« Cloud Data Engine propose une plateforme SaaS pour la gestion et la digitalisation de la conformité », résume Alban Schmutz, cofondateur et CEO de l’entreprise. Pour mieux comprendre la vocation de la start-up, il faut remonter quelques années en arrière, à la création du projet européen Gaia-X.
Gaia-X : pour un cloud et des échanges de données respectueux des valeurs européennes
Cette association voit officiellement le jour en 2020, à l’initiative des ministres français et allemand de l’Économie, afin de travailler sur des standards et des règles concernant les domaines du cloud et de l’échange de données. Parmi ses cofondateurs figurent l’IMT, représenté par Anne-Sophie Taillandier, et Alban Schmutz, qui revient sur la raison d’être du projet : « L’idée générale de Gaia-X est de porter des valeurs européennes telles que la protection et la portabilité des données, la cybersécurité ou le respect de l’environnement, et de les transposer aux domaines du cloud et de l’échange de données. In fine, l’objectif est, entre autres, de créer des conditions favorisant le recours au cloud par les organisations européennes. Ce qui implique notamment de renforcer la transparence du marché et de faciliter le passage d’un fournisseur à un autre. »
Et la problématique est similaire du côté de l’échange de données. En effet, des entreprises d’un même secteur peuvent avoir intérêt à partager des informations entre elles, par exemple des établissements bancaires au sujet de la lutte contre la fraude. Mais une telle coopération nécessite la mise en place de règles, quant à la qualité des données, aux limites imposées à leur partage, au respect de certaines législations ou de normes environnementales…
De Gaia-X à Cloud Data Engine
Par conséquent, la question de la conformité occupe une place prépondérante au sein de Gaia-X. L’organisme a ainsi établi une labellisation comprenant trois niveaux : pour qu’un fournisseur obtienne un tel label, il doit démontrer sa conformité à un certain nombre de standards, relatifs aux valeurs européennes mentionnées précédemment. « Le niveau 3 est le plus strict et a été élaboré pour garantir le contrôle européen sur les données », précise Alban Schmutz. « Cette labellisation impose, par exemple, la localisation du siège social en Europe, la conformité totale au droit européen, ou encore l’impossibilité d’appliquer certaines législations étrangères extraterritoriales telles que le Cloud Act. » À travers cette démarche, Gaia-X souhaite contribuer à rendre le marché plus équitable, avec des normes applicables à tous, ce qui pourrait permettre à des acteurs européens de se faire une place face à des géants comme Amazon, Microsoft ou Google.
Néanmoins, l’association n’a pour but que de concevoir ces standards, pas de prendre en charge leur mise en œuvre opérationnelle auprès des entreprises. Cette mission est donc assurée par l’entreprise Cloud Data Engine, spin-off de Gaia-X incubée à IMT Starter. Un retour aux sources, en quelque sorte, pour Alban Schmutz, qui avait créé la première start-up accompagnée par l’incubateur à la fin des années 90 ! Dans cette aventure, il s’est associé à deux chevilles ouvrières de Gaia-X, parmi lesquelles le CTO de l’organisation.
Ce n’est donc pas un hasard si le premier outil développé par la start-up y est étroitement lié. Réalisé pour le compte de la CISPE (Cloud Infrastructure Service Providers Europe) – fédération regroupant les fournisseurs d’infrastructure cloud en Europe –, il s’agit du premier catalogue en ligne de services cloud présentant, pour chacun, le niveau de labellisation Gaia-X, entre autres critères disponibles.
Conformité aux normes environnementales et de cybersécurité
Cependant, Cloud Data Engine ne se contente pas de la gestion de la conformité aux standards de Gaia-X. « Nous ne nous intéressons pas uniquement au cloud et à l’échange de données, mais à la gestion et à la digitalisation de la conformité dans son ensemble », indique Alban Schmutz. « Aujourd’hui, notre plateforme est notamment en mesure de traiter les questions de reporting environnemental ou de certifications autour de la cybersécurité. »
Le premier cas d’usage s’adresse, entre autres, aux organisations qui souhaitent que les entreprises qu’elles financent respectent certaines règles environnementales, à l’image de la neutralité carbone. Mais comment s’en assurer ? « Aujourd’hui, cette vérification s’effectue à la main, en s’appuyant notamment sur les rapports annuels », note Alban Schmutz. « À l’inverse, notre solution permet de digitaliser ce processus, d’étudier la réalité des certifications affichées, mais aussi de vérifier le périmètre couvert par celles-ci. »
Cette digitalisation de l’étude de la conformité peut s’appliquer de la même manière sur les questions de cybersécurité. Par exemple, la récente directive NIS 2 impose aux entreprises des secteurs considérés comme critiques de respecter un certain nombre d’obligations en la matière. « Mais elles doivent aussi s’assurer que leurs sous-traitants présentent également les certifications nécessaires », ajoute Alban Schmutz. « Cloud Data Engine leur donne ainsi une visibilité opérationnelle sur l’ensemble de leurs prestataires, et ce, tout au long du contrat. » La plateforme suit en effet les certifications dans le temps et peut envoyer une alerte à l’utilisateur dès que l’une d’entre elles arrive à expiration. Par ailleurs, NIS 2 oblige aussi les organisations à s’intéresser aux « prestataires essentiels » – c’est-à-dire qui fournissent un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société – de leurs « prestataires essentiels », ce qui renforce le besoin d’une chaîne de confiance digitale.
Une plateforme au service de tous les acteurs de la conformité
En définitive, Cloud Data Engine permet aux organisations utilisatrices de services d’observer, simplement et en temps réel, la conformité de leurs prestataires, mais aussi d’en trouver de nouveaux qui respectent les mêmes exigences réglementaires. De plus, la start-up apporte également de la valeur aux fournisseurs de service. « Les investissements consentis pour la mise en conformité peuvent être considérables », constate Alban Schmutz. « Il est donc essentiel d’en tirer profit au maximum. Notre plateforme aide ainsi les fournisseurs à donner de la visibilité à leurs certifications, ce qui peut leur ouvrir les portes de nouveaux marchés. » Par exemple, une certification obtenue au sein d’un pays européen peut tout à fait rester valable dans un autre État, en traduisant son contenu.
Quant aux organismes certificateurs, ils trouvent aussi un intérêt dans la plateforme développée par Cloud Data Engine. Celle-ci, en digitalisant toute la chaîne de conformité, contribue en effet à fluidifier leur travail, ce qui leur permet de se concentrer sur leur cœur de métier : les audits et la délivrance de certifications.
Une telle simplification de la gestion de la conformité a toutefois nécessité d’importants travaux de R&D, une démarche toujours en cours au sein de la start-up. Celle-ci se penche notamment sur des questions d’interopérabilité des différents acteurs de la conformité, d’identifiants vérifiables – permettant d’attester l’authenticité des informations contenues dans une certification –, ou encore d’intelligence artificielle pour les données de conformité. « Certains des composants technologiques sur lesquels nous travaillons pourraient devenir des standards internationaux », annonce Alban Schmutz. Une nouvelle illustration de la place centrale occupée par la standardisation dans l’activité de Cloud Data Engine.