Avec la mise en production de son offre European Sovereign Cloud, l’hyperscaler américain détaille désormais l’organisation, l’architecture et les règles de fonctionnement de son cloud. Après une première région ouverte en Allemagne, trois local zones sont annoncées en Belgique, aux Pays-Bas et au Portugal.
Deux ans après avoir dévoilé fils Cloud Souverain EuropéenAmazon Web Services (AWS) franchit une nouvelle étape avec la mise en disponibilité générale de son offre ce jeudi 15 janvier.
Trois local zones prévues
La première région est désormais opérationnelle dans le Brandebourg, en Allemagne. L’ouverture de “locales zones”, une extension locale d’une région AWS existante, en Belgique, aux Pays-Bas et au Portugal est prévue, sans calendrier précis à ce stade.
L’European Sovereign Cloud est une infrastructure cloud dédiée à l’Europe, séparée du reste des régions AWS sur les plans technique, opérationnel et organisationnel. L’objectif est de proposer un environnement capable de répondre aux exigences les plus strictes en matière de localisation des données, d’autonomie opérationnelle et de contrôle des accès, notamment pour les administrations publiques et les secteurs régulés.
Fonctionner de manière indépendante
Cette offre se distingue des régions AWS classiques déjà présentes en Europe par son niveau d’isolement. L’European Sovereign Cloud est conçu pour pouvoir fonctionner de manière indépendante, y compris en cas de rupture de communication avec les systèmes globaux d’AWS. Elle dispose pour cela de ressources humaines, techniques et logicielles propres, situées exclusivement dans l’Union européenne.
A l’occasion de la mise en disponibilité générale, l’entreprise américaine annonce un investissement de plus de 7,8 milliards d’euros en Allemagne.
“Le contrôle et la liberté de choix”
Interrogé par L’Usine Digitale sur la notion de souveraineté appliquée à un acteur non-européen, Stephan Hadinger, directeur de la technologie pour AWS, parle “d’autonomie stratégique« . « Si je devais résumer : c’est le contrôle et la liberté de choix« .
Selon lui, cette notion recouvre deux dimensions : la maîtrise des données et l’autonomie opérationnelle.
L’offre est physiquement et logiquement séparée des autres régions AWS. L’infrastructure dispose de ses propres systèmes d’identité (IAM), de facturation, de métadonnées et d’exploitation, tous localisés au sein de l’Union européenne. “Avec l’European Sovereign Cloud, les données sont nécessairement localisées dans l’Union européenne. Il n’y a même pas d’autre choix possible“, explique-t-il.
L’hyperscaler affirme que cette infrastructure peut continuer à fonctionner même en cas de rupture de communication avec le reste du monde. Pour cela, les équipes européennes autorisées disposent d’un accès indépendant à une copie du code source nécessaire à l’exploitation et à la maintenance des services.
« Ce que nous rajoutons ici, c’est cette autonomie opérationnelle complète : être capable d’opérer exclusivement depuis l’Union européenne, sans dépendance critique avec quoi que ce soit situé en dehors de l’UE», assure Stephan Hadinger.
Des salariés qui répondent à des critères précis
La gestion et le maintien de l’infrastructure sont réservés à des équipes répondant à trois critères : être citoyen de l’Union européenne, résident permanent dans l’UE et physiquement présent sur le territoire européen pour disposer de droits d’accès aux systèmes. “Par définition, une personne située en dehors de l’Union européenne n’a aucun accès à l’infrastructure et ne peut absolument rien y faire ”, insiste le directeur de la technologie.
AWS fonde également son discours sur Nitro, l’architecture matérielle d’AWS qui isole totalement les charges de travail des clients de l’infrastructure d’administration d’AWS. Il permet d’empêcher tout accès humain direct aux données, y compris par les équipes du fournisseur, en s’appuyant sur des mécanismes matériels de séparation et de chiffrement.
AWS n’aurait jamais transmis de données
« Il n’existe aucun moyen technique pour permettre à qui que ce soit chez AWS d’accéder aux données ou de les fournir à une autorité, quel que soit son pays”, indique Stephan Hadinger. Il rappelle d’ailleurs que, dans les rapports de transparence d’AWS, le nombre de transmissions de données d’entreprises ou d’administrations européennes au gouvernement américain est resté à zéro depuis plusieurs années.
La question du CLOUD Act reste un point sensible. Cette loi américaine permet aux autorités des États-Unis de demander l’accès à des données détenues par des entreprises américaines, quelle que soit leur localisation. C’est sur ce point qu’AWS tente de faire évoluer le débat, en mettant en avant une approche fondée non pas sur des engagements juridiques, mais sur une impossibilité technique d’accès aux données.
La même richesse de services
Ce qui fait la force d’AWS est de proposer la même richesse de services que ses autres offres. La société affirme proposer un périmètre comparable à celui de ses autres régions : plus de 90 services dès l’ouverture, couvrant le calcul, le stockage, les bases de données, le réseau, la sécurité et l’intelligence artificielle.
« Nous avons étudié l’idée d’un mini-cloud avec peu de services. La réponse de nos clients européens a été très claire : pas question. Ils veulent les services managés et toute la couverture fonctionnelle d’AWS”, explique Stephan Hadinger. Les partenaires technologiques sont notamment SAP, Capgemini, Atos, Accenture, Nvidia ou Mistral AI.
Sur le plan organisationnel, AWS a créé une structure spécifique : une maison-mère et trois filiales enregistrées en Allemagne, soumises exclusivement au droit européen, dirigées par des citoyens européens.
Stéphane Israël à la tête
La direction opérationnelle est assurée par Stéphane Israël, ancien directeur général d’Arianespace, épaulé notamment par Stefan Höchbauer, vice-président des ventes AWS pour l’Europe centrale, nommé managing director de la structure.
Un advisory board a également été constitué : trois représentants d’Amazon et deux membres indépendants, dont le général français Philippe Lavigne, ancien commandant suprême allié pour la transformation de l’Otan, et Sinéad McSweeney, ancienne dirigeante de Twitter Europe.
Ce conseil est chargé d’apporter expertise et contrôle sur les sujets liés à la souveraineté et peut, le cas échéant, jouer un rôle d’alerte.
AWS indique que des organisations issues du secteur public et d’industries régulées ont déjà choisi cette infrastructure. Parmi les premiers clients cités figurent l’énergéticien allemand EWE AG, l’hôpital universitaire Medizinische Universität Lausitz – Carl Thiem (MUL-CT) ainsi que l’éditeur de solutions éducatives Sanoma Learning.
Une approche différente de celle de S3NS et Bleu
Avec cette approche, AWS se distingue de ses concurrents en France. Google Cloud s’est associé à Thales via S3NStandis que Microsoft s’appuie en France sur Orange et Capgemini avec le projet Bleu. Le premier a reçu fin décembre le visa de sécurité “SecNumCloud” par l’Agence nationale de la sécurité des systèmes d’information (Anssi).
« Nous avons voulu viser directement l’échelle européenne. Avec un investissement de 7,8 milliards d’euros, il fallait une assiette de marché suffisamment large”, justifie Stephan Hadinger. Il reconnaît que la question d’une éventuelle certification SecNumCloud reste ouverte et fait toujours l’objet de discussions.
AWS mise sur des certifications
Bien que SecNumCloud ne soit pas encore d’actualité, AWS mise sur une liste de certifications. Il introduit notamment son propre cadre de conformité avec la création de l’ESC-SRF (European Sovereignty Reference Framework). Ce référentiel a pour objectif de formaliser et de démontrer le respect des exigences de souveraineté associées à l’European Sovereign Cloud. Il repose sur des audits réalisés par des tiers indépendants, dont les rapports pourront être utilisés par les clients comme preuve formelle de conformité aux exigences européennes en matière de souveraineté numérique.
L’European Sovereign Cloud est également destiné à s’appuyer sur des standards déjà reconnus, comme ISO 27001, les référentiels SOC 1, 2 et 3, ainsi que la certification allemande C5, qui font partie du périmètre de conformité visé pour cette infrastructure.
