Retour sur l’AWS Summit Paris 2024, l’évènement qui rassemble la communauté du cloud computing pour mettre à l’honneur les dernières innovations d’AWS. David NEYRON, Ingénieur DevOps/Cloud et Lionel GAIROARD, Practice Leader DevSecOps se sont rendus sur place pour prendre les dernières infos en termes de souveraineté du cloud, d’AI et de Data. Ils nous partagent leurs retours d’expérience et leurs inspirations suite à cette journée dédiée à l’expertise. Débutons avec David, qui nous questionne sur la souveraineté nuémrique du cloud et la confiance qu'on peut accorder aux providers.
La souveraineté numérique du Cloud
« De toute façon, le cloud, les Américains voient tout ce qui s’y passe. Ils y ont accès avec le Patriot Act, donc moi je te le dis, on n'est pas près de pouvoir mettre nos données là-dessus. » s’écriait Jean-Michel ce matin à la machine à café.
En creusant un peu, on se rend compte que Jean-Michel n’est pas le seul à se préoccuper de ce que l’on nomme la souveraineté numérique du Cloud.
Alors, inquiétude justifiée ? Si oui, des solutions existent-elles pour garder nos données privées ? Réponse avec des éléments de l’AWS Summit 2024.
Le sujet de la souveraineté numérique du cloud n’est pas nouveau. Mais d’abord qu’entends-on par-là ? Pour faire simple, elle se décompose en deux parties :
La souveraineté des données
En effet, en travaillant dans le cloud, nous stockons et utilisons des données, parfois sensibles, sur des infrastructures qui ne nous appartiennent pas. On est donc en droit d’émettre des doutes sur la localisation de nos données, sur la manière dont elles sont utilisées, et sur leur chiffrement.
Si elles le sont, le sont-elles en transit ? Ou bien “at rest” ? Les employés du cloud ont-ils accès à nos données ?
La souveraineté opérationnelle.
Comme nous le disions plus-haut, les infrastructures que nous utilisons ne nous appartiennent pas. On peut donc là aussi se questionner sur leur résilience, leur indépendance, la juridiction en application selon la localisation du matériel, …
Ce sont ces deux notions qui sont englobées par le concept général de souveraineté numérique du cloud. Et les questionnements qu’il englobe sont d’autant plus importants quand il s’agit de données personnelles sensibles comme des données de santé ou bancaires par exemple. Le cloud étant de plus en plus utilisé par les entreprises, il devient crucial pour les clients de se pencher sur la souveraineté numérique de ces clouds publics.
Le SecNumCloud
Pour faire face à ces problématiques, certains états, dont la France, ont légiféré pour encadrer l’utilisation du cloud en créant, entres autres, un label SecNumCloud. Ce dernier est un référentiel d’exigences à remplir pour pouvoir être choisi par les entités publiques ou privées, désireuses d’externaliser le traitement et le stockage de leurs données sensibles.
Parmi les diverses exigences techniques comme la localisation des données dans l’Union européenne, certaines visent à instaurer une protection vis-à-vis du droit extra-européen en demandant que « Le siège statutaire, administration centrale et principal établissement du prestataire doivent être établis au sein d'un État membre de l'Union Européenne.
Mince alors... Jean-Michel avait donc raison ? Si on se protège avec des lois pareilles, c'est que les principaux acteurs du cloud américain peuvent vraiment tout voir et nos données sur le cloud ne seront jamais en sécurité ? En fait, c’est un peu plus compliqué.
Ce qui en revanche est très concret, c’est le marché que représente justement l’union européenne pour ces acteurs américains du cloud : près de 58 milliards de dollars en 2024. Alors forcément face à de telles perspectives de gains, il n’est pas vraiment dans l’intérêt des géants américains du cloud de fournir nos données à leur gouvernement mais plutôt de faire les yeux doux aux exigences des états et de leurs clients, ainsi qu’à Jean-Michel, pour les rassurer. Concrètement, cela représente beaucoup d’innovations techniques, en voici certaines présentées à l‘AWS Summit 2024 :
- Une sécurité accrue pour la virtualisation.
Sur une infrastructure de virtualisation classique, les différents organes de l’hyperviseur nécessaires à la virtualisation sont souvent sur le même matériel physique, partageant ainsi une surface d’attaque commune. AWS a fait le choix de séparer ses composants sur des supports physiques dédiés, réduisant ainsi le risque de compromission de l’entièreté de l’hyperviseur qui n’est plus qu’une seule instance unique mais une multitude de cartes physiques dédiées isolées les unes des autres. C’est le système AWS Nitro
- Un niveau de surveillance et de contrôle de l’infrastructure élevé.
Avec le service ControlTower et sa connectivité à d’autres services tels que CloudTrail et CloudFormation, AWS propose de prévenir, détecter, et le cas échéant supprimer l’utilisation de ressources pouvant représenter un risque de sécurité.
- XKS by KMS.
KMS, le service de gestion des clés de chiffrement d’AWS propose désormais XKS, un service de contrôle de matériel de chiffrement externe. Il s’agit là de reporter la responsabilité du stockage des clés de chiffrement à un autre prestataire qui peut plus facilement satisfaire aux exigences législatives en vigueur. AWS sert alors uniquement d’intermédiaire et on élimine la possibilité de lecture des données chiffrées par AWS puisqu’ils ne détiennent plus les clés.
Attention cependant aux partages des responsabilités (shared responsability model) si l’on décide de prendre en charge la totalité du chiffrement. En effet avec un tel niveau d’externalisation, AWS ne pourra pas être tenu pour responsable en cas de problèmes.
Les zones locales dédiées AWS
Ce sont des infrastructures gérées par AWS et réservées à un usage exclusif du client. Elles peuvent être localisées pour satisfaire des exigences réglementaires, être gérées par du personnel AWS local, là aussi pour répondre à des contraintes juridiques.
Des infrastructure AWS adaptées à des réglementations particulières
À l’image de zones AWS annoncées en Allemagne pour 2025, ces zones ne sont pas des zones locales dédiées comme celles que nous décrivions précédemment mais répondent tout de même à des critères bien spécifiques pour satisfaire aux exigences de certaines lois. Les garanties de résilience et de sécurité sont les mêmes que les zones AWS classiques mais elles sont cependant localisées là où la réglementation l’exige. Elles posséderont leurs propres instance IAM, leur propre système de compte, leur propre suivi de la consommation, ...
La question de la confiance
En résumé, ces zones possèdent certaines particularités permettant de répondre à des exigences de sécurité spéciales.
C’est grâce à toutes ces innovations techniques que les grands noms du cloud comme AWS tentent de rassurer leurs clients pour ainsi récupérer le plus de parts de marché possible et donc de bénéfices.
Toutefois, même si Jean-Michel se sent un peu rassuré sur le sujet car il a compris qu’il n’est pas dans l’intérêt des fournisseurs cloud d’ouvrir l’accès à ses données, il n’en reste pas moins que malgré toutes les mesures mises en place par ces acteurs du cloud, les organes juridiques et les politiques de sécurité des clients, des données sensibles sont confiées à des tiers, sur qui la confiance est finalement reportée.
Nous laisserons alors ce dernier paramètre à l’appréciation de chacun.
David NEYRON
Ingénieur DevOps/Cloud