OVHcloud et la souveraineté des données

KPMG a publié en mai 2021 un livre blanc réalisé à partir de données et d’informations provenant d’une grande variété de sources comprenant notamment plus de 250 interactions avec des décideurs publics et privés européens. Il en ressort que la migration vers le cloud est devenue un passage obligé, et que la sécurité et la souveraineté des données constituent l’une des principales préoccupations des décideurs. Par ailleurs, l’actuel paradigme du marché européen du cloud ne semble pas pérenne. Cinq scenarios ont été identifié avec plusieurs bénéfices prévisibles.

Un cloud souverain, c’est avant tout un cloud fournit par un prestataire qui s’engage à ne faire aucun usage des données de ses clients. Cet engagement fait intrinsèquement partie de la proposition de valeur d’OVHcloud, pure player et spécialiste du cloud, sans activités dans d’autres domaines pouvant faire concurrence à ses clients. En France, OVHcloud est étroitement associé aux travaux du Comité Stratégique de Filière dédié aux « Industries de sécurité », placé sous l’égide du Conseil National de l’Industrie. L’objectif de ce Comité Stratégique de Filière est d’instaurer un dialogue concret, performant et régulier entre l’État et les entreprises des secteurs concernés. Dans ce cadre, OVHcloud s’est engagé dans la constitution d’une offre de cloud de confiance pour contribuer à la protection de souveraineté industrielle.

OVHcloud est partie prenante des efforts menés par les pouvoirs publics européens et les associations professionnelles défendant la souveraineté numérique en Europe. Membre fondateur notamment de l’associations CISPE (Cloud Infrastructure Services Providers in Europe) et du projet GAIA-X, OVHcloud contribue activement à ces initiatives européennes. Leur objet est de garantir la sécurité, l’interopérabilité, la transparence et la confiance propres à l’usage serein des données. En 2020, OVHcloud a initié le programme Open Trusted Cloud avec l’objectif de co-créer un écosystème de solutions SaaS et PaaS dans un cloud ouvert, réversible et fiable avec tous les acteurs du numérique. Ces initiatives veulent tirer le meilleur de nos écosystèmes européens et encourager les cercles vertueux.

OVHcloud met en œuvre des mesures techniques et organisationnelles visant à protéger les données hébergées par ses clients européens au sein de l’Union européenne, contre l’ingérence d’autorités non-européennes. Techniquement, aucune entité OVHcloud ou tiers partenaire d’OVHcloud, localisé dans un pays tiers n’assurant pas un niveau de protection des données conforme à celui en vigueur au sein de l’Union européenne, n’a la possibilité d’opérer et donc d’accéder aux infrastructures d’hébergement desdites données.

Ainsi, concernant par exemple les États-Unis, qui ne sont plus considérés comme un pays disposant d’un niveau de protection adéquat depuis l’invalidation du « Privacy Shield » par l’arrêt dit « Schrems II » de la Cour de justice de l’Union européenne en date du 16 juillet 2020, les entités américaines d’OVHcloud n’interviennent pas dans le cadre des services fournis aux clients européens d’OVHcloud et n’ont pas la possibilité technique d’accéder aux données hébergées par ces derniers dans les centre de données européens d’OVHcloud. Dès lors lesdites entités américaines n’ont pas le contrôle des données stockées dans ces centres de données et ne peuvent répondre favorablement à des demandes d’autorités américaines visant à obtenir communication desdites données.

Seules des entités localisées au sein de l’Union européenne ou dans des pays dont le niveau de protection a fait l’objet d’une décision d’adéquation de la Commission européenne, en particulier le Canada, peuvent, dans les conditions de service en vigueur, prendre part à l’exécution des services fournis aux clients européens d’OVHcloud et intervenir techniquement sur les infrastructures sur lesquelles ces derniers hébergent leurs données.

Chez OVHcloud, aucun accès aux données des clients n’est autorisé, sauf si celui-ci intervient à la demande du client ou après accord de ce dernier et lorsque cela est nécessaire, dans le cadre d’une intervention des équipes support ou d’une opération de maintenance par exemple. L’entreprise assure une traçabilité complète de ces actions, gage de la souveraineté des données.

Le Visa de Sécurité SecNumCloud, obtenue par OVHcloud début 2021, apporte l’assurance aux clients des services cloud certifiés de choisir des solutions dont le niveau de sécurité et de confiance a été vérifié par l’ANSSI (Agence nationale de la sécurité des systèmes d'information). Elle garantit le recours à des solutions, recommandées par l’État français et particulièrement adaptées pour l’administration française et pour les entreprises nationales des secteurs les plus sensibles. OVHcloud fournit par ailleurs ses services cloud aux administrations françaises (UGAP), du Royaume-Uni (G-Cloud), italiennes (AgID) ou encore aux institutions de la Commission européenne (DPS 1 MC5). L’entreprise est par ailleurs impliquée dans les travaux en cours de l’Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) sur la certification cybersécurité des services cloud.

OVHcloud tâche également de répondre aux besoins et exigences des opérateurs d’importance vitale et des opérateurs de services essentiels, qui dans le cadre de leurs procédures d’homologation basées doivent conduire des analyses de risque et mettre en place de nombreuses règles de sécurité. En effet, la documentation d'OVHcloud basée sur la mise en œuvre de différentes normes et référentiels (ISO 27001, ISO 27701, SecNumCloud, HDS, SOC, CSA Star, PCI-DSS et autres) permet aux clients de conduire leur analyse de risques en accédant en toute transparence aux mesures et l’organisation mise en place par OVHcloud afin d’assurer la protection de leurs données.

Depuis plus de 20 ans, OVHcloud a développé un modèle d’activités industrielles intégré qui lui permet de totalement maîtriser sa chaîne de valeur. On y retrouve la construction et le pilotage des datacenters, la conception des serveurs et des baies informatiques dans l’usine de Croix (Hauts-de-France), mais aussi l’exploitation d’un réseau de fibre noire, éclairé par OVHcloud. Cette maitrise logistique permet d’assurer une souveraineté des données et des services étendus, grâce à un contrôle de la chaine d’approvisionnement. Elle limite également les dépendances technologiques vis à vis des sous-traitants et des fournisseurs d’OVHcloud. La capacité de la société à soutenir le développement de l’activité de ses clients a été démontrée lors de la crise sanitaire en 2020. OVHcloud a évité les ruptures de stock, contrairement à certains concurrents, souvent plus dépendants de leurs fournisseurs.

OVHcloud présente aussi la particularité d’intégrer dans ses produits des technologies open-source, ouvertes et réversibles, ou alors des standards de marché. Ces plateformes respectent by design la souveraineté des données des clients et sont opérées de bout en bout par OVHcloud sans intervention de sous-traitants externe. OVHcloud s’assure que les éditeurs de logiciels à l’origine de briques technologiques de ses solutions présentent des gages de souveraineté.

Sous réserve de conditions particulières de service, OVHcloud s’assure que les partenaires qui interviennent dans le cadre de la maintenance de la solution s’engage à n’intervenir que depuis des Etats européens ou présentant un niveau de protection des données équivalent à celui en vigueur au sein de l’Union européenne et à respecter la réglementation européenne. La maitrise complète et le très haut niveau d’intégration de services tiers intégrés dans ses produits permet ainsi à OVHcloud d’assurer une protection étendue de la souveraineté des données de ses clients. Le tout, vers un cloud de confiance et respectant la souveraineté des données françaises et européennes.