Featured image of post Cloud sovereignty framework: Une tentative de l'UE pour permettre d'évaluer le degré de souveraineté numérique d'un cloud
Souveraineté Numérique

Cloud sovereignty framework: Une tentative de l'UE pour permettre d'évaluer le degré de souveraineté numérique d'un cloud

Au cours d’un précédent article, j’ai proposé une définition de la souveraineté numérique. J’avais également expliqué pourquoi ce sujet devenait de plus en plus important pour les pays, et mis en lumières quelques obstacles et dépendances. En octobre 2025, l’agence européenne pour la cybersécurité (ENISA) a publié le Cloud Sovereignty Framework. Dans cet article, je vous propose de voir de quoi il s’agit et de vous donner mon avis sur ce framework.

Principes

Cloud Sovereignty Framewor fournit un cadre visant à évaluer le degré de souveraineté d’une offre cloud. Il s’adresse essentiellement aux autorités des pays de l’union européen dans le cadre d’appel d’offre. Il est également mentionné que l’évaluation pourra ensuite être réutilisée pendant la durée du contrat pour déterminer les applicatifs hébergeables.

Il est important de mentionner qu’il s’agit d’un framework et non d’une norme ou d’une spécification. Ainsi, aucune exigence stricte n’est fournie par ce document.

Le framework repose sur des objectifs de souveraineté et des niveaux d’assurance. Un score de souveraineté peut ensuite être calculé.

Objectifs de souveraineté et niveau d’assurances.

Le framework identifie 8 objectifs de souveraineté:

  • souveraineté stratégique (SOV-1): degré d’ancrage du fournisseur cloud dans l’économie et la stratégie de l’union européenne;
  • souveraineté légale et juridictionelle (SOV-2): quelles sont les lois applicables sur le fournisseur cloud et quel est son degré d’exposition aux lois extra-européennes;
  • souveraineté DATA & IA (SOV-3): degré de protection, de contrôle et d’indépendance des services d’IA et des données stockées/traitées;
  • souveraineté opérationnelle (SOV-4): capaciter pour les acteurs européeen à déployer, exploiter et faire évoluer fournisseur cloud inépendement de contraintes étrangères;
  • souveraineté de la chaine d’approvisonnement (SOV-5): origine, degré de transparence et de résilience de la fourniture des technologies utilisées par fournisseur cloud, notamment vis à vis de dépendances externes qui ne sont pas sous le contrôle de l’UE;
  • souveraineté technologique (SOV-6): degré d’ouverture, de transparence et d’indépendance des technologies utilisée par le service cloud qui permet d’éviter le vendor-locking;
  • souveraineté de la sécurité et de la conformité (SOV-7): degré de contrôle par l’UE sur les exigences de sécurité, de conformité et de résiliences pouvant être imposé au fournisseur cloud;
  • souveraineté environementale (SOV-8): degré d’autonomie et de résilience du fournisseur cloud sur le long terme vis à vis des pénuries de matières brutes et d’autres dépendances (energie,…) nécessaire à la fourniture du service

Chaque objectif de souveraineté est évalué au regard d’une echelle composée de 5 niveaux d’assurances:

  • SEAL-0 - pas de souveraineté: contrôle totale hors UE;
  • SEAL-1 - souveraineté juridique: la législation européenne s’applique théoriquement mais l’applicabilité est limité en pratique. le service ainsi que les technologies utilisées sont contrôlés par des tiers hors UE;
  • SEAL-2 - souveraineté des données: la législation européenne est appliquée mais il y a un contrôle indirecte par des tiers hors UE sur les technologies utilisées par le service cloud, ainsi que la manière dont il est opéré;
  • SEAL-3 -résilience numérique: la législation européenne est appliquée et les acteurs européens dispose d’un fort contrôle (mais pas totale) sur les technologies utilisées par le service cloud ainsi que sur la manière dont il est opéré;
  • SEAL-4 - souveraineté numérique totale: contrôle total de l’UE, aucune dépendances extra-européennes;

Méthode d’évaluation

Pour chaque objectif de sécurité, l’autorité réalisant l’appel d’offre doit spécifier le niveau d’assurance minimum devant être atteint par le service proposé. il suffit qu’un objectif de sécurité n’atteigne pas le niveau d’assurance minimum demandée pour écarter l’offre.

L’évaluation est réalisée par via les réponses à des questions ouvertes ou fermées, des documents de preuves fournies par le fournisseur cloud, et la documention disponible publiquement. Il n’y a pas d’audit technique ou organisationnel à proprement parlé.

Score de souveraineté

Une fois l’évaluation réalisée, il est possible de calculer un score de souveraineté. Pour chaque objectif de souveraineté, il faut calculer le ratio entre le score obtenue et le score maximale. On réalise ensuite la somme des résultats pour chaque objectif après y avoir introduit une pondération. En effet, chaque objectif n’a pas le même poids:

Objectif de souverainetépoids
souveraineté stratégique (SOV-1)15%
souveraineté légale et juridictionelle (SOV-2)10%
souveraineté DATA & IA (SOV-3)10%
souveraineté opérationnelle (SOV-4)15%
souveraineté de la chaine d’approvisonnement (SOV-5)20%
souveraineté technologique (SOV-6)15%
souveraineté de la sécurité et de la conformité (SOV-7)10%
ssouveraineté environementale (SOV-8)10%

Mon avis

Une façon de se sortir du bourbier de l’EUCS ?

Lors de ma première lecture du document, j’ai tout de suite pensé à European Union Cybersecurity Certification Scheme (EUCS). Pour rappel il s’agit d’un projet de certification visant à évaluer le niveau de sécurité des fournisseurs cloud à l’échelle de l’Union Européenne. L’EUCS est aujourd’hui toujours à l’état de draft, à cause de l’absence de consensus des états membre concernant la présence de critères de souveraineté numérique. Certains pays comme la France et l’Italie y sont vivement favorables alors que d’autres comme l’Allemagne et les Pays-Bas y sont fortement opposés. Les motivations sont essentiellement géopolitique et non cyber. Et si le Cloud Sovereignty Framework n’était pas une tentative de se sortir de cette situation? Une EUCS sans critère de souveraineté serait adopté et chaque pays aurait recours au framework pour la partie souveraineté en bénéficiant d’une certaine liberté dans la définition des critères d’évaluations de chaque objectif. Si c’est le cas, cela sonnerait comme un aveu d’echec de l’EUCS, maladroitement déguisé. Ai je vu juste ? Seul l’avenir le dira…

Pour finir

Je reste assez perplexe quant à la manière dont l’évaluation est réalisé. Je reste personnellement convaincu que les questions réponses et les fournitures de documents ne peuvent être qu’un point de départ. Rien ne vaut un audit technique de la solution pour s’assurer de l’effectivité des mesures mises en places.

Fun fact (ou sad fact): j’ai déjà vu des entreprises faire de la com’ sur leur(s) service(s) en donnant leur score de souveraineté… sans expliciter les éléments utilisés pour réaliser l’évaluation de chaque objectif de sécurité (on va pas faire ça serieusement non plus…).Sans surprise, leur score est très élevé…. Si ça peut paraitre sexy aux yeux d’un (mauvais) DSI, j’ose espérer qu’un informaticien y verra de suite un manque de transparence et ecartera l’entreprise en question.

Merci d’avoir lu jusqu’au bout. C’est tout pour moi. A vous les studios!

© 2025 Cloaked In Cloud - Tous droits réservés
Généré avec Hugo
Thème Stack conçu par Jimmy