L'Usine Digitale :Nous avions échangé en octobre dernier lors de l'annonce du lancement de la nouvelle offre d'Amazon Web Services, baptisée "European Sovereign Cloud". Il s'agit d'un "nouveau cloud indépendant pour l'Europe" permettant aux clients de conserver l'ensemble des métadonnées au sein de l'Union européenne. Une sorte de cloud souverain à la sauce Amazon. Où en est cette offre ? A-t-elle déjà ses premiers clients ?
Stephan Hadinger, directeur de la technologie d'AWS France : Nous avons évidemment commencé mais l'offre est toujours en construction. Il n'y a donc pas encore de client. En pratique, elle vient compléter les offres existantes : aujourd'hui, nous avons 33 régions AWS dont 8 sur le continent européen et 6 dans l'Union européenne. La première zone de la nouvelle offre va être ouverte à Berlin mais nous ne communiquons pas de date précise d'ouverture, ni de calendrier.
Quand on parle de souveraineté, il y a souvent deux grands critères qui reviennent : la souveraineté des données d'une part et la souveraineté opérationnelle d'autre part. La souveraineté des données, c'est la protection des données notamment contre différents événements, type lois extraterritoriales qui est une question qui revient très souvent chez nos clients. L'idée est de se demander comment continuer à mettre le contrôle de ces données dans les mains de nos clients et faire en sorte qu'aucun juge, Etat ou aucune agence ne puisse y accéder sans l'accord des clients. C'est ce que nous faisons déjà depuis mi-2023 où nous avons complété à 100% de cette approche.
UD : Vous avez en effet affirmé lors du Forum InCyber, qui s'est tenu à Lille fin mars, "qu'à partir du moment où les données sont hébergées en Europe et chiffrées, il n’y a aucun moyen qu’un acteur américain les récupère, et même s’il les récupère, elles seront inutilisables". Sur quoi repose cette promesse ?
SH : Elle repose sur la technologie exclusive Nitro. Ce sont des cartes physiques que nous mettons dans les serveurs. Elles ont comme premier bénéfice d'accélérer les performances - c'est toujours bon - et de chiffrer l'ensemble des données entrantes et sortantes. Mais surtout, elles interdisent techniquement l'accès aux données quand elles sont en clair dans les processeurs. Les salariés d'AWS ne peuvent donc pas de lire, modifier ou exfiltrer ces données.
L'idée c'est d'aller au-delà de l'approche juridique en ayant une approche technique et technologique qui fait que dans tous les cas, quelle que soit l'origine ou la nationalité de la demande, la réponse est toujours la même : nos salariés sont incapables de fournir les données. Il n'y que nos clients qui sont capables de le faire.
Si une autorité étrangère réclame des données à AWS, est-ce que les clients en sont notifiés ?
Nous notifions systématiquement aux clients chaque fois que la réglementation nous le permet. Ce n'est pas toujours le cas. De toute façon, dans nos systèmes, si un accès est fait par une personne qui n'est pas le client, cela sera notifié dans les logs (cloudtrail).
En France, la bataille pour le cloud dit "souverain" bat rage. Les fournisseurs français sont de plus en plus nombreux à se positionner sur ce sujet en espérant recevoir le fameux visa de sécurité "SecNumCloud" par l'Agence nationale de la sécurité des systèmes d'information (Anssi). Google et Microsoft ont décidé de leurs côtés de s'allier à des partenariats français ; Thales pour le premier avec S3NS et Orange et Capgemini avec Bleu pour le second. Pourquoi AWS n'a-t-il pas fait ce choix ?
Nous avons étudié de nombreuses options. Avec la nouvelle offre, nous nous sommes très fortement inspirés de l'EUCS [European Union Cybersecurity Certification Scheme for Cloud Services, ndlr], qui au coeur de l'actualité en ce moment, mais également de SecNumCloud dans ses objectifs de souveraineté des données et de souveraineté opérationnelle. En fait, il se trouve qu'avec la technologie exclusive de Nitro, nous pensons aujourd'hui être capables d'offrir les mêmes niveaux de garanties et de répondre aux mêmes objectifs de sécurité sans avoir la complexité supplémentaire et les surcoûts d'avoir une structure intermédiaire.
Est-ce dans vos objectifs d'aller vers le visa SecNumCloud ?
L'approche que nous avons est de suivre EUCS de manière très proche, qui a vocation à unifier l'ensemble de ces réglementations en Europe. On le voit aussi, c'est une grande demande de nos clients que ce soit des start-up dans la santé ou des grands clients industriels que d'avoir une clarification, ou en tout cas une harmonisation des réglementations dans les différents pays.
Sans SecNumCloud, ne risquez-vous pas de vous fermer certaines portes ? Je pense notamment aux marchés publics de l'Etat et de ses services en application de la doctrine gouvernementale "Cloud au centre". Pour rappel, pour les données les plus sensibles, elle oblige ces derniers à choisir un cloud labellisé par l'Anssi. Ou peut-être que ces marchés ne vous intéressent pas...
Non, non, ce sont des marchés qui nous intéressent. Notre approche, c'est vraiment d'allier sécurité-souveraineté et innovation. Et d'essayer d'ouvrir de nouvelles portes par rapport à certaines exigences. Comme je vous l'ai dit, nous répondons à la fois à ces objectifs de sécurité des données et de souveraineté opérationnelle avec une réponse qui est différente d'une exigence de structure capitalistique. C'est le travail que nous faisons auprès des régulateurs pour soumettre ce type de modèle et voir si cela peut convenir à leurs exigences dans un futur proche.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
