Comme d’autres fournisseurs de services cloud américains, AWS entend bien surfer sur la vague de la notion de souveraineté en lançant son offre « Sovereign Cloud ». Cette région est pour l’instant situé à Brandebourg en Allemagne (d’autres installations sont prévues en Belgique, au Pays-Bas et au Portugal) en proposant environ 90 services d’AWS. Une filiale spécifique « dirigée par des citoyens de l’UE » va s’occuper de cette région, a indiqué l'hyperscaler. Par ailleurs, il indique que la plateforme est conçu pour continuer à fonctionner indéfiniment, même en cas de perturbation des communications avec le reste du monde ».

Cloud Act et kills switch, des menaces bien réelles

Autant d’éléments ou de preuves donnés aux clients, mais qui ne convainc guère les analystes. Ainsi René Buest, directeur principal chez Gartner, souligne que la filiale allemande appartient toujours à AWS, une société américaine ce qui l’expose à certains risques. « C’est un éléphant dans la pièce », indique avec humour l’analyste. Il soulève deux préoccupations principales pour les entreprises européennes : la première concerne le Cloud Act américain de 2018 (auquel il faut ajouter la section 702 du FISA), qui pourrait obliger AWS à divulguer aux États-Unis les données de ses clients stockées en Europe, si les autorités américaines en font la demande. La seconde concerne la possibilité de sanctions de la part du gouvernement américain : si une entreprise qui utilise les services AWS fait l'objet de telles sanctions, le fournisseur pourrait être contrainte de bloquer l'accès de cette entreprise à ses services cloud, même si ses données et ses opérations sont basées en Europe.

Il existe des exemples de scénarios similaires ces dernières années. Ainsi, le procureur général de la Cour pénale internationale a vu son compte Microsoft suspendu à la demande de l’administration Trump mécontent du mandat d’arrêt émis contre le premier ministre israélien. Parmi les autres exemples, on peut citer Adobe, qui a coupé l'accès à ses clients vénézuéliens conformément aux sanctions américaines contre ce pays en 2019, tandis que Microsoft a temporairement bloqué l'accès à des applications comme Teams et Outlook pour la société énergétique indienne Nayara l'année dernière. La création d'une entité juridique distincte vise à atténuer ces risques, mais on ne sait pas clairement quelle protection elle offrirait dans la pratique si la société mère demandait à la filiale allemande de prendre certaines mesures. « Cette question reste ouverte à ce stade », a pointé Dario Maisto, analyste senior chez Forrester. « Les différends devront être jugés devant les tribunaux avant de pouvoir avoir une réponse définitive », a-t-il ajouté. « La propriété légale a son importance, et c'est l'un des points qui pourrait ne pas être pris en compte par la configuration actuelle du cloud souverain d’AWS » poursuit-il. Par ailleurs, il observe que d’autres alternatives en Europe sont possibles.

Plusieurs offres à disposition des clients

Pour répondre aux préoccupations croissantes des clients européens en matière de souveraineté numérique, certains fournisseurs américains ont conclu des partenariats avec des partenaires locaux, comme Google et Thales avec S3ns, ou Microsoft et Bleu, une coentreprise entre Orange et Capgemini. Dans ce cadre, l'hyperscaler donne accès à sa technologie (orchestration, controle plane et services managés), tandis que les deux entreprises restent indépendantes. Selon M. Buest, cet accord offre un niveau de « souveraineté opérationnelle » plus élevé que l’offre d’AWS même s’il implique toujours un certain degré de dépendance technologique vis-à-vis du fournisseur de cloud américain. Récemment, Vincent Strubel, directeur général de l’Anssi a fait une mise au point sur ces partenariats dont certains comme S3ns ont obtenu la qualification SecNumCloud. Il a précisé que si le niveau de sécurité était élevé, la certification n’est pas complétement hermétique au droit extraterritorial.

Reste que la décision appartiendra au final aux entreprises qui opteront pour des stratégies combinant différents niveaux de souveraineté en fonction de leurs besoins. Même si des questions subsistent sur le service d’AWS, il offre des garanties supplémentaires par rapport à son service de cloud public standard. « En fonction de leurs exigences, les entreprises européennes pourront être séduites », soulignent l’ensemble des analystes. AWS a mis en avant ses premiers clients comme le fournisseur d'énergie allemand EWE AG et l'hôpital universitaire Medizinische Universität Lausitz — Carl Thiem (MUL-CT). Dario Maisto de Forrester reconnait qu’ « un changement décisif s’est produit au cours des derniers mois : nous sommes passés d’un intérêt pour les solutions souveraines à des comportements d’achats concrets ». La position d’AWS montre que « le fournisseurs reconnait le problème », conclut l’analyste.