La prise de conscience de l’importance du Cloud souverain émerge progressivement parmi les entreprises, renforcée par la crise économique et sanitaire. Elle offre un nouvel horizon, celui d’un écosystème numérique souverain, aux hébergeurs français et européens face à la domination des hyperscalers américains.
La Cour de justice de l’Union européenne a rendu le 16 juillet 2020 un arrêt invalidant le régime de transfert de données entre l’Union Européenne et les Etats-Unis, dit “Privacy Shield”, qui avait été adopté en 2016. En outre, Gaia-X, l’initiative franco-allemande d’infrastructure de données européenne en forme de réseau, devrait voir ses premiers services lancés courant 2021 (voir encadré p.40). Ce sont des avancées importantes pour la souveraineté numérique de l’Europe. Les dirigeants des prestataires de services d’infrastructure Cloud (IaaS) français sont toutefois conscients du chemin qu’il reste à parcourir pour le Cloud souverain, comme le montre Michel Paulin, directeur général d’OVHCloud : « Le digital, c’est les emplois et les taxes de demain, et les données sont l’or noir du 21e siècle. Elles ont une valeur économique, stratégique et éthique et doivent être protégées par les outils techniques et légaux. Le Cloud souverain donne un cadre technique et législatif au Cloud de confiance. La souveraineté, c’est garder la maîtrise de ses choix quant au statut et au stockage des données, en ayant les moyens technologiques et juridiques de les protéger. De même que les entreprises sont conscientes des risques environnementaux et psychosociaux, elles doivent l’être aussi quant aux risques concernant leurs données. L’un des principaux risques IT pour l’Europe, c’est d’être lourdement dépendant des acteurs américains et asiatiques. Or nous avons un écosystème numérique européen reconnu pour ses compétences. L’enjeu européen est de mettre en place une politique vertueuse de développement qui permettra de garantir la souveraineté des données.»
« Le Cloud souverain donne au client le choix, la maîtrise et la gouvernance des données.»
David Chassan
Pour Réda Belouizdad, directeur marketing et communication de Bretagne Télécom, utiliser un Cloud souverain, c’est pouvoir maîtriser la gestion et la sécurité des données, tout en disposant d’une haute disponibilité, et d’une réversibilité aisée. David Chassan, directeur de la stratégie chez 3DS Outscale (groupe Dassault Systèmes), va dans le même sens : « Le Cloud souverain donne au client le choix, la maîtrise et la gouvernance des données. Il garantit la localisation géographique et réglementaire qui préserve les données des lois extraterritoriales étrangères. Les données sensibles et critiques doivent être logées dans un Cloud souverain, séparées des données non sensibles pouvant être stockées sur des Clouds plus ouverts. Aujourd’hui les entreprises, grandes et plus modestes, ont une approche multiCloud (plusieurs fournisseurs de services d’infrastructure Cloud), d’où la nécessité de favoriser l’interopérabilité. »
Cédric Prévost, directeur des solutions de Cloud de confiance d’Orange Business Services, précise : « Bâtir un Cloud souverain, c’est bâtir un Cloud de confiance avec trois enjeux : les infrastructures, les services et la qualité de service, avec l’accompagnement du client. Les critères pour un Cloud Service Provider (CSP) sont bien sûr la localisation du datacenter qui héberge les données, des services Cloud protégés des lois extraterritoriales, la maîtrise du socle technologique, la richesse du portefeuille de services à valeur ajoutée et innovants, la gouvernance et l’engagement contractuel. »
Le risque colossal de perte de valeur des données
Jules-Henri Gavetti, cofondateur et président d’Ikoula, souligne les risques : « Nous expliquons à nos clients le risque colossal de perte de valeur de leurs données, une fois récupérées par d’autres opérateurs. Pourtant, nombre d’entreprises ne se sentent pas concernées et s’orientent là où tout le monde va, sans aller sourcer des alternatives souveraines, qui peuvent se révéler moins coûteuses. La capacité à marketer l’offre des Gafam et à faire adhérer les clients les attire alors qu’il existe beaucoup d’opérateurs de Cloud public et privé en France. La force de l’IT, c’est sa diversité; elle permet de répartir le risque. Il faudrait que chaque pays dispose de trois à quatre offres de Cloud souverains ; les entreprises doivent pouvoir répartir leurs données auprès de plusieurs Clouds compatibles avec des standards de migration. »
Stéphane Blanc, président et fondateur d’Antemeta, qui propose des services Cloud et des services managés, met en exergue une ère du capitalisme numérique, différente du capitalisme industriel.
Capitalisme et patrimoine numériques
« Il s’étend comme une pieuvre dans différents métiers et a un poids économique et financier très important. En ce début d’ère du capitalisme numérique doublé d’une guerre économique, le numérique est la colonne vertébrale de la stratégie d’entreprise; la souveraineté et la compréhension des risques (comme ceux liés au Cloud Act et aux autres législations extra-territoriales) doivent en être des piliers. Nous devons protéger notre patrimoine numérique, économique et social. Prenons l’exemple des dépenses des Gafam sur la génétique via des structures connexes. Internet doit être, comme le génome humain, un bien pour l’humanité qui nécessite une maîtrise mondiale et non celle d’un petit nombre d’entreprises. Ainsi, la souveraineté est économique, sociale et politique; le Cloud souverain se mesure par le poids stratégique que lui accorde l’Etat. Il faut développer les moyens en Europe comme en France et avoir une démarche d’innovation et d’excellence. Tout le Cloud ne peut être souverain, mais nous devons mettre en avant les compétences européennes en la matière et construire des usages européens adaptés aux différents Clouds. »
Pour un écosystème européen souverain
Les opérateurs de datacenters s’intéressent également au sujet. Pour Olivier Micheli, président de l’association France Data Center, de Data4, au capital européen : « est souverain ce qui n’est pas soumis à la réglementation d’Etat tiers. Le marché pour être efficace doit être compétitif et ouvert. Il ne s’agit pas pour l’Europe d’écarter défensivement la concurrence sino-américaine, mais d’avoir la volonté politique de faire émerger des champions européens du Cloud. Ce qui demande un écosystème numérique souverain: de l’investissement, des talents, des commandes publiques et une simplification réglementaire. Sur un marché du Cloud où le rapport qualité/prix est le critère prioritaire, l’innovation est critique, ce qui peut passer par l’association avec des Gafam d’acteurs européens sur des projets innovants. L’objectif est de servir au mieux les attentes des entreprises européennes. » Fabrice Coquio, président d’Interxion France (l’acquisition d’Interxion par l’américain Digital Realty a été finalisée en mars 2020) se pose en observateur du marché du Cloud: « La notion de souveraineté des données me semble une vue de l’esprit au vu de leur circulation. La souveraineté et la maîtrise des données passent plus par les notions de sécurité du système d’information et de cryptage des données que par leur localisation. Pour parer à certains risques, il vaut mieux utiliser un Cloud privé avec des portes bien fermées. Et vis-à-vis des lois extraterritoriales, des solutions restent à trouver au niveau de l’Union Européenne. Il existe diverses solutions qui s’offrent en termes de Cloud pour les entreprises européennes, et notamment des solutions alternatives aux hyperscalers. Je remarque que celles de multiCloud en structure hybride connaissent une adoption progressive. Il me semble néanmoins difficile pour les projets européens de jouer à armes égales avec Amazon, Google et Microsoft, au vu des niveaux d’investissement colossaux que réalisent ces derniers. »
« Il faut sensibiliser tout l’écosystème, y compris les éditeurs de logiciels, au Cloud souverain, garant de l’indépendance. »
Sylvie Margot Picquendar
Des enjeux sociétaux et économiques
Les partenaires des CSP se sentent aussi concernés. Sylvie Margot Picquendar, responsable produit chez Atempo, spécialisé dans la sauvegarde des données, partenaire des hébergeurs OVHCloud, Scaleway (groupe Iliad) et Jaguar Network, met en avant les enjeux sociétaux et économiques face à la monétisation des données et à l’hégémonie américano-chinoise: « Il faut sensibiliser tout l’écosystème, y compris les éditeurs de logiciels, au Cloud souverain, garant de l’indépendance. Il faut une offre numérique souveraine : s’il me paraît être un peu tard pour les données B2C face aux Gafam, il y a des places à prendre pour les données B2B. Les acteurs de l’hébergement doivent pour cela atteindre une taille critique suffisante et mieux collaborer. »
Pour un développement des actions publiques
Les prestataires Cloud s’accordent sur la nécessité d’une volonté politique forte au niveau européen et français en matière de souveraineté et de l’accompagnement par les pouvoirs publics. De grandes entreprises comme OVHCloud aux PME comme Antemeta, elles sont nombreuses à appeler les organismes publics à montrer l’exemple à travers l’orientation des commandes vers les acteurs locaux. Certains choix publics de solutions Cloud américaines ne sont pas vraiment bien vus, comme celui d’Amazon Web Services par la Banque Publique d’Investissement, Bpifrance. Stéphane Blanc souhaiterait également que la France se dote d’un ministère du numérique qui ait le même rang que le ministère de l’écologie. Jules-Henri Gavetti plaide pour « faire savoir que nous avons un savoir-faire en France, qu’il existe un écosystème complet IT, des start-up aux grandes entreprises, en passant par des ETI comme Ikoula. Ceci nécessite d’être accompagné par les pouvoirs publics. Le secrétariat d’Etat au numérique devrait renforcer sa coopération avec le ministère des PME. Il faut mettre en avant de petits acteurs régionaux qui offrent des services à valeur ajoutée, différenciants, que ce soit en termes d’innovation ou de sécurité informatique. Au niveau de l’Union Européenne, laissons les petits acteurs grandir dans de bonnes conditions, et accompagnons-les, y compris sur les marchés étrangers. Ainsi, nous vendons une solution alternative de Cloud de confiance à des Chinois, et nous aimerions être accompagnés sur la connaissance du marché chinois. »
Les opérateurs de datacenters ne sont pas en reste. Olivier Micheli souligne que les datacenters sont des infrastructures critiques qui devraient être reconnus comme tels par l’Etat français, au même titre que le transport, l’électricité et l’eau afin de garantir que les datacenters continuent leur activité en cas de force majeure. Le campus de Data4 à Marcoussis doit passer de neuf à onze datacenters, et le groupe projette de construire une vingtaine de nouveaux centres en Europe dans les prochaines années.
Ce que veulent les clients
Une certaine prise de conscience quant à la nécessité de la maîtrise des données émerge depuis deux ans environ. En témoigne selon plusieurs opérateurs une hausse de la demande du Cloud privé, et un mouvement de fond de retour de charges de travail, qui avaient basculé sur le Cloud public, sur des Clouds dédiés ou privés, ce qui pose d’ailleurs de façon plus aiguë la question de la réversibilité.
Qui dit prise de conscience ne dit pas attente numéro un des entreprises du numérique ou des autres, celles-ci devant arbitrer entre différentes priorités. Certes, quand il veut protéger ses données sensibles, le client des CSP arbitre entre les critères de prix, de richesse du catalogue de services et de souveraineté. Mais les entreprises souhaitent d’abord disposer d’une couverture fonctionnelle aussi large que sur les plateformes américaines tout en ayant la transparence sur les prix, bien sûr attractifs. La garantie de confidentialité, la conformité réglementaire, la possibilité d’avoir recours à une juridiction locale en cas de conflit, et la réversibilité font néanmoins partie de leurs attentes. Les grands groupes aspirent à une offre compétitive et évolutive, avec une garantie sur la gestion des risques associés (technologiques, financiers, réglementaires, sécurité).
Ikoula, qui compte 500 grands clients intégrateurs plus 16 500 professionnels de l’IT, remarque que ses clients et prospects se préparent à redémarrer fort début 2021. Actuellement en phase de restructuration IT, ils cherchent à optimiser les coûts et assouplir leur infrastructure.
Christophe Corne, fondateur et président de Systancia, éditeur basé dans le Haut-Rhin spécialisé dans la cybersécurité et la virtualisation d’application et de postes de travail, qui fait partie de l’écosystème d’OVHCloud, analyse: « Les entreprises ont bénéficié des avantages mis en avant par les hyperscalers: prix attractifs, interface simple, interopérabilité avec les produits Microsoft. Mais ce faisant, elles ont leurs données sur des Clouds non maîtrisés, avec un risque juridique fort. Les critères de choix sont aussi à mes yeux la capacité de piloter l’infrastructure de façon agile et automatisée et des API très performantes. L’enjeu pour les CSP européens, pour concurrencer le trio Google Cloud Microsoft Azure et Amazon Web Services, est d’apporter comme eux des catalogues de services à valeur ajoutée, notamment en termes de sécurisation et d’infrastructure. »
Les atouts des CSP
Pour se distinguer de la concurrence internationale, les hébergeurs français mettent en avant leurs atouts, parmi lesquels la possibilité de faire appel à un Cloud de confiance ou souverain. Le positionnement de 3DS Oustcale repose sur le Cloud de confiance et la transparence de l’offre. Le Cloud provider est le premier à obtenir la qualification SecNumCloud de l’Agence nationale de la sécurité des systèmes d’information (Anssi). Bretagne Télécom offre des solutions de Cloud privé à 3 000 clients, et propose un Cloud privé “santé”, qui s’adresse de fait à tous ceux qui veulent héberger des données sensibles sur une infrastructure sécurisée en France.
« Nous devons avoir un modèle IT résilient qui s’appuie sur un Cloud de confiance, un Cloud souverain pour les données sensibles et critiques. »
Michel Paulin
OVHCloud indique assurer la transparence sur les conditions techniques et légales du stockage des données, un système ouvert grâce aux API, et un code de conduite en matière de réversibilité. L’hébergeur français à dimension internationale construit ses datacenters et exploite ses serveurs, avec un modèle industriel résilient. Il a développé un écosystème de services SaaS et Paas hébergé dans le Cloud d’OVHCloud, réunissant des éditeurs et fournisseurs de services partenaires, à travers son programme Open Trusted Cloud. Michel Paulin explique: « Notre positionnement réunit prix, performance, compétitivité et environnement de confiance, ainsi qu’une capacité mondiale grâce à nos datacenters partout dans le monde. Nous devrions obtenir dans les prochains mois la qualification SecNum-Cloud. »
La division Cloud d’Orange Business Services offre des solutions garantissant autonomie, durabilité et réversibilité. Elle propose des solutions souveraines en Cloud privé grâce à ses centres de compétences et d’excellence Cloud, et en Cloud public avec des garanties de localisation des données, d’opérations répondant aux réglementations européennes et aux règles de cybersécurité. Ses solutions de Cloud de confiance se destinent d’abord aux opérateurs d’importance vitale (OIV) et aux secteurs réglementés comme l’assurance, la santé ou l’aéronautique. Cédric Prévost indique : « Nous accompagnons nos clients dans l’hybridation des environnements, sachant qu’ils font souvent appel à trois ou quatre opérateurs Cloud, ce qui leur apporte plus de résilience et de robustesse. Nous sommes complémentaires et agnostiques par rapport aux fournisseurs Cloud. Nous offrons une couche d’orchestration pour déployer différentes infrastructures de façon sécurisée, une optimisation technique et financière des déploiements et la capacité à manager des applications sur différentes infrastructures. De plus, nous sommes en train de renforcer le catalogue de services de nos Clouds publics, intégrables dans le Cloud privé (services collaboratifs, analyse de flux vidéo grâce à l’intelligence artificielle, chatbot…). »
Souveraineté et force majeure
Ainsi, ne pas mettre tous ses œufs dans le même panier conduit les entreprises à hybrider les environ-nements de Cloud privé et public et à adopter une stratégie multiprestataire. Les offres de Cloud sou-verain ont leur rôle à jouer dans ce cadre, en particulier pour protéger les données critiques et sensibles.
Mais le Cloud souverain est également une pièce du jeu d’échecs que se livrent les nations et communautés dans un monde en crise et en guerre économique, où les visées protectionnistes sont de plus en plus marquées. Aujourd’hui simple pion en Europe, il pourrait arriver à l’autre bout de l’échiquier pour se transformer en dame. Pièce offensive vis-à-vis des Gafam et des BATX chinois, il est aussi une pièce défensive fort utile, face au risque de pandémie numérique ou à la prochaine crise internationale majeure. Michel Paulin conclut: « L’une des réponses à la crise sanitaire a été la digitalisation. Le télétravail, mais aussi la télémédecine et le téléenseignement ont accéléré la transformation numérique. Aussi devons-nous avoir un modèle IT résilient qui s’appuie sur un Cloud de confiance, un Cloud souverain pour les données sensibles et critiques. Ce qui implique beaucoup de pédagogie vis-à-vis des organisations utilisatrices. » Le Cloud souverain est une pièce maîtresse du jeu.
