¿Puede una empresa estadounidense proporcionar un cloud europeo soberano?

Desde hace algunos años, los grandes proveedores de cloud estadounidenses han multiplicado sus anuncios, iniciativas u ofertas presentadas como soberanas. Oracle EU Sovereign Cloud está en funcionamiento desde junio de 2023, y en octubre del mismo año se delinearon los contornos del Amazon Web Services (AWS) European Sovereign Cloud. En 2022, Microsoft presentó su Cloud for Sovereignty, mientras que Google había revelado su plan «Cloud. On Europe’s Terms» el año anterior. Los cuatro mayores proveedores de cloud a nivel mundial, todos estadounidenses, aspiran a albergar los datos más sensibles de los servicios públicos y empresas francesas y europeas. Sin embargo, la conquista de este mercado por actores externos al Viejo Continente no está exenta de polémicas.

¿Cloud de confianza o cloud soberano? Marketing ante todo

La emulación de ofertas soberanas ha suscitado cierta conmoción en Francia. El uso del término soberanía por parte de empresas no europeas, en este caso estadounidenses, ha sido muy discutido. «Todas las denominaciones de cloud soberano de Microsoft, AWS… son puramente marketing, ya que no tienen nada que ver con la noción de soberanía», estima Henri d’Agrain, delegado general del Cigref, una asociación que se ha propuesto desarrollar el ámbito digital y su control en las grandes empresas y los servicios públicos. No es el único en expresar esta opinión. Naturalmente, los proveedores de cloud en cuestión, contactados por diversos medios, se defienden.

Un problema surge de inmediato cuando se trata de desenmarañar qué es soberano y qué no lo es: la definición misma de esta noción. Una problemática que se complica por la popularidad de la variante «soberanía digital». «La soberanía digital es una fórmula popular entre los medios porque es fácil de usar. Sin embargo, se pone un poco de todo y nada en ella», señala Ophélie Coelho, investigadora independiente en geopolítica del ámbito digital. Los periodistas no son los únicos que la aprecian, los políticos también: la nueva secretaria de Estado de Digitalización, Marina Ferrari, la ha mencionado en varias ocasiones en su discurso de toma de posesión.

Ante la vaguedad de la noción, se recomienda volver a la definición original de soberanía. El Centro Nacional de Recursos Textuales y Lexicales la describe como la «calidad propia del Estado que posee el poder supremo que implica la exclusividad de la competencia en el territorio nacional y, en el plano internacional, la independencia respecto de las potencias extranjeras». Una buena base, pero que no logra poner de acuerdo a todos.

Desafíos y preocupaciones

Damien Rilliard, director en Oracle EMEA responsable de las cuestiones de soberanía, comenta que «la palabra soberanía es un término muy preciso, que tiene tantas definiciones como personas a quienes se les pregunta» y agrega que «esto es aún más cierto según el país en que se use». Es imposible llegar a un acuerdo si nadie habla de lo mismo. Sin embargo, el desafío es crucial. En el barómetro anual del Club de Expertos en Seguridad de la Información y Digitalización (CESIN), de 450 responsables de ciberseguridad, el 55% considera que la soberanía es una preocupación para sus empresas.

Para aclarar la situación, el ministro de Economía, Bruno Le Maire, presentó la estrategia del gobierno para el cloud en 2021. Se creó un sello, «cloud de confianza», para certificar la soberanía de un servicio. Este se basa en el referente SecNumCloud 3.2 de la Agencia Nacional de la Seguridad de los Sistemas de Información (ANSSI). Este último, que contiene unos 270 criterios, tiene como objetivo certificar, entre otras cosas, que el cloud está fuera del alcance de legislaciones extraterritoriales. En Estados Unidos, las leyes que generan temor son el Clarifying Lawful Overseas Use of Data Act, más conocido como CLOUD Act, y la sección 702 del Foreign Intelligence Surveillance Act (FISA). Para Henri d’Agrain, esta solución es adecuada para las preocupaciones de las empresas y administraciones afectadas: «SecNumCloud es un instrumento de soberanía. A este respecto, un servicio cloud que está calificado como SecNumCloud cumple con criterios de soberanía».

Perspectivas de los proveedores de cloud

Los servicios dedicados de Oracle y AWS no pretenden actualmente obtener la calificación SecNumCloud. Aunque esta perspectiva no está totalmente excluida, no es una prioridad. Ambos grupos estiman que proporcionan mejores clouds, al mismo tiempo que responden a la exigencia de soberanía.

Para Oracle, Damien Rilliard destaca que dos regiones cloud ya activas en Europa fueron construidas desde cero con este objetivo. «Son operadas por europeos, desplegadas por europeos, soportadas por europeos, aseguradas por europeos, y pertenecen a autoridades legales sujetas a europeos», afirma. Avanza que estas regiones están «completamente, física, lógica y organizacionalmente, separadas, aisladas del resto de nuestros clouds».

Por su parte, Amazon, para su oferta futura, destaca principalmente su herramienta de cifrado Nitro. «La idea detrás de Nitro es que si un juez, una administración, sin importar su país de origen, nos solicita datos, la única respuesta que tenemos siempre es que somos incapaces de proporcionarlos en claro». Solo el cliente de AWS tiene acceso a sus datos, por lo que es él quien decide responder o no a las órdenes extraterritoriales estadounidenses, afirma Stephan Hadinger, director de tecnología de AWS Francia.

Ambas empresas aseguran haber auditado la robustez de sus soluciones con resultados plenamente satisfactorios. No obstante, algunos interlocutores expresan dudas. Aun así, SecNumCloud es obligatorio para los servicios públicos y altamente recomendado para las empresas que manejan datos sensibles o estratégicos. Para AWS y Oracle, esto no es un problema, sería solo cuestión de tiempo: ambos grupos tienen en la mira la European Union Cybersecurity Certification Scheme for Cloud Services (EUCS). Una certificación cloud a escala europea que está en discusión y destinada a suplantar el SecNumCloud.

Estrategias de Microsoft y Google

Frente al enfoque europeo de AWS y Oracle, Microsoft y Google han optado por otro camino, específico para el mercado francés. Han decidido formar asociaciones con empresas francesas para permitir la obtención de la calificación SecNumCloud en el lanzamiento de los servicios, previsto para finales de 2024.

Microsoft es socio técnico de una empresa llamada Bleu, fruto de una alianza entre Orange y CapGemini. «Hemos querido ser radicales respecto a SecNumCloud al no incluir a actores no europeos en el capital», explica Jean Coumaros, CEO de Bleu.

Google, por su parte, creó una joint-venture con Thales para dar origen a S3NS. «La exigencia de SecNumCloud fija en un 24% la participación de un actor no europeo, estamos muy por debajo de eso», informa Cyprien Falque, CEO de S3NS. Precisa que «Google tiene un puesto de observador: sin ningún derecho de voto, sin derecho de veto y todos los empleados son empleados de Thales». Curiosamente, ni Bleu ni S3NS mencionan la noción de soberanía en su comunicación reciente. «Cualquiera puede reclamar que es cloud soberano ya que no hay una definición precisa», apunta Jean Coumaros. Cyprien Falque coincide: «Evitamos hablar de cloud soberano, ya que es un término desvirtuado. Preferimos acercarnos a algo objetivo, que no genere debate como el cloud de confianza».

Autonomía estratégica: una búsqueda francesa

La vía emprendida por Google y Microsoft es vista como un compromiso satisfactorio por algunos: «En teoría, S3NS y Bleu deberían ofrecer soluciones conformes con el referente SecNumCloud en su versión 3.2. Esto da un nivel de confianza razonable frente al FISA o al CLOUD Act», considera Henri d’Agrain del Cigref. Esto también responde a la voluntad expresada por Bruno le Maire durante la presentación del cloud de confianza en 2021. Su estrategia pretendía ser un equilibrio para aprovechar las «mejores tecnologías» garantizando una «protección máxima».

El argumento no convence a todos. La perspectiva de una certificación de S3NS y Bleu sería un «descrédito mayor para la norma», juzga Bertrand Leblanc-Barbedienne, del medio SouveraineTech. Este último, que trabaja para una empresa activa en el cloud, Whaller, argumenta: «No se trata de decir que no hay una gran potencia tecnológica estadounidense, se trata de decir que a medio o largo plazo tenemos la capacidad de alcanzar ese nivel, siempre que nos liberemos de ese soft power que nos ha contaminado y distorsiona nuestra visión».

Este razonamiento también se refleja en el análisis de Ophélie Coelho, autora de un libro sobre la geopolítica del ámbito digital. Según ella, SecNumCloud no aborda correctamente el problema, aunque la intención sea buena. La idea de impedir que Estados Unidos, China u otro estado con capacidades técnicas accedan a datos europeos con fines de espionaje económico es una ilusión. Una opinión ampliamente compartida por varios interlocutores. Así, «la verdadera cuestión es saber producir la tecnología y controlarla, en lugar de buscar estrategias para controlar tecnologías que no nos pertenecen».

Esta perspectiva se alinea con el sentido que ha tomado la noción de soberanía digital en Francia desde su primera utilización en 2011, en un artículo firmado por Pierre Bellanger, CEO de la radio Skyrock. El profesor de derecho digital en la Universidad de Grenoble, Théodore Christakis, distingue «dos acepciones del término»: una clásica, la regulación, y otra que es «la soberanía como autonomía estratégica y capacidad de actuar en el ámbito digital sin estar limitado por dependencias externas».

La autonomía estratégica ha sido central en Francia durante décadas, y ahora se aplica al cloud. Incluso las ofertas locales, certificadas, utilizan software, hardware o capitales no europeos, recuerdan los proveedores de cloud estadounidenses. La cuestión no parece ser cerrarse a los servicios o tecnologías provenientes de Estados Unidos; nadie lo contempla ni lo desea. Más bien, se trata del grado de dependencia aceptable para la gestión de datos sensibles.

Es una cuestión eminentemente política. El gobierno actual ha prescrito su respuesta en Francia y ahora intenta integrarla a nivel europeo a través del EUCS.

fuente: Siecle Digital

encuentra artículos

newsletter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Subscription Form (#5)

LO ÚLTIMO