C'est un accord qui risque d'interpeller au moment où le débat sur la souveraineté en France monte en puissance. Thales et l'américain Google Cloud ont annoncé mercredi un partenariat stratégique pour développer conjointement un "Cloud de Confiance" en France. Selon Thales et Google, cette offre, développée par les deux groupes en commun, répondra "aux critères du label français de Cloud de Confiance et permettra aux institutions publiques et entreprises françaises d'innover et de tirer pleinement parti du cloud hyperscale et d'innover, en garantissant la confidentialité, la sécurité et la souveraineté de leurs données". Soit un cloud computing qui bénéficiera de la puissance de Google et qui passera par une architecture informatique optimisée en termes de stockage, de puissance, de consommation énergétique et d'évolutivité.
Ce cloud de confiance s'appuiera sur une nouvelle société dédiée et de droit français, majoritairement détenue par Thales. Elle sera lancée début 2022. Ce label "Cloud de confiance" doit en principe offrir un double niveau de sécurisation - juridique et technique - et permettre aux entreprises et administrations françaises de bénéficier des meilleurs services Cloud. Institutions publiques et entreprises françaises bénéficieront de toute la puissance, la sécurité, la flexibilité, l'agilité et la souveraineté proposées par les technologies des deux groupes, qui sont experts en leurs domaines, selon le communiqué publié mercredi.
A l'abri du Coud Act ?
Est-ce que les utilisateurs seront à l'abri du "Cloud Act" américain, une réglementation extraterritoriale très évolutive qui permet aux Etats-Unis de lancer des poursuites contre des personnes ou des sociétés ayant utilisé des services de sociétés américaines, y compris en dehors des Etats-Unis ? "Certains des services cloud les plus performants au monde sont édités par des entreprises extra-européenne : ces services pourront également être labellisés sous certaines conditions portant notamment sur l'entité opérant ces services et sur la localisation des données", ont expliqué les deux groupes, qui devront expliquer pourquoi cette offre échappe aux griffes de la justice américaine parfois instrumentalisée par des considérations de guerre économique.
Thales estime que ce sera le cas. "En adressant les aspects techniques et juridiques, l'offre de Thales et Google Cloud permettra aux secteurs privé et public français concernés de se doter d'un cloud répondant au plus haut niveau d'exigence certifié par l'ANSSI avec le label « cloud de confiance », en conformité avec la stratégie nationale française", a assuré le groupe. L'offre commune de Thales et Google Cloud s'appuie sur les technologies et services les plus avancés de chacun des partenaires.
Clés de Chiffrement
Comment Thales va-t-il sécuriser ce "cloud de confiance" ? Expert en cybersécurité, Thales devrait systématiquement chiffrer les données avant qu'elles soient stockées dans le cloud et offrir un service de type « Bring your own key », permettant de créer des clés d'accès personnalisées. Ainsi, Thales devrait apporter "les garanties de souveraineté requises en France en assurant notamment la gestion des clés de chiffrement, des accès et des identités et la supervision cyber grâce au soutien de son Centre Opérationnel de Cybersécurité". Les services de ce cloud seront hébergés en France, au sein d'une infrastructure séparée de celle de Google Cloud dont le réseau et les serveurs seront séparés, contrôlés et opérés par la nouvelle société créée. Le support client ne sera assuré que par des équipes en local. En outre, les services de sécurité seront assurés par des salariés français de la nouvelle société, notamment la gestion des identités, le chiffrement des données, l'administration ou encore la supervision.
Ainsi, "Thales apporte la confiance et le niveau de sécurité nécessaires aux clients français pour qu'ils puissent migrer et gérer leurs applications les plus sensibles dans le cloud tout en en gardant le contrôle", a estimé le groupe. L'Agence nationale de la sécurité des systèmes d'information (ANSSI) accueille "avec enthousiasme ce projet ambitieux" respectueux du référentiel SecNumCloud qui détaille les règles de sécurité technique, opérationnelle et juridique, qui protègent les données et les processus hébergés dans un service cloud, a estimé le directeur général de l'ANSSI, Guillaume Poupard, cité dans le communiqué.
« La stratégie nationale pour le Cloud du gouvernement précise clairement la volonté de l'État d'utiliser et de promouvoir des offres cloud performantes et de confiance. Tout l'enjeu est de disposer de l'éventail le plus vaste possible de solutions conformes au référentiel SecNumCloud qui détaille les règles de sécurité technique, opérationnelle et juridique à même de protéger efficacement les données et les processus hébergés dans un service cloud", a précisé le patron de l'ANSSI.
En outre, "les services proposés par Google Cloud, dont la feuille de route sera régulièrement enrichie de nouvelles innovations, viendront apporter l'élasticité, l'agilité, la réversibilité et l'ouverture technologique, sans enfermement logiciel, permettant ainsi aux entreprises d'innover en toute transparence et en toute autonomie", ont expliqué les deux groupes. Ces mises à jour reçues en continu seront réceptionnées, évaluées et validées au sein d'un sas de sécurité piloté par Thales. Enfin, avec l'arrivée du calcul quantique, qui devrait casser les clés de chiffrement actuelles, le groupe d'électronique a déjà dans ses cartons des offres de chiffrement post-quantique en cours de labellisation
Sujets les + commentés