Un cloud souverain garantit en principe que toutes les données, y compris les métadonnées, restent sur le sol de l’entreprise ou de l’entité qui s’appuie sur le service et empêche tout accès étranger aux données en toutes circonstances. Il fournit un environnement de confiance pour le stockage et le traitement des données qui ne peuvent jamais être transférées au-delà des frontières et doivent rester sous une seule juridiction.
C’est la définition de base de laquelle Microsoft ne s’écarte pas en annonçant la disponibilité générale de son cloud souverain destiné aux gouvernements et à ses clients de l’Union européenne : « nous annonçons la disponibilité générale de Microsoft Cloud for Sovereignty dans toutes les régions Azure. Microsoft Cloud for Sovereignty aide les gouvernements à répondre à leurs exigences en matière de conformité, de sécurité et de politique tout en utilisant le cloud aux fins de servir leurs citoyens. »
Microsoft Cloud for Sovereignty est construit sur le cloud public de Microsoft « pour accélérer la transformation numérique tout en créant une expérience personnalisée conforme aux exigences gouvernementales. Les clients gouvernementaux auront la puissance du cloud public, répondant aux attentes en matière de faible coût, d'agilité et d'échelle, avec toute l'étendue des capacités telles que les services de développement modernes, l'infrastructure agile, les DevOps sécurisés, les plates-formes open source, la collaboration moderne et le développement low-code. De plus, les clients Microsoft Cloud for Sovereignty continueront de bénéficier des signaux de sécurité mondiaux de Microsoft, analysant plus de 24 000 milliards de signaux chaque jour pour identifier et aider à se protéger contre les attaques locales. »
« La fondation de Microsoft Cloud for Sovereignty commencera par nos centres de données régionaux Azure. Aujourd'hui, avec plus de 60 régions cloud, Microsoft Cloud offre les capacités et l'innovation les plus étendues avec la résidence et la proximité des données dans plus d'emplacements que tout autre fournisseur de cloud, permettant des options de résidence pour l'ensemble de Microsoft Cloud, y compris Microsoft 365, Dynamics 365 et Azure. Grâce à nos contrôles de politique à la pointe de l'industrie, les clients peuvent aujourd'hui répondre à de nombreuses exigences réglementaires et mettre en œuvre des politiques pour contenir leurs données et applications dans leur limite géographique préférée. Les clients peuvent spécifier le pays ou la région pour la plupart des déploiements de services avec la capacité de satisfaire aux exigences sectorielles, nationales ou mondiales en matière de sécurité, de confidentialité et de conformité.
Microsoft dispose de la couverture de conformité la plus complète de tous les fournisseurs de services cloud avec plus de 100 offres, dont plus de 50 spécifiques aux régions et pays du monde. Microsoft collabore avec les gouvernements, les régulateurs, les organismes de normalisation et les organisations non gouvernementales pour comprendre les exigences émergentes et assurer une activation rapide et efficace des besoins de conformité critiques. Plus précisément en Europe, dans le cadre de notre engagement en matière de résidence des données, la future limite des données de l'UE garantira que Microsoft non seulement stocke mais traite également les données des clients dans l'UE et l'Association européenne de libre-échange », souligne le géant technologique pour ce qui est de la résidence des données.
« Avec Microsoft Cloud for Sovereignty, nous fournirons des fonctionnalités qui fourniront aux clients des couches supplémentaires pour protéger et chiffrer les données sensibles. Ces capacités couvrent l'ensemble de Microsoft Cloud depuis l'infrastructure cloud, les services de plate-forme et les offres de logiciels en tant que service (SaaS) telles que Microsoft 365, Dynamics 365 et Power Platform. Les clients peuvent tirer parti d'Azure Confidential Computing, une technologie innovante offrant une protection souveraine avec des machines virtuelles confidentielles et des conteneurs confidentiels. Notre offre unique utilise du matériel spécialisé pour créer une mémoire isolée et cryptée appelée Trusted Execution Environments (ou TEE). Les clés de chiffrement appartenant au client sont transmises de manière confidentielle et sécurisée directement à partir d'un HSM géré (module de sécurité matérielle) dans les TEE s'exécutant sur les données chiffrées du client. Cela sécurise les clés des clients, même en cours d'utilisation, et garantit que les données sont chiffrées au repos, en transit et en cours d'utilisation, ce qui contribue à protéger les données et les clés contre de nombreux risques de sécurité et l'accès des opérateurs. Les clients peuvent bénéficier de cette fonctionnalité sans avoir à modifier leur application, créant une opportunité facile de tirer parti de la puissance et de l'échelle du cloud public tout en garantissant que leurs données sont chiffrées à tout moment. Les capacités de calcul confidentiel s'étendent aux services de plateforme spécialement conçus, tels qu'Azure SQL Always Encrypted avec des enclaves sécurisées et Azure Confidential Ledger.
Les solutions SaaS telles que Double Key Encryption permettent aux utilisateurs de Microsoft 365 de classer les e-mails et les documents comme «sensibles», en cryptant les données client à l'aide de clés fournies par le client pour protéger les données contre les risques de sécurité et l'accès de l'opérateur. En outre, le Customer Lockbox pour Microsoft 365, le Customer Lockbox pour Microsoft Azure, le Customer Lockbox pour Power Platform et le futur Customer Lockbox pour Dynamics 365 garantissent tous que Microsoft n'accédera aux données client pour exécuter des opérations de service qu'avec l'approbation explicite du client.
Pour les charges de travail des clients qui nécessitent une proximité, un contrôle physique/opérateur et une séparation supplémentaires, Azure Arc étend nos services cloud Azure, nos capacités de gestion et de gouvernance dans un environnement existant ou nouveau sur site. Grâce à cela, les clients peuvent déjà sécuriser et gouverner l'infrastructure et les applications n'importe où, créer plus rapidement des applications cloud natives avec des outils et des services familiers pour les exécuter et moderniser leur parc de données pour des opérations cloud cohérentes.
Pour simplifier la complexité de l'éventail des exigences de classification des données, Microsoft Cloud for Sovereignty inclura une Sovereign Landing Zone, une solution pour simplifier l'architecture, le flux de travail de déploiement et fournir des outils intelligents pour orchestrer les opérations de nos divers services de sécurité et contrôles de politique de manière rationalisée. La zone d'atterrissage souveraine est construite sur la zone d'atterrissage Azure à l'échelle de l'entreprise pour recommander et appliquer la conformité réglementaire à l'aide des capacités Infrastructure-as-Code (IaC) et Policy-as-Code (PaC) intégrées à Azure, qui rendent les déploiements automatisables, personnalisables, reproductible et cohérent. Cette zone d'atterrissage s'étendra également à Azure Information Protection (AIP), activant la politique et l'étiquetage pour le contrôle d'accès et la protection des données de messagerie et de document. Cette zone d'atterrissage sera suffisamment flexible pour permettre aux clients de définir des politiques personnalisées pour répondre aux exigences spécifiques de l'industrie et de la réglementation. La zone d'atterrissage s'étendra sur le cloud public Microsoft, avec des outils pour maintenir la résidence des données, déployer des contrôles souverains, protéger la classification des données et s'étendre aux déploiements hybrides, créant une solution unique pour tous les besoins des applications », ajoute-t-il pour ce qui est des contrôles dits souverains.
Cloud souverain : si certains préoccupations d’ordre technique trouvent réponse, la dépendance demeure
En effet, tout gouvernement ou entité du secteur public de l’Union européenne qui optera pour cette offre sera sous contrat étranger, ce qui est une forme de dépendance. En sus, il y a le Cloud Act à prendre en compte. En vertu des dispositions en son sein, tous les fournisseurs de services cloud américains, de Microsoft à IBM, en passant par Amazon, doivent, lorsqu’ils en reçoivent l’injonction, fournir aux autorités américaines des données stockées sur leurs serveurs, quel que soit leur emplacement. Étant donné que ces fournisseurs contrôlent une grande partie du marché du cloud en Europe, la loi ouvre aux États-Unis des informations sur de larges pans de la population et des entreprises de la région.
Le Cloud Act répond à un problème qui avait été soulevé lorsque Microsoft en 2013 avait refusé de fournir au FBI l'accès à un serveur en Irlande dans le cadre d'une enquête sur le trafic de drogue, affirmant qu'il ne pouvait être contraint produire des données stockées en dehors des États-Unis.
Source : billet de blog Microsoft
Et vous ?
Que pensez-vous de ces offres dites de cloud souverain ?
Quelles alternatives proposeriez-vous aux gouvernements et entités du secteur public de l’UE si vous aviez un avis à formuler en tant que consultant ?
Voir aussi :
Microsoft révise ses politiques en matière de licences logicielles et de cloud computing dans le contexte de l'examen des autorités européennes, à la suite d'une plainte OVHcloud et Nextcloud
France : Thales et Google créent une coentreprise française de cloud souverain, une offre conçue en France et pour la France
Cloud souverain : Amazon choisi par la SNCF et promu par Orange, l'Etat-actionnaire ferait le jeu des américains, la SNCF a décidé de transférer 7000 serveurs et 250 applications chez AWS