En los últimos años, los principales proveedores de nube estadounidenses han aumentado el número de anuncios, iniciativas u ofertas presentadas como soberanas. Oracle EU Sovereign ha estado en línea desde junio de 2023, las líneas generales de Amazon Web Services (AWS) European Sovereign Cloud se prefiguraron en octubre del mismo año. En 2022, se presenta Microsoft Cloud for Sovereignty, mientras que Google revela su “Cloud. En los términos de Europa” el año anterior. Los cuatro mayores proveedores mundiales de nube, todos ellos estadounidenses, tienen como objetivo dar cabida a los datos más sensibles de los servicios públicos o de los que en Francia se definen como Operadores de Importancia Vital (OIV) u Operadores de Servicios Esenciales (OSE). Sin embargo, la conquista de este mercado por parte de jugadores de fuera del Viejo Continente no está exenta de polémica.
Nube confiable o nube soberana, ¿marketing por encima de todo?
La emulación de ofertas soberanas ha causado cierto revuelo en Francia. El uso del término soberanía por parte de empresas no europeas, en este caso estadounidenses, ha sido objeto de acalorados debates. “ Todos los nombres de nube soberana de Microsoft, AWS… Todo se reduce a marketing, porque no tienen nada que ver con la noción de soberanía. » estima Henri d’Agrain, delegado general de Cigref, asociación cuya misión es desarrollar la tecnología digital y su dominio en las grandes empresas y servicios públicos. No es el único que expresa esta opinión. Naturalmente, los proveedores de la nube en cuestión, contactados por Siglo digitaldefenderse a sí mismos.
Inmediatamente surge un problema cuando se trata de desenredar lo que es soberano de lo que no lo es. La definición misma de esta noción. Un problema complicado por la popularidad de la variante “soberanía digital”. “ Soberanía digital es un término popular para los medios porque es fácil de usar. Solo que le ponemos un poco de todo y cualquier cosa. » señala Ophélie Coelho, investigadora independiente en geopolítica digital. No sólo los periodistas lo aprecian, también los políticos lo aprecian: la nueva Secretaria de Estado Digital, Marina Ferrari, lo mencionó varias veces en su discurso de toma de posesión.
Ante la vaguedad de la noción, se recomienda volver a la definición primaria de soberanía. El Centro Nacional de Recursos Textuales y Léxicos habla de soberanía como “ Cualidad propia del Estado que posee el poder supremo que implica la exclusividad de jurisdicción en el territorio nacional y en el nivel internacional, independencia frente a potencias extranjeras. «. Una buena base, pero que no necesariamente pone a todos de acuerdo.
A Damien Rilliard, director de Oracle EMEA, responsable de cuestiones de soberanía, le gusta decir que “ La palabra soberanía es un término muy preciso, que tiene tantas definiciones como personas a las que nos dirigimos. » añade que “ Esto es aún más cierto según el país donde se utilice. «. Es imposible llevarse bien si nadie habla de lo mismo. Sin embargo, la cuestión es crucial. En el barómetro anual del Club de Expertos en Seguridad de la Información y Digital (CESIN), sobre 450 responsables de ciberseguridad, el 55% cree que la soberanía es un tema de preocupación para sus empresas.
Para aclarar la situación, el ministro de Economía, Bruno Le Maire, presentó la estrategia del gobierno para la nube en 2021. Se creó una etiqueta, «nube de confianza», para dar fe de la soberanía de un servicio. Está basado en el repositorio SecNumCloud 3.2 de la Agencia Nacional de Seguridad de Sistemas de Información (ANSSI). Este último, que contiene alrededor de 270 criterios, tiene como objetivo certificar, entre otras cosas, que la nube está fuera del alcance de la legislación extraterritorial. En Estados Unidos, las leyes que asustan son la Clarifying Lawful Overseas Use of Data Act, más conocida por sus siglas CLOUD Act, y la sección 702 de la Foreign Intelligence Surveillance Act (FISA). Para Henri d’Agrain, esta solución se adapta a las preocupaciones de las empresas y administraciones interesadas » SecNumCloud es un instrumento de soberanía. Como tal, un servicio en la nube calificado como SecNumCloud cumple con los criterios de soberanía. «.
Bruno Le Maire, Ministro de Economía, Finanzas y Soberanía Industrial y Digital. Imagen: Twitter/@Economie_Gouv.
Los servicios dedicados de Oracle y AWS actualmente no reclaman la calificación de SecNumCloud. Si esta perspectiva no se excluye por completo, no está en la agenda. Los dos grupos creen que de este modo proporcionan mejores nubes, cumpliendo al mismo tiempo con el requisito de soberanía.
Para Oracle, Damien Rilliard destaca que con este fin se construyeron desde cero dos regiones de la nube que ya están activas en Europa. Ellas son » operado por europeos, desplegado por europeos, apoyado por europeos, asegurado por europeos, perteneciente a autoridades legales sujetas a europeos «. Sostiene que son “ Completamente, física, lógica y organizativamente, separada, aislada del resto de nuestras nubes. «.
Por parte de Amazon, para la próxima oferta, Stephan Hadinger, director de tecnología de AWS Francia, elogia especialmente la herramienta de cifrado interna, Nitro. “ La idea detrás de Nitro es que si un juez, una administración, sea cual sea su país de origen, nos pide datos, la única respuesta que obtenemos cada vez es que somos incapaces de facilitárselos en un lenguaje claro. «. Sólo el cliente de AWS tiene acceso a sus datos, por lo que es él quien elige si responde o no a las órdenes extraterritoriales estadounidenses, afirma Stephan Hadinger en Siglo digital.
Ambas empresas aseguran haber auditado la robustez de sus soluciones, con resultados plenamente satisfactorios. Algunos interlocutores de Siglo digital Lo dudo, sin embargo. Sin embargo, SecNumCloud es obligatorio para los servicios públicos y se recomienda encarecidamente para las OIV y las OSE. Para AWS y Oracle esto no es un problema, sería cuestión de tiempo: ambos grupos tienen en común que tienen en el punto de mira el Esquema de Certificación de Ciberseguridad para Servicios en la Nube (EUCS) de la Unión Europea. Actualmente se está debatiendo (animadamente) una certificación de la nube a escala europea, destinada a suplantar a SecNumCloud.
Frente al enfoque europeo de AWS y Oracle, Microsoft y Google han optado por otro camino, específico para el mercado francés. Han optado por asociarse con empresas francesas que probablemente permitan obtener la cualificación de SecNumCloud tras el lanzamiento de los servicios, previsto para finales de 2024.
Microsoft es socio técnico de una empresa, Bleu, fruto de una alianza entre Orange y CapGemini. “ Queríamos ser intransigentes con SecNumCloud y no traer jugadores no europeos a la capital. », Explica Jean Coumaros, director general de Bleu.
Google, por su parte, creó una empresa conjunta con Thales para dar origen al S3NS. “ El requisito de SecNumCloud fija la participación de un jugador no europeo en el 24%, estamos muy por debajo de esa cifra. », Informa Cyprien Falque, director general de S3NS. Él está señalando que » Google tiene un asiento de observador: sin derecho a voto, sin derecho a veto y todos los empleados son empleados de Thales «. Curiosamente, ni Bleu ni S3NS destacan la noción de soberanía en su reciente comunicación. “ Todo el mundo puede afirmar que es soberano de la nube, ya que no existe una definición precisa. » señala Jean Coumaros. Cyprien Falque está de acuerdo: “ Evitamos hablar de nube soberana, porque es un término demasiado utilizado. Preferimos acercarnos a algo objetivo, que no se debata como la nube de confianza. «.
Detrás de la soberanía, una búsqueda muy francesa de autonomía estratégica
Algunos consideran que el camino tomado por Google y Microsoft es un compromiso satisfactorio”, Sobre el papel, S3NS y Bleu deberían ofrecer soluciones que cumplan con el repositorio SecNumCloud en la versión 3.2. Esto da un nivel razonable de confianza frente a FISA o la Ley CLOUD. » considera Henri d’Agrain du Cigref. Esto también responde a los deseos de Bruno le Maire expresados durante la presentación de la nube de confianza en 2021. Su estrategia pretendía ser un equilibrio para aprovechar “ mejores tecnologías » garantizando al mismo tiempo un “ protección máxima «.
El argumento no convence a todos. La perspectiva de certificación de S3NS y Bleu sería un “ gran descrédito llevado al estándar » el juez Bertrand Leblanc-Barbedienne, detrás de los medios Tecnología soberana. Este último, que no oculta que trabaja para una empresa activa en la nube, Whaler, desarrolla: “ No se trata de decir que no existe una gran potencia tecnológica estadounidense, se trata de decir que a largo o medio plazo tenemos capacidad para recuperar este retraso, siempre que nos deshagamos de este poder blando que nos ha afectado. nos contamina, lo que distorsiona permanentemente nuestra visión de las cosas «.
En cierta medida, este razonamiento se encuentra en el análisis de Ophélie Coelho, autora de un trabajo sobre geopolítica digital. Según ella, SecNumCloud está equivocado, incluso si la intención es buena. La idea de impedir que Estados Unidos, China o cualquier otro Estado con capacidades técnicas accedan a datos europeos para realizar espionaje económico es una ilusión. Una opinión ampliamente compartida por la mayoría de nuestros interlocutores. Al hacerlo » la verdadera cuestión es saber producir tecnología y dominarla en lugar de buscar estratagemas para dominar tecnologías que no nos pertenecen «.
Esta visión corresponde al significado que ha asumido la noción de soberanía digital en Francia, desde su primer uso, en 2011, en un artículo firmado por Pierre Bellanger, director general de la radio Skyrock. Théodore Christakis, profesor de derecho digital en la Universidad de Grenoble, informa a Siglo digital “ dos significados del término » el clásico, el reglamento, el segundo es el de “ La soberanía como autonomía estratégica y la capacidad de actuar en la esfera digital sin verse limitada en un grado indeseable por dependencias externas. «.
La autonomía estratégica ha sido fundamental en Francia durante décadas y ahora se aplica a la nube. Incluso las ofertas locales certificadas utilizan software, hardware o capital no europeos, como nos recuerdan los proveedores de la nube estadounidenses. La cuestión no parece ser cerrarnos a los servicios o tecnologías de Estados Unidos: nadie lo considera ni lo quiere. Se trata más bien del grado de dependencia que se considera aceptable para la gestión de datos sensibles.
Ésta es una cuestión eminentemente política. El gobierno actual ha prescrito su respuesta en Francia y ahora intenta integrarla a nivel europeo a través de la EUCS.