Gaia-X a son premier catalogue de services cloud

Connaissez-vous Cloud Data Engine ? Cette SASU francilienne est née il y a quelques semaines. Elle assure l’exploitation et la maintenance du « premier catalogue fédéré de services cloud conformes aux exigences et standards Gaia-X ».

Ce catalogue est porté par le CISPE (communauté des fournisseurs d’infrastructure cloud en Europe). Les services qu’il référence respectent les critères de labellisation de Gaia-X tels qu’ils étaient en avril 2022.

Une mise à jour interviendra début 2024 afin de s’aligner sur la nouvelle version du framework prévue pour ce mois-ci.

Un consortium français en première ligne

Le sommet Gaia-X organisé ces 9 et 10 novembre à Alicante (Espagne) est l’occasion, pour le CISPE, d’accentuer la communication à propos de ce catalogue. Et d’y associer le GXFS-FR.

L’Institut Mines-Télécoms coordonne ce consortium qui réunit cinq autres membres fondateurs français de Gaia-X : Dawex, Docaposte, Eviden, OUTSCALE et OVHcloud. Comme son homologue allemand GXFS-DE, il travaille sur les spécifications nécessaires à la mise en œuvre de services fédérés (d’où le FS, pour federated services).

Lors du sommet Gaia-X 2022, le GXFS-FR avait pris le lead – avec le CISPE en arrière-plan – pour présenter un prototype dudit catalogue. On y trouvait alors 176 services localisés dans 16 pays (13 États membres de l’UE + Australie, États-Unis et Singapour) et émanant de 13 fournisseurs « principalement européens ».

Ce démonstrateur (illustré ci-dessous) implémentait 25 schémas de certification et codes de conduite. Dont une dizaine explicitement mentionnés dans le framework de labellisation. Parmi eux, SWIPO pour la portabilité. Et, pour la sécurité, SOC2, TISAX ou encore SecNumCloud et son pendant allemand C5.

Des filtres spécial SAP et VMware

Un an plus tard, le catalogue est passé en prod, avec la même structure, jusqu’aux filtres de recherche (certifications, type de service, couche, localisation, fournisseur). Le nombre de services référencés a toutefois augmenté, dépassant les 500.

On en reste à 25 schémas et codes de conduite. La catégorie « sécurité » en regroupe toujours l’essentiel, de HDS à l’ISO 27017 en passant par le « SecNumCloud espagnol ». Le critère environnemental a sa place, notamment avec l’ISO 50001 et le label « 100 % énergie renouvelable ». On trouve aussi des étiquettes spécifiques à certains acteurs. Par exemple SAP Partner Center of Expertise et VMware Principal Partner.
L’éventail de localisation des services s’est un peu réduit, à 10 États membres + Australie, Canada, Singapour, États-Unis et Royaume-Uni.

Sur le critère de localisation, on peut, au sein de chaque pays, affiner la recherche. Mais en fonction de ce qu’ont déclaré les fournisseurs, il peut exister des redondances d’étiquettes (image ci-dessus). « Paris – Paris », par exemple, renvoie, en fonction de celle qu’on sélectionne, vers des offres d’OUTSCALE ou d’Aruba. « Strasbourg – Alsace » affiche dans tous les cas des offres OVHcloud, mais pas forcément les mêmes produits.

Des fournisseurs européens… et AWS

Le nombre de fournisseurs référencés est passé à 14. Parmi eux :

– Quatre français (Ikoula, OUTSCALE, OVHcloud, Thésée DataCenter)
– Cinq italiens (Aruba, CoreTech, Irideos, Netalia, Opiquad)
– Trois espagnols (Arsys, Gigas, Jotelulu)
– Un néerlandais (Leaseweb)
– Un américain (AWS)

AWS est membre du CISPE et dispose d’un siège au board. Il y a placé son responsable aux affaires juridiques EMEA Stéphane Ducable.
La France a deux représentants à ce même board. D’une part, David Chassan, directeur de la stratégie d’OUTSCALE. De l’autre, Alban Schmutz. Ce dernier a occupé le poste de responsable des affaires juridiques d’OVHcloud. Il est aussi l’ancien président du CISPE (2016-2022)… et le président d’Axorya. Cette société née en 2022 est sise à la même adresse que Cloud Data Engine… et la contrôle (en tant que président, représenté par Alban Schmutz).

Le référencement au sein du catalogue est gratuit… si on est membre ou membre affilié du CISPE. Pour les autres, il faut, au-delà de cette considération, avoir adhéré au Pacte pour des centres de données climatiquement neutres. Il faut aussi se déclarer en accord avec le code de conduite pour la protection des données du CISPE ainsi qu’avec son initiative sur la portabilité des données.

La labellisation Gaia-X comporte trois niveaux. Au premier, les fournisseurs s’autocertifient. Le deuxième implique un audit. Le troisième aussi, avec des critères additionnels en matière de « contrôle européen ». L’audit n’est pour le moment exigé que sur les volets protection des données et cybersécurité.

Le catalogue vise autant les utilisateurs finaux que les « petits » fournisseurs cloud, invités à construire des offres de services sur cette base. L’idée est aussi d’encourager d’autres fédérations au sein des data spaces à déployer leurs propres catalogues incluant des règles sectorielles.

Illustration principale générée par IA