Oracle va lui aussi décliner son cloud en version souveraine
OCI devrait se décliner en 2023 en régions Oracle Sovereign Cloud qui garantiront que les données et les métadonnées ne sortiront pas de l’UE. Mais attention : il ne s’agira pas d’un cloud de confiance à la française.
Oracle va lui aussi décliner son cloud public OCI en cloud souverain. Contrairement à Bleu et S3ns, qui doivent figurer une version « cloud de confiance » à la française d’Azure et GCP, sous la tutelle d’Orange et Thalès, l’Oracle Sovereign Cloud (OSC) vise plutôt une souveraineté à l’échelle européenne.
« Les réglementations concernant le cloud commencent à se formaliser parmi les 27 pays de l’Union européenne et nous avons vocation à proposer à l’UE un cloud adapté à ses exigences souveraines dès 2023. EU-Oracle Sovereign Cloud prendra la forme d’un cloud avec des régions dont les datacenters seront installés en Europe, opérés par des salariés européens et dépendants d’une nouvelle entité de juridiction européenne », explique Régis Louis, le responsable de la stratégie cloud pour Oracle EMEA, lors d’un entretien avec LeMagIT.
« Les datacenters d’EU-OSC seront étanches au reste d’OCI. Aucune donnée ni aucune métadonnée ne sortiront du territoire de l’Union européenne. C’est d’ailleurs la principale différence avec OCI qui, lui, repose sur une architecture interconnectée entre les régions pour nos clients qui souhaitent proposer des applications disponibles dans le monde entier. »
Autre point saillant, cette fois-ci par rapport aux clouds de confiance : les tarifs et les services seront exactement les mêmes entre OCI et EU-OSC. On sait que Bleu et S3ns seront tous les deux facturés plus chers que leurs modèles respectifs, Azure et GCP.
Les deux premières implémentations d’EU-OSC devraient se trouver en Allemagne et en Espagne. Oracle laisse entendre que d’autres pays européens hébergeront sur leur territoire des datacenters OSC après 2023.
Enfin, OCI se targue d’être l’un des clouds publics qui favorise le plus le multicloud. Il existe notamment une alliance avec Azure qui permet, via des liens directs entre les deux infrastructures, d’exécuter des applications Windows qui utilisent des bases de données Oracle. Dans un cadre souverain, EU-OSC pourrait être connecté de la même manière à Bleu : « nous sommes en train de voir avec Microsoft comment mettre en place des liens qui garantiront la territorialité des données », dit Régis Louis, sans pour autant s’engager sur une date.
Un cloud souverain, mais pas au sens français
Mais EU-Oracle Sovereign Cloud est-il vraiment souverain ? Tel qu’il est présenté par Oracle, ce futur cloud devrait plus exactement exister dans une zone grise à mi-chemin entre le cloud public traditionnel et le cloud de confiance français.
D’un côté, les clouds publics américains, dont fait partie OCI, sont tous soumis au Cloud Act, cette loi qui donne le droit à la justice des USA de regarder dans les secrets des entreprises européennes à partir du moment où leurs données sont hébergées sur les serveurs d’une entreprise américaine. Et, ce, même si ces serveurs se trouvent physiquement sur le territoire européen.
De l’autre, en réaction au Cloud Act, le gouvernement français a élaboré en 2021 la doctrine du cloud de confiance qui consiste à imposer que toute donnée critique soit hébergée en cloud chez un acteur français. Qui plus est dans des datacenters SecNumCloud, un label attribué par l’ANSSI aux bâtiments ayant démontré qu’ils ne permettent pas à un tiers d’exfiltrer des données.
« La future entité européenne en charge d’Oracle Sovereign Cloud aura toujours pour maison mère la société américaine Oracle. Cela exclut donc que nous obtenions le label Cloud de confiance et même le label SecNumCloud », reconnaît Régis Louis. « Pour autant, la garantie que les données resteront sur le territoire européen répond déjà aux exigences d’un grand nombre de nouvelles réglementations qui concernent les banques, le secteur de la santé et d’autres grandes entreprises européennes. »
La territorialité plus « pragmatique » que le Cloud Act
La liste des prochaines réglementations qui se contenteraient d’un hébergement absolument restreint au territoire européen, mais qui toléreraient un espionnage par le Cloud Act, n’est pas très claire.
Depuis 2019, l’ENISA, l’équivalent à l’échelle européenne de l’ANSSI, a mis en chantier un Cybersecurity Act qui comprend notamment un label EUCS (European Union Cloud Scheme) censé correspondre à un SecNumCloud valable dans l’ensemble des pays de l’Union. Une première esquisse de ce label doit être présentée à la Commission européenne cet été – ce qui signifie que le texte ne sera pas adopté avant de longs mois. Mais on ignore encore précisément si le fait d’héberger des données chez un acteur 100% européen fera partie des prérogatives.
Par exemple, l’Allemagne dispose déjà d’un label C5 équivalent à SecNumCloud. Or, la région du cloud public américain IBM Cloud installée à Francfort a bien été labélisée C5 alors qu’elle est inféodée au Cloud Act.
« Si EUCS devait imposer une nationalité européenne à l’hébergeur de cloud, alors Oracle Sovereign Cloud ne pourrait pas être labélisé EUCS. Mais le plus important aux yeux des entreprises est ailleurs. Elles sont pragmatiques : elles veulent juste avoir accès à des traitements en cloud sans que cela contrevienne à leur exigence de territorialité, c’est-à-dire des traitements qui ne font pas sortir les données du territoire et dont la maintenance est assurée par un personnel salarié selon l’éthique européenne. Et c’est déjà beaucoup », dit Régis Louis, en suggérant que le Cloud Act est dans de nombreux cas un non-sujet.
L’idée qui semble prévaloir parmi plusieurs observateurs est que le Cloud Act ne poserait finalement un risque qu’en cas de guerre économique. Le scénario est celui d’une entreprise américaine prétextant un délit supposément commis par son concurrent européen, juste le temps d’obtenir l’accès à ses dossiers pour savoir comment lui dérober des parts de marché. Cette théorie exclurait du risque d’espionnage économique toutes les données critiques de l’administration, du secteur de la santé et même, dans une certaine mesure, de la finance.
On notera d’ailleurs qu’UE-OSC est en réalité une déclinaison d’une région « gouvernementale » qu’Oracle a spécialement mise en place pour les services publics au Royaume-Uni. Dans ce cas, le fait de pouvoir contrôler comment les données sont gérées, l’endroit où elles sont stockées et la manière dont le personnel est salarié par l’opérateur du cloud semblent avoir convaincu Londres.