Souveraineté, confiance numérique… ces termes utilisés sans distinction entraînent une confusion qui dessert la sécurité de l’information. En France, le Clusif plaide pour une clarification rapide. Et si, en Belgique, nous faisions de même ?

Souveraineté, confiance… Depuis quelques années la notion de souveraineté tente de s’inviter dans les critères d’évaluation de ces solutions. Notamment car les questions d’autonomie et d’indépendance sont au cœur du débat public. Mais cette notion, la souveraineté, concernant les solutions d’hébergement du cloud, est employée sans fondements clairs. Ce qui a pour conséquence de créer de la confusion chez les acheteurs et des effets d’aubaine chez les fournisseurs.

15 critères objectifs et concrets

Plutôt que d’employer la notion de souveraineté, notion régalienne, à tort et à travers, le Clusif lui préfère la notion de confiance numérique. Celle-ci peut être définie avec des critères objectifs et concrets. L’association sœur de Beltug, en voit quinze :

Localisation physique des Datacenters

Localisation des données (transit, repos, utilisation)

Localisation des services et applications tierces

Localisation des équipes d’administration / exploitation

Localisation des sous-traitants

Localisation si chaîne de sous-traitance

Localisation des personnes à accès à privilèges

Localisation des supervisions / sauvegardes

Localisation du siège de la société

Nationalité des services ou produits utilisés

Nationalité du ou des hébergeurs

Nationalité des personnels à accès techniques

Nationalité des fonds de capitaux

Montage juridique de la société / entité

Certifications pour l’hébergeur

Souveraineté, notion trop floue

« La souveraineté est un enjeu trop important pour être dévoyé, commente Benoît Fuzeau, président du Clusif. Cela se joue au niveau de l’État. En matière d’hébergement de cloud, appuyons-nous déjà sur la notion de confiance numérique pour viser un meilleur niveau de sécurité et une offre réellement adaptée aux besoins de chacun. »

Il ne s’agit pas d’ignorer certaines organisations qui doivent pouvoir accéder à des solutions réellement souveraines, précise encore l’association, mais de considérer la situation plus globalement, partant que les professionnels de la cybersécurité doivent pouvoir guider les choix d’achats de solutions en se basant sur des besoins différenciés. Et pour cela il faut sortir d’un emploi excessif et trop flou de la notion de souveraineté.