Le Cispe lance un cadre auditable contre le «sovereignty washing» des services cloud
L’association européenne Cispe lance un framework auditable destiné à clarifier les revendications de souveraineté dans le cloud. Ce cadre distingue les services souverains des offres dites résilientes et compte déjà plus de 40 services déclarés conformes.
L’association européenne des fournisseurs d’infrastructure cloud Cispe a annoncé le lancement du Sovereign and Resilient Cloud Services Framework, un cadre de certification destiné à évaluer les garanties de souveraineté et de résilience des services cloud.
Le framework vise à répondre à une demande croissante pour des services cloud protégés contre les risques d’accès aux données ou d’interférences liés à des juridictions étrangères. Le Cispe évoque un marché «inondé d’offres souveraines non vérifiées» et cherche à fournir un cadre auditable permettant aux clients et aux autorités publiques d’identifier les services garantissant un contrôle effectif des données, infrastructures et opérations cloud.
Deux modèles de souveraineté cloud
Le framework distingue deux catégories. Les services souverains garantissent le contrôle par conception, avec une propriété, une gouvernance et une exploitation entièrement situées dans la juridiction concernée. Les services résilients reposent quant à eux sur des mécanismes permettant aux clients de conserver la maîtrise de leurs données et charges de travail, même en présence de composants non souverains, notamment via le chiffrement géré par le client, la portabilité ou des sauvegardes indépendantes.
Le Cispe compare cette distinction à des «pneus anti-crevaison» pour les services souverains, censés empêcher toute interférence externe, et à des «pneus run-flat» pour les services résilients, capables de continuer à fonctionner malgré une perturbation. Le framework s’appuie également sur un processus d’audit et de certification. BYCYB (anciennement LNE), organisme français de certification, participera à cette démarche.
Au lancement, plus de 40 services ont été déclarés conformes, parmi lesquels des assistants IA européens, des offres de cloud public, des services Kubernetes et des solutions de stockage. Un seul fournisseur suisse figure pour l’heure dans le catalogue du Cispe: l'entreprise genevoise Infomaniak, avec cinq services répertoriés. D'autres offfres devraient rejoindre le catalogue dans les prochaines semaines.
L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!
