Glossaire de la souverainete cloud.

Agence nationale de la securite des systemes d'information. Autorite francaise de cybersecurite, elle elabore les referentiels (SecNumCloud) et qualifie les prestataires souverains.

Premier fournisseur cloud mondial (filiale d'Amazon). Plus de 200 services, 33 regions, environ 32 pour cent du marche IaaS-PaaS. Soumis au droit americain.

Cloud public de Microsoft, deuxieme part de marche mondiale (environ 23 pour cent). Forte integration avec l'ecosysteme Microsoft 365 et Active Directory.

Serveur physique dedie loue sans couche d'hypervisor, par opposition aux VM mutualisees. Offre des performances stables, utile pour les bases de donnees et les workloads sensibles.

Coentreprise Orange-Capgemini distribuant en France une offre cloud basee sur la technologie Microsoft Azure, sous gouvernance francaise et visant SecNumCloud. La gouvernance FR et la qualification technique ne neutralisent pas le droit US (FISA 702, CLOUD Act) tant que la pile logicielle Microsoft, non auditable par l'ANSSI, est embarquee.

Modele dans lequel le client genere et detient les cles de chiffrement, le fournisseur n'y a pas acces. Variante HYOK : la cle ne quitte jamais l'infrastructure du client.

Loi americaine de 2018 (Clarifying Lawful Overseas Use of Data Act). Autorise les autorites US a exiger d'un fournisseur soumis au droit americain la remise de donnees stockees hors USA.

Service cloud opere sous juridiction europeenne sans dependance capitalistique, contractuelle NI technologique a une puissance etrangere. La qualification SecNumCloud en couvre le volet technique et organisationnel, mais ne suffit pas seule : une pile logicielle US (meme localisee en France) reste exposee a FISA 702 / CLOUD Act.

Commission nationale de l'informatique et des libertes. Autorite francaise de protection des donnees personnelles, applique le RGPD.

Propriete garantissant que les donnees ne sont accessibles qu'aux personnes autorisees. Repose sur le chiffrement, la gestion des acces et la classification.

Unite d'execution isolee partageant le noyau systeme de la machine hote. Docker et Kubernetes en sont les standards de fait. Plus leger qu'une VM mais isolation plus faible.

Fournisseur de services cloud. Englobe IaaS, PaaS, SaaS et combinaisons mixtes.

Centre d'hebergement physique abritant les serveurs et equipements reseau. Classes par niveau de redondance Uptime Institute (Tier I a IV).

Methodologie qui applique les principes DevOps a la gestion des donnees : pipelines automatises, tests, observabilite, gouvernance.

Direction interministerielle du numerique. Organe francais qui pilote la transformation numerique de l'Etat et publie la doctrine cloud au centre.

Digital Operational Resilience Act, reglement europeen de 2022 qui impose aux acteurs financiers un niveau de resilience operationnelle et un controle des prestataires TIC critiques.

Delegue a la protection des donnees. Fonction obligatoire RGPD pour la plupart des organisations traitant des donnees personnelles. Independance et rapportage au plus haut niveau exiges.

Traitement de la donnee au plus pres de sa source (capteur, gateway, datacenter regional) plutot que dans un cloud central. Reduit la latence et la bande passante consommee.

European Health Data Space. Reglement europeen creant un espace commun de donnees de sante avec finalites primaires (soin) et secondaires (recherche, regulation).

Agence europeenne pour la cybersecurite. Pilote notamment les travaux du futur schema EUCS de certification cloud.

European Cybersecurity Certification Scheme for Cloud Services. Schema de certification europeen en cours de finalisation, structure en trois niveaux d'assurance.

Capacite d'une loi a produire des effets au-dela des frontieres de l'Etat qui l'a adoptee. Le CLOUD Act et FISA 702 en sont des exemples emblematiques pour le droit americain.

Architecture qui federe plusieurs clouds (souvent souverains) sous une orchestration commune, avec des standards d'interoperabilite. GAIA-X promeut cette approche.

Pratique de gouvernance economique du cloud : visibilite des couts, allocation par equipe, optimisation continue, dialogue finance-tech-metier.

Section du Foreign Intelligence Surveillance Act americain qui autorise la surveillance ciblee d'etrangers non-americains hors USA via les fournisseurs soumis au droit US.

Initiative europeenne (lancee en 2019) visant a federer une infrastructure cloud europeenne autour de standards communs de souverainete, de portabilite et de transparence.

Cloud public de Google. Troisieme part de marche mondiale (environ 11 pour cent), force sur les workloads data et IA (BigQuery, Vertex AI, Kubernetes).

Ensemble des regles, procedures et instances qui orientent les choix cloud d'une organisation : achats, securite, conformite, architecture, donnees.

Certification francaise obligatoire pour heberger des donnees de sante a caractere personnel. Delivree apres audit par un organisme accredite.

Module materiel inviolable utilise pour generer, stocker et utiliser les cles cryptographiques. Indispensable pour un BYOK ou HYOK serieux.

Architecture combinant cloud public, cloud prive et infrastructure on-premise, avec une orchestration et un plan de donnees coherents entre les segments.

Fournisseur cloud operant une infrastructure mondiale a tres grande echelle : AWS, Azure, GCP. Trois acteurs concentrent environ deux tiers du marche mondial.

Modele cloud livrant compute, stockage et reseau virtualises a la demande. Le client gere OS, middleware et applications.

Capacite documentee d'un service a refuser ou a ne pas etre legalement contraint de transmettre des donnees a une autorite etrangere. Critere central de SecNumCloud.

Norme internationale de management de la securite de l'information. Base de la plupart des certifications sectorielles, mais ne couvre pas les exigences de souverainete.

Droit applicable a une entite, determinant quelles autorites peuvent emettre des injonctions sur ses operations et ses donnees. Lue conjointement avec la chaine capitalistique.

Service de gestion des cles cryptographiques propose par les CSP. Variantes BYOK et HYOK selon le degre de controle conserve par le client.

Orchestrateur de conteneurs open-source (CNCF). Standard de facto pour le deploiement de microservices, supporte par tous les hyperscalers et la majorite des clouds europeens.

Emplacement physique effectif des donnees primaires, des repliques, des journaux et des metadonnees. A distinguer de la region affichee, qui peut masquer des flux secondaires.

Strategie repartissant les charges sur plusieurs CSP pour reduire la dependance, optimiser les couts et tirer parti des forces de chaque acteur.

Directive europeenne de 2022 (Network and Information Security 2). Renforce les obligations de cybersecurite pour les entites essentielles et importantes. Transposition nationale en cours.

National Security Agency americaine. Agence de renseignement qui s'appuie notamment sur FISA Section 702 (programmes PRISM et Upstream) pour ses operations sur les communications etrangeres.

Plate-forme open-source d'infrastructure cloud. Base technique de plusieurs clouds europeens (OVHcloud, Scaleway, Cloud Temple). Alternative aux piles proprietaires.

Filiale de Dassault Systemes. Premier prestataire francais qualifie SecNumCloud sur le perimetre IaaS.

Premier fournisseur europeen en parts de marche IaaS. Cote a Paris, gouvernance francaise, offre dediee qualifiee SecNumCloud.

Modele cloud livrant des environnements d'execution geres (bases de donnees, runtimes, files de messages). Le client se concentre sur le code applicatif.

Procedures et infrastructures permettant la continuite des operations critiques en cas d'incident majeur. A distinguer du PRA, qui couvre la reprise apres sinistre.

Traitement RGPD remplacant les identifiants directs par des pseudonymes reversibles, sous gestion separee. Ne supprime pas le caractere personnel des donnees.

Certification delivree par l'ANSSI. Trois niveaux historiques (Essentiel, Avance, Eleve), aujourd'hui unifies dans le referentiel 3.2 avec exigence d'immunite extraterritoriale et controle capitalistique europeen.

Zone geographique regroupant plusieurs zones de disponibilite operees par un CSP. La selection d'une region UE est une condition necessaire mais non suffisante pour la souverainete.

Capacite a quitter un fournisseur sans cout prohibitif : standards ouverts, formats d'export documentes, absence de verrouillage proprietaire. Critere du scoring NextHop.

Reglement general sur la protection des donnees (UE, 2016). Cadre europeen unifie pour le traitement des donnees personnelles. Sanctions pouvant atteindre 4 pour cent du CA mondial.

Application livree en tant que service, le client ne gere ni l'infrastructure ni l'application. Microsoft 365, Salesforce, Google Workspace en sont les emblemes.

Filiale du groupe Iliad. Cloud europeen base a Paris avec datacenters propres en France et aux Pays-Bas. Offre IaaS-PaaS sur stack open-source.

Arret CJUE de juillet 2020 qui invalide le Privacy Shield. Cite explicitement FISA 702 comme incompatible avec les standards europeens de protection des donnees.

Coentreprise Thales-Google distribuant une offre basee sur la technologie Google Cloud, visant SecNumCloud. Comme Bleu, la structure francaise et la qualification technique ne neutralisent pas le droit US tant que la pile logicielle Google, non auditable, est embarquee.

Referentiel et qualification TECHNIQUE et organisationnelle de l'ANSSI (securite, exploitation UE, audit PASSI). Version 3.2 (2022) ; exige des clauses contractuelles d'immunite et un controle capitalistique europeen, mais une qualification ne neutralise pas le droit americain (FISA 702 / CLOUD Act) si la stack logicielle est US.

Capacite d'un acteur (Etat, organisation, individu) a maitriser ses infrastructures numeriques, ses donnees et ses dependances. Six dimensions dans le scoring NextHop.

Plus haut niveau de classification Uptime Institute pour un datacenter. Architecture tolerante a la panne (2N+1), disponibilite cible 99,995 pour cent.

Concept francais (puis europeen via Cloud de Confiance) designant un service cloud dont la securite et l'exploitation sont attestees par une qualification reconnue (SecNumCloud, EUCS High). A noter : ces qualifications portent sur le volet technique, pas sur une immunite juridique garantie face au droit US.

Technique permettant de faire tourner plusieurs systemes d'exploitation isoles sur un meme materiel via un hypervisor (KVM, VMware ESXi, Hyper-V).

Reseau virtuel isole au sein d'une region cloud. Permet de definir ses propres sous-reseaux, regles de routage et pare-feu, comme dans un datacenter prive.

Sous-ensemble d'une region cloud (un ou plusieurs datacenters proches). La redondance multi-AZ est la base d'une architecture haute disponibilite.