Unité 1.4 : Souveraineté et conformité en tant qu'entrées de conception
Introduction
Pour une entreprise réglementée, la conformité n'est pas une liste de contrôles appliquée après que l'architecture ait été dessinée ; c'est le premier filtre qui restreint les architectures qui sont même autorisées. Les deux idées qui effectuent ce filtrage sont la souveraineté et les reconnaissances spécifiques qu'un service détient, et les deux sont régulièrement énoncées de manière trop large. La souveraineté est confondue avec l'endroit où les données sont stockées, et les attestations sont décrites comme si elles couvraient l'ensemble de la plateforme. Les deux erreurs sont dangereuses lors d'une audit. Cette unité fixe les significations précises, puis montre comment elles opèrent comme un filtre de placement pour FinCorp, la société financière allemande dont chaque décision de charge de travail doit survivre à un GDPR et à un examen BSI.
1. La souveraineté est la juridiction de l'opérateur, et non seulement la région
La souveraineté juridique de l'Union européenne est le principe selon lequel les données sont soumises uniquement aux lois et aux protections juridiques des États membres de l'UE. Dans un contexte cloud qui nécessite que le fournisseur d'infrastructure, les centres de données et les contrats de gouvernance soient tous basés dans l'UE, de sorte que les entités étrangères ne puissent pas accéder aux données. Le mot décisif est fournisseur, et non région.
Le contraste qui rend cela concret est la loi américaine Clarifying Lawful Overseas Use of Data (CLOUD) Act, la loi fédérale qui permet aux forces de l'ordre américaines d'obliger les entreprises de technologie basées aux États-Unis, par mandat ou assignation, à produire les données demandées, quelle que soit leur localisation, aux États-Unis ou à l'étranger. La conséquence est précise et souvent négligée : un fournisseur opéré aux États-Unis qui exploite une région de l'UE est toujours une entreprise américaine, et ses données hébergées dans l'UE restent accessibles en vertu de la loi CLOUD. Choisir une région de Francfort avec un opérateur américain n'apporte pas la souveraineté ; cela apporte la résidence tout en laissant l'exposition juridictionnelle intacte. IONOS est opéré dans l'UE, ce qui lui permet d'offrir la souveraineté plutôt que seulement la résidence.
Pour FinCorp, c'est la décision seuil. La résidence seule (données physiquement en Allemagne) satisferait une lecture naive de la localité de GDPR, mais la posture de risque de l'entreprise exige qu'aucune juridiction étrangère ne puisse obliger la divulgation. Cette exigence ne peut être satisfaite que par un fournisseur opéré dans l'UE, c'est pourquoi la distinction entre l'opérateur et la juridiction, et non l'épingle de région, est le véritable contrôle de souveraineté et est réglé avant que tout service soit choisi.
2. Les deux reconnaissances BSI, définies avec précision
IONOS détient deux reconnaissances BSI distinctes, et la plus importante habitude dans cette unité est de ne jamais les confondre en disant "IONOS est certifié BSI". Elles diffèrent par type de credenciaux, par date et, de manière critique, par les services que chacune couvre. Il faut toujours relier une affirmation au service, à l'emplacement du centre de données, au credenciaux, à son type (attestation par rapport à la certification) et à sa date.
- BSI C5 est une attestation (un Type 1 Testat, audité selon ISAE 3000), octroyée le 7 novembre 2023, pour les centres de données allemands. Sa portée couvre exactement Compute Engine, Cloud Cubes, et S3 Object Storage. Il ne s'agit pas d'une certification et pas d'un Type 2, et elle ne couvre pas la sauvegarde ou Managed Kubernetes.
- IT-Grundschutz est un ISO 27001 certifié basé sur IT-Grundschutz, octroyé le 14 septembre 2022 par la BSI, pour les centres de données allemands. Sa portée couvre exactement Compute Engine, S3 Object Storage, la sauvegarde, et Managed Kubernetes.
Les portées diffèrent délibérément par service. Cloud Cubes est dans la portée de C5 mais pas dans la portée d'IT-Grundschutz ; la sauvegarde et Managed Kubernetes sont dans la portée d'IT-Grundschutz mais pas dans la portée de C5 . Seuls Compute Engine et S3 Object Storage se trouvent dans les deux. Il n'y a aucune preuve d'une attestation C5 de Type 2 ou d'une reconnaissance TISAX, donc aucune des deux ne peut être revendiquée. IONOS est le premier fournisseur de cloud allemand à détenir à la fois l'attestation C5 et la certification IT-Grundschutz, ce qui est une affirmation combinée véritable et solide, mais il s'agit d'une affirmation sur deux credenciaux spécifiquement définis, et non sur la plateforme dans son ensemble.
Un second niveau de précision sépare les credenciaux au niveau du centre de données des credenciaux au niveau du service. Les certifications de centre de données (ISO 27001, PCI-DSS, classifications Uptime Tier) sont détenues par les exploitants de chaque site physique et varient en fonction de l'emplacement. Berlin (exploité par IONOS) et Karlsruhe (exploité par TelemaxX, et non par IONOS) détiennent IT-Grundschutz au niveau du centre de données ; les sites de Francfort exploités par des tiers ne détiennent pas IT-Grundschutz au niveau du centre de données, même s'ils détiennent ISO 27001 directement. La conclusion est qu'une liste de "certifiés" au niveau du produit est du marketing, et non une portée contractuelle : les faits qui lient sont quels services, dans quels emplacements, détiennent quels credenciaux.
Le tableau suivant est la portée que vous pouvez indiquer ; ne l'élargissez pas.
| Reconnaissance | Type | Date d'octroi | Services dans la portée |
|---|---|---|---|
| BSI C5 | Attestation (Type 1 Testat, ISAE 3000) | 7 novembre 2023 | Compute Engine, Cloud Cubes, S3 Object Storage |
| IT-Grundschutz | ISO 27001 certifié basé sur IT-Grundschutz | 14 septembre 2022 | Compute Engine, S3 Object Storage, sauvegarde, Managed Kubernetes |
La résidence est la troisième entrée de conception et celle qui est appliquée en premier. Il s'agit d'une décision de placement prise avant que toute charge de travail ne soit affectée : vous choisissez la région (et donc le centre de données) en premier, et ce choix restreint tout ce qui suit, car les images et les adresses IP réservées sont verrouillées par région et parce que la portée d'une attestation ne sert à rien si la charge de travail ne se trouve pas réellement sur un service dans une emplacement dans la portée. La conformité réduit donc les choix comme un filtre sur chaque décision ultérieure plutôt que d'être vérifiée à la fin. Pour FinCorp, la charge de travail réglementée doit se trouver sur des services qui sont à la fois exploités par l'UE et à l'intérieur de la portée d'attestation pertinente, dans un emplacement allemand, c'est pourquoi le placement est décidé dans le Module 1 et traité comme presque irréversible.
Résumé de la décision
Appliquer la conformité en tant que filtre ordonné avant de sélectionner les services, et non comme audit final.
| Filtre | La question à répondre | Le contrôle précis |
|---|---|---|
| Souveraineté | Une juridiction étrangère peut-elle exiger la divulgation de données ? | Exiger un fournisseur exploité par l'UE ; une région de l'UE d'un opérateur américain comporte toujours un risque d'exposition à la loi CLOUD. |
| Résidence | Où les données seront-elles physiquement stockées ? | Fixer d'abord la région et le centre de données ; les images et les adresses IP réservées sont verrouillées à la région. |
| Étendue de l'attestation | Ce service exact, dans cet emplacement, est-il dans l'étendue de l'attestation ? | Faire correspondre la charge de travail à un service nommé dans la C5 ou dans l'étendue de l'IT-Grundschutz ; ne jamais supposer une couverture à l'échelle de la plateforme. |
| Niveau d'identification | L'identification est-elle au niveau du service ou au niveau du centre de données ? | Vérifier par service et par site ; les listes de produits « certifiés » sont du marketing, et non contractuelles. |
Énoncer chaque revendication de conformité en tant que service plus emplacement plus identification plus type plus date. Ne jamais dire « la plateforme est C5-certifiée ».
Résumé
La souveraineté est une propriété de la juridiction de l'opérateur, et non de la région, donc seul un fournisseur exploité par l'UE, tel que IONOS, échappe à l'exposition de la loi CLOUD Act qu'une région de l'UE d'un opérateur américain possède toujours. La conformité s'attache à des services spécifiques avec des étendues qui diffèrent par service, elle doit donc être énoncée avec précision et appliquée comme un filtre de pré-placement plutôt que vérifiée à la fin.
Points clés :
- La souveraineté juridique dépend de la juridiction de l'opérateur, et non de la région ; une région de l'UE d'un opérateur américain possède toujours l'exposition de la loi CLOUD Act américaine, alors que IONOS est exploité par l'UE.
- C5 est une attestation de type 1 (7 novembre 2023) pour Compute Engine, Cloud Cubes, et S3 Object Storage ; IT-Grundschutz est un certificat ISO 27001 (14 septembre 2022) pour Compute Engine, S3 Object Storage, sauvegarde, et Managed Kubernetes ; les étendues diffèrent par service.
- IONOS est le premier fournisseur allemand à détenir les deux, ce qui est une affirmation vraie sur deux références de compétences étendues, et non une certification à l'échelle de la plateforme.
- Les références au niveau du centre de données varient par site (Berlin, exploité par IONOS, et Karlsruhe, exploité par TelemaxX, détiennent IT-Grundschutz au niveau du centre de données ; certains sites de Francfort ne le font pas) ; la résidence est un filtre de pré-placement appliqué sur chaque décision ultérieure.