Intervention de Jean-Noël de Galzain

Le projet GAIA-X emporte un travail essentiel sur la réversibilité entre les différents clouds. Un chantier du projet de cybersécurité de la filière des industries de sécurité porte également sur la notion de réversibilité dans le cloud, dans la mesure où, pour l'essentiel, nous sommes actuellement obligés d'héberger des données et applications sur des clouds qui ne sont pas les nôtres, mais dont nous espérons pouvoir sortir.

Nous travaillons donc sur la réversibilité pour des raisons de coûts, mais aussi parce que nous rêvons de pouvoir bénéficier de clouds plus souverains. Il existe effectivement un problème de réversibilité bien connu, c'est pourquoi d'ailleurs la notion d'écosystème revêt également une grande importance, tout comme l'interopérabilité entre les solutions et le fait de donner de la visibilité aux projets de cette nature.

Pour ma part, j'apprécie les travaux du HDH qui mène de grands projets étendards : nous avons ainsi proposé, dans le cadre du comité stratégique de filière, de mettre à niveau la cybersécurité de tous les établissements hospitaliers de France (CH et CHU), parce qu'il s'agit de projets dans lesquels toute l'industrie entend intervenir, au côté de l'État, pour faire exister les solutions et infrastructures et les mettre en pratique dans le cadre de projets qui feront progresser notre industrie sur un sujet concret. Je ne connais pas tous les détails à propos du HDH et n'entends pas trop m'étendre sur ce sujet qui s'est avéré extrêmement sensible, mais je peux témoigner du fait que le HDH a fait le choix de mêler l'utilisation d'un cloud Azure qui, visiblement, représentait la solution à ses besoins du moment, à des outils de cybersécurité qui permettent de contrôler les accès, d'identifier les utilisateurs qui accèdent à tel ou tel type de données et de tracer l'activité autour des accès internes à ce cloud. Un tel montage ne nous prémunit pas des problématiques juridiques, mais d'un point de vue technologique, il offre tout de même de la visibilité sur les accès aux données stockées dans ce cloud. Or, lorsque nous commencerons à sauvegarder des données publiques dans ce cloud, nous devrons a minima être capables de savoir exactement qui fait quoi et à quel moment, de manière à pouvoir mettre un point d'arrêt aux éventuels accès illégaux ou non appropriés.

Tel est d'ailleurs l'objet du RGPD que de protéger les traitements effectués sur les données et de s'assurer qu'ils sont, au minimum, maîtrisés et anonymisés.