Nos premiers pas vers un cloud souverain et écologique
Dernière mise à jour : 30 septembre 2022
Il y a deux ans nous avions pris la décision de migrer une partie de notre infrastructure vers le Cloud de Scaleway. Il s'agissait pour nous de soutenir une démarche à la fois écologique et locale tout en bénéficiant de tarifs attractifs. Lors des journées du patrimoine du 17 Septembre 2022, nous avons saisi l'opportunité de pouvoir découvrir le centre de données DC5 de Scaleway à Saint-Ouen-l’Aumône sur lequel s'appuie notre nouvelle plate-forme OuterSpace AI. Aujourd'hui, nous souhaitons vous préciser nos différents engagements en termes de confidentialité des données, sécurité, écologie et souveraineté.
A propos du Cloud Act
Le Cloud Act est une loi fédérale américaine promulguée en mars 2018 qui étend la portée géographique des éventuelles demandes du gouvernement américain à pouvoir accéder aux données sur les serveurs et ce quelque soit leur localisation - il s’agit d’extraterritorialité cad., l’accessibilité des données quelque soit l’endroit où elles sont stockées (aux États-Unis ou en France).
Critiquée en Europe car non conforme à la RGPD, cette loi permet notamment aux instances de justice américaines de solliciter auprès des fournisseurs de services opèrants aux États-Unis, les communications personnelles d’un individu sans que celui-ci en soit informé.
Les fournisseurs américains, dans leur ensemble, nous assurent, chiffres à l’appui que les demandes sont rares et qu’il faut se réjouir du Cloud Act puisqu’il permet avant tout de mieux lutter contre la criminalité. En état, là où la justice française pouvait, dans le cadre d’accords judiciaires, étudier les demandes initiées par le parquet américain, la diffusion des données est désormais soumise à discrétion du fournisseur cloud.
Engagement numéro 1 : En tant que TPE française, Alien6 est soumise au respect de la RGPD. Il est donc primordial que nous puissions nous appuyer sur des partenaires qui ne soient pas soumis aux obligations du Cloud Act pour construire nos offres SaaS.
Cloud souverain et cloud de confiance
Face au Cloud Act, l’Europe tente de réagir. Depuis l’an dernier, l’état français qui préconise aux entreprises d’adopter une démarche orientée Cloud encourage la notion de Cloud de Confiance : un label censé prévenir d’une quelconque mainmise étrangère sur les données des entreprises françaises et de nos concitoyens.
Cependant et sous certaines conditions, l’obtention de ce label est ouverte aux sociétés étrangères. Des offres hybrides telles que BLEU (Orange, Cap Gemini et Microsoft) et S3SN (Thalès et Google) tentent ainsi d’obtenir le précieux sésame et communiquent en ce sens (ici et là) : les données seraient hébergées en France et les offres non commercialisées en direct par les fournisseurs de services américains. Quant au projet Gaia-X, ce fameux Cloud souverain européen, il accueille d’ores-et-déjà des entreprises chinoises et américaines en son sein.
Sans remettre en cause la démarche, tout citoyen peut légitiment s’interroger sur la protection qu’offre ces différentes initiatives.
Le référentiel SecNumCloud
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a pris la responsabilité de la rédaction du cahier des charges, de l’examen des candidatures et de l’attribution du label « Cloud de confiance » - malheureusement, aucune feuille de route ne semble avoir été rendue publique.
L’ANSSI propose cependant depuis 2016 un référentiel d’exigences et de recommandations à destination des fournisseurs de services Cloud : le SecNumcloud. Mis à niveau le 09 mars 2022, le référentiel tente désormais d’offrir les garanties de souveraineté nécessaires pour se prémunir contre toute réglementation extracommunautaire.
Pour pouvoir bénéficier de cette même qualification, le Graal que nous aimerions atteindre en tant que fournisseur SaaS, Alien6 doit répondre à un cahier des charges très précis en termes de gestion applicative et de données mais également s’appuyer sur un fournisseur lui-même certifié SecNumCloud. Or, à l’heure actuelle, assez peu d’hébergeurs sont certifiés SecNumCloud : Cloud Temple, 3DS Outscale, filiale de Dassault System pour son offre IaaS, le Cloud privé d’OVH et le service Secured IaaS de Wordline. Ces certifications sont d’ailleurs limitées dans le temps et ne couvrent qu’en partie les offres de ces différents fournisseurs.
Comment pouvons-nous assurer à nos employés, partenaires et clients un respect total de leurs données eu égard de cet imbroglio technico-juridique ?
Engagement numéro 2 : Alien6 s’engage à établir une trajectoire en accord avec les préconisations de l’ANSSI et à communiquer cette feuille de route.
Quid du Cloud de Scaleway ?
A ce jour, pour vous assurer la souveraineté de vos données, nous avons choisi d’héberger notre plate-forme OuterSpace AI chez Scaleway, filiale d’Iliad, maison mère de l’opérateur Free. Outre un hébergement de proximité, à seulement quelques kilomètres de Paris, leur offre de services nous a aussitôt semblée adéquate. L’ensemble des ressources de stockages et de calcul nécessaires au projet sont facilement accessibles via API, la politique tarifaire est transparente et compétitive, leurs centres de données sont certifiés ISO 27001:2013 et HDS pour l’hébergement de données de santé.
Nous nous appuyons essentiellement sur Kapsule, un service Kubernetes en mode PaaS évolutif au provisioning ultra-rapide. Le stockage repose sur des Block Storages, un stockage SSD, persistant à haute disponibilité et haute performance dont la résilience et la durée de vie sont encadrées par zone de disponibilité : fr-paris-1 (DC3 et DC4) ou fr-paris-2 (DC5).
Vers un cloud souverain et écologique
Nous avons opté pour des services disponibles sur le centre de données DC5 de Saint-Ouen l’Aumône, dans le Val d’Oise : un Datacenter conçu pour déployer des infrastructures à très haute densité et qui a la particularité de s’appuyer sur un refroidissement adiabatique cad., sans climatisation mais par évaporation d’eau.
Fig.1 : Mesure du PUE du DC5
Lors de notre visite, nous avons appris que la durée de vie moyenne des équipements informatiques est étendue à 10 ans (contre 3 à 5 ans en moyenne) et que Scaleway tente d’appliquer les seuils de tolérance les plus élevés de la norme ASHRAE. Alors qu’en règle générale, de nombreux Datacenter appliquent des règles de maintien de température assez basses, comme il était de mise il y a quelques années, Scaleway benchmark les serveurs pour s’assurer qu’ils puissent supporter des températures plus élevées et les appliquer sans aucun dommage. Le potentiel d’économie d’énergie est donc quantifiable.
Les engagements de Scaleway en matière de politique environnementale ne s’arrêtent pas là : optimisation du PUE (unité de mesure développée par “The Green Grid” pour mesurer l’efficacité d’un centre de données), économie circulaire pour le recyclage, énergies renouvelables et bannissement de produits toxiques…
Engagement numéro 3 : Lorsque la Sécurité du système et l’intégrité des données sont garanties, Alien6 s’engage à s’appuyer sur des technologies éco-responsables pour construire ses offres SaaS.
Sachant tout ceci, n’héitez plus à tenter l’expérience OuterSpace AI !
Pour aller plus loin
- Clarifying Lawful Overseas Use of Data (CLOUD) Act, par AWS
- Faut-il avoir peur du Cloud Act ?, par Microsoft
- Les offres franco-américaines Bleu et S3NS perméables au Cloud Act ?, l’usine digitale
- Annonce du projet BLEU, par Cap Gemini
- Scaleway claque la porte du projet de cloud européen Gaia-X, l’usine digitale
- SecNumCloud : l’ANSSI adapte son référentiel au Cloud de confiance (…), NextImpact
- L’ANSSI actualise le référentiel SecNumCloud, par l’ANSSI
- Sécurité et résilience chez Scaleway, par Scaleway
- Scaleway DC5, datacenter innovant au cooling adiabatique, journal du datacenter
- Site Officiel de l’ASHRAE, par Ashrae