Un besoin nouveau émerge sur le marché : les entreprises entendent en effet profiter « en confiance » des bénéfices du cloud, c’est-à-dire en maîtrisant les risques, posés notamment en termes de souveraineté et mis en lumière par la dépendance technologique aux fournisseurs de cloud américain ou chinois. C’est la raison pour laquelle se dessine une tendance forte autour d’un cloud hybride qui articule briques de confiance pour les applications sensibles et puissance du cloud public, au service de la transformation digitale des organisations et des modèles. C’est essentiel : le cloud embarque nativement un niveau sécurité qui est le standard nécessaire de l’"économie de la confiance", c’est-à-dire de l’économie digitale, de l’économie de plateforme.

La nature des risques sera nécessairement amenée à évoluer dans les années à venir, mais elle est aujourd’hui de 4 ordres :

• Accès aux données sensibles, notamment dans le cadre des législations RGPD et Cloud Act
• Espionnage par des agences d’intelligence économiques ou étatiques étrangères
• Limitation de l’accès aux meilleures technologies décrétées sensibles, voire limitation ou coupure de service
• Risque de réputation en cas de fuite majeure où des révélations montreraient que les autorités américaines ont eu accès à des informations stockées sur des cloud américains

Face à ces risques et à la demande des entreprises de solutions de mitigation, l’offre de cloud de confiance émerge – en ce début d’année 2021 - autour de trois axes :

En parallèle à ces réponses, des normes se développent de plus en plus fréquemment à l’initiative de régulateurs sectoriels ou nationaux et donnent lieu à une normalisation des réponses (ISO 27001, SecNumCloud) sans que ces normes s'imposent forcément aux acteurs. Le projet GAIA-X cristallise une partie de ces attentes et de ces réflexions : le 29 mars dernier, GAIA-X a annoncé ses 212 premiers membres, ainsi qu’une série de règles qui s’applique pour tous, y compris les GAFAM et un fournisseur chinois qui a été accepté comme membre.

Ces solutions de confiance s’accompagnent aussi de conditions et de contraintes qui doivent être considérées au regard de leurs bénéfices stratégiques :

• Surcoûts, pouvant aller aujourd’hui de 10% à 30% pour des solutions aux normes les plus restrictives
• Accès dégradé aux services avancées et aux nouvelles innovations
• Élasticité limitée de la puissance disponible, scalabilité moins rapide

De manière concrète, l'offre de cloud de confiance va se structurer autour de 3 grands pôles :

• Des offres de cloud américaines, renforcées sur le chiffrement et assorties de garanties juridiques spécifiques
• Des offres partenariales entre cloud américains et sociétés françaises, appuyées par les pouvoirs publics qui permettront un niveau plus élevé de mitigation des risques
• Des offres spécifiques, sans doute par secteur (santé, défense, bancaire…) fournissant le maximum de mitigation des risques et barycentrées sur des cloud d'acteurs nationaux

La stratégie d’une entreprise face au risque doit être définie en s’appuyant sur une segmentation des applications et données selon les niveaux de risques (sensibilité des données, contraintes réglementaires, besoin de technologie avancée, acceptabilité de surcoûts…), puis sur la définition d’une réponse qui va affecter applications et données aux différents types de cloud (Public standard, Fournisseurs américains avec renforcement, Fournisseurs nationaux, cloud privé). Les deux étapes suivantes consistent à spécifier le niveau de réponse « de confiance » pour chacun de ces types de cloud et à procéder à l’analyse des surcoûts et des risques de complexité liés à la gouvernance de cloud multiples.

Le terrain technologique, concurrentiel et réglementaire qui structure la réflexion autour du cloud de confiance évolue très rapidement et très régulièrement. Des changements sont notamment attendus pour 2021 dans un contexte en permanente redéfinition qui doit amener les entreprises à s’approprier la problématique en profondeur, pour définir sa posture propre et de pouvoir décoder de manière agile tous ces changements.