En marge de l’événement EcoEx, Michel Paulin et Octave Klaba sont revenus sur Anthos, leur partenariat avec Google désormais abandonné. C’était aussi l’occasion de lancer quelques piques à S3ns et Bleu, deux offres pas encore disponibles. Indirectement, Thales avait déjà répondu à certaines questions lors des Assises de Monaco il y a quelques semaines.
La question de la déconnexion est primordiale pour OVHcloud
Michel Paulin, directeur général d’OVHcloud, attaque bille en tête avec une comparaison des offres en développement chez ces concurrents : « C'est une voiture américaine sur un parking français, peinte en bleu blanc rouge ». Il détaille ses propos :
« Quelle est la valeur ajoutée profonde de développement que vous avez sur la stack […] ? Elle est réduite. Et on en sait quelque chose puisqu’on a discuté avec Octave pendant presque un an avec un de ces acteurs pour essayer de trouver un accord et on ne l’a pas trouvé… parce que justement il n'y avait pas un partenariat équilibré déconnecté ».
Thierry Souche, CTO d’OVHcloud, apporte des explications : « On avait lancé un produit avec Google qui s'appelle Anthos, qu’on a déconnecté. On l’a arrêté pour des raisons de souveraineté. On est intransigeant sur nos exigences en termes de souveraineté ». Pour rappel, Anthos avait été annoncé en 2020 et lancé commercialement fin 2021.
Michel Paulin confirme que le partenariat s’est arrêté, car « les conditions à long terme de la déconnexion n'étaient pas confirmées ». « N’étaient plus confirmées », précise rapidement Octave Klaba. Pour OVHcloud, la notion de déconnexion de Google est visiblement la ligne rouge à ne pas franchir et fait partie de sa nouvelle ligne de communication avec des « datacenters déconnectés » qui vont arriver pour assurer la « souveraineté opérationnelle ».
Le directeur général explique comment les logiciels VMWare (société américaine) sont utilisés dans ses datacenters et la différence fondamentale de fonctionnement avec Google : « on est déconnecté totalement, il y a aucun échange de données de quelque nature que ce soit ».
Octave Klaba précise les choses : « Soit on reçoit un CD, une disquette, une clé USB ou un téléchargement, et on opère avec nos équipes, soit on ne fait rien ». Pour filer la métaphore, dans le cadre d’Anthos, Google envoyait bien « des clés USB » pour commencer, mais après « ils ont dit on ne va plus vous envoyer de clés USB : c’est fini […] on va investir dans le software qu’on va manager ». Réponse d’Octave Klaba : « Parfait, managez-le » et fin du partenariat.
50 000 modifications par jour… comment suivre le rythme ?
Cette question du management des applications induit celle des mises à jour du code des services de Google et de Microsoft… qui peuvent atteindre une cadence infernale de « 50 000 modifications par jour », selon Michel Paulin. Ce dernier ressort du placard une histoire qui a quelques années maintenant :
« T-Systems avait un partenariat avec Microsoft sur lequel ils avaient mis en place justement le même type de stratégie que nous voyons aujourd'hui dans les deux autres acteurs. C’est un modèle qui était non déconnecté, mais comme les clients allemands voulaient avoir une visibilité, ils ont été obligés de créer un proxy […]
Pour pouvoir garantir que ce soit déconnecté, ils avaient créé un sous-ensemble qui n’était pas connecté aux clients et leurs ingénieurs vérifiaient que [les mises à jour] étaient bien conformes. Après ils reprenaient tout cela et les mettaient sur des systèmes en production.
Ça n'a pas marché parce que d'abord techniquement c'est d’une complexité incroyable. Deuxièmement, ils avaient un problème de coût – parce qu’ils étaient obligés de tout répliquer – et après un problème de délai parce […] garantir que ces modifications sont conformes à l'ensemble des réglementations et à la forme non déconnectée du modèle, ça prend du temps ».
Résultat des courses, leur solution était à la fois « plus chère et en retard par rapport aux releases de Microsoft », l’époque était aussi différente et les questions de souveraineté probablement moins prégnantes. Ce partenariat a été abandonné, mais l’opérateur allemand ne semble pas vouloir jeter l’éponge pour autant puisqu’il tente sa chance avec un autre géant du Net.
En effet, Céline Heller, responsable Trusted Cloud chez Google, expliquait aux Assises de la cybersécurité à Monaco que Google travaillait justement avec… T-System : « Il y a un certain nombre de partenariats qui se lancent, donc il y en a un en Allemagne avec T-System, il y en a un Espagne, il y en a un en Italie, il y en a un en Luxembourg et évidemment le partenariat avec Thales en France ».
Bleu et S3ns vues par Octave Klaba…
Durant la conférence, Octave Klaba a donné sa vision des offres S3ns et Bleu :
« Microsoft avec Orange et Cap Gemini [pour Bleu, ndlr] sont toujours sur cette idée de Microsoft qui pousse les mises à jour et a un moment quelqu’un prend le relais et met à jour l’ensemble du stack.
Thales avec Google [pour S3ns, ndlr] disent clairement que Google fait toutes les mises à jour et Thales fournit juste la couche de chiffrement. En gros ils disent : nous on va garantir que personne ne peut lire les données ».
S3ns : les mises à jour Google passent par une sandbox
Éric Brier, directeur technique de la business line Cyber Defence Solutions chez Thales, avait expliqué le mode de fonctionnement des mises à jour de S3ns lors d’une table ronde aux Assises de Monaco. Nous aurons d’ailleurs l’occasion de revenir plus en détail sur ce fonctionnement dans une prochaine actualité.
Dans la partie en production des serveurs de S3ns, il y aura « une copie de Google Cloud Platform et une sandbox qui est l’élément dans lequel Google va pousser ses mises à jour – qui sont fréquentes et nombreuses – qu’on va pouvoir observer ».
Cette séparation permet, « une fois les différentes vérifications faites, d’apporter notre propre validation, ce qui fait qu'une mise à jour ne pourra rentrer dans la zone du milieu qui est la production qu’une fois validée par Thales […] Il faut le voir comme une copie de GCP, où Thalès est à la manœuvre en termes d'opération et d’administration, que quelque chose qui serait un mix ou une connexion sur des serveurs Google ».
Dans tous les cas, la promesse de Thales est un « contrôle des mises à jour systématique avec la capacité d’accès au code ». Selon le responsable de la société, il faut s’attendre à un décalage « de l’ordre de quelques jours » entre GCP et la « copie » proposée par S3ns. La question est maintenant de savoir si Thales sera capable de suivre le rythme de Google sur la durée.
Thales le reconnait : son réseau n’est pas complètement isolé
Thales expliquait également ce qu’il entend par isolation et reconnait ne pas avoir « un réseau qui est complètement isolé » : « Il est connecté et il y a de la télémétrie qui va remonter vers Google. Cette télémétrie on la maitrise complètement, on sait ce qui va passer, on valide et on enregistre. Il y a un filtrage fort ».
Pour la télémétrie, « c’est très simple : on ne va pas faire de la liste noire, on va faire de la liste blanche », précisait Éric Brier. Ce « lien » avec les serveurs de Google semble être une différence fondamentale entre OVHcloud et Thales. Nous aurons l’occasion de revenir plus en détail sur les garde-fous mis en place par Thales, notamment sur la partie support.
Quoi qu’il en soit, selon les dirigeants de Thales, S3ns « sera conforme en 2024 au standard SecNumCloud dans sa version 3.2, et nous visons une qualification par l’ANSSI en 2025 ».
Octave Klaba revient sur cette manière de présenter les choses : « Là où ils sont malins, c’est de dire : ça va exister demain donc vous pouvez prendre aujourd’hui un truc qui probablement ressemblera à ce qu’il va y avoir demain ». Michel Paulin résume en reprenant son histoire de parking tricolore sur lequel, pour le moment, « il n’y a pas de voiture ».
S3ns propose en effet dès maintenant une offre « Contrôles locaux avec S3NS », c’est-à-dire des « données gérées en France », mais dans des datacenters Google ; une offre qui « n’est pas labélisée et ne sera pas certifiée ». Il faudra attendre au moins 2024 pour le « Cloud de confiance par S3NS » arrive, qui vise lui la certification SecNumCloud de l’ANSSI.
Des services européens pas au niveau ? Michel Paulin agacé par cet argument
Lors de la conférence en marge d’EcoEx, une question était posée : que répondre à ceux affirmant « que les offres françaises et européennes n’ont pas à la fois la diversité du catalogue et la capacité à traiter les données à un tel niveau ».
Visiblement agacé, Michel Paulin explique qu'il « entend [cet argument] depuis cinq ans, Octave depuis vingt ans ». « Aucun client américain m’a dit ça. Aucun ! », ajoute-t-il. Là encore il s’explique davantage :
« Je ne suis pas en train de dire qu'on est parfait […], qu'on a tout, qu’on couvre tout, qu’on est les meilleurs, etc., contrairement à ce que certains font parce qu'ils ont un pitch extrêmement fort et un marketing dans lequel ils sont absolument géniaux.
Sur ce que nous faisons, nous sommes bons et moins chers. Nous n'avons, nous européens, rien à envier sur ce qui est fait ailleurs […]. Je peux vous dire que c'est l'argument extrêmement facile pour ne pas faire d'appel d'offres auprès de OVHcloud. C'est tellement plus simple de dire qu'on n’a pas le niveau et qu'il faut nous exclure ».
Michel Paulin rejoint ainsi Jean-Paul Smet qui, lors du B.Boost de La Rochelle, tenait à rappeler un point : « Une chose importante dont il faut se souvenir : toutes les technologies existent en Europe, absolument toutes. C'est très important de le savoir, car souvent on entend le contraire ».
Commentaires (20)
#1
Bleu et S3ns ne seront jamais qualifiés SecNumCloud. C’est de l’enfumage.
#2
Honnêtement, j’y crois pas aux arguments de Thalès sur leur contrôle des mises à jour venant de GCP. Si la volumétrie et la fréquence sont aussi élevées que les chiffres cités plus haut pour Microsoft, ça va forcément finir (et même déjà commencer) sous forme de contrôle automatisé.
Ou alors c’est une armée de mexicains derrière.
Oui et je suis entièrement d’accord. Moi-même j’ai déjà fait l’exercice en comparant les outils “Cloud” grand publics : quasi tous les besoins sont couverts en Europe (que ce soit l’UE ou territorialement). Le choix d’exclure nos acteurs européens est surtout par facilité je pense.
#3
google search
#4
On sais surtout que le but est de diminuer les couts opérationnels.
Donc à la fin il n’y aura plus personne sauf des scripts.
Et du coup ça sert à rien d’avoir des armés de gens pour cliquer sur valider.
Et marketing.
Annoncer un partenariat avec Google (ex : https://www.phonandroid.com/renault-et-google-renforcent-leur-partenariat-pour-developper-la-voiture-connectee-de-demain.html ) ça en jette plus dans les journaux qu’annoncer un partenariat avec OVH que personne dans le grand public ne connais . Et du coup tu lèves des financements bancaire que t’aurais pas levé sinon.
A mon avis pas besoin d’aller chercher plus loin.
(Et dans ce cas la solution est simple : T’annonce un “grand partenariat” avec tel ou tel GAFAM, et une fois annoncé, tu contractualise avec OVH ou autre. mais bon faut avoir une DSI & un patron un peu visionnaire)
#5
Je pense qu’il faut se méfier quand on parle de 50 000 changements. Ce qui compte c’est le delta, pas le nombre de changements. Si le delta fait que 50 000 fichiers, configs, whatever sont mis à jour régulièrement, c’est qu’a priori il y a un soucis.
Il y a aussi le fait que Google utilise des monorepos. Dans l’hypothèse que les changements portent sur ces repositories, les 50 000 peuvent ne pas concerner la partie utilisée par cloud français.
Bref, 50 000 ca fait jaser, mais dit comme ça cela ne veut pas dire grand chose. Cela mériterait davantage d’informations.
#5.1
Attention, le chiffre de 50k c’était l’anecdote de Paulin avec Microsoft. Et oui je suis d’accord, sans détails tout n’est que pure spéculation (et forcément OVHCloud défend son bout de gras).
Cela dit, j’ai quand même du mal à imaginer voir Thalès suivre le rythme d’évolution d’un produit aussi complexe que GCP sans engendrer des décalages plus importants que “quelques jours” (parce que de la façon que je comprends leur propos, ils semblent faire un travail d’intégration autour de GCP). Si je me réfère à mon expérience dans des contextes qui mélangent solutions SaaS et solutions hébergées, c’est déjà assez difficile de suivre les évolutions des éditeurs et s’assurer de la non reg et des diverses conformités sans mettre des moyens humains et techniques qui deviennent rapidement coûteux.
La release note de GCP est quand même assez velue avec un beau nombre de changements. Même si évidemment, sans le détail de ce que ça implique derrière cela reste difficile à apprécier.
#6
OVH qui se compare à GCP et Azure, c’est n’importe quoi. J’hallucine. Qu’ils commencent à avoir un support et après ils pourront critiquer ce que font les autres. Ils ont quand même eu un incendie dans leur DC, pas très professionnel hein.
Et NXI qui parle enfin de Cloud, c’est pour traiter uniquement OVH et pas les autres providers, quel dommage.
#7
CloudFlare qui emporte la moitié du Web avec lui quand il tousse c’est pas très pro non plus.
Google qui se fait couper des câbles c’est pas très pro non plus. Tout comme GCP en carafe pendant 2 heures non plus.
IBM qui a son Cloud qui se banane une journée c’est pas très pro non plus.
Apple qui a connu deux gros downtime cette année aussi.
Atlassian qui efface les données de ses clients.
Microsoft 365 et Azure qui ont été impactés aussi par des défauts de service, j’ai eu droit à une palanquée d’AKS en vrac pendant deux jours.
Et récemment un DC a cramé en Corée du Sud et a emporté une bonne partie des services web du pays.
Bref, y’a aucun provider qui peut faire la morale à l’autre honnêtement.
#7.1
Je suis bien d’accord !
Continuer à rajouter des dépendances sans se soucier des conséquences possibles, on voit ce que ça donne quand il y a une faille dans une bibliothèque non maintenue mais utilisée par tous les projets ou avec le gaz russe ou les usines chinoises qui ne produisent plus rien…
#8
Tu fais comment pour éviter ca? Des gens H24 tous les 200m de câbles?
#8.1
Ce n’était pas l’objet de mon propos.
#9
Des exemples de partenariats stratégiques avec OVH sur une transformation profonde du business model d’une entreprise ?
C’est ça que vendent du MS, GCP et cie. Pas une stack technique, ou du serveur pour du serveur.
#10
C’est pourtant toi qui mets ca au même niveau qu’un incendie…
#10.1
J’ai mis au même niveau les différents providers et services en ligne qui ont tous eu cette année au moins un incident majeur qui a entraîné des périodes de downtime et des impacts visibles. La cause n’était pas un critère de sélection.
Le risque zéro n’existe pas et ce qui est arrivée à OVH l’année dernière, et en Corée du Sud récemment peut très bien arriver à n’importe quel autre provider. Tout comme d’autres types de catastrophes.
C’est la raison pour laquelle il faut éviter d’aller chez un seul CSP et avoir des DRP. Le Cloud, c’est pas magique et AWS a déjà tanké plus d’une fois ses régions, tout comme Azure, tout comme GCP.
#11
SebGF : je faisais allusion au fait de placer OVH dans la même cour que les autres. Si tu veux c’est comme une piscine, y’en à qui restent dans le petit bain, d’autres dans le grand bain.
Qu’ils s’occupent de leur support technique sera plus efficace que crier après les pratiques anticoncurrentielles des hyperscalers (qui existent, ne fait pas dire ce que j’ai pas dit).
#11.1
Sur la partie support oui, je te rejoins.
#12
Nuance.
Pour faire une autre comparaison, tu as mis au même niveau le GHB, Meetic et Tinder…
#12.1
Et donc, que faut-il en retenir au final par rapport à la conclusion de mon message #15 ? Est-elle erronée ?
#13
Mais c’est quoi la “transformation du business model” de renault ? Ils arrêtent de faire des voitures ?
Alors oui, ya tesla qui vends un ordinateur à roue. Mais malgré ça les gens achètent quand même d’abord un moyen de déplacement , sinon ils auraient acheté un smartphone.
(Et on remarquera que justement Tesla ne s’appuie pas sur les GAFAM pour leur performance, car sinon ils seraient sans doute beaucoup moins agile et plus contraint dans les technologies. Car on l’oublie souvent mais les GAFAM (et surtout le M) ont une grosse dette technique à assumer qui peux être rédhibitoire quand on vends le rêve du one size fits all.
#14
Merci pour l’article, très intéressant.