La commission européenne créé le score de souveraineté. Elle introduit un cadre pour un cloud de confiance qui inclut un système de score de souveraineté destiné principalement aux marchés publics.
Sur la papier, c’est important de permettre aux acheteurs public de disposer d’une score de souveraineté pour qualifier leur démarche d’achat responsable et souverain. Pour bien l’utiliser, il faut comprendre comment il est calculé.
Ce système évalue les offres de fournisseurs cloud sur huit critères, allant de l’ancrage juridique et financier à la protection des données et à la résilience opérationnelle, attribuant un niveau de service allant de 0 à 4 pour chaque pilier.
L’initiative s’appuie sur plusieurs référentiels existants, notamment Gaia-X et les politiques nationales comme SecNumCloud en France.
Cette méthodologie fait face à des critiques de l’association CISPE, qui la juge opaque et estime qu’elle pourrait involontairement favoriser les grands fournisseurs américains. Les discussions portent également sur la complexité du calcul du score final, qui repose sur une formule pondérée des différents critères.
La bureaucratie va-t-elle protéger le marché européen ou avoir l’effet inverse ?
Le « score de souveraineté » cloud de l’Union Européenne
La souveraineté numérique est un enjeu stratégique majeur pour l’Europe. Faute de champions mondiaux dans tous les segment stratégiques, ll faut protéger les quelques entreprises européennes qui se battent face à des géants. Il faut également accepter d’acheter non souverains en connaissance de cause.
Pour les organismes publics, choisir un service cloud qui garantit la protection des données et une indépendance vis-à-vis des puissances étrangères est un véritable casse-tête.
Face à la domination des géants technologiques américains et chinois, comment s’assurer qu’une offre est véritablement “de confiance” et alignée avec les intérêts européens ?
La circulaire Cloud au centre et la transposition de la directive NIS 2 obligent ces entités publiques à prendre des décisons souveraines en matière de Cloud.
Etant obligé de composer avec les composants Cloud chinois et américains (Routeurs, OS, licences), à partir de quel niveau la souveraineté est en péri l?
Pour répondre à cette question, la Commission européenne vient de dévoiler une initiative ambitieuse : un cadre de référence accompagné d’un “score de souveraineté” pour évaluer les fournisseurs de cloud. L’objectif est de fournir aux acheteurs publics un outil concret pour mesurer et comparer les offres. Cependant, loin de faire l’unanimité, cette solution a immédiatement déclenché une vive controverse.
L’Europe veut quantifier la souveraineté
C’est une approche cartésienne. On créé des critères et un indice pour aider le secteur public à prendre les bonnes décisions. C’est comme le nutri score pour les aliments.
Pour les amateurs et connaisseurs, je vous ai fait la copie de la formule du score de souveraineté.
Si avec cela vous doutez encore…
La Commission européenne a mis en place un cadre formel destiné aux autorités publiques pour mesurer la souveraineté des offres cloud. Cette démarche ne part pas de zéro ; elle s’appuie sur des initiatives reconnues comme Gaia-X et le référentiel du Cigref, sur des politiques nationales comme SecNumCloud en France et le standard C5 en Allemagne.
Le tout dans un cadre européen de certification de cybersécurité (Enisa, NIS2, Dora). L’ambition est donc d’intégrer cette mesure dans l’arsenal réglementaire plus large de l’UE.
Le cœur du système est un score basé sur huit “objectifs de souveraineté” (SOV). Pour chaque objectif, un niveau de service (SEAL) est attribué, allant de 0 à 4. Le niveau 0 signifie que le service, la technologie ou les opérations sont sous le contrôle exclusif d’entités non-européennes,
Le niveau 4 garantit une technologie et des opérations sous contrôle total de l’UE, soumises uniquement au droit européen et sans dépendances critiques extérieures.
La grille d’analyse se veut exhaustive, couvrant les aspects suivants :
- Le degré d’ancrage du fournisseur au sein de l’écosystème juridique, financier et industriel de l’UE.
- L’exposition juridique à des autorités étrangères.
- La protection et le contrôle des données et des services IA.
- La souveraineté opérationnelle (continuité, disponibilité des compétences, résilience).
- La résilience de la supply chain (chaîne d’approvisionnement).
- La dépendance technologique.
- La sécurité et la conformité.
- Les efforts en termes de développement durable.
Critique de la méthode
L’association CISPE, qui regroupe les fournisseurs de cloud européens, est la première à monter au créneau. Selon elle, le cadre proposé est opaque et, dans sa forme actuelle, il favoriserait les “hyperscalers étrangers” (AWS, Microsoft, Google Cloud) au détriment des acteurs purement européens.
On constate bien en lisant certains annonces que prétendre faire du Cloud souverain avec AWS ou GOOGLE, c’est normalement pas compatible. Pourtant des entreprises publiques communiquent dessus et contractualisent. Regardons l’exemple de EDF qui a annoncé la semaine dernière avoir confié ses données à Sens
L’association va plus loin, accusant la démarche d’être intentionnelle. Elle suggère que ce cadre pourrait servir de prétexte aux organismes du secteur public pour ne pas résilier leurs contrats existants avec les géants américains. CISPE juge également certains objectifs, comme “le contrôle total de l’UE sur chaque composant matériel”, comme étant tout simplement irréalisables en pratique pour la majorité des acteurs.
Pour avoir visité le centre de production de OVHCloud. Certains hébergeurs produisent eux-mêmes leurs matériels. C’est ce qui est étonnant chez OVHcloud, la visite commence par l’usine de production des serveurs.
Voici ce qui est publié sur le site OVHcloud au sujet de leur capacité industrielle à produire leurs serveurs:
Un cloud durable by design
- Nous produisons nos propres serveurs et les désassemblons à 100% afin qu’ils vivent jusqu’à 3 vies
- Grâce à 20 ans d’innovation, nous utilisons 7 fois moins d’eau que nos concurrents pour refroidir nos serveurs
- Notre efficacité énergétique (PUE) est de 1,28 vs. 1,57 pour la moyenne du marché
- 25 de nos 43 datacenters sont installés dans des bâtiments réhabilités
- 100% énergies bas carbone d’ici 2025
- 0% mise en décharge d’ici 2025
Enfin, la méthode de calcul du score elle-même est critiquée. En se basant sur “une moyenne de moyennes pondérées”, la Commission européenne créerait, selon CISPE, un système qui manque cruellement de transparence. Cette critique est d’autant plus vive lorsque l’on examine la pondération des critères,
Une pondération qui interroge
Pour calculer la note finale, la Commission européenne a attribué une pondération différente à chaque famille de critères. Cette répartition des poids est au cœur des débats et révèle des choix politiques forts.
Les pourcentages attribués aux principaux piliers sont les suivants :
- Supply chain : 20%
- Les volets opérationnels, stratégiques et technologiques comptent collectivement pour : 15%
- Parties juridiques et conformité : 10%
Le point le plus frappant est la pondération de la supply chain à 20 %, la plus élevée de toutes. Or, c’est précisément ce critère que les fournisseurs européens, via CISPE, jugent “irréalisable”, car il implique un contrôle sur des chaînes d’approvisionnement matérielles mondialisées et largement dominées par des acteurs non-européens.
Cette pondération semble ainsi renforcer l’argument selon lequel le score est taillé pour les hyperscalers qui maîtrisent ces chaînes. À l’inverse, le poids relativement faible des aspects juridiques et de conformité (10 %) surprend. Ces critères sont pourtant cruciaux pour évaluer la protection d’un service face aux lois à portée extraterritoriale, l’une des menaces fondamentales pour la souveraineté des données européennes.
Espérons que ces pondérations vont évoluer pour aller dans un autre sens.
Un premier pas nécessaire
Malgré les critiques , certains saluent l’initiative comme un “premier pas” indispensable pour enfin définir et mesurer objectivement la souveraineté d’une offre cloud. Il s’agit d’une tentative de standardisation attendue de longue date.
Cette indice permet aussi de se positionner et de détecter les points faibles d’une stratégie Cloud.
Des questions très concrètes émergent, notamment sur le cas des offres hybrides. Comment le score évaluera-t-il des offres comme Bleu ou S3NS, notamment sur les critères d’exposition juridique à des autorités étrangères et de dépendance technologique, alors que leur modèle repose précisément sur une technologie américaine opérée par une entité européenne ?
Les Directeurs des Systèmes d’Information (DSI), les Responsables de la Sécurité des Systèmes d’Information (RSSI) et les fournisseurs eux-mêmes devront s’approprier rapidement cette méthodologie et l’intégrer dans leurs grilles d’analyse.
Elle pourra aussi faire l’objet de critères techniques des appels d’offre (dans les CCTP).
Conclusion
L’initiative de la Commission européenne est une démarche conçue pour apporter clarté et promouvoir la souveraineté cloud. Comme souvent la commissions est accusée de complexité et de favoritisme envers les acteurs non-européens qu’elle était censée réguler. L’outil est sur la table, mais son calibrage et sa pondération pourraient bien déterminer son impact réel.
Pour mesurer l’impact du score de souveraineté, il faudra mesurer son utilisation par les acheteurs publics et son exigence dans les dossiers de consultation. Pour le moment ce n’est pas le cas. On constate que la qualification SECNUMCLOUD est souvent demandée. C’est déjà un bon point.
Par régis BAUDOUIN
Ajouter commentaire