Avec la mise en place de son référentiel C3A, le Bureau fédéral de la sécurité informatique (BSI) en Allemagne pose les bases d'une nouvelle doctrine de souveraineté numérique. Ce document ne se borne pas à établir des normes techniques, mais annonce également une approche politique où le cloud européen devrait fonctionner de manière autonome pendant 90 jours, même en cas de coupure avec des infrastructures non-européennes.
Face à une dépendance grandissante aux géants américains comme AWS, Microsoft Azure ou Google Cloud, l'Allemagne et d'autres pays européens s'inquiètent des implications géopolitiques d'une telle situation. Que se passerait-il, par exemple, si des décisions politiques incitaient ces entreprises à suspendre leurs services pour l'Europe ?
Le référentiel C3A vise donc à définir ce que l'on entend par un véritable « cloud souverain ». Il repose sur six piliers : souveraineté stratégique, juridique, opérationnelle, technologique, maîtrise des données et contrôle de la chaîne d'approvisionnement. Parmi les exigences clés, on trouve la nécessité d'une localisation européenne des administrateurs systèmes et le stockage des centres opérationnels de sécurité au sein de l'Union européenne.
Un fonctionnement autonome de 90 jours
Le BSI va plus loin en stipulant que les fournisseurs de cloud doivent être capables de rester opérationnels même en cas de rupture totale avec des réseaux ou fournisseurs non européens. Ce besoin d'autonomie, pouvant aller jusqu'à 90 jours, illustre le changement de paradigme dans le climat géopolitique mondial actuel.
La guerre en Ukraine, les tensions entre la Chine et les États-Unis, ou encore les problèmes de cybersécurité posent de nouvelles exigences pour les infrastructures numériques. Le référentiel aborde aussi les risques liés aux législations extraterritoriales, en demandant aux fournisseurs d'évaluer les impacts potentiels de lois étrangères sur les données qu'ils hébergent.
Bien que le document du BSI ne soit pas encore contraignant, il pourrait tracer la voie vers des normes européennes à venir. En France, une initiative similaire est en cours ; un séminaire interministériel a été organisé le 8 avril pour discuter de la réduction des dépendances aux outils non-européens, marquée par une transition vers Linux pour les postes de travail de l'administration.
