Cloud de confiance : derrière le vernis souverain, le pied dans la porte des Américains

Le gouvernement vient de présenter sa stratégie en matière de « Cloud », devant favoriser son développement en France. Deux ministres étaient dépêchés, en plus du secrétaire d'État au numérique Cédric O. Mais malgré la bonne volonté affichée, certaines décisions et déclarations passent mal.

La semaine dernière, Bruno Le Maire (ministre de l’Économie), Amélie de Montchalin (ministre de la Transformation) et Cédric O (secrétaire d'État chargé de la Transition numérique) tenaient une conférence pour présenter la nouvelle stratégie nationale pour le cloud. Avec un premier objectif, ne pas réitérer les ratés du Cloud souverain.

Promis, cette fois sera la bonne

Cette expérience datant de 2012 a eu des répercussions pendant de longues années sur l'écosystème, avec comme point final la fermeture de Cloudwatt par Orange en février 2020. C'est d'ailleurs ce qui explique qu'une terminologie différente soit utilisée. On parle donc plutôt de « Cloud de confiance », impliquant l'ANSSI.

Le sujet s’inscrit dans le cadre d’une série d’annonces sur l’informatique quantique et la cybersécurité alors que les données des français, sociétés et institutions doivent être protégées. Or, les principaux acteurs du secteur sont aux États-Unis (Amazon, Google, Microsoft, etc.) et sont soumis aux lois extraterritoriales américaines, comme le Cloud Act. Le cas du Health Data Hub (HDH) a bien montré les problèmes que cela pouvait poser.

Le gouvernement a donc planché sur des solutions et présenté ses conclusions devant favoriser « la transformation de nos entreprises et de nos administrations, la souveraineté numérique et la compétitivité économique », avec un label « de confiance » à la clé pour les acteurs sachant montrer patte blanche.

Mais derrière cette volonté de placer le cloud « au centre » et de développer une politique industrielle, on note une présence appuyée des grands acteurs américains, qui se sont préparés une place de choix dans ce dispositif.

De bonnes intentions au départ

Bruno Le Maire affirme que la première étape, le « cloud de confiance français », est en gestation depuis « maintenant près de deux ans » et balaye d’un revers de la main les précédents essais :

« Il y a déjà eu beaucoup de tentatives de faire des clouds de confiance, des clouds souverains, et qui ont échoué tout simplement parce que je crois que nous n’avions pas tenu compte ni des réalités technologiques ni des attentes des entreprises ni des attentes des administrations »

Le ministre affirme avoir appris des erreurs du passé et cherché à proposer « une offre solide qui s'inscrit aussi dans un cadre européen et notamment dans le cadre de l'initiative Gaia-X ». Pour rappel, Gaia-X n’est pas un cloud souverain européen, mais une place de marché où des entreprises peuvent proposer des services, en respectant un cahier des charges strict, notamment sur la portabilité et la confidentialité des données. 

Ces derniers mois, on a d'ailleurs vu plusieurs acteurs américains et asiatiques se positionner au sein du projet.

• Gaia-X : genèse et ambitions du projet européen
• Cloud : le projet européen Gaia-X « ne veut pas réinventer la roue »

Citant la santé et l’intelligence artificielle comme deux secteurs où les données ont une importance extrême, Bruno Le Maire rappelle que « les données sont stratégiques » et qu’il « faut donc les protéger ». Des déclarations qui interviennent après les multiples ratés et contestations autour du Health Data Hub, hébergé par Microsoft Azure.

Pour le ministre, il faut « garantir la protection maximale des données aux entreprises et aux administrations ». Sur ce point, le label SecNumCloud (sécurité numérique du cloud) de l'ANSSI est mis à contribution pour assurer « un niveau de protection technique des données parmi les plus élevées au monde ».

Un second aspect tout aussi important est mis en avant : la sécurité juridique, notamment face au Cloud Act américain. « Nous garantissons avec le cloud de confiance une indépendance totale par rapport aux lois extraterritoriales américaines », affirme Bruno Le Maire. Pour s’en assurer, « les entreprises qui utilisent et vendent ce cloud doivent être européennes et possédées par des Européens ».

Est-ce à dire que ceux qui ne sont pas qualifiés par l'ANSSI ne sont pas « de confiance » ? La terminologie utilisée semble poser problème ici ou là, il faudra voir si elle sera maintenue lors des prochaines discussions.

Des administrations à l'ère du Cloud

Amélie de Montchalin est revenue plus particulièrement sur le cas des administrations françaises, qui vont devoir s’attacher à une nouvelle doctrine dont la maxime est : le « cloud au centre ». « Elle pose comme acte principal le fait que désormais, le cloud est le mode d'hébergement par défaut des projets numériques des administrations ».

Les projets « sensibles », contenant des données personnelles ou stratégiques, devront être « hébergés soit dans le cloud interne de l'État […] soit par un cloud externe de confiance qui respecte les critères » du cloud de confiance français, ce qui comprend donc a minima une qualification SecNumCloud de l’ANSSI.

• Le référentiel des services d’informatique en nuage (SecNumCloud) de l'ANSSI
• Les produits et services qualifiés par l'ANSSI 

Trois sociétés certifiées SecNumCloud, l’ANSSI lance un appel

Lors de son intervention, Guillaume Poupard, directeur de l’ANSSI, a rappelé que l’Agence travaille sur ce label depuis 2015-2016 : « On a une version stabilisée du référentiel depuis 2018 […] On a 50 pages de règles qui s'appliquent et permettent de s'assurer que ces offres sont bien pensées en termes de sécurité, d'architecture, de résilience ».

Les exigences s’appuient sur « des choses qui sont également des standards, ce n'est pas uniquement des lubies de l’ANSSI qui sont dans ce référentiel ». Trois industriels ont déjà obtenu le précieux sésame. « On peut les citer vu qu’ils ont été qualifiés. On a eu Oodrive d'abord pour des solutions logicielles dans le cloud, et ensuite Outscale et OVHcloud, qui ont reçu une qualification sur certaines de leurs offres ».

Car le label SecNumCloud ne concerne pas les pratiques d'un hébergeur dans son ensemble, mais ses produits. Il n'est d'ailleurs pas forcément « contaminant » et un acteur proposant une solution basée sur des produits SecNumCloud doit lui-même se faire certifier pour obtenir le fameux sésame et donc accéder à certains marchés.

Un dispositif vu comme une barrière difficile à franchir pour certains acteurs. Poupard croit néanmoins en son extension et incite à contacter l’ANSSI : « on fera volontiers une sorte de préanalyse sur l'éligibilité à cette qualification, sachant que c'est ouvert à tout le monde a priori, et en espérant très nettement augmenter le catalogue aujourd'hui disponible à la fois pour les grandes entreprises et les grandes administrations, mais également pour les PME ».

Des traitements de dossiers sont-ils en cours ? Aucune précision n’a été donnée.

« Le problème, c'est la forme »

Jusque-là, tout allait à peu près bien, donc. Mais la mauvaise surprise pour les acteurs français du cloud est venue à l'annonce d'un des piliers de la stratégie du cloud de confiance : « l'accès aux meilleurs services mondiaux ».

Pour Bruno Le Maire c’était « probablement le point d'achoppement des précédentes tentatives de créer des clouds de confiance et des clouds souverains ». Des entreprises avaient en effet été créées de toutes pièces, en finançant des acteurs locaux qui n'ont pas vraiment su transformer l'essai, plutôt que de se reposer sur des hébergeurs déjà développés à l'époque, comme ceux qui sont devenus OVHcloud ou Scaleway. 

Il faut donc les embarquer dans l'aventure désormais. Uniquement les Français ? Non, car « les meilleures entreprises de services mondiaux aujourd'hui sont américaines » a ajouté le ministre. Un message qui n'a pas vraiment été apprécié par Yann Léchelle, patron de Scaleway : « Je ne comprends pas, en matière d’impôts ou en matière de protection de l’environnement ? » s'est-il interrogé sur Twitter.

• Cloud de confiance : Scaleway note des avancées mais « l’État semble abdiquer toute ambition »

Ce qui a été reproché au ministre – qui n'a pas hésité à en appeler à la stratégie du nucléaire français – est d'avoir à de multiples reprises vanté les mérites des géants américains du cloud dans son propos. Ce, sans un mot pour des entreprises françaises d'envergure, innovantes, déjà bien implantés au niveau mondial. Une stratégie jugée contre-productive, déjà observée pendant ce mandat. 

Cédric O a en effet tenu un discours similaire récemment, estimant que d'une certaine manière, les acteurs américains du cloud étaient destinés à la victoire, ne serait-ce que par leur capacité d'investissement sans commune mesure. « Et sans les pouvoirs publics pour leur tirer dans les pattes », ironise l'un de nos interlocuteurs.

Une licence pour « les meilleurs », américains

L'annonce est ainsi tombée : « Nous avons donc décidé que ces meilleures entreprises de services américaines, je pense en particulier à Microsoft ou Google, pourraient licencier tout ou partie de leur technologie à des entreprises françaises ».

But de l’opération : « conjuguer protection maximale et valorisation maximale des données », avec des services américains gérés par des Européens.  À la question « le mécanisme de licence suffit-il à lui seul pour contrer les lois extraterritoriales comme le Cloud Act ? », la réponse de Cédric O est directe : « oui ».

On doit pour le moment croire le secrétaire d'État sur parole, puisqu'aucun détail n'a été donné sur ce point. Il faudra d'ailleurs s'attarder sur la question des contrats qui seront passés avant d'en juger sur le fond, même s'il y a peu de chances qu'ils soient rendus publics. Sans parler des éventuelles évolutions législatives américaines qui pourraient suivre, ou FISA soulèvent certains. Le code des outils installés sera-t-il audité ? Impossible à dire.

Cette stratégie des licences est dans tous les cas poussée par Google et Microsoft, qui ont préparé le terrain à de telles initiatives et y voient une manière de conquérir de nouveaux marchés malgré leur nationalité. Elle était également soutenue par des instances patronales, MEDEF en tête, selon plusieurs de nos interlocuteurs.

Le précepte défendu serait ainsi que les Direction des Systèmes d'Information (DSI) sont déjà dépendantes des outils des plateformes américaines, et qu'il faut trouver une solution pour continuer à les utiliser tout en ajoutant une dimension « souveraine », plutôt que de chercher à faire évoluer leurs mentalités et leurs pratiques.

Ce qui explique sans doute la présence de Geoffroy Roux de Bézieux, président du MEDEF, pour qui ce système de licence « est une bonne solution ». Il cite en exemple l'accord passé entre OVHcloud et Google en novembre dernier, affirmant qu’il y en aura d'autres, notamment avec Microsoft. « On sait qui est dans les tuyaux. J'ai vu le patron de Microsoft France, il n’y a pas très longtemps, il y est assez favorable », affirmait-il lors de la conférence.

Certains évoquent Orange ou OVHcloud comme partenaires français. Nous n'avons pas encore pu le confirmer.

• OVHcloud s'associe à Google pour « co-construire une solution de confiance en Europe »

Vers un Google Cloud Platform by OVHcloud

Ainsi, chez l'hébergeur roubaisien, tout va bien. Les annonces effectuées collent à la stratégie développée ces dernières années, visant à multiplier les partenariats, qu'il s'agisse de proposer les outils de Google ou d'autres acteurs. OVHcloud a pour rappel aussi annoncé « une solution cloud de confiance 100 % européenne » il y a quelques mois, en partenariat avec Atos. Le but était de combiner « Atos OneCloud, le puissant guichet unique d’offres d'Atos, avec les solutions innovantes d’OVHcloud basées sur des infrastructures souveraines ».

De quoi positionner la société en bonne place sur le marché français et accompagner l'annonce de son entrée en bourse qui pourrait intervenir d'ici quelques mois. En interne, les choses avancent et on planche notamment sur un changement de nom de l'offre construite autour de Google Anthos. L'un des noms retenus serait ainsi GCP (Google Cloud Platform) by OVHcloud. Selon nos informations, le choix définitif n'est pas encore fait.

Cela explique sans doute la publication d'un communiqué plutôt positif, dans lequel l'hébergeur « soutient cette avancée significative pour la souveraineté des données et l’écosystème Européen ».

Michel Paulin ajoute accueillir « avec enthousiasme cette orientation stratégique de l’Etat Français [qui] nous apparaît d’autant plus pertinente pour servir la souveraineté des données des administrations et des entreprises françaises, qu’elle s’appuie sur un écosystème qui sortira renforcé et dynamisé. Elle va nécessairement soutenir un large panel d’acteurs essentiels à la maîtrise de notre destinée numérique, OVHcloud va poursuivre ses investissements pour proposer des solutions innovantes de confiance dans un cloud ouvert, transparent réversible et respectueux de l’environnement ».

Interrogé ce matin sur BFM Business, Octave Klaba assume : « Ce que les clients demandent, ce sont les services [...] Quelque part, nous, à partir du moment on l'on peut nouer un partenariat avec quelqu'un autour du software, comme Google, Mongo DB, VMWare ou Nutanix, plein de logiciels qu'on a déjà et plein que l'on va signer, notre objectif est de les faire tourner dans nos datacenters et de les proposer à nos clients, mais aussi de développer des logiciels open source et créer des communautés autour de logiciels qui n'existent pas encore ». 

Des propos qui laissent peu de place aux doutes ou aux risques potentiels de voir ainsi des acteurs étrangers, en situation de pouvoir imposer leurs conditions du fait de leur poids, placer un pied dans la porte. Paulin précise seulement que « la possibilité de solutions hybrides ne doit en aucun cas entamer notre détermination à faire émerger encore davantage de solutions cloud européennes, tant au niveau de l’infrastructure que sur les couches logicielles ». Mais il n'évoque pas les garde-fous contractuels mis en place pour éviter de se retrouver d'ici quelques années dépendant de son partenariat avec Google, avec les risques que cela comporte.

On nous assure néanmoins que c'est bien le cas. Espérons qu'OVHcloud saura mieux détailler sa stratégie sur ce point à l'avenir, notamment lorsqu'Anthos prendra plus d'ampleur dans son offre.

« Le cloud de confiance existe déjà »

Même son de cloche chez 3DS Outscale, filliale Cloud de Dassault, dont certains produits sont déjà qualifiés SecNumCloud et qui « se félicite de répondre aux critères de confiance énoncés par le gouvernement ». La société se félicite d'ailleurs d'avoir initié le concept avec sa création il y a 10 ans « dans le but de répondre aux enjeux de souveraineté des entreprises et administrations ».

Elle ajoute déjà participer « à la transformation numérique de l'action publique avec la solution Osmose de Jalios, utilisée par la direction interministérielle du numérique (DINUM) permettant aux agents de l'État et de ses établissements publics de créer un espace collaboratif dédié à animer une communauté professionnelle ».

Mais aussi à travers Swello qui « propose son nouvel outil de gestion des réseaux sociaux au gouvernement. Un gage de confiance majeur dans la réussite des objectifs du gouvernement à accélérer la transformation numérique des administrations. Swello symbolise le succès de solutions françaises au sein d'un écosystème d'excellence ».

De Gaulle or not De Gaulle

Mais certains pointent d'ores et déjà le risque inhérent à une telle stratégie. Car si les géants américains du cloud sont principalement des loueurs plutôt que des constructeurs de datacenters, où ils installent leurs services un peu partout dans le monde, cette mécanique de licence pousse un peu plus loin la manière de faire.

Les sociétés françaises partenaires leur permettent d'ajouter un label « souverain », grâce auquel ils pourront asseoir leur domination locale de manière croissante, à peu de frais. Et en appuyant si fort cette décision, le gouvernement semble mettre à leur disposition les infrastructures des acteurs locaux, qui devront supporter tout l'investissement et voir une part de la valeur partir dans les mains d'acteurs déjà omniprésents et tout-puissants.

« On espère au moins que le paiement des licences ne passera pas par l'Irlande ou le Luxembourg », ironise un fin connaisseur du marché, qui y voit un recul du gouvernement sur la défense de l'écosystème français du cloud. 

On s'étonne d'ailleurs du parallèle utilisé par Bruno Le Maire qui compare la situation à celle du nucléaire français : « Ce qui a été fait sur le nucléaire dans les années 60 avec les licences américaines, et avec le même souci d'indépendance et de souveraineté, nous le faisons en 2021 sur les données dans le cadre du cloud souverain ».

Il semble oublier que ces licences n'ont pas d'impact pour les fournisseurs d'électricité ou leurs clients. Cette stratégie visait à développer un parc de centrales, comme on déploie des datacenters autour de processeurs américains, de cartes mères et de périphériques de stockage conçus en Asie. 

Les services de cloud sous licence de Google et Microsoft seront, eux, en contact direct avec les services publics qui les exploiteront, les développeurs et entrepreneurs. Avec au bout, des dépendances à leurs concepts, leurs outils, les habitudes qu'ils génèrent. Et avec quels gages de réversibilité, de réciprocité ? Des sujets peu évoqués.

Le cloud à la française : du PaaS au SaaS ?

La « stratégie industrielle ambitieuse » du gouvernement dans le cloud est de toutes façons ailleurs. Elle prend la forme de soutiens directs à des projets « notamment les technologies critiques telles que les solutions PaaS pour le déploiement de l’intelligence artificielle et du big data ou encore les suites logicielles de travail collaboratif et doit permettre à l’Europe et à la France de progresser dans sa souveraineté technologique ».

Cinq projets ont déjà été identifiés via un appel à manifestation d’intérêt pour un montant total de 107 millions d'euros impliquant « des grands groupes, des PME, des start-ups et des organismes de recherche, et [couvrant] les domaines des plateformes de travail collaboratives, du edge-computing, notamment dans le contexte de l’IoT, ainsi que des communications sécurisées ». Leurs débuts sont attendus dans les prochains mois.

Bruno Le Maire rappelle qu’il existe un Projet Important d’Intérêt Européen Commun (PIEEC) « qui va être développé sur ces questions de services dans le cadre du cloud ». Plus concrètement, il doit permettre « de développer une offre de Cloud européenne verte dans les domaines de rupture technologique, tels que le edge computing. Ce PIEEC permettra la mobilisation de fédérations d’acteurs dans l’optique de créer des projets transformant tels qu’une suite de bureautique collaborative européenne ». Ce qui doit plaire à HubiC.

À quand les premières offres ? Quid du Health Data Hub ?

Il faut maintenant passer des paroles aux actes. À la question de savoir quand les premières offres labellisées Cloud de confiance seront disponibles, Cédric O répond que pour celles « qui ont déjà été labellisées SecNumCloud, je pense que ça devrait être très rapide ». Pour les autres, il faudra certainement attendre « les mois qui viennent ». 

Amélie de Montchalin est de son côté revenue sur le cas du Health Data Hub, hébergé pour le moment sur Microsoft Azure, mais qu’il doit quitter d’ici 2022. « Dans quelques mois, nous devrions voir arriver ces solutions labellisées Cloud de confiance et dans les 12 mois qui suivront au maximum, le Health Data Hub, comme d'autres solutions aujourd'hui hébergées dans le cloud, auront à migrer vers ces solutions ».

Est-ce que l'on peut alors imaginer que cela puisse toujours passer par Azure, mais de manière souveraine, via un cloud français « de confiance » sous licence de Microsoft ? L'avenir nous le dira.