Début juin, AWS a présenté une nouvelle offre « souveraine » pour l’Europe. Estampillée logiquement European Sovereign Cloud, elle pousse des critères exclusifs au Vieux continent. alors que Microsoft a dégainé sa propre arme dans ce domaine, en visant à la fois le cloud public, le cloud privé et les installations hybrides sur site, AWS se concentre sur le cloud public.

• Microsoft décline le cloud « souverain » en 50 nuances de Bleu Azure

La société tient depuis lundi sa conférence re:Inforce, centrée sur la sécurité. Si elle est dédiée aux offres cloud de l’entreprise et à la séduction des acteurs qui n’auraient pas encore gouté au cloud d’Amazon, AWS en a profité pour revenir sur son European Sovereign Cloud et son fonctionnement, apportant au passage quelques détails.

De quoi parle-t-on ?

L’European Sovereign Cloud est un cloud public, physiquement et logiquement séparé des autres régions AWS. La conséquence la plus directe est que l’offre n’existe pas encore. Contrairement à Microsoft qui va adapter petit à petit ses centres dans son initiative Sovereign Public Cloud, AWS part directement sur de nouvelles infrastructures.

La première région sera implantée dans le Brandebourg, en Allemagne, avec un investissement de 7,8 milliards d’euros jusqu’en 2040. L’infrastructure doit être prête d’ici la fin de l’année et sera dirigée par Kathrin Renz, vice-présidente allemande d’AWS Industries. Les deux autres membres de la direction (DPO et RSSI) seront également des citoyens européens résidant au sein de l’Union.

Cette infrastructure est donc pensée pour l’Europe, sans dépendance vis-à-vis d’une autre infrastructure non-européenne. Le contrôle et l’exploitation doivent être 100 % européens, assurés par des « résidents européens », y compris l’accès aux centres de données, l’assistance technique et le service client.

Par défaut, tous les outils de gestion des coûts, la facturation et l’interface de la console seront paramétrés en euros. Rappelons que les États-Unis peuvent engager des poursuites sur la base de transactions effectuées en dollars. C’est l’un des aspects de l’extraterritorialité du droit américain. Pour les clients le souhaitant, l’euro pourra être remplacé par une autre devise par défaut.

L’offre d’Amazon aura sa propre infrastructure réseau, avec une connectivité dédiée, via Direct Connect. Le DNS d’Amazon, Route 53, sera également présente sous une forme spécifique et autonome. L’European Sovereign Cloud aura aussi sa propre autorité de certification européenne « racine ». Ces trois éléments seront disponibles au lancement du premier centre. Cette offre européenne s’accompagnera en outre d’un centre d’opérations de sécurité (SOC) dédié.

Lors de son annonce, Amazon mettait largement en avant son « étroite collaboration » avec le BSI, l’équivalent allemand de l’ANSSI. Au moment de lister les certifications de l’European Sovereign Cloud, on retrouvait ainsi des normes comme ISO/IEC 27001:2013, les rapports SOC 1/2/3 ou encore la qualification C5 du BSI. Rappelons que si C5 est la plus haute qualification de sécurité du BSI, elle ne tient pas compte du caractère extraterritorial des législations non-européennes. Les écarts de vision entre l’Allemagne et la France ont notamment été au cœur des chambardements dans la genèse de la direction EUCS, aujourd’hui au point mort.

Stratégie de la forteresse

Lors de la conférence re:Inforce, Amazon Web Services n’a rien annoncé de véritablement nouveau. Toutefois, l’entreprise s’est servie de son évènement pour faire intervenir des experts sur le sujet, renforcer son message en revenant notamment sur certains points, particulièrement la sécurité.

Par exemple, l’authentification à facteurs multiples sera obligatoire et activée par défaut pour l’ensemble des comptes root des clients. On a également vu des annonces sur l’extension du service de détection des menaces Amazon GuardDuty aux environnements de conteneurs EKS, ou encore une nouvelle version du Security Hub pour rassembler et prioriser les alertes de sécurité.

Si Amazon communique autant, c’est que l’entreprise n’avait proposé encore aucune solution concrète en matière de souveraineté. Là où Google et Microsoft commercialisaient déjà des produits dédiés. Microsoft vient d’ailleurs de renforcer son offre.

AWS présente ainsi en grande pompe sa forteresse numérique à destination de l’Europe. Toute la structure juridique est européenne, avec une maison mère et trois filiales, toutes constituées en Allemagne. Amazon vante même la création d’un conseil consultatif indépendant, qui pourra embarquer jusqu’à trois employés européens d’Amazon et au moins un(e) citoyen(ne) européen(ne) sans affiliation avec Amazon. Ce conseil aura l’obligation légale « d'agir dans le meilleur intérêt de l'European Sovereign Cloud », même si on ne sait ce que cela signifie réellement.

AWS le dit et le redit : les décisions sont prises en Europe, par des Européens et selon le droit européen. L’entreprise bâtit un mur pour isoler sa nouvelle offre du reste du monde. Mais aussi haut que soit le mur, l’intrication juridique est toujours présente.

L’éternel problème des lois américaines

Car si AWS insiste sur la souveraineté, il faut encore s’entendre sur la définition du mot. Si l’on considère qu’elle définit une infrastructure européenne gérée par une entité européenne, alors l’offre d’Amazon est techniquement souveraine. Mais si on l’examine à travers le prisme du « cloud de confiance », ça coince.

Même si l’European Sovereign Cloud désigne des structures isolées du reste du monde, opérée par des citoyens européens et gérée par une entité européenne, celle-ci est une filiale d’Amazon Web Services, une société de droit états-unien. La maison mère est soumise à plusieurs lois à portée extraterritoriale, dont les deux plus connues : le Cloud Act et le FISAA.

De fait, si la justice américaine devait valider un mandat de perquisition, Amazon n’aurait d’autre choix que d’y obéir. Elle peut contester la validité de ce mandat, sans garantie d’arriver à repousser la demande. Microsoft s’est engagée à contester systématiquement ces demandes. Mais ni l’une ni l’autre ne peuvent assurer que personne en dehors de l’Europe n’aura un jour accès à des données européennes.

Cette incertitude teinte aussi l’offre « souveraine » d’AWS. Et, contrairement à Microsoft, l’entreprise ne propose pas de variante hybride « sur site », qui aurait pu donner naissance à une structure de type Bleu ou S3ns. Pour ces dernières, rien ne s’oppose a priori à la qualification SecNumCloud de l’ANSSI par exemple, qui garantie l’immunité face aux législations extraterritoriales notamment. Dans toutes ses offres, AWS reste en position de contrôle. Mais cette approche a un certain avantage pour la clientèle intéressée : l’offre européenne aura les mêmes fonctions que dans le reste du monde, avec l’intégralité des portefeuilles de services, y compris tout ce qui touche à l’intelligence artificielle.

La multiplication et le renforcement de ces offres en provenance des hyperscalers américains témoignent quoi qu’il en soit d’une adaptation aux inquiétudes européennes. Les géants de la tech restent cependant soumis aux législations de leur pays d’origine et aux soubresauts de la politique mondiale. Les relations entre l’Union européenne et les États-Unis sont tendues, le gouvernement Trump ayant dans son collimateur des règlements tels que le DMA et le DSA. La Maison-Blanche a fait savoir que ses grandes entreprises ne devraient obéir qu’à des lois américaines.