IT souveraine : le cloud de confiance cherche sa voie

aide qualification SecNumCloud
0

Comment appréhender le cloud de confiance ? Entre les défenseurs d’alliances technologiques avec les acteurs américains et les partisans de solutions souveraines et européennes, les visions s’opposent. État des lieux.

Les fournisseurs cloud américains, obligés de « courber l’échine » pour rester actifs sur le marché européen ?

C’est un fait, estime Édouard de Rémur. Le cofondateur et directeur général d’Oodrive y voit, entre autres preuves, les alliances que Google et Microsoft ont respectivement nouées – en France – avec Thales et le duo Orange-Capgemini. Leur forme : des coentreprises appelées S3NS et Bleu.

Édouard de Rémur – Cofondateur et directeur général Oodrive

De doctrine en texte de loi, les règles du jeu se durcissent au nom d’un dénominateur commun : la « souveraineté ».  La rupture du partenariat entre OVHcloud et Google Cloud est emblématique des tensions. Le premier aura hébergé, pendant deux ans, une offre fondée sur le « socle multicloud » du second : la plate-forme de conteneurs Anthos.

Officiellement, le groupe français a considéré que  Google Cloud avait franchi une ligne rouge en voulant imposer des mises à jour distantes et non plus « locales » (par clé USB).

Une empreinte IT made in USA

Est-ce pragmatique de remettre en cause de telles alliances ? Dans l’absolu, il est « difficile de se dire qu’on peut tout faire nous-mêmes », reconnaît Stanislas­ de Goriainoff. Le CTO du groupe Sewan – qui a acquis Ikoula l’an dernier – donne l’exemple des logiciels de virtualisation. Passé VMware, « les offres [européennes], je ne dis pas que cela n’existe pas, mais c’est beaucoup moins déployé », constate-t-il.

Christophe Lesur -CEO de Cloud Temple

Même son de cloche chez Christophe Lesur, CEO de Cloud  Temple :  « Dans l’industrie, il y a une réalité : le barycentre des systèmes d’information, c’est Microsoft. Le marché utilise des technologies américaines, sauf qu’il le fait sans aucune garantie de sécurité. » Et d’avancer l’argument SecNumCloud­.

L’obtention de cette qualification ANSSI a représenté « le travail d’une équipe de plus de 20 personnes pendant deux ans et demi ». SecNumCloud, c’est aussi le graal de Bleu et de S3NS. Qui, plus généralement, promettent une immunité face à l’extraterritorialité des lois américaines.

En théorie… mais « en réalité, pas du tout », à en croire Me Julie Jacob. L’avocate, dont le numérique est l’une des spécialisations, qualifie d’ « extrêmement risqués » ces modèles hybrides.

À commencer, au-delà même des considérations de localisation ou de structure capitalistique, par le simple fait d’employer des technologies américaines. « Plutôt que des solutions de contournement, il faut développer l’écosystème français », résume-t-elle, allant jusqu’à plaider pour l’utilisation exclusive de logiciels et de matériels nationaux ou européens.

Logiciel : le maillon fort

Me Julie Jacob – Avocate

Au niveau européen, justement, plusieurs membres tricolores de l’alliance Euclidia font écho à Me Julie Jacob. Il en est ainsi de Clever Cloud, dont le P.-D.G., Quentin Adam, appelle plus globalement à percevoir la valeur du logiciel. « En le sous-traitant, on cède de facto la partie la plus stratégique et la plus rentable », clame-t-il. Et d’exemplifier : « Ce qu’on achète chez AWS, ce ne sont pas les VM, tout le monde sait en faire. C’est l’IAM, la facturation à la demande, etc. : tous les services additionnels. »

Nexedi aussi est membre d’Euclidia. Et son P.-D.G., Jean-Paul Smet, est sur la même ligne que Quentin Adam. « Si on n’a pas accès au code source des logiciels, est-ce vraiment du cloud de confiance ? » s’interroge-t-il.

Son point de vue est tranché : le FISA (Foreign Intelligence Surveillance Act, loi US qui régit les activités de renseignement extérieur) s’applique aux logiciels américains, quelle que soit la nationalité de l’entreprise qui les utilise. Dans ce cadre, le risque est aussi géopolitique : les États-Unis ont un « droit de vie ou de mort » sur l’exploitation des licences. On se souviendra des déboires de Huawei avec Android. Ou des conséquences de la coupure du réseau Visa en Russie après l’ouverture du conflit contre l’Ukraine.

Le cas Office 365 

« Si on veut acquérir un jour une forme d’autonomie numérique, on doit avoir une filière du logiciel forte », martèle Édouard de Rémur. « Si on se limite à héberger […] demain, les acteurs étrangers imposeront leur loi. Aujourd’hui, ils acceptent les contraintes […] parce qu’il y a une alternative. Entreprendre en France est assez facile et on est beaucoup aidé », affirme le DG d’Oodrive. « Là où on a des progrès énormes à faire, c’est sur la commande publique. Elle est totalement désorganisée, il y a très peu de directives, chaque administration est complètement autonome. »

L’État a bien une doctrine cloud, appuyée de documents tels que la note de la Dinum relative à Office 365. Mais juridiquement, l’ensemble est non contraignant : il ne fait que donner une direction.

Bruno Le Maire a laissé entendre, lors de l’inauguration du dernier datacenter d’OVHcloud, à Strasbourg, que la France pourrait légiférer. Cela impliquera néanmoins de préciser des notions. Parmi elles, celle de « document sensible ». Ce sera l’une des missions du nouveau CSF (comité stratégique de filière) « Numérique de confiance », annoncé en parallèle de cette même inauguration et que préside Michel Paulin (DG d’OVHcloud).

Quentin Adam – PDG de Clever Cloud

Quentin Adam l’admet : la commande publique sera peut-être un levier de collaboration « forcée ». Mais elle impulsera, en tout cas, une « culture du travail en commun ». Et si les produits qui en résultent ne couvraient pas tout le spectre fonctionnel souhaité, on serait bien inspiré de découpler les appels d’offres, glisse un expert du secteur. Du côté de Clever Cloud, on a, par exemple, intégré les DPU de l’entreprise grenobloise Kalray [Lauréat des Silicon Awards Data 2022].

Sur le volet software, dans la lignée de l’appel du Cigref à rechercher une « troisième voie » entre Office 365 et Google Workspace, l’État a lancé un projet à 8 millions € pour développer une « suite bureautique cloud souveraine ».

Oodrive y a répondu avec Olvid (pour la brique messagerie) et Tixeo (visioconférence). Édouard de Rémur souligne, à cet égard, l’importance d’aller vers une interface utilisateur unique. « On ne peut pas avoir juste un partenariat entre des acteurs français ou européens qui proposent une interconnexion entre leurs offres. »

Impossible(s) consensus ?

En bureautique, mais pas que, les passerelles transnationales restent rares. Il faut dire, comme le fait remarquer Me Julie Jacob, que le schéma de qualification des services cloud [EUCS] n’est pas encore harmonisé à l’échelon européen.

Stanislas­ de Goriainoff – CTO du groupe Sewan

SecNumCloud ne vaut pour le moment qu’en France, comme C5 ne vaut qu’en Allemagne, GovCloud au Royaume-Uni, etc. « Là encore, on se bat contre les Américains », déplore Édouard de Rémur concernant ce processus d’harmonisation. « Ils [font pression] pour que, au niveau européen, il n’y ait pas de critères réglementaires. » Les Allemands aussi font blocage, prétend-il :
« Des acteurs comme SAP exportent beaucoup aux États-Unis et n’imaginent pas d’avoir le niveau de sécurité le plus élevé dans leurs offres. »

Ses propos ne sont pas plus favorables en ce qui concerne l’initiative Gaia-X. Les Américains y ont « placé leurs pions : [au conseil d’administration] des intégrateurs avec lesquels ils travaillent de façon très proche. »

Au contraire d’Oodrive, Scaleway a participé à l’aventure. Mais la filiale d’Iliad en est revenue.
« Gaia-X ne cherche qu’une chose : trouver le tronc commun qui fait plaisir aux grands acheteurs. Et qui inscrit les fournisseurs majeurs pour sédimenter le marché sur ce tronc commun », regrette Yann Lechelle, son ancien DG.

On pourrait penser Cloud Temple plus aligné sur les intérêts du projet. C’est le cas, non sans bémols. « Le marché débat beaucoup de technologies, mais les communications ne sont pas client-centric », avance Christophe Lesur. Pour lui, les discussions ne tournent pas suffisamment autour d’un aspect clé : l’interopérabilité. 

Stanislas de Goriainoff invite pour sa part à ne pas perdre de vue le potentiel antagonisme entre les garde-fous que posent l’Europe et la compétitivité de ses entreprises. En l’occurrence, le risque que ces dernières adoptent des technologies en décalage par rapport à leurs concurrents étrangers.