Les industriels de la défense à la recherche d’un cloud homologué « diffusion restreinte »
Lors du 3DExperience Forum, les industriels de la défense en présence déplorent l’absence de solutions cloud « Diffusion Restreinte » et « Restreint UE » adaptées à leurs besoins internes et de collaboration.
Thibaut de Cremoux, vice-président senior de l’ingénierie Méthodes et processus chez Dassault Aviation, considère que l’écosystème de la défense vit un « moment charnière ». « Le cadre des opérations devient de plus en plus complexe. Aujourd’hui, il n’est plus seulement terrestre, maritime et aérien, mais également dans l’espace et le cyberespace ».
« […] Il faut aussi aider les forces armées à se préparer, à anticiper et pour cela il faut avoir des données, il faut simuler massivement, il faut avoir des plateformes numériques », martèle Thibaut de Cremoux.
C’est l’un des enjeux du programme SCAF, le système de combat aérien du futur, dont la livraison est prévue en 2040. De loin, ce projet européen impliquant la France, l’Allemagne, l’Espagne et la Belgique laisse entrapercevoir le développement d’un avion de combat de nouvelle génération interconnecté avec des drones. Le projet va plus loin. « L’idée n’est plus de considérer l’avion comme un appareil isolé, mais de se placer au niveau de la mission et d’intégrer l’ensemble des composantes qui vont l’intégrer : cela peut être un avion de combat, mais également des composantes au sol, en mer, dans l’espace, des équipements pilotés ou non (UAV) », décrit Lionel Rouby, Senior Vice President Head of Digital chez Airbus Defence and Space (ADS).
Les exigences posées par le développement du « cloud de combat »
Pour ce faire, au côté d’Indra et de Thales, Airbus est responsable du développement du cloud de combat. « Il va permettre de collecter toutes les données que les différents équipements et leurs senseurs vont capter – afin de les centraliser et les partager – et qui vont permettre aux opérateurs militaires d’obtenir une meilleure compréhension du théâtre d’opérations », présente le responsable chez ADS. « Il doit permettre de définir des cibles, de reconfigurer la mission, de gérer les pertes de connexion, et de récupérer les données plus tard, le cas échéant ».
Un projet qui réclame un haut niveau de sécurité, comme l’ensemble des projets supervisés par ces industriels.
Si le cloud de combat n’est pas opérationnel, de son côté, Dassault Aviation a mis sur pied une plateforme collaborative « basée sur un cloud sécurisé » afin de travailler sur le démonstrateur de l’avion de combat nouvelle génération avec ses homologues allemands et espagnols.
« Tant qu’il n’y a pas une offre de cloud homologuée “diffusion restreinte”, cela semble difficile d’y aller. Pour le moment, nous avons fait le choix d’un hébergement interne. »
Renaud BlechChief Digital Officer et DSI, Naval Group
Selon Jérôme Leclercq, DSI de KNDS France (ex-Nexter), la qualification SecNumCloud obtenue par 3DS Outscale répond en grande partie aux besoins d’homologations des industriels français soumis à la règle de la diffusion restreinte. Un choix que n’a pas fait Naval Group. « Tant qu’il n’y a pas une offre de cloud homologuée “diffusion restreinte”, cela semble difficile d’y aller. Pour le moment, nous avons fait le choix d’un hébergement interne, mais nous sommes attentifs pour la suite », signale Renaud Blech, Chief Digital Officer et DSI de Naval Group.
Concernant les projets européens, Lionel Rouby identifie un paradoxe. « Nous devons développer des systèmes d’information qui vont protéger la vie de nos militaires et nous assurer que les données ne quittent pas les territoires nationaux, et ne tombent pas dans des mains inconnues. Et en même temps, il faut que nos SI nous permettent de collaborer avec des nations, certes européennes, mais étrangères », décrit-il. « Il n’y a pas de réponse européenne à ces besoins de sécurité des données militaires. Dassault Aviation développe sa solution de collaboration pour le développement de l’Avion de combat de nouvelle génération, nous-mêmes dirigeons la conception des drones de combat et nous avons nos propres systèmes de collaboration… c’est suboptimal ».
« On a besoin de pouvoir collaborer au niveau européen et pour ça on a besoin de standards européens. Aujourd’hui c’est ce qu’il nous manque le plus dans ce domaine-là », ajoute-t-il.
Les niveaux de diffusion d’informations « très secret, secret, confidentiel, restreint » ont été adaptés dans le droit européen. Les homologations qui vont avec, également. En France, elles sont attribuées par l’ANSSI.
Les premières solutions homologuées « Restreint UE » voient le jour
Des solutions homologuées existent, mais elles sont principalement consacrées à la gestion de documents, pas aux données industrielles issues d’un PLM.
Le 4 mars dernier, Thales annonçait que le cloud TrustNet R-Cloud et TrustNest R-Suite (une suite d’applications SaaS), déjà homologués « diffusion restreinte » en France depuis 2021, ont obtenu l’homologation Restreint Union Européenne (R-UE) auprès de l’ANSSI. Ces plateformes sont gérées en propre par Thales sur une base d’infrastructure Azure Stack.
Oodrive était le premier à avoir obtenu l’homologation « diffusion restreinte » pour son service qualifié SecNumCloud en France, mais il n’affiche pas, pour l’heure, l’homologation « R-UE ».
L’arrêté ministériel français du 15 mars 2021 « portant approbation de l’instruction ministérielle numéro 900 sur la protection du secret et des informations “diffusion restreinte” et sensibles » a prévu l’absence de solutions homologuées R-UE.
« Tout système d’information traitant des informations R-UE/EU-R fait l’objet d’une homologation UE. Faute d’homologation, il est admis de s’appuyer sur une homologation au niveau Diffusion Restreinte, avec le respect de la mesure complémentaire suivante : chiffrement systématique des informations R-UE/EU-R au moyen d’un produit de chiffrement agréé », précise-t-il.
En parallèle, des débats sont en cours entre la France et d’autres pays membres, concernant la notion de souveraineté dans l’EUCS (European Union Cybersecurity Scheme for Cloud Services). Cette certification vise à unifier les normes de cybersécurité des services cloud habituellement décernées par les pays membres en fonction du niveau de protection. Or, la dernière version du texte en cours d’élaboration supprime les exigences de souveraineté et de protection au droit extraeuropéen pour les niveaux high et high+, équivalentes à celles du référentiel SecNumCloud 3.2.
Le Cigref s’en était inquiété le 11 avril 2024 dans une lettre adressée à Ursula von der Leyen, présidente de la Commission européenne.
Selon Reuters, une lettre jointe signée par une quinzaine d’entreprises, dont Airbus et Dassault Systèmes, avait également été envoyée aux membres de la Commission pour dénoncer cette modification qui « saperait la viabilité des clouds souverains » en Europe.
Pour approfondir sur Réglementations et Souveraineté
