La diligence raisonnable est de plus en plus critique à mesure que la bataille pour la souveraineté du cloud s’intensifie

Au cours des dernières semaines, l’industrie informatique a été témoin d’une activité très intéressante de la part de fournisseurs mondiaux de cloud hyperscale autour de leurs ambitions de souveraineté dans le cloud et de leur examen minutieux par les régulateurs couvrant certaines exigences de base en matière de conformité, telles que le règlement général sur la protection des données de l’Union européenne (UE) ( RGPD)

Tout d’abord, AWS a rendu public engagement appelé «AWS Digital Sovereignty Pledge», consistant en un engagement à fournir «l’ensemble le plus avancé de contrôles et de fonctionnalités de souveraineté disponibles dans le cloud». Après Coopération de Google avec T-Systems et le « Délos” offre de Microsoft, SAP et Arvato, AWS emboîte désormais le pas. Ces initiatives renforcent le potentiel croissant des services cloud souverains dans un monde de plus en plus dominé par les questions de choix et de contrôle du cloud et les exigences de conformité complexes.

Alors, qu’est-ce qu’un engagement signifie? Le dictionnaire définit cela comme une « promesse solennelle » – ce qui soulèverait raisonnablement la question : n’est-ce pas un aveu qu’il y a peu de souveraineté dans l’offrande aujourd’hui ? Sinon, pourquoi serait-ce un gage ? Une promesse est tournée vers l’avenir, quelque chose qui n’a pas encore été exécuté ou livré. Aussi, une annonce comme celle-ci ne devrait-elle idéalement pas être accompagnée d’une feuille de route ? Où est la garantie que les articles de cette promesse seront remplis ? Au lieu de cela, AWS mentionne ce que l’engagement couvrira généralement : le contrôle de l’emplacement de vos données, le contrôle vérifiable de l’accès aux données, la capacité de tout chiffrer partout et la résilience de leur cloud. L’engagement semble excellent, mais répond-il aux normes minimales de la plupart des exigences de souveraineté des données dans le monde ? Il semble, d’après le langage général, qu’aucun d’entre eux ne répond aux préoccupations critiques concernant l’utilisation à grande échelle, le contrôle juridictionnel, les droits légaux d’accéder aux données et le respect des exigences souveraines en matière de données qui nécessitent une protection contre le US CLOUD Act ou Article 702 de la loi américaine sur la surveillance du renseignement étranger (FISA).

Deuxièmement, Microsoft s’est échoué en Allemagne avec Office 365 qui ne serait pas conforme au RGPD. Le GDPR a plus de 4 ans et est un énorme problème auquel la plupart des entreprises se sont jointes dans la précipitation pour ne pas être pénalisées par l’UE. Avec les autorités fédérales et étatiques allemandes de protection des données (DSK) soulever des inquiétudes quant à la compatibilité de 365 avec des lois sur la protection des données en Allemagne et dans l’UE élargie, on se demande comment d’autres entreprises peuvent également manquer à leurs obligations de protéger les données des clients de l’UE. En outre, combien d’autres exigences réglementaires (telles que les exigences de souveraineté des données) auxquelles les fournisseurs mondiaux de cloud public pensent se conformer sont susceptibles d’être examinées par les régulateurs ? Cette nouvelle, bien sûr, est matière à réflexion. Microsoft a nié que cela soit correct et a émis un déclaration demandant plus de précisions sur le point de vue de DSK. Les responsables informatiques devraient donc prendre cette nouvelle comme une étude de cas remarquable pour alimenter les décisions de leur choix de cloud, car les exigences réglementaires concernant la souveraineté des données sont beaucoup plus complexes et niches à respecter que le RGPD.

Tous ces problèmes et bien d’autres placent les fournisseurs de cloud hyperscale américains et mondiaux dans une position précaire lorsqu’ils exploitent un cloud souverain ou une autre solution de cloud réglementé, dans des juridictions telles que l’UE, où ils doivent adhérer au RGPD de l’UE et à la législation américaine. En effet, cela place également l’UE dans une position précaire, étant donné que 72 % des dépenses du marché européen du cloud a été aligné sur AWS, Microsoft et Google au deuxième trimestre 2022. L’UE veut un marché équitable et un cloud européen protégé sans compromettre la fonctionnalité du cloud. Cependant, les investissements continus des clients dans l’hyperscale américain et les investissements continus dans le région de 4 milliards de dollars dans les organisations hyperscale américaines en expansion signifie qu’aucune entreprise européenne de cloud computing ne défiera jamais sérieusement ce marché aujourd’hui. L’UE a certainement un dilemme ; d’une part, l’application de la souveraineté signifierait qu’aucun cloud étranger ne pourrait être utilisé, ce qui nuirait gravement au marché européen du cloud ; et d’autre part, comment légiférer suffisamment pour maintenir un niveau de souveraineté qui n’exclut pas les fournisseurs étrangers avec un certain niveau de contrôle juridictionnel externe ? Il semble que dans un avenir prévisible, il y aura peu de réponses à ce dilemme et, en tout état de cause, l’approche la plus prudente en matière de conformité semble être un cloud souverain national et spécialement conçu, utilisant des clouds externes lorsque la classification de vos données répond aux besoins des environnements non réglementés ou non souverains – cela semble être intelligent dans le cloud !

Les fournisseurs de cloud européens ont tendance à être plus spécialisés dans leurs services, presque tous fournissant des services gérés, ce que l’on ne trouve pas directement dans les offres des principaux fournisseurs de cloud hyperscale américains. Je crois que c’est une bonne chose. VMware a toujours déclaré que l’avenir d’une stratégie informatique intelligente dans le cloud bien gérée est le cloud multi-cloud et hybride et qu’être intelligent dans le cloud signifie que nous ne pouvons pas ignorer les offres hyperscale. Nous en avons besoin, d’autant plus qu’il existe des innovations importantes et une évolutivité à la pointe du marché dans ces nuages. C’est là que la stratégie de VMware est unique : VMware encourage le multi-cloud et aide les organisations à maintenir une stratégie cloud qui évite le verrouillage et maintient la qualité et la sécurité tout en surveillant les performances. L’initiative VMware Sovereign Cloud offre aux partenaires fournisseurs de cloud nationaux et locaux la capacité de créer des clouds souverains spécialement conçus, y compris ceux qui répondent aux exigences locales spécifiques dans des domaines tels que la souveraineté des données, y compris la résidence des données et le contrôle juridictionnel, l’accès et l’intégrité des données, la sécurité des données et la conformité, l’indépendance et la mobilité des données, et l’innovation et l’analyse des données.

Le malentendu courant lorsque l’on envisage d’utiliser un fournisseur mondial de cloud hyperscale comme option pour les charges de travail nécessitant la souveraineté des données est qu’il y a conformité, car le portefeuille, les données et les applications seront limités à ce qui peut être exécuté dans une région. Cela ne le rend toujours pas souverain – c’est simplement une farce. Pour être clair, l’emplacement physique (ou la résidence des données), bien que nécessaire à la souveraineté des données, ne constitue pas entièrement la souveraineté des données pour la quasi-totalité des exigences de souveraineté des données dans le monde. Les exigences de souveraineté des données sont propres à chaque juridiction, mais toutes ont bien plus de besoins que la simple résidence des données. Par exemple, ils nécessitent tous également un contrôle juridictionnel, ce qui ne peut être supposé être satisfait avec un cloud résident de données, en particulier pour les fournisseurs de cloud américains ou mondiaux soumis au CLOUD Act et à la décision FISA. Il est donc essentiel de reconnaître que les fournisseurs de cloud souverain VMware sont des partenaires tiers indépendants à travers le monde qui gèrent également des portefeuilles étendus de fonctionnalités cloud. Basé sur les solutions VMware et les fournisseurs de l’écosystème, avec des outils et un avantage concurrentiel (dans le climat réglementaire actuel) pour être en mesure de fournir les plus hauts niveaux de confort de conformité avec les exigences de souveraineté des données et/ou d’autres réglementations telles que le RGPD.

VMware

Alors, quelle est la réponse ici? La position de VMware n’a pas changé ; l’utilisation de clouds hyperscale « de confiance » dénote un niveau de confiance selon lequel les données qui doivent être placées dans un cloud hyperscale ne sont pas top secrètes ou restreintes, peuvent être protégées (en utilisant le cryptage, apportez votre propre clé, informatique confidentielle ou informatique améliorant la confidentialité (PEC)) et doivent être publiques, c’est-à-dire que seules les données à faible risque doivent être placées dans un cloud à grande échelle, qu’il soit fiable ou natif. Alors que les batailles entre les nuages ​​​​hyperscale continuent de tenter d’obtenir un statut souverain en Europe. Partout dans le monde, les clients ne doivent plus attendre une solution magique unique ou espérer que leur diligence raisonnable en matière d’exigences réglementaires peut être déléguée à n’importe quel fournisseur. Au lieu de cela, envisagez une stratégie qui utilise le meilleur de toutes les solutions multi-cloud et établit des choix de cloud basés sur la classification des données, les opérations de données et les risques.

VMware

Comme le montre le diagramme, il existe un risque accru associé aux solutions de cloud non souverain, car le contrôle juridictionnel est annulé dans un cloud public de confiance ou à grande échelle. Le volume de données applicables aux services non souverains à prendre en compte peut être inférieur lorsque vous avez effectué un exercice approfondi de classification des données. N’oubliez pas qu’un fournisseur de cloud souverain fournit des services adaptés à votre secteur vertical, qu’il s’agisse du gouvernement, du secteur public, de la finance ou de nombreux autres secteurs verticaux, et des services gérés pour vous aider dans votre stratégie d’adoption du cloud. Certains proposent également des solutions innovantes pour l’échange sécurisé de données afin de permettre la monétisation de vos données, un élément essentiel du marché des données en pleine croissance. En outre, les fournisseurs VMware Sovereign Cloud peuvent être les mieux placés pour vous aider à gérer la confidentialité, les classifications et l’analyse des risques adaptés localement, en garantissant la conformité aux normes les plus strictes. Comme les données concernent les données personnelles et non personnelles (pensez à l’industrie et à l’IoT), un exercice de classification vous aidera à comprendre vos risques et à les protéger conformément aux exigences réglementaires et à atténuer les menaces futures des nouvelles normes de classification des données qui sont en effet à venir. .

Alors que les marchés des données évoluent et que l’échange de données pour la chaîne d’approvisionnement et la monétisation devient un élément essentiel de notre façon de faire des affaires, il est essentiel que la bonne stratégie soit décidée au jour 0 et que les limites d’un choix de cloud ne compromettent pas les principes de souveraineté que vous englober. De plus, assurez-vous que le fournisseur de cloud que vous sélectionnez dispose des capacités technologiques, de l’infrastructure de sécurité et des processus de gouvernance des données appropriés pour protéger vos données, respecter les normes de conformité et fournir une plate-forme sécurisée pour votre entreprise.

Trouvez dès aujourd’hui votre fournisseur VMware Sovereign Cloud le plus proche