Cloud de confiance : le jour d’après

Le 17 mai, le secteur du cloud français était mis à l'honneur par le gouvernement. Tout le monde (ou presque) affichait un grand sourire. 10 jours plus tard, Microsoft annonce son partenariat avec Capgemini et Orange qui créent la société Bleu. Nombreux sont les concurrents à voir rouge ou à être verts.

Il y a une dizaine de jours, le gouvernement annonçait sa nouvelle doctrine en matière de cloud, demandant aux administrations de recourir plus systématiquement à ce type de services pour ses projets numériques, finançant diverses initiatives. Un nouveau label était créé pour l'occasion : le « cloud de confiance », permettant de se reposer sur des acteurs français ou européens qualifiés SecNumCloud par l'ANSSI lorsqu'il s'agit de données sensibles. 

Cloud de confiance et licences : c'est parti !

Mais cette approche se voulait également « pragmatique », cherchant à concilier deux besoins. Le premier est l'accès aux « meilleurs services », ceux de Google et Microsoft selon les propos de Bruno Le Maire. Il ne fallait ainsi pas bouleverser les DSI françaises (représentées par le MEDEF) et leurs habitudes. Le second était de mettre les données hors de portées des lois extraterritoriales comme le Cloud Act américain. Une conciliation difficile, mais devenue vitale pour les grandes plateformes, notamment depuis Schrems 2. 

La solution trouvée est celle des licences, permettant à des acteurs tels que Google ou Microsoft de proposer leurs services à travers les infrastructures de fournisseurs de services cloud (CSP) français. C'était déjà le cas en pratique, ces sociétés louant principalement leurs infrastructures à des hébergeurs locaux en Europe. Mais l'organisation juridique est différente. Et surtout, l'ensemble peut se targuer d'un label « de confiance ».

Une situation qui n'a pas manqué de faire réagir, comme nous l'évoquions dans un article publié mardi. Mercredi, Scaleway publiait une lettre ouverte, dans laquelle son patron Yann Léchelle reprochait au gouvernement d'avoir « abdiqué toute ambition » et son manque de soutien à une filière qui comporte pourtant des acteurs performants à l'international. Tout en se montrant sceptique sur la protection juridique réellement apportée par les licences. 

• Cloud de confiance : derrière le vernis souverain, le pied dans la porte des Américains
• Cloud de confiance : Scaleway note des avancées mais « l’État semble abdiquer toute ambition »

Mais surtout, l'annonce de la semaine dernière n'était là que pour anticiper ce qui nous attendait cette semaine : l'arrivée de Microsoft Azure chez un CSP français. Le secteur bruissait de rumeurs ces dernières semaines, OVHcloud espérait même conclure un tel deal selon certains. Mais finalement, ça n'a pas été le cas.

C'est Orange qui a remporté la mise, s'associant à rien de moins que Capgemini pour la création prochaine d'une entreprise conjointe nommée Bleu (Azure, Bleu, vous l'avez ?). Elle proposera un cloud de confiance qui espère bien être rapidement qualifié SecNumCloud par l'ANSSI, avec Microsoft comme seul partenaire technique.

Une initiative qui a immédiatement reçue les félicitations de Bercy. Mais aussi du Cigref qui, hasard du calendrier, publiait le même jour son propre référentiel sur le cloud de confiance. L'association, qui représente de grandes entreprises et administrations publiques françaises, dit accueillir « favorablement, et avec grand intérêt » l'arrivée de Bleu, « une bonne nouvelle, tant pour les utilisateurs que pour la stimulation de la filière européenne du cloud ».

Mais cette annonce soulève de nombreuses questions. Et pour le moment, des zones de flou demeurent. On espère néanmoins que le cloud de confiance à la française misera rapidement sur la transparence pour convaincre.

Capgemini et Orange, un attelage inattendu

Lorsque nous avons interrogé des acteurs du secteur la semaine passée, nombreux étaient ceux qui regardaient les annonces de la doctrine cloud avec calme et recul, voyant parfois un danger, mais sans forcément en mesurer le potentiel. Avec l'annonce de Bleu, surtout si peu de temps après, le ton a radicalement changé.

L'un des points de tension est la présence de Capgemini. La société est un acteur central dans l'écosystème numérique français. Il a même remporté en mai 2020 le marché public de l'Union des Groupements d'Achats Publics (UGAP) pour les services d’informatique en nuage (cloud externe, C3).

Sur son site, cette dernière explique d'ailleurs comment se passent les processus de commande avec Capgemini comme prestataire unique pour l'ensemble des fournisseurs disponibles. Des fournisseurs qui seront bientôt... les concurrents de Bleu. Est-ce que cela ne pose pas un problème ? Est-ce que l'Ugap compte réattribuer ce marché public ? Interrogée, l'Union n'a pas encore répondu à nos questions, mais promet de le faire sous peu.

Dans tous les cas, Capgemini et Orange se connaissent bien. En janvier dernier, elles annonçaient même la création d'une autre société commune, avec Sanofi et Generali cette fois, « dont l’ambition est d’accélérer le développement de solutions concrètes en matière de santé et leurs mises à disposition sur le marché au bénéfice des patients ». Capgemini est aussi intervenu comme conseil dans le cadre du projet Orange Bank.

L'entreprise apparaît aussi dans des documents relatifs au Health Data Hub, publics ou auxquels nous avons pu avoir accès. Il sera d'ailleurs intéressant de voir si Bleu se positionne pour son futur hébergement qui doit justement migrer des serveurs de Microsoft Azure vers un cloud de confiance opéré par un acteur français. 

Alors que Bruno Le Maire et Cédric O assuraient de ne pas vouloir reproduire les erreurs du cloud souverain de 2012, « c'est exactement cela que l'on reproduit aujourd'hui. Mais à la place d'OpenStack, on met Azure » commente un observateur du secteur. Une couche logicielle maitrisée par Microsoft et elle seule.

Serveurs, fiscalité, quelles garanties ?

Du côté de l'offre telle quelle sera implémentée, nous avons pour le moment peu d'informations. Chez Orange on nous répond en effet que la société n'est pas encore créée et qu'il est un peu tôt pour évoquer certains éléments.

Nous avons ainsi demandé à l'entreprise dans quels datacenters du groupe elle comptait héberger les serveurs, et si ceux-ci seront ou non fournis par Microsoft, clé en main. Une pratique qui est plutôt dans les habitudes de l'entreprise pour de tels partenariats, un point sur lequel il faudra être attentif. Car si Microsoft fourni les serveurs et la couche logicielle, et que Bleu n'assure que la location des murs, la facturation et un « proxy » juridique, cela pourrait apparaître comme léger pour assurer à certains de la confiance qu'ils peuvent avoir dans l'offre proposée.

À tout le moins, il faudrait alors que Bleu fournisse des garanties strictes sur la manière dont elle s'assure de la sécurité des données, de l'absence de failles et fuites et si des audits techniques (du code source) seront menés.

S'agissant de fournir des services « aux Opérateurs d’Importance Vitale (OIV), aux Opérateurs de Services Essentiels (OSE), à l’Etat français, à la fonction publique, aux hôpitaux et aux collectivités territoriales requérant la mise en place d’un Cloud de Confiance adapté au degré de sensibilité de leurs données et à leur charge de travail », on s'attend aussi à ce que les revenus remontés à Microsoft le soient en France.

Sur ce point, nous avons interrogé Bercy, concernant les garanties qu'il avait demandé aux acteurs plébiscités lors de sa conférence de presse, sans réponse pour le moment. Nous tenterons d'en savoir plus.

Chez les CSP, (presque) pas de commentaires

Suite à cette annonce, nous avons interrogé certains des fournisseurs proposés par l'Ugap via Capgemini. De son côté, 3DS Outscale n'a pas souhaité répondre à nos questions et nous a seulement partagé une déclaration.

La filiale de Dassault souhaite « bienvenue à ce nouveau consortium avec Microsoft qui a pour ambition d'obtenir l'ensemble des certifications ISO, HDS ou SecNumCloud tout en répondant aux réglementations européennes comme le RGPD ou les codes de conformité à Gaia-X sur la portabilité, l'interopérabilité et la transparence ».

Elle ajoute ce qu'elle nous avait dit pour notre précédent article : « depuis 10 ans, le Cloud de confiance est la vision de 3DS OUTSCALE. Nous servons les entreprises et institutions avec des services Cloud conformes aux exigences de sécurité les plus élevées comme SecNumCloud et HDS. De nombreux éditeurs de solutions logicielles nous rejoignent car nous représentons tous ensemble une alternative crédible et souveraine. L'autonomie technologique n'est pas une opportunité commerciale. C'est pour nous une véritable mission en France comme en Europe ».

De son côté, Octave Klaba semblait critiquer l'annonce de Bleu hier soir sur Twitter. Nous avons donc contacté OVHcloud pour tenter de comprendre la position de l'entreprise, qui avait défendu la mécanique des licences et le cloud de confiance la semaine dernière. Nous avons eu droit à un simple « pas de commentaires ».

Arnaud de Bermingham, fondateur et Président de Scaleway n'y est pour sa part pas allé avec le dos de la cuillère. Là aussi sur Twitter, il a déclaré dans la foulée de l'annonce de Bleu : « Je n’ai pas de mots … avec un fabuleux mélange Office365/Azure comme sait si bien faire Microsoft dans des positions monopolistiques et avec la bénédiction de notre gvt. C’est la douche froide pour la tech française. Cette fausse souveraineté est un danger absolu » se disant choqué de la position de Capgemini. En réponse à un tweet de Cédric O, il a ajouté : « l’Etat privatise Azure, euh… Microsoft privatise l’Etat ». Ambiance.

Interrogé, le directeur général de l'entreprise, Yann Léchelle, ajoute que « cette annonce nous rend perplexe au point de remettre en question la confiance établie dans le cadre de C3. Nous avons de nombreuses questions et trop peu de réponses. La confiance se gagne difficilement, ne se décrète pas, mais se perd instantanément ».

Des acteurs du PaaS français plutôt remontés

Mais le domaine de l'hébergement (ou IaaS) n'est pas le seul à être concerné. C'est aussi le cas de ceux qui sont les concurrents directs d'Azure et Microsoft, ceux qui développent des solutions logicielles permettant d'exploiter les serveurs physiques à travers différents services. Ceux du PaaS (Platform-as-a-Service). 

Un secteur qui compte de nombreux acteurs français, là aussi reconnus mondialement. Rares sont ceux à s'exprimer publiquement, mais n'apprécient guère la séquence. « Nous n'avons même pas été informés par Bercy » nous confie pour sa part Quentin Adam, patron de Clever Cloud et co-Président de l'Open Internet Project (OIP). 

« J'ai l'impression que ces décisions sont prises sans tenir compte de ce qu'est réellement le Cloud, comment il fonctionne [...] pour établir cette doctrine, on ne s'est pas demandé où était la valeur, comment elle se répartissait. Elle est principalement dans la couche logicielle. Celle que l'on semble décidé à céder via les licences ».

Ce, alors que les solutions développées par Clever Cloud et d'autres acteurs français du secteur, comme Platform.sh ou Scalingo connaissent un succès grandissant, notamment face aux acteurs américains. « J'entends parfois que la guerre est perdue d'avance. Mais en réalité, la guerre du PaaS est à peine commencée [...] abandonner maintenant alors que tout reste à faire serait une erreur stratégique majeure ».

Un discours dont on se demande pourquoi il n'a pas été entendu dans le cadre du plan annoncé. Si en 2012 avec le cloud souverain, l'état était passé à côté des pépites de l'IaaS que sont OVHcloud et Scaleway au profit d'Orange et SFR, en 2021, l'histoire paraît se répéter. Mais cette fois, le gouvernement, qui se dit pourtant régulièrement « startup compatible », semble avoir mis les acteurs du PaaS de côté au profit de géants, étrangers.