Technomedia

 

Avec son référentiel C3A, le BSI allemand formalise une doctrine inédite de souveraineté numérique. Derrière les exigences techniques, Berlin prépare un scénario où le cloud européen serait capable de fonctionner de manière autonome pendant 90 jours, même en cas de rupture avec les infrastructures non européennes.

L’Allemagne vient de franchir une nouvelle étape dans la redéfinition de la souveraineté numérique européenne. Le Bureau fédéral de la sécurité informatique (BSI) a publié un référentiel baptisé C3A, destiné à mesurer le niveau d’autonomie des services numériques fonctionnant dans le cloud utilisés par les administrations et les entreprises. Au-delà de la conformité technique, le document traduit surtout une évolution politique majeure : le cloud n’est plus considéré comme un simple service informatique mais comme une infrastructure critique comparable à l’énergie ou aux télécommunications.

Le texte part d’un constat qui préoccupe nombre de pays européens : l’essentiel des infrastructures numériques du continent repose aujourd’hui sur des fournisseurs américains comme AWS (Amazon), Microsoft Azure ou Google Cloud. Une dépendance qui devient désormais géopolitique car que se passerait-il si une décision politique imposait à ces entreprises de couper leurs services pour les Européens ?

Le référentiel C3A cherche donc à définir ce qu’est un véritable « cloud souverain ». Le document propose cette autonomie autour de six piliers : souveraineté stratégique, juridique, opérationnelle, technologique, maîtrise des données et contrôle de la chaîne d’approvisionnement. Parmi les exigences figurent la localisation européenne des administrateurs systèmes, l’hébergement des centres opérationnels de sécurité dans l’Union européenne, la conservation du code source sur le territoire européen ou encore la cartographie des dépendances matérielles et logicielles.

Fonctionner 90 jours de façon déconnectée

Mais le point le plus révélateur concerne la capacité de fonctionnement… en mode déconnecté. Le BSI exige, en effet, qu’un fournisseur cloud puisse continuer à fonctionner même en cas de coupure complète avec des réseaux ou fournisseurs non européens. Le texte évoque des scénarios nécessitant jusqu’à 90 jours d’autonomie. Cette hypothèse illustre le changement de climat géopolitique mondial.

Guerre en Ukraine, tensions sino-américaines, cybersabotages ou extraterritorialité du Cloud Act américain : le rapport acte la fin d’une vision totalement mondialisée des infrastructures numériques. Le volet juridique cible d’ailleurs explicitement les risques liés aux législations extraterritoriales. Le BSI demande aux fournisseurs d’évaluer les conséquences potentielles de lois étrangères pouvant imposer un accès aux données hébergées hors de leur territoire d’origine. Le document allemand reste officiellement non contraignant, mais il pourrait préfigurer de futures normes européennes.

En France, une réflexion similaire a lieu. Le 8 avril, un séminaire interministériel a acté une accélération nette de la réduction des dépendances aux outils extra-européennes – essentiellement américains – avec une première mesure choc : la sortie progressive de Windows au profit de systèmes Linux pour les postes de travail de l’administration.