Parce que… c’est l’épisode 0x587!

Shameless plug

Description

Ce second entretien avec Julien Levrard approfondit les aspects de la souveraineté numérique, en explorant la différence fondamentale entre le protectionnisme économique et la protection des données dans un contexte d’autonomie stratégique.

La souveraineté numérique vs le protectionnisme

Julien clarifie que la souveraineté numérique ne doit pas être confondue avec le protectionnisme économique. Alors que le protectionnisme relève des politiques entre États, la souveraineté numérique concerne davantage l’agilité et l’autonomie des acteurs dans leur gestion technologique. Pour OVH Cloud, l’enjeu est d’assurer à leurs clients des services qui leur permettent d’évoluer sans risques juridiques ou opérationnels malgré les tensions internationales.

L’évitement du verrouillage technologique

Julien identifie plusieurs formes de verrouillage client :

  • Le verrouillage technologique, quand une technologie n’existe que chez un seul fournisseur
  • Le verrouillage contractuel par des moyens commerciaux
  • Le verrouillage insidieux par des services annexes (“enablers”) comme la gestion des droits d’accès, clés ou réseaux

OVH Cloud valorise la réversibilité et s’engage à faciliter tant l’arrivée que le départ des clients. Cette approche se matérialise par l’adoption de standards ouverts (comme S3) et l’utilisation de technologies open source.

Protection des données contre les ingérences étatiques

La protection contre les demandes extraterritoriales s’organise sur trois niveaux :

  1. Niveau juridique : structure du groupe OVH Cloud avec des entités légales correspondant aux pays, limitant la porosité entre juridictions
  2. Niveau organisationnel : gestion rigoureuse des droits d’accès et des équipes pour éviter les pressions sur les collaborateurs
  3. Niveau technique : renforcement de la sécurité pour empêcher l’exploitation de vulnérabilités

L’intégration verticale d’OVH Cloud (peu de dépendance à des tiers) leur confère une maîtrise plus complète de ces leviers d’indépendance.

Le chiffrement : un outil essentiel mais limité

Julien nuance l’importance du chiffrement dans la souveraineté numérique :

  • Le chiffrement n’est pas une solution miracle mais un outil à combiner avec d’autres mesures
  • Il présente des compromis en termes de coût, complexité et performance
  • Le chiffrement de bout en bout (E2E) limite certaines capacités de traitement en cloud

OVH a développé un service KMS (Key Management Service) conforme aux standards KMIP, contrairement aux implémentations propriétaires des hyperscalers américains. Cette approche standardisée facilite l’intégration pour les clients et préserve leur liberté de migration.

La tension entre conformité et gestion des risques

Julien explique la dualité dans leur approche :

  • Une culture de décision orientée par les risques, où les experts déterminent la meilleure solution selon le contexte
  • Une obligation de démontrer la conformité à des normes comme PCI DSS, ISO 27001 ou SecNumCloud

Cette double approche crée une tension constructive : penser en termes de risques tout en justifiant la conformité. Parfois, une exigence de conformité peut diminuer la sécurité réelle, nécessitant un dialogue avec les auditeurs pour expliquer pourquoi certaines déviations sont justifiées.

Conclusion

La souveraineté numérique chez OVH se traduit paradoxalement par une ouverture (standards, interopérabilité) plutôt qu’une fermeture. Cette approche permet aux clients de rester maîtres de leurs données tout en bénéficiant d’une collaboration technologique internationale. La discussion se termine sur l’intérêt d’approfondir ultérieurement le référentiel SecNumCloud, qui représente un modèle potentiellement pertinent pour le Canada.

Collaborateurs

Crédits

Télécharger .m4a (42.7M) Télécharger .mp3 (36.2M)

Tags: chiffrement, conformite, pcidss, securite


Tweet