables. Cela permet aux entreprises de réduire les coûts liés aux structures informatiques avec une amélioration des services proposés. Nonobstant, bien que lucrativement bénéfique, le coût peut s'avérer bien plus élevé quand il s'agit de souveraineté.

Avec la forte émergence et croissance de la data dont la valeur financière est devenue l'une des plus importantes au monde, les États européens ont restreint leur accès et leur sécurité en légiférant (en intégrant dans leur législation nationale le RGPD). D'autres, à l'instar des États-Unis, y ont vu une opportunité d'accès à la propriété intellectuelle et au vol industriel (Cloud Act).

Les lois et les démonstrations marketing des cloud sont des succubes au visage angélique mais aux intentions mesquines. Il convient donc de se prémunir et de ne pas se laisser séduire, en gardant un recul objectif de l'utilisation des cloud provider public.

Cloud computing public, des services informatiques à moindre coûts

Le cloud computing public [2] est la mise à disposition d'une large gamme de ressources informatiques tels que les serveurs, le stockage, les plateformes et les infrastructures. Il permet également une tarification dite pay-as-you-go (PAYG) signifiant que l'utilisateur ne paye que les ressources qu'il utilise. De cette utilisation, il peut être tiré de nombreux avantages.

Premièrement, les coûts liés aux services informatiques sont drastiquement diminués en comparaisons avec le on-premise car l'utilisateur n'a plus besoin d'entretenir des data centers avec des centaines de salariés pour leur maintenance. Deuxièmement, le cloud computing public offre une scalabilité inégalable, tout est modifiable en quelque clic et certains cloud provider public permettent même une mise à l'échelle automatique. Par exemple une Web App sur Azure peut modifier automatiquement ses puissances de calcul en fonction de la charge de travail actuelle. Troisièmement, les cloud provider public offrent un niveau de sécurité que l'on peut difficilement égaler dans la mesure où ce sont des entreprises issues des GAFAM et BATX qui comptent des centaines de milliers d'employés experts dans divers domaines informatiques. Quatrièmement, les cloud provider public offrent un niveau de résilience très élevé. Les serveurs sont souvent couplés et éloignés, permettant de protéger les données et la continuité des services en cas de défaillance, d'incendie ou de catastrophe climatique ; un autre serveur prend le relais

Ainsi, l'utilisateur a toujours accès à ses ressources. Prenons par exemple Microsoft Azure : les serveurs y sont couplés dans des « zones de disponibilité ». Ils possèdent des liaisons à très haut débit et faible latence permettant ainsi à un serveur couplé de prendre le relais en cas de problème. Il faut voir les cloud provider public comme une rationalisation et une mise en commun des ressources. On retrouve ce processus dans beaucoup d'autres domaines comme l'automobile. Les constructeurs utiliseront, à de nombreuses reprises, le même moteur pour différents modèles de véhicules tout en y apportant des changements de caractéristiques selon les besoins. S'agissant du cloud, les entreprises utilisent tous les mêmes serveurs. Elles consomment toutefois des services différents selon leurs besoins. Cette méthode de travail est très novatrice dans le domaine informatique, qui séduit par son aspect tarifaire.

On retrouve dans le cloud computing trois types de services [3] : l'Infrastructure-as-a-Service (IaaS), le Platform-as-a-Service (PaaS) et le Software-as-a-Service (SaaS).

Les différents types de service représentent les niveaux de services, c'est-à-dire les différentes couches informatiques qui sont gérées par le provider ou l'utilisateur. Le niveau le plus basique est l'Infrastructure-as-a-Service ou IaaS. À ce niveau l'utilisateur fait abstraction des infrastructures physiques, telles que les data centers et les locaux qui les hébergent, qui sont extrêmement énergivores. Par ailleurs, selon plusieurs estimations, ils devraient représenter une grande partie de la consommation mondiale d'électricité dans un futur proche. Cela implique également une diminution du nombre d'employés dont l'utilisateur aura besoin. Cela ne signifie toutefois pas une suppression de poste ; l'utilisateur aura certes besoin d'un nombre moins important d'experts informatiques spécialisés en Infrastructure, mais il aura davantage besoin d'experts cloud.

Le second niveau d'abstraction est le Platform-as-a-Service ou PaaS, dans lequel les avantages de l'IaaS sont conservés. Sont ajoutés dans le service PaaS les systèmes d'opérations, les outils de développement, la gestion des bases de données et les analyses business.

Enfin, le dernier niveau d'abstraction est le Software-as-a-Service ou SaaS, qui se traduit par un logiciel en tant que service. C'est un logiciel entièrement développé, maintenu et hébergé par le cloud provider qui est fourni à l'utilisateur. Bien souvent, c'est le PaaS qui est majoritairement recherché dans un cloud provider public. Il permet d'avoir un environnement de développement clé en main pour les équipes informatiques de l'entreprise, des services de développement, de management et de finances numériques configurables en quelques clics. Les concepts principaux du cloud sont à la portée de tout le monde ; par ailleurs, les cloud provider public proposent des formations tout public pour présenter les concepts cloud et leurs services. Néanmoins, l'exploitation et la configuration du cloud n'est pas à la portée de tout le monde et nécessitent l'intervention d'experts. Les cloud provider public fournissent souvent des cours gratuits en ligne réalisable en autodidacte ou sous forme de webinar (payant). De surcroît, certaines plateformes telles qu'Azure ou AWS proposent des examens certifiants (voire convertibles en crédit ACE, équivalent Américain des ECTS en Europe ouvrant droit à une graduation dans des universités partenaire des cloud provider). Ainsi, au-delà de la révolution technique qu'offre le cloud computing grâce au principe de mutualisation des ressources, il ouvre une nouvelle branche dans le monde de l'informatique.

Cloud Act, RGPD, PIPL, les dessous des lois

Il va de soi qu'au vu des conjectures actuelles les entreprises sont de plus en plus séduites par le cloud computing public, très attractif par l'offre technique à coût dérisoire. Mais par cette migration survînt alors une décadence profonde de la souveraineté des entreprises qui entreprirent leurs migrations trop vite sans connaître correctement ce nouvel environnement. Cela s'explique par la promulgation de lois qui peuvent ouvrir la possibilité au vol intellectuel dans certaines conditions. Il est important de faire preuve de méfiance et soumettre à réflexion l'ensemble des vecteurs, dont l'aspect légal.

Les différents cloud providers sont souvent soumis aux règles des régions/États dans lesquels ils sont établis. Il est donc difficile au regard de la fréquence de changement des lois ainsi que de leur diversité, de les citer. De ce fait, une entreprise souhaitant profiter du cloud computing public doit bien connaître le cadre légal et s'adresser à un expert des lois numériques. L'analyse effectuée en l'espèce reste brève et ne s'attarde pas entièrement sur l'ensemble du cadre légal mais se limite aux cadres légaux les plus communs dans les cloud provider, tels qu'AWS, Azure, GCP, Alibaba ou OVH. Les trois acteurs américains (AWS, Azure et Google) concentrent à eux seuls une part considérable du marché mondial, avec comme part de marché respective de 32 %, 21 % et 9 %. Ils sont tous régis par le droit américain, dont le fameux Cloud Act (Clarifying Lawful Overseas Use of Data Act [4]). Cette loi extraterritoriale américaine, adoptée le 23 mars 2018, change profondément le cadre juridique de la rétention des données par des fournisseurs de communication. Le problème sous-jacent à cette nouvelle loi est notamment l'accès par les autorités judiciaires américaines aux données des entreprises américaines. Le Cloud Act s'applique à tous les fournisseurs de services informatiques à distance qui sont soumis à la juridiction américaine, qu'ils soient établis aux États-Unis ou dans un autre pays. Cela signifie que toute société étrangère ayant un bureau ou une filiale aux États-Unis est soumise au Cloud Act. Cette loi définit deux cadres d'accès aux données des entreprises américaines, soit avec le consentement de la personne, soit au travers d'un mandat obtenu auprès d'un tribunal américain, mais seulement dans le cas des données personnelles. Le principal inconvénient de cette loi réside dans le caractère autoritaire de son applicabilité.

Historiquement, l'échange de données entre différents pays dépendait des traités d'entraide judiciaire (MLAT, Mutual Leag Assistant Treaty), des accords négociés entre les deux gouvernements, puis validés par le Sénat américain, pour coopérer sur des affaires judiciaires. Le Cloud Act permet, sur mandat d'un juge américain, d'extraire des données dans l'un de leurs serveurs, sans la prise en compte de leur localité. Ainsi, ils peuvent extraire des données sauvegardées dans un pays étranger à la condition qu'elles soient stockées dans une entreprise ayant des bureaux aux États-Unis. Les entreprises étrangères sont donc soumises à une réglementation pouvant entraîner l'appropriation de toutes ses propriétés intellectuelles. Dans un cas extrême, il est aisé d'imaginer une entreprise utilisant les services d'AWS se voir aspirer ses propriétés intellectuelles à la suite de la demande du gouvernement américain conformément à l'accord Cloud Act. Cela étant, il est prévu dans la loi la possibilité pour l'entreprise américaine de contester la demande d'extraction, si elle estime que le mandat est excessif. L'entreprise peut refuser la demande d'information du gouvernement et saisir les tribunaux pour protéger les informations de ses clients [5]. Toutefois, la pratique démontre que les entreprises et les agences gouvernementales ont parfois tendance à travailler ensemble plutôt qu'en conflit lorsque leurs intérêts respectifs s'alignent. Les exemples de Gemplus et d'Alstom en sont les plus probants.

Les États-Unis ne sont pas les seuls à faire évoluer leurs lois autour du cloud. Alibaba Cloud, l'entreprise chinoise qui fait partie des principaux fournisseurs au monde, est régie par la loi nommée PIPL [6] (Personnal Information Protection Law). Adoptée en novembre 2021, cette loi a d'importantes similitudes avec le Règlement général sur la protection des données (RGPD) ; elle traite de la protection des données des personnes physiques et morales chinoises à l'intérieur de ses frontières comme vivant en dehors. Elle ne s'applique actuellement qu'aux entreprises chinoises ou celles qui traitent avec des données collectées en Chine. Elle n'a donc pas d'impact pour une entreprise opérant en France qui héberge ses données chez Alibaba Cloud dans l'un de ses data centers de Londres ou Francfort, qui sont soumis au RGPD. Dans le cas d'une entreprise européenne qui exerce ses fonctions sur le continent européen et en Chine, elle sera alors soumise à plusieurs lois : la loi PIPL pour l'exercice de ses fonctions en Chine et la MLPS (Multi-Level Protection Scheme décrite dans la loi Cyber Security Law, 2017) pour la communication de données entre la Chine et la partie européenne.

Toutefois, malgré de grandes similitudes avec le RGPD, il existe quelques différences dans la loi chinoise. En premier lieu, la PIPL fournit un cadre légal plus strict que le RGPD. Dans l'UE, les entreprises peuvent collecter des données personnelles tant qu'elles sont acquises légalement et sur une base justifiable. Cela ne figure pas dans la PIPL où l'entreprise doit demander le consentement de l'individu sauf si la raison de l'exploitation des données correspond à l'une des six exceptions définies dans l'article 13. Seulement certaines exceptions sont vagues et peuvent donner plus de liberté au gouvernement chinois d'autoriser ou d'interdire certaines pratiques en fonction des intérêts en jeu. De surcroît, le transfert de données hors de Chine est soumis à un contrôle important de l'Administration du cyberespace de Chine avant le transfert. Le caractère strict de la loi chinoise complexifie les affaires dans le pays. Certains analystes soupçonnent même l'utilisation de la loi à des fins politiques. En conséquence, beaucoup de sociétés numériques comme LinkedIn [7] quittent le pays en raison d'un environnement d'affaires trop difficile.

En Europe, si une entreprise souhaite héberger ses données chez un fournisseur européen tel qu'OVH, elle sera soumise au RGPD adopté le 25 mai 2018, applicable à toutes les données relatives à un citoyen européen. Le règlement dispose notamment que les entreprises doivent demander le consentement de la personne pour la récolte et le traitement de ses données personnelles. L'entreprise a dès lors l'obligation de supprimer les données personnelles si une telle demande est formulée. Le RGPD s'inscrit dès lors dans une démarche de protection des libertés individuelles dans l'espace numérique.

En cas de conflit de loi entre le Cloud Act et le RGPD, la loi américaine indique qu'il est impossible de l'écarter au profit d'une autre réglementation. Une entreprise européenne exerçant aux États-Unis sera soumise à une loi supplémentaire, la loi SOX qui peut entrer en conflit avec le RGPD. Les lois du numérique sont encore en train d'émerger et s'opposent régulièrement selon les régions du monde. Depuis 2020 et l'invalidation de l'accord « Privacy Shield » de 2016 par la Cour de Justice de l'Union européenne (CJUE) [8], Bruxelles et Washington sont en pleine négociation d'un accord sur le transfert des données. Il faut donc prêter attention à la portée des lois et règlements, d'autant plus dans le cloud qui complexifie leur compréhension.

Rester souverain avec le cloud computing

La complexité des lois dans le cloud implique beaucoup de questionnement pour l'utilisateur, telles que la manière et respecter le cadre légal et réglementaire et de rester souverain et compétitif en même temps. Il n'est pas forcément adapté à toutes les entreprises d'avoir un service juridique et une équipe informatique compétente en matière juridique. Beaucoup doivent trouver les réponses seules et se perdent dans la complexité de ces environnements.

Une entreprise souhaitant migrer vers le cloud ne doit toutefois pas penser uniquement aux coûts. Une erreur récurrente lors de la migration d'une structure on-premise vers le cloud est de vouloir faire du lift and shift ; c'est-à-dire déplacer l'application sans modification depuis le on-premise vers le cloud. Il s'agit d'une mauvaise pratique car cela implique régulièrement des problèmes techniques. Les applications créées initialement pour du on-premise ne sont pas forcément conçues pour être mises directement sur le cloud. La migration peut donc prendre du temps.

Le tout cloud offre beaucoup d'avantages mais représente également un nombre important d'inconvénients. Il n'y a pas de bon ou de mauvais choix, mais seulement des choix plus ou moins adaptés à la situation. La démarche intellectuelle à entreprendre avant de migrer sur le cloud doit consister à se demander : quelle est la portée de l'entreprise ? Est-ce une petite entreprise n'opérant qu'en France/Europe ou une multinationale à dimension globale ? Y a-t-il des applications on-premise et seront-elles migrées ? Quelle politique de cloud computing sera mise en place et pourquoi ?

Dans le cas d'une entreprise opérant seulement France/Europe souhaitant faire du tout cloud, il est recommandé d'utiliser un provider cloud certifié par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). L'ANSSI est une agence gouvernementale de l'État français spécialisée dans le domaine de la sécurité des systèmes d'information, de la protection des systèmes d'information des entreprises françaises ainsi que leur accompagnement. L'agence dispense des certifications dites SecNumCloud [9] aux cloud provider répondant à des critères de sécurité et de protection. Cette certification est le meilleur indicateur de sécurité pour le choix de fournisseur.

Pour une entreprise opérant à travers le monde et qui souhaite passer sur le cloud, il y a plusieurs choix possibles :

• l'entreprise peut décider de faire du cloud hybrid [10] – ce qui est le plus conseillé – en gardant en on-premise seulement les données critiques de l'entreprise. Cela permet notamment à l'entreprise de conserver une maîtrise absolue de ses données critiques (mais également son entière responsabilité),
• l'entreprise peut faire du tout cloud et dans ce cas, il est recommandé de choisir une structure dite multi-cloud [11] et d'utiliser les plateformes des cloud provider en fonction de leur conformité par rapport à la région. Par exemple, l'entreprise peut choisir OVH pour la partie européenne et AWS pour la région américaine. Le multi-cloud offre de nombreux avantages dont celui d'éviter d'être coincé avec un cloud provider. Si à l'avenir le cloud provider change sa politique de tarification ou de services, il sera alors plus facile de migrer vers un autre cloud.

Les besoins et les solutions sont innombrables, il est donc difficile de tous les citer. Il est dès lors préférable de faire appel à des experts s'il est envisagé de migrer vers le cloud. Il est préférable d'investir davantage pour l'étude préliminaire de la migration que de se précipiter et d'encourir des pertes irrécupérables.

[1] EuroStat. « Cloud computing - statistics on the use by enterprises », décembre 2021. https://ec.europa.eu/eurostat/statistics-explained/index.php?title=Cloud_computing_-_statistics_on_the_use_by_enterprises.

[2] Amazon, « Qu'est-ce que le cloud computing ? » s. d. https://aws.amazon.com/fr/what-is-cloud-computing/

[3] Microsoft, « Qu'est-ce que le cloud computing ? », s. d., Azure website édition. https://azure.microsoft.com/fr-fr/resources/cloud-computing-dictionary/what-is-cloud-computing/#benefits.

[4] 115th Congress. « H.R.4943 - CLOUD Act », 2018 2017. https://www.congress.gov/bill/115th-congress/house-bill/4943/titles.

[5] Michael Punke, « AWS and the CLOUD Act ». 27 mai 2019. https://aws.amazon.com/fr/blogs/security/aws-and-the-cloud-act/.

[6] Xu Ke, Vicky Liu, Yan Luo et Zhijing Yu. « Analyzing China's PIPL and how it compares to the EU's GDPR », 24 août 2021. https://iapp.org/news/a/analyzing-chinas-pipl-and-how-it-compares-to-the-eus-gdpr/.

[7] Simon Leplâtre, « Pourquoi LinkedIn a décidé d'abandonner ses activités en Chine », 15 octobre 2021. https://www.lemonde.fr/economie/article/2021/10/15/confronte-a-un-environnement-difficile-linkedin-quitte-la-chine_6098496_3234.html.

[8] Benjamin Terrasson, « La Cour de justice européenne annule l'accord sur le transfert de données personnelles avec les États-Unis », 16 juillet 2020. https://siecledigital.fr/2020/07/16/cour-justice-europeenne-annule-accord-transfert-donnees-personnelles-etats-unis/.

[9] ANSSI. « PRESTATAIRES DE SERVICE D'INFORMATIQUE EN NUAGE (SECNUMCLOUD) », s. d. https://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-de-service-dinformatique-en-nuage-secnumcloud/.

[10] Redhat, « Un cloud hybride, qu'est-ce que c'est ? », 20 mars 2023. https://www.redhat.com/fr/topics/cloud-computing/what-is-hybrid-cloud.

[11] Redhat, « Le multicloud, qu'est-ce que c'est ? », Le multicloud, qu'est-ce que c'est ? https://www.redhat.com/fr/topics/cloud-computing/what-is-multicloud.