Allez au contenu, Allez à la navigation

La cybersécurité des entreprises - Prévenir et guérir : quels remèdes contre les cyber virus ?

10 juin 2021 : La cybersécurité des entreprises - Prévenir et guérir : quels remèdes contre les cyber virus ? ( rapport d'information )

C. UN OBJECTIF DE LONG TERME : LE CLOUD SOUVERAIN

1. L'enjeu du cloud

La transition numérique des entreprises est confrontée à un dilemme. L'hébergement de leurs données sur des serveurs d'entreprises non-européennes, les expose à des risques judiciaires et industriels. Cet hébergement est toutefois une condition de leur croissance.

L'ENJEU ÉCONOMIQUE DU CLOUD SOUVERAIN

Le cloud permet à ses utilisateurs de confier la gestion de leurs données et de leurs systèmes d'information à un tiers. Ce tiers est un fournisseur de services qui, sur un principe de location, met à la disposition de ses clients ses capacités hardwares et/ou softwares. Il se charge notamment d'assurer la sécurité et le bon fonctionnement des ressources informatiques qu'il héberge. C'est ce qu'on appelle l'infogérance. 

Les données hébergées par un prestataire sont stockées au sein de centres de données, ou datacenters. L'utilisateur y accède alors grâce au réseau Internet (ou à un intranet dans le cas de clouds particuliers). Aujourd'hui, compte tenu de la vitesse de circulation des données sur les réseaux, les datacenters ne doivent plus impérativement se situer à proximité des utilisateurs. Ils peuvent être implantés de l'autre côté du globe sans que cela n'entrave le fonctionnement d'un cloud. Datacenters, utilisateurs et prestataires peuvent alors dépendre d'États différents. Et c'est là que le bât blesse. 

Un prestataire se doit de garantir la confidentialité des données hébergées sur son cloud. Certains gouvernements disposent toutefois d'une législation leur permettant d'accéder aux données. Cette accessibilité devient un enjeu de souveraineté lorsque les données en question émanent de citoyens ou d'organisations d'un autre État. L'autorité de ce dernier sur ses propres données n'est effectivement pas reconnue, du moins n'est pas respectée. En outre, en accédant aux données d'un État tiers, un gouvernement accède à des ressources qui ne lui appartiennent pas et dont l'exploitation présente une grande valeur stratégique et économique.

« Le cloud souverain et la stratégie géopolitique française : 3 questions à Clotilde Bômont »
Sciencespo.fr, 21 décembre 2020.

Par ailleurs, l'enjeu économique est crucial : « comment permettre aux acteurs européens de capter ce marché en forte croissance tout en favorisant un cloud souverain et en permettant aux entreprises, administrations publiques et particuliers d'accéder aux meilleures technologies ? »147(*).

En effet, le marché du cloud s'établissait en 2020 à 270 milliards de dollars (contre 233,4 milliards en 2019), soit quasiment deux fois plus qu'en 2016.

La croissance du cloud doit s'accélérer. En 2021, le marché devrait atteindre plus de 332 milliards de dollars, 400 milliards de dollars en 2022 et même plus de 1000 milliards de dollars en 2024 !

2. Une souveraineté numérique perdue

Le marché mondial de l'industrie du stockage des données (le cloud) est dominé par quatre acteurs américains qui possédaient 65 % de parts de marché fin 2020 : Amazon (33 %), Microsoft (18 %), Google (9 %), Alibaba (5 %), IBM (5 %), Salesforce (3 %), Tencent (2 %), Oracle (2 %), NTT (1 %) et SAP (1 %).

En Europe, il a enregistré une croissance de 27 % par an entre 2017 et 2019, est estimé à 53 milliards d'euros en 2020 et devrait atteindre 300 à 500 milliards d'euros d'ici 2027-2030148(*).

Si les États-Unis dominent le marché des services applicatifs (SaaS ou Software as a service), et le marché européen du cloud, avec trois acteurs majeurs (les « hyperscalers »), qui captent, sur le marché de l'Infrastructure en tant que Service (IaaS), 70  % de parts de marché : Amazon avec AWS (53  %), Microsoft avec Azure (9  %) et Google Cloud (8  %). Cependant, les spécialistes du cloud et les opérateurs télécoms européens gagnent progressivement de l'importance sur leurs marchés nationaux. Ainsi OVHcloud et Deutsche Telekom se classent troisième et quatrième dans leur pays sur les marchés infrastructures et plates-formes. On peut également citer en France : Atos, Orange Business Services ou encore Outscale.

En France, Amazon occupait, en mai 2020, 30 % du marché, Microsoft 20 % et OVHcloud dépassait 10 %. Amazon représente plus de trois fois la taille d'OVHcloud en termes de revenus dans le cloud d'infrastructure en France.

OVHcloud, entreprise fondée en 1999, s'est développée dans ce secteur à la fin des années 2010. Elle propose des prestations de cloud public et privé, des serveurs dédiés, de l'hébergement mutualisé, du housing (ou colocation), de l'enregistrement de noms de domaines, de la fourniture d'accès Internet et fibre, ainsi que de la téléphonie sur IP.

La société affirme desservir plus d'un million et demi de clients, en s'appuyant sur un réseau de 23 datacenters149(*) répartis entre l'Europe, l'Amérique du Nord et l'Asie-Pacifique. L'entreprise, qui a déployé son propre réseau de fibre optique à travers le monde, revendique une capacité totale de 20 Tbit/seconde et plus de 260 000 serveurs physiques hébergés, soit l'un des plus grands parcs mondiaux de serveurs.

Le 10 novembre 2020 OVHcloud a annoncé avoir signé un partenariat stratégique avec Google, permettant à OVHcloud d'accéder à la technologie Anthos, une solution d'exploitation cloud à destination des entreprises, que l'entreprise française exploitera avec ses équipes et ses propres infrastructures.

Cette domination suscite des craintes en Europe, notamment sur la protection des données sensibles des entreprises depuis l'adoption du Cloud Act aux États-Unis en 2018.

Un usage abusif de cette législation à des fins d'espionnage économique et industriel a été évoqué. Dans la pratique, les demandes concernant les entreprises seraient extrêmement rares. Selon une experte : « il paraît donc difficile de prévoir ce qu'un juge américain déciderait s'il devait mettre en balance une demande de communication de données d'une personne morale française fondée sur le Cloud Act avec les lois françaises de blocage ou sur le secret des affaires. Force est de constater que sur le plan des données non personnelles, la législation française (et européenne) peine à apporter un gage de sécurité suffisant »150(*).

Cette dépendance manifeste est devenue un objet de débat public depuis que l'État a choisi Microsoft pour l'hébergement des données médicales des Français (Health Data Hub). Le professeur Didier Sicard, ancien président du Comité consultatif national d'Éthique et spécialiste des données de santé, a ainsi considéré151(*) que : « On offre aux Américains une richesse nationale unique au monde », compte tenu des ambitions des GAFAM en matière d'assurance de santé152(*).

Sénateurs153(*) et députés154(*) se sont saisis de la question, avec une mission d'information en cours à l'Assemblée nationale sur la souveraineté numérique.

De même, la DGSI (Direction Générale de la Sécurité Intérieure) a choisi la société Palantir, initialement financée par la CIA, pour traiter les données de l'antiterrorisme en France.

Un émoi comparable a été provoqué par le choix d'Amazon par Bpifrance pour deux services. Le premier est l'hébergement des attestations des prêts garantis par l'État (PGE), une aide mise en place depuis mars 2020 pour soulager la trésorerie des entreprises. Le second est lié à une tournée dédiée à l'entreprenariat, organisée par Bpifrance, qui se déroulera au cours de l'été 2021, durant lequel l'entreprise proposera des modules de formation sur la numérisation des PME.

Or, pour la première application, l'entreprise candidate au PGE doit notamment fournir des renseignements sur son chiffre d'affaires hors taxe de 2019, la masse salariale annuelle constatée et le montant de l'emprunt demandé, qui constituent des informations stratégiques de l'entreprise.

L'invalidation155(*), le 16 juillet 2020, du Privacy Shield, négocié entre 2015 et 2016, qui autorisait les entreprises européennes à transférer des données personnelles en outre-Atlantique, en reconnaissant que la législation américaine offrait les mêmes garanties que le droit européen, a créé une situation juridique fragile et délicate156(*).

La sécurisation du cloud est un enjeu majeur, la moitié des entreprises prévoyant d'y transférer toutes leurs données d'ici deux ans157(*). Près de 90 % des entreprises utilisent des logiciels en mode SaaS (Software as a Service) et 76 % utilisent aujourd'hui du IaaS (Infrastructure as a Service).

Toutefois, les professionnels de la cybersécurité craignent qu'une approche fragmentée de la sécurité des données et des services mal configurés n'altèrent les nouveaux modèles de sécurité dans le cloud. « Seuls 8 % des responsables sécurité informatique (RSI) déclarent comprendre parfaitement le modèle de sécurité à responsabilité partagée des services cloud. Alors que les entreprises transfèrent plus que jamais des charges de travail critiques vers le cloud, cette forte croissante de la consommation de cloud a créé des zones d'ombres avec des équipes IT et des fournisseurs de services cloud qui cherchent à comprendre leur degré de responsabilité quant à la sécurité des données » selon Oracle.

Ces professionnels se méfient des fournisseurs de services cloud ; 80 % d'entre eux craignent que ceux avec lesquels ils traitent ne deviennent des concurrents sur leurs propres marchés. Une forte majorité (75 %) considère le cloud public comme étant mieux sécurisé que leurs propres datacenters. Pourtant, 92 % d'entre eux ne pensent pas que leur entreprise soit bien préparée pour adopter correctement les services du cloud public.

L'origine de ces inquiétudes repose en partie sur le maintien d'anciens modèles de sécurité qui sont devenus inadaptés car les systèmes en place, très souvent mal configurés, restent constamment confrontés à de nouvelles failles de sécurité.

3. Une volonté européenne de reconquête de la souveraineté dans le cloud

Le Sénat a exprimé cet objectif de souveraineté européenne numérique dans la Résolution européenne pour une cybersécurité robuste en France, qu'il a adoptée le 26 mai 2018158(*). Il a alors appelé à une : « véritable politique industrielle européenne dans le domaine de la cybersécurité, susceptible de renforcer la souveraineté européenne dans le monde numérique », objectif explicité dans le rapport de la commission d'enquête du Sénat sur le devoir de souveraineté numérique - n°7 (2019-2020) de M. Gérard Longuet - du 1er octobre 2019. L'Assemblée nationale conduit actuellement une mission d'information de la conférence des Présidents sur la souveraineté numérique nationale et européenne.

« Le projet d'un cloud Souverain répond à des considérations politiques d'indépendance technologique et de sécurité, mais aussi à des considérations économiques et industrielles. Laisser des entreprises étrangères acquérir un savoir-faire industriel dans le domaine du cloud tout en empêchant les acteurs européens de se développer et d'évoluer afin d'apporter une alternative compétitive constitue une erreur critique » estime le Secrétaire général de l'Institut de la Souveraineté Numérique159(*).

Les autorités européennes sont désormais engagées dans cette voie. Le commissaire européen au marché intérieur, M. Thierry Breton, a ainsi déclaré le 20 août 2020 que : « ce qui fait le succès de l'Internet, c'est son caractère mondial. En ce qui nous concerne nous, Européens, nos données, c'est ce que nous avons de plus précieux en matière industrielle. J'ai toujours dit que je souhaitais que les données des Européens soient traitées, stockées et processées en Europe ». La construction d'un cloud européen souverain est une oeuvre de longue haleine.

4. Des occasions manquées : une politique publique non maîtrisée de reconquête de la souveraineté dans le cloud

La volonté de retrouver la souveraineté des données est régulièrement évoquée en France depuis 2010. Cependant, les actes n'ont pas suivi les discours, ce qui est emblématique de l'insuffisance maîtrise d'une politique publique dans un domaine pourtant incontestablement stratégique.

Dans un premier temps, l'État a soutenu, en 2011, le « Projet Andromède », proposé par Orange, Thales et Dassault Systèmes. Cependant, dès septembre 2012, un désaccord entre Dassault Système et Orange aboutit à la création de deux entreprises. D'un côté, Orange et Thalès lancent Cloudwatt. De l'autre, Dassault Systèmes est rejoint par SFR et Bull pour former Numergy. Les deux tentatives sont des échecs et ferment en 2020.

L'État a peiné à se doter d'une stratégie claire, cohérente et continue. Ces errements sont détaillés en annexe.

Dans un effort de clarification, une circulaire a déterminé, en 2018, trois offres de cloud organisées en cercles :

· Le premier s'appuie sur un cloud interne à l'État, fonctionnant sur une base OpenStack, pour des données, des traitements et des applications sensibles et pour répondre à des besoins régaliens d'infrastructures numériques ;

· Le deuxième repose sur un cloud dédié, développé par un partenaire industriel mais adapté pour les besoins de l'État d'une sensibilité moindre, mais nécessitant un certain niveau de pérennité ;

· Le troisième définit quant à lui le recours à des offres génériques de cloud externe de prestataires extérieurs.

Il n'en demeure par moins que cette stratégie publique peine à suivre les évolutions rapides du marché. C'est ainsi que, dans le rapport de la commission d'enquête du Sénat sur le devoir de souveraineté numérique du 1er octobre 2019, « la nécessité d'anticiper le changement majeur à venir pour le stockage des données informatiques, à savoir le passage de 80 % des données stockées dans le cloud à 80 % des données stockées en edge computing160(*), ou « informatique en périphérie » en raison du développement exponentiel des objets connectés (tels que les montres, les enceintes et les assistants connectés ou encore les véhicules autonomes, etc...) » est souligné. Le rapport appelle l'État à se doter dès maintenant d'une stratégie claire sur cette nouvelle technologie.

5. Un ralliement pertinent de la France au projet GAIA-X

Initiative franco-allemande, GAIA-X ne vise pas à créer une entreprise superpuissance capable d'offrir les mêmes services que les géants américains, mais plutôt à construire une infrastructure européenne des données. Concrètement, le projet prendra la forme d'une entité de gouvernance qui édictera de grands principes de sécurité, d'interopérabilité et de portabilité des données permettant à des entreprises de proposer leur offre de service compatible avec GAIA-X.

Ce projet a reçu le soutien l'European Cloud User Coalition, une coalition de 13 banques européennes161(*) qui veulent établir de nouveaux standards sur le stockage des données.

Le 9 décembre 2020, le French GAIA-X Hub a été lancé. Il est animé par le CIGREF (Club informatique des grandes entreprises françaises), une association à but non lucratif composée d'un réseau de grandes entreprises et administrations publiques françaises, et à ses partenaires, le pôle de compétitivité Systematic Paris-Région162(*) et l'Académie des technologies. Il regroupe plus de 150 grandes entreprises et organismes français de tous les secteurs d'activité.

Pour le lancement, un binôme composé par l'hébergeur français OVHcloud et la société appartenant à Deutsche Telekom T-Systems collabore pour créer une plateforme qui sera la base du lancement des futurs prototypes.

Cette nouvelle orientation de la stratégie acte le fait que le secteur privé a pris une avance non rattrapable : « alors que les investissements colossaux et les économies d'échelle dont bénéficient les géants du numérique américains et chinois rendent improbable la naissance d'un leader unique sur le territoire national, une stratégie axée sur un catalogue de solutions complémentaires, la collaborations entre experts de différents segments du marché et la portabilité des données permet aux acteurs soucieux de localiser leurs données dans des data centers européens d'avoir recours aux services de plusieurs entreprises “compatibles” avec Gaia-X » selon un expert163(*) qui estime que la réussite de cette stratégie fondée sur l'interopérabilité entre différents acteurs économiques européens, « dépendra de deux facteurs déterminants en matière de souveraineté numérique : notre vigilance vis-à-vis des choix technologiques qui seront opérés dans le cadre de cette initiative et la mise en place d'une politique cohérente quant à l'usage des clouds souverains et non-souverains dans l'espace public européen ». Il faudra également faire coopérer des entreprises européennes et non européennes parfois concurrentes au-delà des 22 membres fondateurs.

Ce projet est ainsi ouvert aux acteurs américains du cloud au travers de leurs filiales européennes : Google Cloud (via Google Ireland), AWS (via Amazon Europe Core S.a.r.l au Luxembourg), Azure (via Microsoft NV). Ou encore Cisco, Bit4id, Oracle Corporation, Palantir Technologies, Salesforce, Snowflake. On recense également les acteurs chinois Alibaba Cloud et Haier Cosmo IoT Ecosystem Technology.

Selon M. Alban Schmutz, de Gaia-X : « Gaia-X est ouvert à tous ceux qui acceptent les principes définis par les Policy Rules, y compris les acteurs américains. Ils peuvent alors entrer dans les groupes techniques, participer à l'architecture et proposer des services. En revanche, ne peuvent être élues au Board que des organisations ayant leur siège social mondial en Europe. ».

« Les acteurs américains du cloud sont bienvenus et leurs connaissances des services cloud peuvent être utiles aux instances techniques qui élaborent les API et les services de base du métacloud européen, mais ils n'auront pas voix au chapitre en matière de gouvernance et de valeurs européennes » 164(*) en matière de gestion des données privées, d'ouverture, de réversibilité des services et de possibilité de changer de fournisseur.

6. Une nouvelle « stratégie nationale pour le cloud »

Dans la conférence de presse présentant la Stratégie nationale pour le cloud, le 17 mai 2021, M. Bruno Le Maire, ministre de l'Économie, des Finances et de la Relance a imputé à l'échec des premières tentatives de réappropriation du cloud au fait que : « nous n'avions pas tenu compte ni des réalités technologiques, ni des attentes des entreprises ni de celle des administrations ».

La stratégie publique actuelle vise donc à faciliter l'émergence d'un marché de confiance du cloud, c'est-à-dire à proposer aux entreprises ainsi qu'à la puissance publique des offres diversifiées, performantes et sécurisées. Ces travaux ont vocation à promouvoir les offres cloud européennes se différenciant par leur niveau de confiance.

Elle se fonde sur le double constat, d'une part du caractère « désormais incontournable pour les entreprises » et du caractère non moins incontournable de la domination du cloud par des « acteurs internationaux dont certains sont soumis à des lois à portée extraterritoriale ».

Pour la première fois est reconnue de façon explicite par l'État que « les entreprises se retrouvent souvent dépendantes de leur fournisseur cloud », qui peut imposer des conditions de sortie très complexes.

Cette stratégie, qui décline le projet Gaïa X, repose sur trois piliers :

- Un label cloud de confiance, démarche de promotion du visa de sécurité SecNumCloud, déjà évoqué, qui doit garantir la réversibilité, l'interopérabilité, la transparence et la portabilité, conditions définies dans le projet Gaïa X. Pour autant, ce label ne va pas aussi loin que l'avait demandé le CIGREF dans un communiqué de presse du 2 février 2021, souhaitant : « le développement de dispositions légales incitant les entreprises ayant recours au cloud à renforcer la protection de leurs données sensibles, et des traitements associés, en les confiant aux fournisseurs cloud dont les offres seraient conformes à un référentiel de confiance, auditable et maîtrisé »165(*). Lors de la conférence de presse du 17 mai 2021, son président a estimé qu'il fallait également « clarifier les régimes juridiques auxquels les fournisseurs de service cloud sont soumis »

- Une doctrine de la transformation numérique de l'État, cloud au centre, qui devient la méthode d'hébergement par défaut des services numériques de l'État.

Le programme de formation continue des agents publics de la filière numérique comportera un volet cloud.

Chaque produit numérique manipulant des données sensibles comme des données économiques relatives aux entreprises françaises « devra impérativement être hébergé sur le cloud interne de l'État ou sur un cloud industriel qualifié SecNumCloud par l'ANSSI et protégé contre toute réglementation extracommunautaire ».

- Un financement par le PIA IV et France Relance166(*) des projets industriels de développement de technologies cloud en France, les plus importantes étant également financées dans le cadre d'un Projet important d'intérêt européen commun (PIEEC)167(*).

Par rapport à la doctrine des trois cercles de 2018, cette stratégie « acte l'abandon de l'offre de compromis, dit de cercle 2, expérimentée par le ministère des Armées avec OVH, et qui ne s'est “pas beaucoup développée” a reconnu Amélie de Montchalin. Elle se contente de poursuivre les offres interministérielles dites de cercle 1 conçues et mises à disposition par Bercy et la Place Beauvau auprès des autres administrations (notamment pour les projets les plus sensibles) et renforce le cercle 3, c'est-à-dire le catalogue d'offres génériques et commerciales compilées par Capgemini depuis juillet 2020 » décrypte une analyse168(*).

Comme pour le projet Gaïa X, cette stratégie nationale ne ferme pas la porte aux opérateurs privés américains, qui pourront proposer leur offre sous licences. Pour M. Bruno Le Maire : « Le recours à des licences américaines dans le nucléaire n'a pas empêché la France de devenir une puissance souveraine dans ce domaine. L'objectif est de suivre la même approche avec le cloud ». Il s'agit donc, comme l'a indiqué M. Bernard Duverneuil, président du CIGREF, de : « maîtriser la dépendance dans la durée des clients vis-à-vis de leurs fournisseurs »169(*), ce qui est n'est pas une définition proche de celle de la souveraineté numérique. « Il reste nécessaire de s'appuyer sur les technologies des hyperscalers170(*). Ce transfert de technologie et de compétence n'est pas dénué de risques et des précautions s'avéreront indispensables », a-t-il averti. Un référentiel de sécurité sera soumis à consultation publique par le CIGREF fin mai 2021.

L'Europe et les GAFAM sont condamnés à s'entendre. La première ne peut priver ses entreprises de solutions innovantes et efficaces en matière de cybersécurité ; les seconds ont intérêt à établir des partenariats au sein du marché européen très lucratif. Dans ce sens, ils seront de plus en plus enclins à réserver à leurs entreprises clientes l'exclusivité des clés de déchiffrement des données stockées dans leur cloud sans qu'eux-mêmes puissent y avoir accès, ce qui rendrait impossible le décryptage par les autorités locales, même en cas de coopération juridique forcée du prestataire de cloud.

Cette stratégie ne détermine pas l'évolution du marché européen du cloud qui pourrait, selon le Livre blanc de KPMG, suivre un certain nombre de scénarios, au nombre de cinq :

1. Le cloud comme bien commun, avec une interopérabilité volontaire accrue entre les services de cloud, voire une fédération des acteurs autour d'écosystèmes cloud sectoriels communs.

2. La montée en puissance des acteurs européens, permise par l'émergence de nouveaux segments de marché ; edge computing, développement de l'intelligence artificielle, notamment dans le secteur industriel ; offres souveraines, etc...

3. L'instauration d'une puissante vague réglementaire, notamment avec la création d'une Autorité de régulation du cloud, une réglementation plus stricte des pratiques commerciales, une interopérabilité forcée entre les opérateurs imposée par le régulateur et une réglementation accrue de l'innovation basée ou dérivée du cloud.

4. Une européanisation des opérations des grands acteurs non-européens du cloud, soumis à des réglementations assurant à l'Europe une création de valeur effective régionalement, et un respect strict des réglementations européennes.

5. Une séparation fonctionnelle ou structurelle des activités cloud des autres activités des opérateurs de cloud, avec notamment la création d'entités légales distinctes, dans la logique des appels aux discussions actuelles sur les Big Tech aux États-Unis.

L'avenir du cloud européen pourrait être la combinaison de ces scénarios à des horizons variés. Le cabinet avertit qu'à défaut de changements significatifs par rapport à la situation actuelle : « si la domination des "hyperscalers" venait à se renforcer, l'Europe pourrait perdre de 20 à 50 % de l'impact économique estimé du marché du cloud computing ». La création de 350 000 emplois et 170 milliards d'euros d'investissement en Europe sont en jeu.

L'annonce, le 27 mai 2021, de la création par Capgemini et Orange de la société « Bleu », qui permettra de mettre en commun leur savoir-faire, en partenariat avec Microsoft, est une première concrétisation de cette stratégie. Elle créée un fournisseur de services cloud français répondant aux besoins des organisations soumises à des exigences particulières en termes de sécurité, de confidentialité et de résilience, telles que définies par l'État français, opérant exclusivement sous juridiction française et européenne.


* 147 « Le cloud, un marché d'envergure à capter pour la France et l'Europe », Patrick Randall, Les Numériques, 24 mai 2021.

* 148 Livre blanc KPMG, avril 2021. Ce Livre blanc a été construit à partir de données et de ressources émanant d'une variété de sources, dont plus de 250 entretiens avec des décideurs publics et privés européens. L'étude a été menée sur une période de 8 semaines entre janvier et mars 2021 et réalisée grâce au soutien et à la contribution active d'InfraNum, ainsi que de Talan, OVHcloud et Linkt.

* 149 Centre de données, c'est-à-dire un lieu et un service regroupant des équipements constituants du système d'information d'une ou plusieurs entreprise(s) : ordinateurs centraux, serveurs, baies de stockage, équipements réseaux et de télécommunications, etc...

* 150 « Le "Cloud Act", trois ans après : révélateur du besoin de définition de notre souveraineté dans l'espace numérique », Laura Brincourt, DiploWeb.com, 16 mai 2021.

* 151 Dans une tribune de l'Obs du 23 juin 2020.

* 152 « Ces données sont une mine d'or pour les GAFAM, qui veulent désormais investir le domaine prudentiel. En effet, ces entreprises ne souhaitent pas directement devenir des acteurs du soin. Ce secteur nécessite des investissements beaucoup plus risqués sur le long terme. Leur objectif sera plutôt d'utiliser les données qu'elles ont pu acquérir et leur capacité de traitement de ces données pour modéliser les risques liés à la santé de chaque individu et ainsi optimiser les profits de leurs services d'assurances. Le secteur de l'assurance devient l'une des cibles prioritaires des grands acteurs industriels des technologies. Ainsi, Verily, entreprise détenue par Alphabet, la maison-mère de Google, vient d'annoncer que le groupe se lançait dans le secteur de l'assurance santé avec sa nouvelle division Coefficient », « Au-delà du « sovereignty-washing » : 3 questions à Bernard Benhamou sur le cloud souverain en France », Sciencespo.fr, 2 septembre 2020.

* 153 Proposition de résolution n° 576 du 26 juin 2020 du Sénat, tendant à la création d'une commission d'enquête sur la protection des données de santé, présentée par Mme Nathalie Goulet.

* 154 « Souveraineté numérique : lettre à Emmanuel Macron » par un collectif de députés et de professionnels de la tech », La Tribune, 9 mars 2021.

* 155 Au motif que les programmes de surveillance américains ne sont pas compatibles avec les principes du Règlement général sur la protection des données (RGPD) et permettent aux autorités américaines d'avoir un accès très large aux données traitées par les entreprises alors que les citoyens européens n'ont pas de recours effectifs aux États-Unis leur permettant de maîtriser pleinement leurs données personnelles.

* 156 Le Health Data Hub a mandaté le 11 janvier 2021 le cabinet d'avocats parisien DLA Piper pour évaluer les conséquences juridiques de cette décision selon NextImpact, 2 février 2021.

* 157 Étude Oracle/KPMG « Cloud threat report 2020 » menée auprès de 750 professionnels de la cybersécurité et de l'informatique en France et dans le monde entier.

* 158 N°109 (2017-2018).

* 159 « Au-delà du « sovereignty-washing » : 3 questions à Bernard Benhamou sur le cloud souverain en France », Sciencespo.fr, 2 septembre 2020.

* 160 Architecture de technologie d'information distribuée qui se caractérise par une puissance de traitement décentralisée. Le edge computing permet de traiter des données de façon directe par le périphérique qui les produit (ou par un ordinateur local). Il n'est, dès lors, plus nécessaire de transmettre les données à un centre de données distant afin de pouvoir les traiter. Par rapport au cloud computing, cela revêt trois principaux avantages provenant justement de l'absence de transmission du point d'émission des données au point de stockage et de traitement : une réduction du temps de latence du traitement de l'information, un meilleur niveau de sécurité et une réduction des coûts.

* 161 Parmi les banques qui prennent part au projet : l'italien Unicredit, les banques néerlandaises ING et KBC, les autrichiennes Erste Bank et Bawag, la Swedbank de Suède et l'irlandaise Allied Irish Banks. L'initiative remonte à 2019 et part du groupe bancaire allemand Commerzbank.

* 162 Systematic, pôle européen des « Deep Tech », rassemble et anime depuis sa création en 2005, une communauté de près de 900 membres adhérents, dont près de 600 start-ups, PME et ETI, 140 grands groupes, 140 académiques, un collège des investisseurs et un collège d'une vingtaine de collectivités.

* 163 « Le cloud souverain est de retour : généalogie d'une ambition emblématique de la souveraineté numérique en France », Sciencespo.fr, 20 juillet 2020 par Pierre Noro.

* 164 « Microsoft, Google, Amazon sont officiellement membres de Gaia-X », Loïc Duval, News Informatique, 19 novembre 2020.

* 165 https://www.cigref.fr/wp/wp-content/uploads/2021/02/@Cigref_communique_annee_zero_cloud_de_confiance_02022021.pdf

* 166 Notamment via l'appel à manifestation d'intérêt « Développement et renforcement de la filière française et européenne du cloud », de Bpifrance, ouvert jusqu'au 17 mai 2021.

* 167 Un PIEEC n'est pas un programme de financement de l'Europe, mais une notification à l'Union européenne. En effet, ce mécanisme autorise les pouvoirs publics des États membres à financer des initiatives au-delà des limites habituellement fixées par la réglementation européenne en matière d'aides d'État. Les opérateurs économiques participants doivent, entre autres, démontrer un projet de leadership technologique et la volonté de coopérer avec d'autres leaders européens de l'innovation sur le secteur concerné dans le but de développer l'ensemble de la chaîne de valeur sur le territoire européen.

* 168 Acteurs publics 7 avril 2021 et 17 mai 2021.

* 169 https://www.economie.gouv.fr/cloud-souverain-17-mai

* 170 Par extension de l'hyperscale, traitement informatique massif, généralement pour le big data ou le cloud computing, désigne les grands fournisseurs de solutions cloud : AWS, Microsoft et Google.