La souveraineté des données est à la mode, mais que signifie-t-elle exactement ? Dans quelle mesure les solutions des hyperscalers sont-elles souveraines et quelle est leur importance réelle ? La demande de contrôle sur ses propres données est forte, mais l’offre reste fragmentée et une réponse européenne véritablement cohérente se fait toujours attendre.
« La souveraineté numérique est à l’ordre du jour depuis plus d’une décennie », explique Dirk Deridder, CTO de Smals. Cette organisation informatique dessert les institutions gouvernementales de la sécurité sociale et s’intéresse particulièrement à la manière dont les fournisseurs traitent les données.
Souveraineté-washing
« À l’époque déjà, des promesses étaient faites par les fournisseurs de cloud », poursuit-il. « N’étaient-elles pas si solides ? Car maintenant, tout le monde ajuste soudainement avec de nouvelles solutions. Selon moi, une nouvelle tendance émerge : le souveraineté-washing. »
Deridder fait référence au greenwashing et suggère que l’accent mis sur la souveraineté des données dans certaines nouvelles solutions est davantage présenté comme un argument de vente que comme une véritable solution pour la protection des données.
Le reste des participants à la table ronde sur le cloud, organisée par ITdaily, ricane à cette suggestion. Deridder dissèque le sujet avec quatre autres experts : Mario Casier, Business Unit Manager Cloud Security chez Copaco, Koen Claesen, Conseiller en Cybersécurité chez SAP, Tobias Pauwels, Directeur des Ventes pour Ctac et Luc Costers, Country Lead Nutanix Belux et Europe de l’Est pour Nutanix.
Forte demande
La demande de souveraineté des données n’est en tout cas pas une illusion. « Depuis janvier, lorsque le président Trump est arrivé au pouvoir aux États-Unis, nous recevons constamment des questions à ce sujet », sait Claesen. « Le secteur public est le plus sensible, mais d’autres clients veulent aussi savoir où se trouvent exactement leurs données et quels sont les risques associés. »
L’importance de la souveraineté absolue des données dépend beaucoup du secteur dans lequel une entreprise opère. « La souveraineté est perçue différemment par chacun », ajoute Claesen. « Et les exigences précises varient selon l’industrie. »
La souveraineté est perçue différemment par chacun.
Koen Claesen, Conseiller en Cybersécurité SAP
Pas d’hyperscalers européens
Ceux qui sont très préoccupés par l’emplacement où les données sont stockées n’ont en tout cas pas d’options infinies. Lorsque le cloud est synonyme de la facilité offerte par des hyperscalers comme AWS, Google et Microsoft, il n’y a pas de concurrence locale. Deridder est catégorique à ce sujet : « Au niveau de ces acteurs, nous avons 0,0 concurrent en Europe aujourd’hui. Il y a peu d’alternatives solides à leur offre. »
Costers pense immédiatement à OVHcloud français. Ce fournisseur se rapproche en termes d’infrastructure, ce qui est une rareté. « L’UE considère entre autres OVHcloud comme une alternative », sait Costers. « Depuis qu’on parle de cloud souverain en Europe, le cours de leur action a doublé. »
Deridder nuance quelque peu l’importance d’un hyperscaler européen. « Le marketing des grands acteurs vous fait croire que vous ne pouvez pas survivre sans eux, mais c’est fondamentalement faux. Je n’ai encore jamais rencontré d’application que je ne puisse pas faire fonctionner dans mon propre centre de données. »
Il admet cependant que c’est souvent plus complexe et que cela demande plus d’efforts, de connaissances et de personnel interne. « La technologie est de plus en plus considérée comme une commodité », ajoute Costers.
La souveraineté absolue n’existe pas
Même lorsque vous faites tout fonctionner dans votre propre centre de données, vous dépendez encore de parties externes. Il n’existe par exemple pas de grand hyperviseur européen. « La discussion sur la souveraineté devient rapidement émotionnelle », estime Claesen. « En pratique, vous ne pouvez tout simplement pas être complètement souverain dans toute la stack. »
Pauwels voit un intérêt dans un modèle hybride. « La structure des données elle-même peut être hybride », remarque-t-il. « Aujourd’hui, tout est possible. Vous pouvez par exemple prendre un système ERP de SAP, mais stocker vos données sur un système séparé. Si vous placez vos données partout, vous ajoutez effectivement plus de complexité. La question est alors de savoir comment vous gérez cela. Trop souvent, le déménagement vers le cloud est considéré comme une étape vers plus de simplicité, alors qu’une complexité potentielle ne s’impose qu’à ce moment-là. »
Aujourd’hui, tout est possible.
Tobias Pauwels, Directeur des Ventes Ctac
C’est pourquoi, selon Pauwels, ce n’est pas une bonne idée d’opter simplement pour une souveraineté maximale des données. « Notre rôle est d’engager le dialogue avec le client, et de voir où sont les vrais besoins pour réaliser ainsi la meilleure solution ou combinaison. »
Claesen approuve : « SAP est un couteau suisse en matière de cloud. Nous proposons toutes les formes, du privé au public et tout ce qui se trouve entre les deux, y compris le souverain. Si vous optez pour une solution plus complexe, il va de soi que le rythme d’innovation sera nécessairement un peu plus lent. »
Gaia-quoi ?
Lorsque nous demandons ce qu’est exactement Gaia-X dans le contexte de la souveraineté des données et du cloud européen, la table rit à nouveau. Claesen relève le défi et s’aventure prudemment à une définition. « Corrigez-moi si vous voyez les choses différemment, mais selon moi, Gaia-X est une sorte d’écosystème basé sur certains principes. Il essaie de permettre la collaboration entre différentes entités. »
Deridder ajoute : « C’est une initiative à long terme de l’UE pour un cloud européen, mais axée sur la collaboration, ce qui n’est justement pas facile. » « Entre-temps, il y a aussi des acteurs non-UE dans l’écosystème », note encore Claesen. « Donc c’est une histoire un peu étrange, mais SAP est en tout cas un membre fondateur. »
Aucun des participants ne semble penser que Gaia-X offrira une réponse à court terme aux besoins de cloud locaux. Casier s’interroge sur toute l’approche. « Tirer la collaboration au niveau macro n’est pas à l’ordre du jour pour le moment. L’UE ne peut pas être un précurseur dans ce domaine. Il est plus intéressant d’élaborer d’abord des accords et des collaborations au niveau micro, et c’est ce que nous faisons déjà aujourd’hui. »
Il est plus intéressant d’élaborer d’abord des accords et des collaborations au niveau micro.
Mario Casier, Business Unit Manager Cloud & Security Copaco
« Par exemple, chez chaque MSP, nous proposons une histoire personnelle et sur mesure en fonction des besoins », illustre-t-il. « Cela peut concerner l’externalisation des services de centre de données vers notre cloud VMware, combinée ou non avec des projets Azure ou Modern Work via Copaco Professional Services. »
Collaboration au niveau micro
« La position politique est ce qu’elle est », poursuit-il. « Mais cela ne signifie pas qu’il n’y a pas de possibilités pour les entreprises. Vous pouvez parfaitement combiner la complexité et le besoin de souveraineté en un ensemble fonctionnel grâce à des collaborations à un niveau inférieur. »
Il fait référence au rôle de Copaco. « Nous pouvons prendre en charge cette complexité, car nous avons les connaissances. Ainsi, nous pouvons offrir un mélange de ce qui est nécessaire sur mesure pour le client. »
Deridder voit également un salut dans une approche différente. « Il faut regarder les raisons de la souveraineté », pense-t-il. « Nous faisons partie d’une économie mondiale. Devenir totalement local est impossible. En fait, il n’y a pas de gros problèmes avec les collaborations avec les hyperscalers américains, tant que nous pouvons conclure de bons accords et créer un cadre juridique. »
Qui est le patron ?
« La souveraineté concerne la question de savoir si vous êtes le patron de votre IT dans sa totalité », poursuit-il. « En pratique, la question tourne autour des aspects légaux et juridiques, des mécanismes de contrôle et des contrats. »
Selon Deridder, il est plus intelligent de travailler à l’avenir, au lieu d’essayer de retravailler le passé avec une étiquette UE dessus. Le consensus autour de la table est en tout cas que toutes les entreprises ne doivent pas soudainement opter pour une souveraineté maximale. En pratique, il existe de nombreux niveaux de protection des données disponibles, avec une multitude de garanties. Jusqu’où il faut aller dans ce domaine diffère pour chaque organisation.
Il s’agit du troisième article d’une série de trois consacrée à notre table ronde sur le cloud. Cliquez ici pour accéder à la page thématique contenant l’autre article, la vidéo et nos partenaires.