Sinds enkele jaren hebben de grote Amerikaanse cloudproviders hun aankondigingen, initiatieven of aanbiedingen vermenigvuldigd, die als soeverein worden gepresenteerd. Oracle EU Sovereign Cloud is operationeel sinds juni 2023 en in oktober van hetzelfde jaar werden de contouren van Amazon Web Services (AWS) European Sovereign Cloud geschetst. In 2022 introduceerde Microsoft zijn Cloud for Sovereignty, terwijl Google het jaar daarvoor zijn plan “Cloud. On Europe’s Terms” had onthuld. De vier grootste cloudproviders ter wereld, allemaal Amerikaans, streven ernaar de meest gevoelige gegevens van Franse en Europese openbare diensten en bedrijven te huisvesten. De verovering van deze markt door partijen buiten het Oude Continent is echter niet zonder controverse.
Vertrouwelijke cloud of soevereine cloud? Vooral marketing
De wedijver van soevereine aanbiedingen heeft voor enige opschudding gezorgd in Frankrijk. Het gebruik van de term soevereiniteit door niet-Europese bedrijven, in dit geval Amerikaanse, is veel besproken. “Alle benamingen van soevereine cloud van Microsoft, AWS… zijn puur marketing, aangezien ze niets te maken hebben met het begrip van soevereiniteit,” meent Henri d’Agrain, algemeen delegé van het Cigref, een associatie die streeft naar de ontwikkeling van het digitale domein en de controle ervan in grote bedrijven en openbare diensten. Hij is niet de enige die deze mening uit. Uiteraard verdedigen de betreffende cloudproviders zich, benaderd door verschillende media.
Een probleem doet zich onmiddellijk voor bij het ontrafelen wat soeverein is en wat niet: de definitie zelf van het begrip. Een problematiek die gecompliceerd wordt door de populariteit van de variant “digitale soevereiniteit”. “Digitale soevereiniteit is een populaire formule onder de media omdat het gemakkelijk te gebruiken is. Echter, het omvat een beetje van alles en niets,” merkt Ophélie Coelho, onafhankelijk onderzoeker in de geopolitiek van het digitale domein, op. Journalisten zijn niet de enigen die het waarderen, politici ook: de nieuwe staatssecretaris van Digitalisering, Marina Ferrari, heeft het meerdere keren genoemd in haar toespraak bij haar ambtsaanvaarding.
Gezien de vaagheid van het concept, wordt aanbevolen terug te keren naar de oorspronkelijke definitie van soevereiniteit. Het Nationaal Centrum van Tekstuele en Lexicale Hulpbronnen beschrijft het als de “kwaliteit eigen aan de staat die de hoogste macht bezit die de exclusiviteit van de competentie op het nationaal grondgebied impliceert en, internationaal gezien, de onafhankelijkheid ten opzichte van buitenlandse mogendheden”. Een goede basis, maar die niet iedereen overtuigt.
Uitdagingen en bezorgdheden
Damien Rilliard, directeur bij Oracle EMEA verantwoordelijk voor soevereiniteitskwesties, merkt op dat “het woord soevereiniteit een zeer nauwkeurige term is, die zoveel definities heeft als er mensen zijn aan wie het gevraagd wordt” en voegt eraan toe dat “dit des te meer waar is naargelang het land waarin het gebruikt wordt”. Het is onmogelijk om tot een akkoord te komen als niemand het over hetzelfde heeft. Toch is de uitdaging cruciaal. In de jaarlijkse barometer van de Club van Experts in Informatiebeveiliging en Digitalisering (CESIN), van 450 verantwoordelijken voor ciberbeveiligingCybersecurityoplossingen zijn essentieel in het digitale tijdperk…, beschouwt 55% soevereiniteit als een zorg voor hun bedrijven.
Om de situatie te verduidelijken, presenteerde de minister van Economie, Bruno Le Maire, de cloudstrategie van de regering in 2021. Er werd een keurmerk gecreëerd, “vertrouwelijke cloud”, om de soevereiniteit van een dienst te certificeren. Dit is gebaseerd op de SecNumCloud 3.2-standaard van de Nationale Agentschap voor de Beveiliging van Informatiesystemen (ANSSI). Dit laatste, dat ongeveer 270 criteria bevat, is bedoeld om te certificeren dat, onder andere, de cloud buiten het bereik is van extraterritoriale wetgevingen. In de Verenigde Staten zijn de wetten die angst veroorzaken de Clarifying Lawful Overseas Use of Data Act, beter bekend als CLOUD Act, en sectie 702 van de Foreign Intelligence Surveillance Act (FISA). Voor Henri d’Agrain is deze oplossing geschikt voor de zorgen van de betrokken bedrijven en administraties: “SecNumCloud is een instrument van soevereiniteit. In dit opzicht voldoet een cloudservice die als SecNumCloud is gecertificeerd aan soevereiniteitscriteria”.
Perspectieven van cloudproviders
De toegewijde diensten van Oracle en AWS zijn momenteel niet van plan de SecNumCloud-kwalificatie te verkrijgen. Hoewel dit perspectief niet volledig is uitgesloten, is het geen prioriteit. Beide groepen schatten dat zij betere clouds bieden, terwijl zij tegelijkertijd voldoen aan de eis van soevereiniteit.
Voor Oracle benadrukt Damien Rilliard dat twee actieve cloudregio’s in Europa vanaf nul zijn gebouwd met dit doel. “Ze worden geopereerd door Europeanen, ontplooid door Europeanen, ondersteund door Europeanen, beveiligd door Europeanen en ze vallen onder rechtsautoriteiten die onderworpen zijn aan Europeanen,” stelt hij. Hij geeft aan dat deze regio’s “volledig, fysiek, logisch en organisatorisch gescheiden, geïsoleerd zijn van de rest van onze clouds”.
Amazon, voor zijn toekomstige aanbod, benadrukt vooral zijn encryptietool Nitro. “Het idee achter Nitro is dat als een rechter, een administratie, ongeacht het land van herkomst, ons om gegevens vraagt, het enige antwoord dat we altijd hebben is dat we niet in staat zijn om deze in duidelijke tekst te verstrekken”. Alleen de AWS-klant heeft toegang tot zijn gegevens, dus hij is het die beslist om al dan niet te reageren op de Amerikaanse extraterritoriale bevelen, stelt Stephan Hadinger, technologiedirecteur van AWS France.
Beide bedrijven verzekeren dat zij de robuustheid van hun oplossingen hebben geauditeerd met volledig bevredigende resultaten. Toch uiten sommige gesprekspartners hun twijfels. Desalniettemin is SecNumCloud verplicht voor overheidsdiensten en sterk aanbevolen voor bedrijven die gevoelige of strategische gegevens verwerken. Voor AWS en Oracle is dit geen probleem, het is slechts een kwestie van tijd: beide groepen hebben het European Union Cybersecurity Certification Scheme for Cloud Services (EUCS) in hun vizier. Een cloudcertificering op Europees niveau die onder discussie is en bedoeld is om de SecNumCloud te vervangen.
Strategieën van Microsoft en Google
Tegenover de Europese benadering van AWS en Oracle hebben Microsoft en Google gekozen voor een andere weg, specifiek voor de Franse markt. Ze hebben besloten om samen te werken met Franse bedrijven om de SecNumCloud-kwalificatie te verkrijgen bij de lancering van diensten, gepland voor eind 2024.
Microsoft is de technische partner van een bedrijf genaamd Bleu, voortgekomen uit een alliantie tussen Orange en CapGemini. “We wilden radicaal zijn met betrekking tot SecNumCloud door geen niet-Europese actoren in het kapitaal op te nemen,” legt Jean Coumaros, CEO van Bleu, uit.
Google heeft op zijn beurt een joint venture opgericht met Thales om S3NS te creëren. “De eis van SecNumCloud legt een 24% participatie van een niet-Europese actor vast, we liggen ver daaronder,” geeft Cyprien Falque, CEO van S3NS, aan. Hij merkt op dat “Google een waarnemingspost heeft: zonder enig stemrecht, zonder vetorecht en alle werknemers zijn werknemers van Thales”. Verrassend genoeg vermelden noch Bleu noch S3NS de notie van soevereiniteit in hun recente communicatie. “Iedereen kan beweren dat hij een soevereine cloud is, aangezien er geen precieze definitie is,” stelt Jean Coumaros. Cyprien Falque is het daarmee eens: “We vermijden het spreken over soevereine cloud, omdat het een vertekend term is. We geven de voorkeur aan iets objectiefs benaderen, dat geen discussie veroorzaakt zoals de vertrouwelijke cloud”.
Strategische autonomie: een Franse zoektocht
De weg ingeslagen door Google en Microsoft wordt gezien als een bevredigend compromis door sommigen: “In theorie zouden S3NS en Bleu oplossingen moeten bieden die conform zijn met de SecNumCloud-standaard in zijn versie 3.2. Dit geeft een redelijk niveau van vertrouwen tegenover de FISA of de CLOUD Act,” beschouwt Henri d’Agrain van het Cigref. Dit komt ook tegemoet aan de wens uitgedrukt door Bruno le Maire tijdens de presentatie van vertrouwelijke cloud in 2021. Zijn strategie was bedoeld als een balans om te profiteren van de “beste technologieën” terwijl een “maximale bescherming” werd gewaarborgd.
De redenering overtuigt niet iedereen. Het perspectief van een certificering van S3NS en Bleu zou een “ernstige diskrediet voor de norm” zijn, oordeelt Bertrand Leblanc-Barbedienne van het medium SouveraineTech. De laatste, die werkt voor een actief bedrijf in de cloud, Whaller, redeneert: “Het gaat er niet om te zeggen dat er geen grote Amerikaanse technologische macht is, het gaat erom te zeggen dat we op middellange tot lange termijn het vermogen hebben om dat niveau te bereiken, zolang we ons bevrijden van die soft power die ons heeft besmet en ons zicht vertroebelt”.
Deze redenering wordt ook weerspiegeld in de analyse van Ophélie Coelho, de auteur van een boek over de geopolitiek van het digitale domein. Volgens haar pakt SecNumCloud het probleem niet correct aan, hoewel de intentie goed is. Het idee om te voorkomen dat de Verenigde Staten, China of een andere staat met technische capaciteiten toegang hebben tot Europese gegevens voor economische spionage is een illusie. Een mening die breed gedeeld wordt door verschillende gesprekspartners. Zo is “de echte kwestie om te weten hoe technologie te produceren en te controleren, in plaats van strategieën te zoeken om technologieën te controleren die niet van ons zijn”.
Deze perspectiefverandering komt overeen met de richting die de notie van digitale soevereiniteit in Frankrijk heeft genomen sinds het eerste gebruik ervan in 2011, in een artikel ondertekend door Pierre Bellanger, CEO van de radio Skyrock. Rechtsprofessor in digitaal recht aan de Universiteit van Grenoble, Théodore Christakis, onderscheidt “twee betekenissen van de term”: een klassieke, regulering, en een andere die “soevereiniteit is als strategische autonomie en het vermogen om in het digitale domein te handelen zonder beperkt te worden door externe afhankelijkheden”.
Strategische autonomie is al decennia lang centraal in Frankrijk, en nu wordt het toegepast op de cloud. Zelfs lokale, gecertificeerde aanbiedingen gebruiken software, hardware of niet-Europees kapitaal, herinneren de Amerikaanse cloudproviders. De kwestie lijkt niet te zijn om diensten of technologieën uit de Verenigde Staten uit te sluiten; niemand overweegt het of wenst het. Het gaat eerder om de graad van afhankelijkheid die aanvaardbaar is voor het beheer van gevoelige gegevens.
Het is een uitgesproken politieke kwestie. De huidige regering heeft haar antwoord voorgeschreven in Frankrijk en probeert het nu te integreren op Europees niveau via de EUCS.
bron: Siecle Digital