Dans le paysage du Cloud français et européen, la confusion règne entre les différentes notions de Cloud souverain, de Cloud de confiance et de souveraineté technologique. Le tout se déroule sur fond de doctrine ‘Cloud au centre’ de l’Etat sans oublier la certification SecNumCloud de l’Anssi (Agence nationale de la sécurité des systèmes d’information). C’est ce que montre la table ronde réunissant les prestataires français de Cloud, Scaleway, OVHCLoud et Orange Business Services, organisée par la Tribune lors de son événement Think Tech Summit, le 28 mars.
Le Cloud Act américain fait flotter un risque juridique permanent
Cause de tout cela, le texte de loi américain du ‘Cloud Act’ poursuit son effet délétère sur l’usage des offres de Cloud des prestataires américains, tels que Google, AWS (Amazon Web Service) ou Microsoft en Europe et en France. Mais ce n’est pas le seul élément perturbateur dans l’achat de services de Cloud en France. Le droit d’usage des licences logicielles étrangères et leur éventuelle suspension constituent autant de risques. Et il ne faut pas oublier les transferts de données intempestifs des entreprises clientes effectués par les éditeurs américains vers les Etats-Unis pour des raisons plus ou moins légitimes de supervision ou d’amélioration de leurs services.
« Le Cloud de confiance tente de traiter le problème précis du Cloud Act qui est une considération légale »
Le point faible de la notion de Cloud de confiance ? « Si le Cloud de confiance permet de répondre à cette problématique légale du Cloud Act, je considère que le Cloud n’est pas de confiance puisque le cadre légal peut évoluer et que l’on ne traite pas la problématique FISA [NDLR : Foreign Intelligence Surveillance Act] qui est le droit d’exploitation des licences » estime Yann Lechelle. « Cela pourrait être un problème dans le cas du montage Bleu Azure [NDLR : accord afin de délivrer des services Cloud entre Orange, CapGemini et Microsoft] et dans le cas d’autres prestations de logiciels étrangers, américains en l’occurrence mais pas que » alerte-t-il.
Le terme de confiance a été redéfini par le gouvernement selon Scaleway
Yann Lechelle s’irrite face à la démarche du gouvernement qui a mis noir sur blanc une nouvelle définition du terme confiance selon lui. « Il existe déjà des acteurs de confiance depuis 20 ans comme OVHCloud et Scaleway. De quel droit, une doctrine gouvernementale redéfinit le terme de confiance ? J’aurais préféré entendre une définition de ce qui n’est pas de confiance » dit-il. Il considère qu’il y a une faille juridique par exemple dans le cadre des lois extraterritoriales ou qu’l y a des failles de sécurité, et que là on peut parler de la certification SecNumCloud, qui identifie des prestataires certifiés par l’Anssi (Agence nationale de la sécurité des systèmes d’information).
« Le gouvernement a mis SecNumCloud comme pré-requis pour obtenir le Cloud de confiance »
« Nous nous opposons à cette mise en avant qui prétend faire du en même temps, alors qu’elle met en avant une solution hypothétique [NDLR : Bleu Azure] et met en arrière l’existant de solutions que j’appellerais véritablement souveraines » poursuit-il. « Ce qui est souverain correspond à ce qui est régalien. Est-ce qu’il existe un Cloud souverain ? Non. Aux Etats Unis, est ce que l’on questionne la souveraineté de Microsoft, Google ou AWS ? Non, car ce sont des sociétés américaines sur le sol américain. Avec les parts de marché que nous avons en Europe, force est de constater que nous n’avons pas de souveraineté » détaille-t-il.
Quels services pourraient être mobilisés par l’Etat français en cas de conflit ?
Le DG de Scaleway rappelle l’importance de définir ce que serait une vraie solution souveraine dans le Cloud. Le cas de la guerre actuelle en Ukraine donne un exemple de ce que sont des services souverains et qui peuvent être mobilisés par un gouvernement et demeurer utilisables même lors d’un conflit. En Russie, par exemple, les services des réseaux sociaux Instagram et Facebook ne sont plus accessibles. Ils ont été bannis par le gouvernement à cause de la politique de publication de Meta, leur maison mère, qui est considérée comme extrémiste depuis le 21 mars. La Russie pour autant a lancé sa propre copie conforme du réseau Instagram sous le nom de Rossgram afin de suppléer à l’absence d’Instagram qui est très populaire en Russie, avec 64 millions d’utilisateurs selon Statista.
« Est-ce que le gouvernement français peut s’approprier les services des acteurs de Cloud locaux en cas de conflit ? »
Pour autant, il n’écarte pas l’intérêt de la proposition du Cloud Bleu d’Orange construit avec Microsoft. « Nous ne sommes pas opposés à ce que va proposer Bleu Azure car cela correspond à des considérations techniques pour un point juridique, avec une exploitation locale d’un logiciel avec une séparation de la maison mère » décrit-il. Yann Lechelle considère qu’il existe plusieurs nuances de confiance même s’il critique la sémantique employée actuellement. « La doctrine ‘Cloud au centre’ a créé un flou en appelant des solutions qui n’existent pas encore. Bleu n’est pas encore disponible. Et donc le marché est perdu. Les acheteurs attendent cette solution miracle alors que ces solutions existent » s’énerve-t-il.
La volonté politique n’existe pas pour faire du vrai en même temps dans le Cloud
« En réalité nous avons tout ce qu’il faut en France pour répondre à nos besoins » affirme le DG. « Mais il faudrait une volonté politique. Or la volonté politique a été de rassurer les acteurs existants par rapport à des fournisseurs existants » déplore-t-il. Il plaide pour le développement des acteurs locaux. « Est-ce que l’on a la volonté politique de faire du vrai en même temps ? C’est à dire de développer le tissu industriel local et évidement de continuer de travailler avec les acteurs existants dominants. Or il me semble que la situation a été largement biaisée dans le sens du statu quo » termine-t-il.
« On peut tous avoir sa définition sur la partie confiance et sécurité »défend Orange Business Services
Orange souhaite relativiser les problématiques. « Il n’y a pas une seule définition de la souveraineté et de la confiance » défend Cédric Parent. « Nous préférons parler de confiance que de souveraineté. On ne croit pas à un cordon sanitaire que l’on ferait et qui fasse que l’on travaille complètement en isolation et totalement en autarcie. Il faut un comportement raisonné » affirme-t-il.
Le Cigref préfère parler de confiance numérique que de Cloud numérique
Le responsable de l’offre Cloud d’Orange s’appuie également sur l’avis du Cigref, le club des grandes entreprises françaises, également partisan de parler de confiance numérique plutôt que de souveraineté. « Jean Claude Laroche [NDLR : DSI d’Enedis], président du Cigref, qui représente les grandes entreprises, disait que 2021 est l’année de naissance du Cloud souverain et du Cloud de confiance » cite Cédric Parent. « Et d’ailleurs il disait qu’il préférait parler de confiance numérique que de souveraineté. Et dans la doctrine de ‘Cloud au centre’, qui a donné la circulaire de l’informatique en nuage à usage de l’état, on parle également de confiance numérique » insiste-t-il.
« La confiance veut dire bien sûr les éléments de sécurité, et c’est être complètement étanche et protégé des lois extraterritoriales »
Orange insiste sur la nécessité d’adopter une vision large de certaines notions. « Il n’y a pas une seule réponse aujourd’hui. Il n’y a pas une seule définition de la souveraineté et de la confiance. On n’a pas besoin exactement du même niveau de confiance que l’on soit une PME ou un opérateur qui gèrent des données nucléaires ou des centrales nucléaires » reprend Cédric Parent. « Ce n’est pas le même système de confiance que ce soit une startup qui a besoin d’une protection de sa propriété intellectuelle ou d’une administration ou d’un acteur de la défense, ou un fournisseur de la défense qui aurait besoin d’éléments pour la classification de ses données » ajoute-t-il.
Orange défend son approche comme étant pragmatique
Orange se présente comme pragmatique face aux complexités techniques, commerciales et juridiques soulevées par les offres Cloud extra européennes. « Au delà des théories, il faut avoir une approche pragmatique et de Realpolitik [NDLR : une politique réaliste] sur le sujet. Nous avons plusieurs types de solutions sur la confiance. On n’ pas attendu Bleu Azure, même si Bleu est une des couleurs de l’arc en ciel que l’on peut fournir » propose-t-il. Quoiqu’il en soit, Cédric Parent souhaite jouer les rassembleurs. « Nous avons le même objectif avec OVHCloud et Scaleway » veut-il rassurer. « Avec Scaleway, nous avons un petit écart sur la doctrine ‘Cloud au centre’ » admet-il toutefois.
« La doctrine ‘Cloud au centre’ a été un réveil. Nous avons eu énormément de conversations avec les clients »
Il rappelle que le Cloud représente entre 5% à 10% dans la totalité d’un applicatif d’un client ou d’une solution d’une grande entreprise, et comprend de nombreuses couches, pour les parties de calcul et de stockage. Il voit les offres américaines, extra européennes, comme des briques technologiques qu’il faut utiliser mais qu’il faut savoir conjuguer pour les rendre compatibles avec la volonté européenne de protéger les données et de se protéger également de toute exposition à une loi extraterritoriale.
La copie du gouvernement doit être revue pour dynamiser les acteurs locaux
Yann Lechelle de Scaleway souhaite pour sa part que le gouvernement revoit sa copie en ce qui concerne la doctrine ‘Cloud au centre’. « On ne peut pas reprocher au gouvernement d’avoir traité le sujet mais je trouve que la copie mérite d’être revue dans le prochain quinquennat, pour dynamiser les acteurs locaux » demande-t-il. Il souligne que moins de 1% des achats des grands groupes en France concernent des technologies européennes, selon l’étude Scale Up Europe commissionnée par l’Elysée.
« Les acteurs américains dominants sont les meilleurs dans la captation de la valeur »
Côté OVHCloud, on a également ses propres formulations de la souveraineté et de la confiance. « Pour nous, il y a la souveraineté des données. Les données doivent être protégées c’est à dire non soumises à des lois extraterritoriales » définit Caroline Comet- Fraigneau, Vice Président France, Benelux et Afrique d’OVHcloud, intervenant lors de la même table ronde. « On doit aussi apporter la garantie à nos clients que jamais nous n’utiliserons leurs données pour faire tourner des algorithmes. Et il y a la notion de liberté. Le client doit pouvoir partir à n’importe quel moment et récupérer ses données simplement et sans des coûts exorbitants » établit-elle.
Utiliser la technologie américaine sans que personne n’accède aux données
La responsable ajoute à cela la souveraineté technologique. « On parle de souveraineté technologique. Aujourd’hui, nous devons intégrer des technologies américaines, mais c’est toujours avec l’exigence que personne ne pourra accéder aux données hébergées chez nous » poursuit-elle. La Vice Présidente souligne également qu’il faut stimuler un écosystème européen. « Le portefeuille de solutions est en train d’émerger sur SecNumCloud » se réjouit-elle. « La démarche de l’Etat est positive avec l’intégration dans sa commande des enjeux de souveraineté. Avant c’était la porte ouverte à toutes les solutions et les Gafam étaient très présents dans les ministères et le sont toujours. Mais là cela donne un cadre et une direction. Et cela sensibilise les acteurs aux enjeux de souveraineté, de non soumission aux lois extraterritoriales. En plus c’est vrai que cela apporte des couches de sécurité par la certification SecNumCloud » dit-elle.
« C’est uniquement dans les réalisations que l’on verra toutes ces régulations, ces définitions, ces normes, ces doctrines »
Côté OVHCloud, on veut croire que l’on peut répondre aux besoins les plus courants des entreprises. « Nous avons fait des études avec KPMG. Quand on regarde le catalogue de services des Gafam, une petite partie est utilisée. C’est celle là que l’on va proposer à nos clients. C’est pour cela que l’on fait des partenariats technologiques comme avec MongoDB afin d’avoir des solutions de bases de données en mode souverain » illustre Caroline Comet- Fraigneau. Elle reconnaît également qu’il y a un gros travail à faire pour acheminer un certain nombre de commandes vers des Cloud providers français ou européens. « Nous sommes en attente d’actes et de volume. A partir du moment où on est un acteur européen, dont le siège est en France, nous ne sommes pas soumis aux lois extraterritoriales, et donc notre Cloud est un Cloud de confiance par définition. SecNumCloud permet d’aller un niveau plus loin en matière de sécurité » souligne-t-elle.
La réglementation doit favoriser un Cloud européen
Elle veut une réglementation au service des acteurs de Cloud locaux. « Il faut avoir une approche européenne car le marché français est assez limité. D’où l’importance de la démarche de l’Enisa [NDLR : European Union Agency for Cybersecurity]. C’est l’équivalent de l’Anssi au niveau européen pour avoir des qualifications européennes en matière de sécurité et de protection vis à vis des lois extraterritoriales. La réglementation doit être au service des entreprises et aussi favoriser l’essor d’un Cloud européen » conclut Caroline Comet-Fraigneau d’OVHCloud.
Quoiqu’il en soit, on peut aussi se dire que tant que les offres de Cloud américains séduiront plus les jeunes professionnels français de l’informatique, les fournisseurs hexagonaux de Cloud ont encore du pain sur la planche.