Souveraineté numérique et technologies américaines

Partager

Technologies américaines et souveraineté numérique : Cirrus vous permet de garder un contrôle complet au Canada, tout en limitant l’exposition aux lois extraterritoriales des hyperscalers.
Dans cet article :

La souveraineté numérique repose sur 4 piliers, pas seulement sur la résidence des données.

Un hyperscaler américain peut héberger au Canada, tout en restant exposé au CLOUD Act / FISA.

Utiliser des technologies comme VMware / OpenShift ne leur donne ni accès ni contrôle sur les données hébergées dans Cirrus.

En plein conflit commercial avec nos voisins du sud, la souveraineté numérique est plus pertinente que jamais. Mais elle reste encore mal comprise et parfois interprétée de façon arbitraire. Plus particulièrement quant aux technologies qui peuvent – ou pas – servir à la création d’un cloud souverain. Remettons les pendules à l’heure!

Omniprésents dans l’industrie, les hyperscalers sont des entreprises américaines qui offrent sur le marché canadien leurs services infonuagiques. Comme alternative à ces géants, Micrologic propose depuis 2014 le cloud Cirrus, une solution souveraine à propriété 100% canadienne.

Cirrus est conçu pour répondre aux besoins des organisations publiques et privées qui exigent un plus grand contrôle et des protections accrues afin de répondre à des exigences réglementaires, mais aussi pour faire face à la multiplication des cyberattaques et des fuites de données.

Les organisations sont donc de plus en plus nombreuses à adopter le cloud souverain Cirrus. Mais on voit également les hyperscalers et d’autres entreprises étrangères qui commencent à offrir des services cloud dits « souverains ».

Qu’en est-il vraiment?

Qu’est-ce que la souveraineté numérique?

La souveraineté numérique désigne la capacité d’une organisation à exercer un contrôle total et exclusif sur ses données, ses infrastructures et ses opérations numériques, sans interférence d’une juridiction étrangère. Elle repose sur quatre piliers indissociables : la souveraineté des données, opérationnelle, légale et technique. Un cloud souverain véritable implique que l’opérateur soit une entité juridique entièrement soumise au droit national, que ses opérations soient conduites par du personnel local accrédité, et qu’aucune loi extraterritoriale (comme le CLOUD Act américain) ne puisse compromettre la confidentialité des données hébergées.

Souveraineté numérique : une définition sans ambiguïté

Fondant notre position sur des normes reconnues mondialement, nous reconnaissons que la souveraineté numérique se décline en quatre volets principaux :

  1. La souveraineté des données
    Les données sont stockées sur le territoire canadien avec des garanties qu’il n’y aura pas de transfert de données vers un pays tiers.
  2. La souveraineté opérationnelle
    Toutes les opérations sont effectuées depuis le territoire canadien, par du personnel détenant la citoyenneté canadienne et les accréditations correspondant au niveau de sécurité des données traitées.
  3. La souveraineté légale
    Le fournisseur de service internet (FSI) est une entité entièrement locale qui est enregistrée au Canada ou au Québec et qui n’est soumise à aucune loi étrangère.
  4. La souveraineté technique
    Un contrôle strict est exercé sur les accès aux actifs numériques et physiques, incluant notamment la sécurité physique au centre de données, mais aussi le contrôle des accès confiés aux fournisseurs des technologies qui composent le cloud.

Vous comprendrez que les offres des hyperscalers ne sont donc pas véritablement souveraines, puisqu’elles ne répondent pas en totalité aux principes fondamentaux de la souveraineté numérique.

Mais en considérant le point #4 ci-haut, si certaines technologies utilisées par Micrologic sont américaines, est-ce que le cloud Cirrus est véritablement souverain?

Cloud souverain au Canada : comment les offres du marché se comparent sur les 4 piliers

Depuis l’intensification des enjeux géopolitiques autour des données, les hyperscalers américains ont multiplié les annonces de clouds « souverains » destinés au marché canadien : AWS Sovereign Cloud, Microsoft Cloud for Sovereignty, Google Sovereign Cloud. Ces offres répondent à une vraie demande, mais elles soulèvent une question simple : une offre peut-elle être qualifiée de souveraine si elle ne satisfait qu’un seul des quatre piliers ?

Le tableau suivant confronte les principales solutions disponibles au Canada à la grille complète de la souveraineté numérique.

Critère AWS Sovereign Cloud Microsoft Cloud for Sovereignty Google Sovereign Cloud Cloud souverain canadien Cirrus de Micrologic
Résidence des données Canada Canada Canada Canada
Opérateur juridique Entité américaine Entité américaine Entité américaine Entité canadienne
Soumis au CLOUD Act Oui Oui Oui Non
Soumis au FISA 702 Oui Oui Oui Non
Personnel opérant Mixte Mixte Mixte Canadien accrédité
Support technique International International International Basé au Québec

En résumé : les offres « souveraines » des hyperscalers américains répondent au pilier de la résidence des données, mais demeurent soumises au CLOUD Act (H.R. 4943) et au FISA Section 702 (50 U.S.C. § 1881a) en raison de la nationalité américaine de leur opérateur juridique. Aucune localisation de serveur, aussi canadienne soit-elle, ne neutralise cette exposition extraterritoriale. »

Utiliser des technologies étrangères ne compromet pas la souveraineté

Pour construire notre cloud sur des bases solides, nous avons misé sur des technologies telles que VMware et Red Hat OpenShift. Ces solutions éprouvées et reconnues par les professionnels de l’industrie confèrent à Cirrus plus de robustesse, de fiabilité et de sécurité.

Or, ces solutions sont également conçues par des développeurs américains. Est-ce que la souveraineté numérique de notre cloud est pour autant compromise, soumettant les données de nos clients aux lois américaines comme le CLOUD Act?

Non.

________________________

Le CLOUD Act et le FISA sont des lois américaines qui permettent aux autorités des États-Unis d’accéder aux données stockées par des entreprises américaines, même si ces données se trouvent à l’étranger.

Pour une organisation canadienne, cela signifie qu’en utilisant des services infonuagiques de fournisseurs américains, ses données pourraient être soumises à ces lois, compromettant potentiellement leur confidentialité et leur souveraineté.

________________________

L’argument selon lequel un cloud souverain ne peut pas miser sur des technologies étrangères est erroné. L’utilisation des technologies comme VMware ou OpenShift ne donne pas aux entreprises qui les développent un accès aux infrastructures ou aux données migrées dans le cloud Cirrus.

Le CLOUD Act s’applique aux fournisseurs de services de communication électronique et aux services d’informatique à distance américains. Il ne s’applique ni aux fournisseurs de matériel, ni aux éditeurs de logiciels.

Autrement dit, ni VMware, ni Red Hat, ni aucun autre équipementier ou développeur de logiciels que nous utilisons ne peut exiger l’accès aux données hébergées dans Cirrus. Nous avons un contrôle exclusif sur nos infrastructures et nous appliquons des mesures de sécurité strictes pour garantir la souveraineté totale des données.

Pourquoi le cloud souverain de Micrologic est une solution de confiance

Les fournisseurs américains tels que Microsoft, Amazon, et Google ne peuvent garantir une souveraineté complète. Même s’ils offrent parfois la résidence des données au Canada, leurs opérations sont gérées par du personnel soumis aux lois américaines, telles que le CLOUD Act et FISA.

Cela signifie que leurs infrastructures restent vulnérables aux demandes légales américaines, compromettant la confidentialité des données de leurs clients. Un enjeu tout particulièrement pertinent dans le contexte géopolitique actuel.

En choisissant Cirrus, vous optez pour une souveraineté réelle et démontrée. Nos infrastructures, nos opérations, et nos engagements contractuels garantissent une protection totale des données sous juridiction canadienne. Les fournisseurs d’équipement ou de logiciels qui composent notre cloud n’ont aucun droit de regard sur ce que nous en faisons ou sur les données que nous hébergeons, et vous n’avez aucun engagement contractuel avec eux.

Alors résumons.

Le cloud Cirrus incorpore des technologies étrangères. Est-ce que sa souveraineté est compromise? Non.

Est-ce que le CLOUD Act ou d’autres lois américaines s’appliquent aux données que nous hébergeons? Non.

Avec Cirrus, votre souveraineté n’est pas une illusion marketing, mais une réalité tangible.

Sur le même sujet

D'autres articles
sur le sujet

Voir tous les nouvelles
  • Infonuagique

Consolider pour mieux performer

Dans cet article : Le Québec accélère la consolidation des CTI et la modernisation TI, mais tous le…
  • Infonuagique
Le cloud souverain ne se résume pas à héberger des données au Canada. Voici cinq mythes à corriger pour le secteur public afin de mieux protéger les données, réduire les risques et éviter les surprises budgétaires.

Cloud souverain : 5 mythes qui coûtent cher au secteur public

Dans cet article : Souveraineté ≠ résidence : un cloud souverain exige un contrôle juridique, opéra…
  • Cybersécurité

Un secteur public fort et cyberprotégé

Dans cet article : Le secteur public est une cible prioritaire : la cyberprotection doit viser la c…
  • Infonuagique

La souveraineté numérique en entreprise? C’est essentiel!

Dans cet article : La souveraineté numérique ne concerne pas juste le secteur public : une entrepri…
  • Cybersécurité
CLOUD Act et protection des données : le chiffrement n’est pas garant de souveraineté

CLOUD Act et protection des données : le chiffrement n’est pas garant de souveraineté

Dans cet article: Le chiffrement protège la confidentialité, pas la souveraineté. Il ne change pas …

Produits

Services

Notre entreprise

Actualités

Ressources

Carrières