Le cloud souverain européen AWS made in Germany

Les nouveaux contours du Cloud souverain européen AWS prévu pour la fin 2025 se précisent. La nouvelle maison mère allemande supervisera tout de l'infrastructure, au contrôle opérationnel, jusqu'à l'assistance technique et le service client, au renfort d'un SOC -Security Operation center- européen dédié. La première « région » de cloud sera mise en service dans l'État de Brandebourg.

L’Union européenne est à l’avant-garde de la législation en matière de protection de la vie privée et de sécurité, et son organisme de surveillance de la vie privée a lancé l’année dernière une enquête sur l’utilisation par le secteur public de services basés sur l’informatique en nuage, afin de vérifier s’ils respectent ses garanties en matière de protection de la vie privée.

Amazon s'était déjà retrouvé dans le collimateur des régulateurs européens pour ne pas avoir respecté les règles de l'U.E en matière de concurrence et de confidentialité des données. Mais avec l'AWS European Sovereign Cloud et au renfort de 7,8 milliards d'€ d'investissements prévus jusqu'en 2040, Amazon met le paquet pour se conformer aux lois et règlementations applicables dans l'U.E.

Il remporte déjà un fort soutien de plusieurs pays européens, comme l'Allemagne, la Finlande, la République Tchèque et la Roumanie.

Les nouveaux contours du cloud souverain européen AWS made in Germany

La division « cloud computing » d'Amazon crée ainsi une nouvelle société mère et trois filiales en Allemagne chargées d'opérer le nouveau cloud souverain européen, afin de répondre au prérequis de la localisation du siège social dans l'U.E.

Mais ici, ce n'est pas tant la structure juridique qui importe que la localisation physique des données et des services opérés. Car avec le lancement de ce nouveau cloud "souverain" européen, AWS assure que les clients pourront conserver toutes les métadonnées qu'ils créent dans l'UE, telles que les rôles, les autorisations, les étiquettes de ressources et les configurations.

Situé et exploité dans des datacenters européens, l'AWS European Sovereign Cloud sera séparé physiquement et logiquement des régions AWS existantes, et sera doté d'un SOC -Security Operation Center- européen dédié.

En plus d'une infrastructure indépendante, il n'y aura aucun contrôle opérationnel en dehors des frontières de l'UE ; seuls les employés d'AWS, résidant dans l'UE, contrôleront les opérations quotidiennes, y compris l'accès aux centres de données, l'assistance technique et le service à la clientèle pour le nuage souverain européen d'AWS

Comme pour les régions AWS existantes, les clients auront le contrôle et l'assurance qu'Amazon n'accèdera pas à leurs données et ne les utilisera pas à quelque fin que ce soit sans leur accord. Le service disposera par ailleurs de ses propres systèmes de facturation et de mesure d'utilisation.

Selon Max Peterson, vice-président de Sovereign Cloud chez AWS. "Depuis plus d'une décennie, nous travaillons avec les gouvernements et les organismes de réglementation à travers l'Europe pour comprendre et répondre à l'évolution des besoins en matière de cybersécurité, de confidentialité des données et de localisation, et plus récemment, de souveraineté numérique."

Souveraineté by design

Le cloud AWS sera souverain dès la conception. Les clients qui ont besoin de plus d'options pour répondre aux besoins d'isolation stricte et de localisation des données dans leurs pays pourront s'appuyer sur des offres existantes telles que AWS Outposts ou AWS Dedicated Local Zones.

Ce cloud souverain européen offrira plusieurs zones de disponibilité, une infrastructure située dans des lieux géographiques séparés et distincts, avec une distance suffisante pour réduire le risque qu'un événement impacte sur la continuité des activités des clients, tout en étant suffisamment proche pour offrir une faible latence aux applications à haute disponibilité utilisant plusieurs zones de disponibilité.

Chaque zone de disponibilité disposera de sa propre alimentation électrique, d'un système de refroidissement et d'une sécurité physique indépendants, et sera reliée par des réseaux redondants à très faible latence.

Un soutien indéfectible de l'Allemagne

Le BSI (Office Fédéral Allemand de la sécurité de l'Information ) apporte son soutien inconditionnel à ce lancement. "AWS a été le premier fournisseur de services Cloud à recevoir le certificat C5. À cet égard, nous sommes très heureux d'accompagner de manière constructive le développement au niveau local d'un cloud AWS, qui contribuera également à la souveraineté européenne en termes de sécurité." confirme Claudia Plattner, Présidente du BSI.

Pour rappel, le C5 (Catalogue des critères de conformité de l'informatique en nuage), développé par le BSI a considérablement façonné les normes de cybersécurité du cloud européen mais au même titre que son équivalent SecNumCloud de l'Anssi. On peut donc se demander à juste titre si l'Anssi réservera le même accueil à AWS lorsqu'il lancera son cloud souverain en France.

De son côté, Markus Richter, directeur de l'information du gouvernement fédéral allemand, indique "être très heureux de collaborer avec AWS pour mettre en œuvre de manière pratique et collaborative la souveraineté conformément à la stratégie cloud de l'administration allemande et la norme contractuelle "EVB-IT Cloud".

Selon Stefan Schnorr, secrétaire d'État au ministère fédéral allemand de l'économie numérique et des transports:" Les économies allemande et européenne sont sur la voie de la numérisation. Le puissant "Mittelstand" allemand, secteur des PME-PMI a notamment besoin d'une infrastructure numérique souveraine répondant aux exigences les plus élevées afin de rester compétitif sur le marché mondial. Pour notre indépendance numérique, il est important que la puissance de calcul soit générée localement en Allemagne et que des investissements supplémentaires soient réalisés dans la numérisation de l'économie locale. Nous saluons donc l'annonce d'AWS d'implanter le cloud européen en Allemagne."

Une annonce fortement saluée des autres pays européens

L'Allemagne n'est pas le seul pays à offrir son soutien inconditionnel à ce lancement.

Jarkko Levasma, directeur de l'information du gouvernement finlandais au ministère des Finances, indique pour sa part que "l'annonce par AWS d'un cloud européen indépendant offrira aux organisations confrontées aux réglementations les plus strictes davantage de choix dans leur stratégie de souveraineté numérique."

Même son de cloche en République Tchèque par la voix de Tomas Krejci, directeur adjoint de l'Agence nationale pour la cybersécurité et la sécurité de l'information (NÚKIB) "L'annonce par AWS d'un nuage européen indépendant est en effet la bonne décision au bon moment qui, à terme, renforcera également la collaboration transatlantique"

Quant à Dan Cimpean, directeur de la Direction nationale de la cybersécurité de Roumanie, il salue cette initiative qui "constitue un investissement à long terme dans les compétences en matière de sécurité et de cloud computing en Europe."

On aurait ainsi pu penser que les cloudeurs et opérateurs souverains européens à l'instar de T-Systems, Telefonica ou Telia réagissent de manière plus pondérée à cette annonce, mais il en est rien.

Pour Greg Hyttenrauch, vice-président senior, Global Cloud Services chez T-Systems:

"La solution AWS offrira un plus grand choix aux organisations lorsqu'elles déplaceront des charges de travail réglementées vers le cloud et des options supplémentaires pour répondre à l'évolution des exigences en matière de gouvernance numérique dans l'UE."

Alliances technologiques vs cloud natifs

Les entreprises et les administrations utilisent de plus en plus les centres de données des grandes entreprises technologiques sous la forme de nuages publics plutôt que de construire leur propre infrastructure. Microsoft avec Orange et Cap Gemini (Blue) et Oracle ont également lancé leurs versions « cloud souverains » pour les clients gouvernementaux européens. Thalès a choisi d'opérer un cloud sur une infrastructure de service Google Cloud opérée et sécurisée en France.

Au vu des investissements consentis par les hyperscalers pour dominer le marché du cloud souverain européen, il sera de plus en plus difficile pour les acteurs européens de moyenne taille de dégager des parts de marchés, à moins, qu'au prérequis de la localisation de la société mère, du stockage et traitement des données, l'Europe n'y décide d'adjoindre l'obligation d'une structure capitalistique 100% européenne.