Les vives tensions internationales tant géopolitiques qu’économiques ont remis d’actualité le besoin de souveraineté. Le secteur public mais aussi les entreprises françaises doivent renforcer leur souveraineté dans leur fonctionnement pour assurer leur pérennité, y compris sur le plan IT. Grandes manœuvres autour du Cloud souverain…
En moins de 2 décennies, le Cloud Computing a conquis les entreprises, y compris les plus réticentes. Qu’il s’agisse de leurs infrastructures Big Data, de leurs applications CRM, RH ou même de leur ERP, de plus en plus franchissent le pas et portent leurs worlkloads sur le Cloud public. Cela fait la fortune d’Amazon, de Microsoft et de Google, mais cela pose aussi de sérieuses interrogations en termes de souveraineté des données. Outre une possible perméabilité aux infiltrations de la CIA, comme Edward Snowden l’a montré par le passé, ces acteurs d’origine américaine sont soumis à une législation extraterritoriale qui peut les contraindre à livrer les données de leurs clients étrangers.
L’idée de créer un Cloud souverain à l’abri de ces risques n’est pas totalement nouvelle. On se souvient du gâchis Cloudwatt et Numergy. Depuis, le marché a mûri et le Cloud a de nombreux adeptes en France et en Europe. Venu de l’hébergement Web et du serveur bare metal, OVHcloud s’est positionné comme le chef de file des fournisseurs français. Le nordiste a grossi et suit, à distance, la stratégie d’expansion des hyperscalers en construisant des datacenters au plus près de ses clients et en créant des zones hermétiques pour protéger les données d’éventuels accès extraterritoriaux. Le Français dispose de datacenters localisés dans 8 pays différents : en France, en Allemagne, au Canada, aux Etats-Unis. La première région arrivera en fin d’année au catalogue OVHcloud, elle sera à Paris.
« Venu de l’hébergement Web et du serveur bare metal, OVHcloud s’est positionné comme le chef de file des fournisseurs français. »
Le marché du Cloud souverain attire de plus en plus d’acteurs, y compris le trublion Free comme l’explique Denis Planat, CEO de Free Pro : « A l’instar de ce que Xavier Niel a fait dans le grand public, nous essayons d’apporter quelque chose en plus sur le marché. Le groupe a décidé de faire du B2B son nouveau cheval de bataille sur le marché national, un relais de croissance de l’activité B2C. En 2021, nous avons créé Free Pro par une acquisition, puis très vite lancé de nouvelles offres. » Denis Planat revendique 35 000 clients en 2 ans pour des services télécoms et l’hébergement des données dans le Cloud. Il mise aujourd’hui sur ce regain d’intérêt pour les offres souveraines et accessoirement sur la mise en application de NIS 2 pour voir arriver une nouvelle vague d’entreprises sur ses serveurs : « La notion de souveraineté a beaucoup de sens en Europe et n’est pas seulement nationale. Il faut offrir une alternative crédible et autonome par rapport aux grands fournisseurs européens. »
Des fournisseurs américains imaginatifs en matière de souveraineté
Néanmoins, le marché est actuellement suspendu aux lancements des offres de Bleu, coentreprise entre Capgemini, Orange et Microsoft, de S3ns, fruit de l’alliance entre Atos et AWS et enfin du Cloud de confiance de Thales et Google Cloud. Loin de vouloir abandonner le marché du Cloud de confiance aux acteurs franco-français, les hyperscalers s’allient avec ces derniers pour porter leurs technologies auprès des entreprises les plus critiques.
IBM Cloud avait déjà montré cette faculté d’adaptation en montant un Cloud semi-privé pour son client historique BNP Paribas et Oracle n’est pas en reste avec une stratégie « souveraine » extrêmement élaborée. Le Californien a entrepris la construction d’une offre Cloud souveraine afin de commercialiser sa plateforme Oracle Cloud Infrastructure en Europe. Il offre 2 régions en France et peut garantir une « Data Residency » des données sur ces régions. En outre, Oracle avance la notion de Dedicated Region. Il s’agit de la plateforme OCI complète, mais opérée dans le Datacenter de l’entreprise. Vodafone a fait le choix de cette offre et a construit 6 régions internes afin de répondre à ses besoins de Cloud internes. Il est même possible d’opter pour une solution encore plus fermée avec l’offre Isolated Region. Là encore, Oracle fournit son Stack OCI complet, mais celui-ci est déployé en on-premise sur une installation totalement isolée d’Internet. Le client choisit où il déploie son Cloud et qui va l’opérer. L’offre s’adresse essentiellement aux secteurs de la défense et étatique. Les données du chasseur F-35 sont stockées et traitées sur une infrastructure de ce type. Gérome de Gea, directeur Stratégie OCI Oracle pour la zone EMEA, explique le but de ces nouveaux modes Cloud : « Avec des régions en Europe opérées et supportées par des résidents européens, nous allons rassurer les clients par rapport au risque lié à la sécurité de leurs données. Ce type d’approche va permettre à une bonne majorité de clients de passer le pas du Cloud car ils ont maintenant cette garantie que les données vont rester en Europe et surtout vont être processées en Europe. »
Enfin, Oracle a annoncé lors de Cloud World, son offre Alloy. « Il s’agit du même cœur OCI et qui pourra être opéré par un tiers en marque blanche. Notre modèle fait que ce partenaire pourra effectuer toutes les opérations et le support de ce Cloud. Celui-ci pourra être estampillé SecNumCloud si ce partenaire est français et fait cette démarche de certification. »
SecNumCloud, le label ultime de Cloud de confiance
Une ligne de démarcation est en train de s’instaurer sur cette qualification SecNumCloud. Celle-ci va démarquer les services Cloud publics des services de confiance au sens étatique du terme. L’Etat français et l’ANSSI poussent afin de promouvoir cette qualification de sécurité auprès de la sphère publique afin de protéger leurs données dans le Cloud. Dernièrement, l’Etat a désigné 3 consortiums pour porter une alternative à Microsoft 365. Ils recevront une aide pour que leurs plateformes soient certifiées SecNumCloud. Autre initiative allant dans ce sens, la création de Numspot par la Banque des territoires / Caisse des Dépôts, Docaposte et Dassault Systèmes et Bouygues Telecom. « Le constat est qu’il n’y avait pas d’offre suffisamment riche dans ce que l’on appelle le Cloud souverain ou dit de confiance » argumente Alain Issarni, CEO de Numspot. « Outre des actionnaires français, ce que nous mettons derrière le terme confiance, c’est SecNumCloud. » Pour ce faire, Numspot va s’adosser aux infrastructures et services de son partenaire Outscale qui sont déjà qualifiés SecNumCloud. « La vocation de NumSpot est de bâtir des services managés comme des Containers as a Service, avec l’ambition de qualifier ces futurs services SecNumCloud. Notre ambition est de commercialiser nos premières offres d’ici cet automne. A ce moment, notre offre sera encore assez proche de celle d’Outscale, mais elle s’étoffera par la suite » ajoute le responsable.
« L’idée de créer un Cloud souverain à l’abri de ces risques n’est pas totalement nouvelle. On se souvient du gâchis Cloudwatt et Numergy. »
fut le premier prestataire Cloud à être qualifié SecNumCloud par l’ANSSI. Un club encore très fermé puisque seuls Cloud Temple, Oodrive, Outscale, OVH et Worldline peuvent s’enorgueillir d’y appartenir. David Chassan, directeur de la Stratégie chez 3DS Outscale souligne : « Ce qui nous anime depuis la création d’Outscale, c’est d’assurer l’immunité des données de nos clients face aux lois extraterritoriales auxquelles sont soumis d’autres acteurs du cloud. Les données sont localisées sur le territoire français, nous sommes une société de droit français, avec pour principal actionnaire une entreprise française, Dassault Systèmes, et nous répondons au label Cloud de confiance du gouvernement français. » SecNumCloud est une qualification particulièrement complexe à décrocher, coûteuse à mettre en œuvre et qui entraîne un surcoût de l’ordre de 20 à 25 % des services.
Et l’Europe dans tout cela ?
Défaut rédhibitoire de SecNumCloud pour les acteurs de taille mondiale, cette qualification n’est reconnue qu’en France. « La convergence entre la certification SecNumCloud française et le C5 du BSI allemand reste un serpent de mer» déplore Jean-Paul Alibert, président et managing director de T-Systems France. « Il n’y a toujours pas de reconnaissance réciproque des qualifications PASSI (Prestataires d’audit de la sécurité des systèmes d’information) et SecNumCloud françaises et de la qualification allemande C5. Nous sommes certifiés C5 M2, mais je refuse de m’engager dans une certification SecNumCloud. Mes équipes ont comparé les 2 certifications et ce sont quasiment les mêmes exigences. Nous poussons en faveur d’une certification européenne. » T-Systems a cherché un temps s’allier à OVHcloud en France. Il opère la plateforme Cloud souveraine de Google en Allemagne, en parallèle à ses propres offres Cloud.
T-Systems est en outre très actif sur Gaia X, un projet présenté en 2019 comme un projet franco-allemand de Cloud européen. En fait, celui-ci consiste en des espaces de données, des Data Hub où les entreprises d’un même secteur sont amenées à partager leurs données. Catena X, l’espace dédié au secteur automobile est très avancé, mais il y a aussi des espaces pour l’énergie, l’agroalimentaire, l’aéronautique. « Gaia X doit aussi référencer des fournisseurs qui seront suffisamment solides pour apporter des solutions de souveraineté des industriels sur leurs données » ajoute Jean-Paul Alibert. « In fine, Structura-X va venir définir les critères techniques pour être fournisseur de solutions Cloud pour porter les différents domaines couverts par Gaia X. » Paradoxalement, Structura X n’a été créé que très récemment et ne compte encore que peu d’acteurs. L’Europe du Cloud se construit manifestement en total décalage avec la course effrénée des hyperscalers.