Par Sophy Caulier
En dépit de l’échec des premiers clouds souverains, la France ne veut pas baisser les bras et défend l’idée d’une solution nationale ou européenne pour abriter les données sensibles et échapper à la mainmise des géants américains.
Le 1er février, Cloudwatt s’est éteint. Discrètement, sans fleurs ni couronnes, les derniers ordinateurs ont été débranchés. Un message laconique sur le site d’Orange confirme la fermeture définitive de ce « cloud souverain », un service d’hébergement sécurisé de données. Voulu par le gouvernement en 2012, ce service devait proposer aux administrations et aux entreprises une offre nationale – comprendre non américaine – d’hébergement en ligne de leurs données sensibles pour en garantir la confidentialité. Las, malgré 250 millions d’euros investis par l’Etat et par les principaux partenaires, notamment Orange et SFR, ce projet n’a pas trouvé son public.
« Il nous manquait les volumes ; ni l’Etat ni les services publics n’ont vraiment adhéré au projet. Les besoins étaient très différents d’une institution à une autre, l’écosystème n’était pas assez développé et la certification des applications augmentait de beaucoup le coût de la solution », explique Helmut Reisinger, directeur général d’Orange Business Services (OBS). Le retard pris à ce moment-là sur les fournisseurs américains – Amazon, Microsoft et Google – n’a fait que s’accentuer depuis. Et faute d’offre nationale, « les utilisateurs n’ont pas eu d’autre choix que de recourir à des solutions non souveraines », souligne Stéphane Volant, président du Club des directeurs de sécurité et de sûreté des entreprises (CDSE).
Ces déboires ont fini par bannir le terme de « cloud souverain » du vocabulaire des politiques et des industriels. Pourtant, de plus en plus d’entreprises et de particuliers sont séduits par l’idée de faire héberger leurs données en ligne, dans des nuages (cloud) d’ordinateurs, situés parfois au bout du monde. Avantages de cette solution : elle mutualise les ressources (ordinateurs et logiciels), qui sont disponibles à la demande, simplifie le stockage des données et facilite l’accès à un coût abordable à des solutions puissantes et actualisées en permanence.
« LES GRANDS ACTEURS AMÉRICAINS ONT ÉNORMÉMENT INVESTI ET CRÉENT SANS ARRÊT DE NOUVELLES FONCTIONNALITÉS QUI APPORTENT DE L’INNOVATION », CONSTATE EMMANUELLE OLIVIÉ-PAUL
« Beaucoup d’entreprises migrent leurs applications vers AWS ou Azure, les clouds d’Amazon et de Microsoft, car ces grands acteurs américains ont énormément investi et créent sans arrêt de nouvelles fonctionnalités qui apportent de l’innovation et donc de la performance », constate Emmanuelle Olivié-Paul, directrice associée au cabinet Markess. En témoigne l’adoption massive par les entreprises du monde entier de solutions comme celle de la gestion de la relation client de Salesforce ou avec Office 365 de Microsoft. Ou encore celle, par les particuliers, des services de stockage en ligne de photos et de vidéos.
Vulnérabilité de certaines solutions
Le modèle économique est donc aujourd’hui en faveur du cloud. Mais les risques qu’il comporte sont, eux aussi, apparus au grand jour. En novembre 2019, le Wall Street Journal révélait que Google accédait aux données médicales de millions de patients américains sans leur consentement, grâce à un contrat signé avec Ascension, un grand acteur de la santé aux Etats-Unis, afin d’améliorer le parcours de soins à l’aide d’intelligence artificielle…
Imagine-t-on que les informations commerciales de milliers d’entreprises européennes soient librement consultées par le département du commerce des Etats-Unis ou que les documents du dernier conseil d’administration soient accessibles à un ambitieux concurrent ? « Un document d’une mairie, par exemple, a peu de valeur s’il est isolé ; mais si vous agrégez les documents de toutes les mairies, vous avez énormément d’informations à votre disposition, illustre Edouard de Rémur, cofondateur d’Oodrive, gestionnaire de données dans le cloud. Et si un problème quelconque survenait demain sur le cloud américain – qui hébergerait les documents des mairies –, elles ne pourraient plus fonctionner ! » Transposé en période d’élections, cet exemple illustre la vulnérabilité de certaines solutions.
« L’EXTRATERRITORIALITÉ DU CLOUD ACT EST UN PIED DE NEZ DES ETATS-UNIS AU MONDE ! » AFFIRME JEAN-NOËL DE GALZAIN
L’Etat français et les entreprises les plus stratégiques peuvent-ils stocker et traiter leurs données en ligne dans des immenses centres de données gérés par des acteurs américains ou chinois ? La question est devenue encore plus cruciale en mars 2018, lorsque le Congrès américain a adopté le Cloud Act (Clarifying Lawful Overseas Use of Data Act). Cette loi autorise les forces de l’ordre et les agences de renseignement du pays à accéder à des données stockées par des opérateurs américains en cas de suspicion de crime ou de menace terroriste, et ce quelle que soit la localisation dans le monde de ces données.
Concrètement, une entreprise américaine peut demander à un juge l’autorisation d’accéder aux données d’un de ses concurrents français, par exemple, si cette société a recours aux services d’un fournisseur de cloud de nationalité américaine, même si ses données sont hébergées en France ou en Europe, arguant que cette société vend des produits en Iran, par exemple, ce qui contrevient aux lois américaines… « Cette extraterritorialité du Cloud Act est un pied de nez des Etats-Unis au monde ! » affirme Jean-Noël de Galzain, PDG de Wallix et président d’Hexatrust, groupement d’entreprises du cloud et de la cybersécurité.
« Un cloud de confiance »
Ainsi montrés du doigt, les Amazon, Google ou Microsoft répondent qu’ils respectent parfaitement les réglementations européennes, à commencer par le règlement général sur la protection des données (RGPD). « Il y a une mauvaise compréhension des lois américaines, détaille Julien Groues, directeur général d’AWS France. Le gouvernement n’a pas accès aux données. Il faut demander à un juge et il faut qu’il y ait un acte criminel… Sur les douze derniers mois, il y a eu vingt-cinq demandes dans le monde, et aucune ne concernait la France. Nous conseillons à nos clients, dont plusieurs grandes sociétés du CAC 40, de chiffrer leurs données. Ainsi, la seule chose qu’ils pourraient transmettre à un juge sont des données chiffrées, et donc inutilisables, car seul le client a la clé de chiffrement. Il est donc le garant de la sécurité de ses données. »
Plusieurs exemples lui donnent raison. Ainsi, Airbus héberge chez AWS sa plate-forme Skywise de maintenance prédictive, qui consolide les données de milliers d’avions. De même, Doctolib a confié sans hésitation ses données à Amazon et à d’autres acteurs, puisqu’elles sont chiffrées de bout en bout.
« LE MARCHÉ COMME LES CLIENTS SONT PLUS MATURES ET LES ACTEURS ONT PROGRESSÉ, EN FRANCE COMME EN EUROPE », AFFIRME GODEFROY DE BENTZMANN
Ces arguments n’empêchent pas le ministre de l’économie et des finances, Bruno Le Maire, et le commissaire européen au marché intérieur et au numérique, Thierry Breton, ainsi que nombre d’acteurs du secteur, d’insister sur la nécessité d’un cloud stratégique et sécurisé, français ou européen, dans lequel les Etats et les entreprises pourraient stocker leurs données sensibles. « Aujourd’hui, le marché comme les clients sont plus matures et les acteurs ont progressé, en France comme en Europe. Tout est prêt pour un cloud de confiance ! » affirme Godefroy de Bentzmann, président du syndicat professionnel Syntec Numérique. Avec Tech in France, association de l’industrie numérique, ce dernier vient d’adresser aux pouvoirs publics dix recommandations « pour une ambition européenne en matière de cloud qui concilie souveraineté numérique et besoins du marché ».
« Il faut chasser en meute »
« Les données sont un élément de la création de valeur, mais aussi un enjeu stratégique et éthique, développe Michel Paulin, directeur général d’OVH. Le stockage de ces données est un acte de puissance. Aujourd’hui, 60 % des données mondiales sont stockées par des acteurs américains ou chinois. C’est bien un enjeu de souveraineté ! L’Europe est-elle capable d’apporter une réponse industrielle, financière, politique, éthique et stratégique à cet enjeu ? » A l’heure de la cyberguerre, et malgré l’échec de premières tentatives, les données numériques sont des actifs qui méritent d’être protégés. « On parle d’indépendance énergétique, il est temps de parler d’indépendance numérique ! Il faut une stratégie de filière, un contrat entre l’Etat et les acteurs, et que l’Etat agisse pour faire vivre ce marché », indique Edouard de Rémur.
L’Etat semble avoir pris la mesure des enjeux. Un des cinq projets du contrat signé fin janvier par le comité stratégique de filière pour les industries de sécurité, baptisé « Numérique de confiance », prévoit de structurer l’offre française afin de sécuriser les données sensibles des entreprises. « L’Etat doit avoir une doctrine claire sur l’utilisation des données sensibles et, pour cela, il faut définir ce qui est sensible pour chaque administration ou entreprise, car la sensibilité est un concept très différent d’une organisation à une autre », prévient Servane Augier, directrice déléguée d’Outscale, la filiale cloud de Dassault Systèmes.
Malgré ces efforts et cette prise de conscience, il reste du chemin à faire. A commencer par la construction d’un véritable écosystème national d’offres. « Il faut chasser en meute », rappelait récemment Marc Darmon, directeur général adjoint de Thales et président du comité stratégique de filière pour les industries de sécurité.
« Le coût de la souveraineté »
Mais construire d’autres possibilités aux offres intégrées, éprouvées, très fonctionnelles et accessibles d’AWS, de Microsoft ou de Google ne sera pas une partie de plaisir. « Il faut garder à l’esprit que les grands fournisseurs américains de cloud ont énormément investi au cours de la dernière décennie, de l’ordre de 150 milliards de dollars (138 milliards d’euros). Chaque année, ils ont doublé la taille de leur infrastructure. Les problèmes qu’ils ont eu à résoudre ont enrichi leur expérience et ils réalisent des économies d’échelle en étant présents dans le monde entier. Il est impossible pour de nouveaux acteurs d’atteindre ce niveau ! » argumente Bernard Ourghanlian, directeur technique et sécurité de Microsoft France.
« IL N’EST PAS NÉCESSAIRE DE CRÉER DE NOUVEAUX ACTEURS, IL FAUT ADAPTER ET DÉVELOPPER LES OFFRES EXISTANTES. AVEC OVH, OUTSCALE, OODRIVE ET BIEN D’AUTRES, NOUS AVONS UN POTENTIEL FABULEUX », ESTIME JEAN-NOËL DE GALZAIN
Message reçu pour Jean-Noël de Galzain : « Il n’est pas nécessaire de créer de nouveaux acteurs, il faut adapter et développer les offres existantes. Avec OVH, Outscale, Oodrive et bien d’autres, nous avons un potentiel fabuleux. Nous ne travaillons pas en adversaires, il nous faut bâtir des espaces de confiance avec des partenaires européens ou américains. L’enjeu est de maîtriser l’ensemble de la chaîne de valeur. »
La souveraineté a toutefois un prix. « On nous dit que le cloud souverain français coûtera entre 10 et 15 % de plus et qu’il offrira moins de fonctionnalités au début que les solutions américaines… La question est donc : quel est le coût de la souveraineté et qui est prêt à le payer ? » s’inquiète Stéphane Volant.
Les grands acteurs américains ne restent pas indifférents à cette aspiration à la souveraineté qu’ils sentent monter dans tous les pays. De fait, ils participent aux groupes de travail du projet de cloud souverain européen. « La nouvelle génération de politiques a une meilleure culture du numérique ; quand Emmanuel Macron parle en anglais devant les start-up à Station F ou que Thierry Breton évoque le sujet au niveau européen, cela augmente la visibilité de la France dans le domaine. Nous avons de bons ingénieurs et décideurs, les industriels sont prêts à y aller, il semble que les étoiles soient alignées pour que le cloud souverain devienne réalité », analyse Francis Weill, président d’EuroCloud, association des acteurs du cloud. Reste à convaincre un acteur essentiel, et souvent moins enthousiaste : le client.