La Caisse des Dépôts a signé un accord-cadre avec SopraSteria pour le déploiement d'une intelligence artificielle. Pourquoi avoir sélectionné un opérateur capable de vous fournir une certification SecNumCloud ? Qu’est-ce que cela change opérationnellement ?
La Caisse des Dépôts a une longue histoire en matière de garantie de confidentialité des données via des solutions de confiance — c’est intrinsèque à sa notion de tiers de confiance. Cela s’est décliné dans les textes avec la doctrine "cloud au centre de l’État" qui définit quelles données sont éligibles au cloud de confiance et à la certification SecNumCloud. En tant qu’établissement public, la CDC n’est pas directement assujettie à cette doctrine, mais doit s’en inspirer, notamment pour les applications hébergées pour le compte de l’État.
"Nous avons développé un écosystème de solutions numériques françaises, notamment avec Oodrive"
Nous avons donc décliné une politique de sécurité des systèmes d’information définissant quelles données doivent être hébergées sur du cloud public, du cloud de confiance ou du SecNumCloud. Ces politiques, portées par les équipes cyber et validées en comité exécutif, ont conduit à déterminer quelles applications devaient rester dans nos propres data centers, quelles zones pouvaient passer en technologie cloud interne, et quelles applications pouvaient être hébergées à l’extérieur dans des clouds de confiance.
Nous avons ainsi développé un écosystème de solutions numériques françaises, notamment avec Oodrive, une solution de transfert et de partage de données sous forme de dataroom, utilisée très tôt pour partager des données entre la maison mère et ses filiales, ainsi qu’avec notre commission de surveillance. Cela permet à nos administrateurs, qui ne sont pas des collaborateurs internes, d’accéder en toute sécurité à cet espace, le tout hébergé sur un pan SecNumCloud via la solution Oodrive.
"Nous déployons l'IA de Mistral sur des solutions SecNumCloud françaises"
Dans le même temps, nous avons décidé de lancer de nouvelles solutions autour de l’IA que nous souhaitons souveraines. Nous déployons l'IA de Mistral sur des solutions SecNumCloud françaises, avec la volonté de promouvoir des solutions françaises en termes de logiciels, hébergées sur des infrastructures sécurisées et souveraines, déjà certifiées SecNumCloud ou en cours de qualification.
Au sein du Club des experts de la sécurité de l'information et du numérique (Cesin), que percevez-vous des préoccupations de vos adhérents sur le sujet ?
Le dernier baromètre du Cesin confirme que ce sujet est une vraie préoccupation. 63 % des entreprises se déclarent préoccupées par les enjeux de la souveraineté et du cloud de confiance, contre 52 % l’année précédente.
Les membres du Cesin ont toutes et tous un tropisme naturel vers la cybersécurité. Mais un certain nombre sont aussi des multinationales, ce qui nuance la perception. Un responsable de la sécurité des systèmes d’information de la branche française d’un groupe américain n’aura pas la même sensibilité à la souveraineté. Un groupe comme LVMH, dont une large part du chiffre d’affaires est réalisée à l’international, sera davantage centré sur la protection globale de ses solutions que sur la souveraineté au sens strict. Ce n’est pas un désintérêt pour la cybersécurité mais une question de barycentre géographique de l’activité.
Concrètement, comment arbitrez-vous entre cloud souverain et cloud de confiance ?
Jusqu’à présent, nous essayons de parvenir à ce fléchage en fonction du niveau de sensibilité des données : les données confidentielles et secrètes n’ont pas vocation à se retrouver sur un cloud public non sécurisé. Mais nous avons réalisé que c’était assez complexe, car une application peut contenir des données globalement publiques avec quelques portions très sensibles.
"Nous avons donc basculé vers une approche centrée non plus sur la sensibilité des données, mais sur la criticité des activités"
Là où nous avons eu un vrai déclic, c’est sur la question de la dépendance opérationnelle : si nos grands partenaires américains, pour des raisons géopolitiques, venaient à couper leurs services, quelles en seraient les conséquences pour nos activités ? Nous avons donc basculé vers une approche centrée non plus sur la sensibilité des données, mais sur la criticité des activités pour le business de l’entreprise.
La réglementation européenne a joué un rôle d’accélérateur. Dans le secteur bancaire, le règlement européen DORA sur la résilience opérationnelle numérique du secteur financier, impose de bien identifier ses fonctions et applications critiques et de prévoir des solutions en cas de dysfonctionnement. Cela s’est avéré être une opportunité pour mesurer ce niveau de dépendance technologique.
"Nous avons développé un indice de résilience numérique"
Nous cherchons à promouvoir l’utilisation de solutions non dépendantes technologiquement, et à mesurer globalement, sur l’ensemble de nos applications, le niveau de dépendance sous-jacent. Nous avons développé pour cela un indice de résilience numérique articulé autour de huit axes et des niveaux de risques associés, afin de donner, en un seul coup d’œil, un éclairage à notre comité de direction. L’objectif est que chacun en soit conscient : si la dépendance est assumée, c’est une décision stratégique ; si le comex demande de la résorber, cela implique davantage de budget et potentiellement moins de fonctionnalités pour les utilisateurs.
Certaines entreprises souhaitent rapatrier leurs données vers des clouds européens. Avez-vous déjà vécu ce type de situation ?
La réversibilité prend des mois, voire des années — nous en avons déjà fait l’expérience. Sur le rapatriement des données, la CDC a eu des discussions autour du RGPD pour privilégier des solutions hébergées en Europe et en France. Certains confrères demandent à récupérer leurs données sur des data centers européens — ce que la plupart des grands acteurs américains proposent désormais.
"Ces solutions ne garantissent pas une confiance totale, mais représentent un grand pas dans la bonne direction"
Des solutions hybrides émergent également : des offres construites sur une base technologique GAFAM, mais opérées par des acteurs européens. C’est le cas de Bleu, qui héberge Microsoft Office 365 dans des data centers français et l’exploite via Orange et Capgemini, ou de l’offre de Thales construite sur une souche Google. Ces solutions ne garantissent pas une confiance totale, mais représentent un grand pas dans la bonne direction. C’est une étape pertinente.
