En marge de l’événement EcoEx, Michel Paulin et Octave Klaba sont revenus sur Anthos, leur partenariat avec Google désormais abandonné. C’était aussi l’occasion de lancer quelques piques à S3ns et Bleu, deux offres pas encore disponibles. Indirectement, Thales avait déjà répondu à certaines questions lors des Assises de Monaco il y a quelques semaines.
La question de la déconnexion est primordiale pour OVHcloud
Michel Paulin, directeur général d’OVHcloud, attaque bille en tête avec une comparaison des offres en développement chez ces concurrents : « C'est une voiture américaine sur un parking français, peinte en bleu blanc rouge ». Il détaille ses propos :
« Quelle est la valeur ajoutée profonde de développement que vous avez sur la stack […] ? Elle est réduite. Et on en sait quelque chose puisqu’on a discuté avec Octave pendant presque un an avec un de ces acteurs pour essayer de trouver un accord et on ne l’a pas trouvé… parce que justement il n'y avait pas un partenariat équilibré déconnecté ».
Thierry Souche, CTO d’OVHcloud, apporte des explications : « On avait lancé un produit avec Google qui s'appelle Anthos, qu’on a déconnecté. On l’a arrêté pour des raisons de souveraineté. On est intransigeant sur nos exigences en termes de souveraineté ». Pour rappel, Anthos avait été annoncé en 2020 et lancé commercialement fin 2021.
Michel Paulin confirme que le partenariat s’est arrêté, car « les conditions à long terme de la déconnexion n'étaient pas confirmées ». « N’étaient plus confirmées », précise rapidement Octave Klaba. Pour OVHcloud, la notion de déconnexion de Google est visiblement la ligne rouge à ne pas franchir et fait partie de sa nouvelle ligne de communication avec des « datacenters déconnectés » qui vont arriver pour assurer la « souveraineté opérationnelle ».
Le directeur général explique comment les logiciels VMWare (société américaine) sont utilisés dans ses datacenters et la différence fondamentale de fonctionnement avec Google : « on est déconnecté totalement, il y a aucun échange de données de quelque nature que ce soit ».
Octave Klaba précise les choses : « Soit on reçoit un CD, une disquette, une clé USB ou un téléchargement, et on opère avec nos équipes, soit on ne fait rien ». Pour filer la métaphore, dans le cadre d’Anthos, Google envoyait bien « des clés USB » pour commencer, mais après « ils ont dit on ne va plus vous envoyer de clés USB : c’est fini […] on va investir dans le software qu’on va manager ». Réponse d’Octave Klaba : « Parfait, managez-le » et fin du partenariat.
50 000 modifications par jour… comment suivre le rythme ?
Cette question du management des applications induit celle des mises à jour du code des services de Google et de Microsoft… qui peuvent atteindre une cadence infernale de « 50 000 modifications par jour », selon Michel Paulin. Ce dernier ressort du placard une histoire qui a quelques années maintenant :
« T-Systems avait un partenariat avec Microsoft sur lequel ils avaient mis en place justement le même type de stratégie que nous voyons aujourd'hui dans les deux autres acteurs. C’est un modèle qui était non déconnecté, mais comme les clients allemands voulaient avoir une visibilité, ils ont été obligés de créer un proxy […]
Pour pouvoir garantir que ce soit déconnecté, ils avaient créé un sous-ensemble qui n’était pas connecté aux clients et leurs ingénieurs vérifiaient que [les mises à jour] étaient bien conformes. Après ils reprenaient tout cela et les mettaient sur des systèmes en production.
Ça n'a pas marché parce que d'abord techniquement c'est d’une complexité incroyable. Deuxièmement, ils avaient un problème de coût – parce qu’ils étaient obligés de tout répliquer – et après un problème de délai parce […] garantir que ces modifications sont conformes à l'ensemble des réglementations et à la forme non déconnectée du modèle, ça prend du temps ».
Résultat des courses, leur solution était à la fois « plus chère et en retard par rapport aux releases de Microsoft », l’époque était aussi différente et les questions de souveraineté probablement moins prégnantes. Ce partenariat a été abandonné, mais l’opérateur allemand ne semble pas vouloir jeter l’éponge pour autant puisqu’il tente sa chance avec un autre géant du Net.
En effet, Céline Heller, responsable Trusted Cloud chez Google, expliquait aux Assises de la cybersécurité à Monaco que Google travaillait justement avec… T-System : « Il y a un certain nombre de partenariats qui se lancent, donc il y en a un en Allemagne avec T-System, il y en a un Espagne, il y en a un en Italie, il y en a un en Luxembourg et évidemment le partenariat avec Thales en France ».
Bleu et S3ns vues par Octave Klaba…
Durant la conférence, Octave Klaba a donné sa vision des offres S3ns et Bleu :
« Microsoft avec Orange et Cap Gemini [pour Bleu, ndlr] sont toujours sur cette idée de Microsoft qui pousse les mises à jour et a un moment quelqu’un prend le relais et met à jour l’ensemble du stack.
Thales avec Google [pour S3ns, ndlr] disent clairement que Google fait toutes les mises à jour et Thales fournit juste la couche de chiffrement. En gros ils disent : nous on va garantir que personne ne peut lire les données ».
S3ns : les mises à jour Google passent par une sandbox
Éric Brier, directeur technique de la business line Cyber Defence Solutions chez Thales, avait expliqué le mode de fonctionnement des mises à jour de S3ns lors d’une table ronde aux Assises de Monaco. Nous aurons d’ailleurs l’occasion de revenir plus en détail sur ce fonctionnement dans une prochaine actualité.
Dans la partie en production des serveurs de S3ns, il y aura « une copie de Google Cloud Platform et une sandbox qui est l’élément dans lequel Google va pousser ses mises à jour – qui sont fréquentes et nombreuses – qu’on va pouvoir observer ».
Cette séparation permet, « une fois les différentes vérifications faites, d’apporter notre propre validation, ce qui fait qu'une mise à jour ne pourra rentrer dans la zone du milieu qui est la production qu’une fois validée par Thales […] Il faut le voir comme une copie de GCP, où Thalès est à la manœuvre en termes d'opération et d’administration, que quelque chose qui serait un mix ou une connexion sur des serveurs Google ».
Dans tous les cas, la promesse de Thales est un « contrôle des mises à jour systématique avec la capacité d’accès au code ». Selon le responsable de la société, il faut s’attendre à un décalage « de l’ordre de quelques jours » entre GCP et la « copie » proposée par S3ns. La question est maintenant de savoir si Thales sera capable de suivre le rythme de Google sur la durée.
Thales le reconnait : son réseau n’est pas complètement isolé
Thales expliquait également ce qu’il entend par isolation et reconnait ne pas avoir « un réseau qui est complètement isolé » : « Il est connecté et il y a de la télémétrie qui va remonter vers Google. Cette télémétrie on la maitrise complètement, on sait ce qui va passer, on valide et on enregistre. Il y a un filtrage fort ».
Pour la télémétrie, « c’est très simple : on ne va pas faire de la liste noire, on va faire de la liste blanche », précisait Éric Brier. Ce « lien » avec les serveurs de Google semble être une différence fondamentale entre OVHcloud et Thales. Nous aurons l’occasion de revenir plus en détail sur les garde-fous mis en place par Thales, notamment sur la partie support.
Quoi qu’il en soit, selon les dirigeants de Thales, S3ns « sera conforme en 2024 au standard SecNumCloud dans sa version 3.2, et nous visons une qualification par l’ANSSI en 2025 ».
Octave Klaba revient sur cette manière de présenter les choses : « Là où ils sont malins, c’est de dire : ça va exister demain donc vous pouvez prendre aujourd’hui un truc qui probablement ressemblera à ce qu’il va y avoir demain ». Michel Paulin résume en reprenant son histoire de parking tricolore sur lequel, pour le moment, « il n’y a pas de voiture ».
S3ns propose en effet dès maintenant une offre « Contrôles locaux avec S3NS », c’est-à-dire des « données gérées en France », mais dans des datacenters Google ; une offre qui « n’est pas labélisée et ne sera pas certifiée ». Il faudra attendre au moins 2024 pour le « Cloud de confiance par S3NS » arrive, qui vise lui la certification SecNumCloud de l’ANSSI.
Des services européens pas au niveau ? Michel Paulin agacé par cet argument
Lors de la conférence en marge d’EcoEx, une question était posée : que répondre à ceux affirmant « que les offres françaises et européennes n’ont pas à la fois la diversité du catalogue et la capacité à traiter les données à un tel niveau ».
Visiblement agacé, Michel Paulin explique qu'il « entend [cet argument] depuis cinq ans, Octave depuis vingt ans ». « Aucun client américain m’a dit ça. Aucun ! », ajoute-t-il. Là encore il s’explique davantage :
« Je ne suis pas en train de dire qu'on est parfait […], qu'on a tout, qu’on couvre tout, qu’on est les meilleurs, etc., contrairement à ce que certains font parce qu'ils ont un pitch extrêmement fort et un marketing dans lequel ils sont absolument géniaux.
Sur ce que nous faisons, nous sommes bons et moins chers. Nous n'avons, nous européens, rien à envier sur ce qui est fait ailleurs […]. Je peux vous dire que c'est l'argument extrêmement facile pour ne pas faire d'appel d'offres auprès de OVHcloud. C'est tellement plus simple de dire qu'on n’a pas le niveau et qu'il faut nous exclure ».
Michel Paulin rejoint ainsi Jean-Paul Smet qui, lors du B.Boost de La Rochelle, tenait à rappeler un point : « Une chose importante dont il faut se souvenir : toutes les technologies existent en Europe, absolument toutes. C'est très important de le savoir, car souvent on entend le contraire ».
