Cloud souverain et Cloud de confiance, affrontement entre Orange et Scaleway

Dans le paysage du Cloud français et européen, la confusion règne entre les différentes notions de Cloud souverain, de Cloud de confiance et de souveraineté technologique. Le tout se déroule sur fond de doctrine ‘Cloud au centre’ de l’Etat sans oublier la certification SecNumCloud de l’Anssi (Agence nationale de la sécurité des systèmes d’information). C’est ce que montre la table ronde réunissant les prestataires français de Cloud, Scaleway, OVHCLoud et Orange Business Services, organisée par la Tribune lors de son événement Think Tech Summit, le 28 mars.

Le Cloud Act américain fait flotter un risque juridique permanent

Cause de tout cela, le texte de loi américain du ‘Cloud Act’ poursuit son effet délétère sur l’usage des offres de Cloud des prestataires américains, tels que Google, AWS (Amazon Web Service) ou Microsoft en Europe et en France. Mais ce n’est pas le seul élément perturbateur dans l’achat de services de Cloud en France. Le droit d’usage des licences logicielles étrangères et leur éventuelle suspension constituent autant de risques. Et il ne faut pas oublier les transferts de données intempestifs des entreprises clientes effectués par les éditeurs américains vers les Etats-Unis pour des raisons plus ou moins légitimes de supervision ou d’amélioration de leurs services.

Le gouvernement français pour sa part a réagi en mettant en place la stratégie ‘Cloud au centre’ mais sa démarche aura créé plus de confusion que de clarification si l’on écoute Yann Lechelle, directeur général du prestataire français de Cloud Scaleway, filiale d’Iliad et fondé par Xavier Niel. Le DG de Scaleway revient sur sa tentative de mieux définir les notions de Cloud de confiance, de Cloud souverain et de SecNumCloud face à Orange et à OVHCloud. « J’ai déconstruit la proposition de Cloud de Confiance. Dans le cadre de la doctrine du gouvernement, cette stratégie de Cloud de confiance tente de traiter le problème précis du Cloud Act qui est une considération légale » débute le dirigeant.

Le point faible de la notion de Cloud de confiance ? « Si le Cloud de confiance permet de répondre à cette problématique légale du Cloud Act, je considère que le Cloud n’est pas de confiance puisque le cadre légal peut évoluer et que l’on ne traite pas la problématique FISA [NDLR : Foreign Intelligence Surveillance Act] qui est le droit d’exploitation des licences » estime Yann Lechelle. « Cela pourrait être un problème dans le cas du montage Bleu Azure [NDLR : accord afin de délivrer des services Cloud entre Orange, CapGemini et Microsoft] et dans le cas d’autres prestations de logiciels étrangers, américains en l’occurrence mais pas que » alerte-t-il.

Le terme de confiance a été redéfini par le gouvernement selon Scaleway

Yann Lechelle s’irrite face à la démarche du gouvernement qui a mis noir sur blanc une nouvelle définition du terme confiance selon lui. « Il existe déjà des acteurs de confiance depuis 20 ans comme OVHCloud et Scaleway. De quel droit, une doctrine gouvernementale redéfinit le terme de confiance ? J’aurais préféré entendre une définition de ce qui n’est pas de confiance » dit-il.  Il considère qu’il y a une faille juridique par exemple dans le cadre des lois extraterritoriales ou qu’l y a des failles de sécurité, et que là on peut parler de la certification SecNumCloud, qui identifie des prestataires certifiés par l’Anssi (Agence nationale de la sécurité des systèmes d’information).

« La doctrine du gouvernement  [NDLR : ‘Cloud au centre’] a créé une injonction contradictoire autour d’un pré-requis qui est le SecNumCloud pour obtenir le fameux Cloud de confiance » reprend le DG. « Cette annonce a été faite de manière fracassante en mettant en avant des solutions qui n’existent pas encore [NDLR : telles que l’offre Bleu Azure de Orange, Cap Gemini et Microsoft] alors qu’il existe des acteurs pure players dans lesquels nos clients ont confiance depuis des décennies » s’insurge-t-il.
 
« Nous nous opposons à cette mise en avant qui prétend faire du en même temps, alors qu’elle met en avant une solution hypothétique [NDLR : Bleu Azure] et met en arrière l’existant de solutions que j’appellerais véritablement souveraines » poursuit-il. « Ce qui est souverain correspond à ce qui est régalien. Est-ce qu’il existe un Cloud souverain ? Non. Aux Etats Unis, est ce que l’on questionne la souveraineté de Microsoft, Google ou AWS ? Non, car ce sont des sociétés américaines sur le sol américain. Avec les parts de marché que nous avons en Europe, force est de constater que nous n’avons pas de souveraineté » détaille-t-il.

Quels services pourraient être mobilisés par l’Etat français en cas de conflit ?

Le DG de Scaleway rappelle l’importance de définir ce que serait une vraie solution souveraine dans le Cloud. Le cas de la guerre actuelle en Ukraine donne un exemple de ce que sont des services souverains et qui peuvent être mobilisés par un gouvernement et demeurer utilisables même lors d’un conflit. En Russie, par exemple, les services des réseaux sociaux Instagram et Facebook ne sont plus accessibles. Ils ont été bannis par le gouvernement à cause de la politique de publication de Meta, leur maison mère, qui est considérée comme extrémiste depuis le 21 mars. La Russie pour autant a lancé sa propre copie conforme du réseau Instagram sous le nom de Rossgram afin de suppléer à l’absence d’Instagram qui est très populaire en Russie, avec 64 millions d’utilisateurs selon Statista.

« Si nous étions en conflit généralisé, quels seraient les acteurs que nous pourrions considérer comme souverains ? Est-ce que le gouvernement français peut s’approprier les services des acteurs locaux ? OVHCloud ou Scaleway, oui, probablement » répond Yan Lechelle de Scaleway.  « Chez Scaleway, nous pourrions être réquisitionnés parce que nous maîtrisons la totalité de la chaîne de valeur, depuis le Data Center jusqu’au logiciel. C’est en cela que Scaleway est un acteur parfaitement souverain dans sa potentialité » tranche-t-il.

 Pour autant, il n’écarte pas l’intérêt de la proposition du Cloud Bleu d’Orange construit avec Microsoft. « Nous ne sommes pas opposés à ce que va proposer Bleu Azure car cela correspond à des considérations techniques pour un point juridique, avec une exploitation locale d’un logiciel avec une séparation de la maison mère » décrit-il. Yann Lechelle considère qu’il existe plusieurs nuances de confiance même s’il critique la sémantique employée actuellement. « La doctrine ‘Cloud au centre’ a créé un flou en appelant des solutions qui n’existent pas encore. Bleu n’est pas encore disponible. Et donc le marché est perdu. Les acheteurs attendent cette solution miracle alors que ces solutions existent » s’énerve-t-il.

La volonté politique n’existe pas pour faire du vrai en même temps dans le Cloud

« En réalité nous avons tout ce qu’il faut en France pour répondre à nos besoins » affirme le DG. « Mais il faudrait une volonté politique. Or la volonté politique a été de rassurer les acteurs existants par rapport à des fournisseurs existants » déplore-t-il. Il plaide pour le développement des acteurs locaux. « Est-ce que l’on a la volonté politique de faire du vrai en même temps ? C’est à dire de développer le tissu industriel local et évidement de continuer de travailler avec les acteurs existants dominants. Or il me semble que la situation a été largement biaisée dans le sens du statu quo » termine-t-il.

Face à Scaleway, Orange adopte une position plus filandreuse, qui semble guidée par l’obligation d’avancer et de signer un maximum de contrats. « On peut tous avoir sa définition sur la partie confiance et sécurité » entame Cédric Parent, Directeur général adjoint des activités Cloud, chez Orange Business Services. Il était présent à la même table ronde que Yann Lechelle de Scaleway. Le responsable d’Orange brosse un paysage défini par l’Anssi et le gouvernement dont il se montre plutôt satisfait. « Quand on discute avec l’Anssi, il y a les éléments de non exposition aux lois extraterritoriales. Il y a certes l’aspect légal, mais il y a également l’exécution d’un point de vue technologique.  Il y a la protection et les moyens qui permettent l’impossibilité technique de le faire » commente-t-il. « Il y a également SecNumCloud sur le fait que ce soit sur le FISA orders ou autre. C’est extrêmement étudié. On trouve que l’état français est extrêmement bien placé » plaide-t-il.  

Orange souhaite relativiser les problématiques. «  Il n’y a pas une seule définition de la souveraineté et de la confiance » défend Cédric Parent. « Nous préférons parler de confiance que de souveraineté. On ne croit pas à un cordon sanitaire que l’on ferait et qui fasse que l’on travaille complètement en isolation et totalement en autarcie. Il faut un comportement raisonné » affirme-t-il.

Le Cigref préfère parler de confiance numérique que de Cloud numérique

Le responsable de l’offre Cloud d’Orange s’appuie également sur l’avis du Cigref, le club des grandes entreprises françaises, également partisan de parler de confiance numérique plutôt que de souveraineté.  « Jean Claude Laroche [NDLR : DSI d’Enedis], président du Cigref, qui représente les grandes entreprises, disait que 2021 est l’année de naissance du Cloud souverain et du Cloud de confiance » cite Cédric Parent. « Et d’ailleurs il disait qu’il préférait parler de confiance numérique que de souveraineté. Et dans la doctrine de ‘Cloud au centre’, qui a donné la circulaire de l’informatique en nuage à usage de l’état, on parle également de confiance numérique » insiste-t-il.

Pour Orange, la souveraineté serait principalement un élément de localisation des données et de sécurité. « Les GAFAM ont quelquefois un peu joué avec le mot, en disant qu’ils étaient sur le territoire français, avec des Data Centers français, et donc qu’ils sont complètement souverains »  relève Cédric Parent. « Alors que la confiance veut dire plusieurs choses, bien sûr les éléments de sécurité, et c’est être complètement étanche et protégé des lois extraterritoriales, extra européennes. Cela intervient dans la protection de la propriété intellectuelle » présente le DG adjoint. « Cela veut dire aussi la capacité de manager les services. Avoir une donnée souveraine, c’est important, mais si les personnes qui  gèrent les services ne sont pas de confiance, on a perdu toute la confiance » illustre-t-il.

Orange insiste sur la nécessité d’adopter une vision large de certaines notions. « Il n’y a pas une seule réponse aujourd’hui. Il n’y a pas une seule définition de la souveraineté et de la confiance. On n’a pas besoin exactement du même niveau de confiance que l’on soit une PME ou un opérateur qui gèrent des données nucléaires ou des centrales nucléaires » reprend Cédric Parent. « Ce n’est pas le même système de confiance que ce soit une startup qui a besoin d’une protection de sa propriété intellectuelle ou d’une administration ou d’un acteur de la défense, ou un fournisseur de la défense qui aurait besoin d’éléments pour la classification de ses données » ajoute-t-il.

Orange défend son approche comme étant pragmatique

Orange se présente comme pragmatique face aux complexités techniques, commerciales et juridiques soulevées par les offres Cloud extra européennes. « Au delà des théories, il faut avoir une approche pragmatique et de Realpolitik [NDLR : une politique réaliste] sur le sujet. Nous avons plusieurs types de solutions sur la confiance. On n’ pas attendu Bleu Azure, même si Bleu est une des couleurs de l’arc en ciel que l’on peut fournir » propose-t-il. Quoiqu’il en soit, Cédric Parent souhaite jouer les rassembleurs. « Nous avons le même objectif avec OVHCloud et Scaleway » veut-il rassurer. « Avec Scaleway, nous avons un petit écart sur la doctrine ‘Cloud au centre’ » admet-il toutefois.

Cédric Parent veut voir la doctrine ‘Cloud au centre’ du gouvernement comme une bonne chose. « Cette doctrine a été un réveil. Nous avons eu énormément de conversations avec les clients. Effectivement, il y a des offres qui sont disponibles et d’autres qui ne le sont pas et d’autres qui viendront » explique-t-il. « Donc nous avons eu énormément de discussions avec les plus grandes entreprises françaises, celles qui sont jugées les plus vitales et les plus essentielles, avec les dirigeants C-Levels, et quelquefois les CEO. On voit que ce n’est plus une question de technologie mais une question de business et d’accélération » veut-il retenir.

Il rappelle que le Cloud représente entre 5% à 10% dans la totalité d’un applicatif d’un client ou d’une solution d’une grande entreprise, et comprend de nombreuses couches, pour les parties de calcul et de stockage. Il voit les offres américaines, extra européennes, comme des briques technologiques qu’il faut utiliser mais qu’il faut savoir conjuguer pour les rendre compatibles avec la volonté européenne de protéger les données et de se protéger également de toute exposition à une loi extraterritoriale.  

La copie du gouvernement doit être revue pour dynamiser les acteurs locaux

Yann Lechelle de Scaleway souhaite pour sa part que le gouvernement revoit sa copie en ce qui concerne la doctrine ‘Cloud au centre’. « On ne peut pas reprocher au gouvernement d’avoir traité le sujet mais je trouve que la copie mérite d’être revue dans le prochain quinquennat, pour dynamiser les acteurs locaux » demande-t-il. Il souligne que moins de 1% des achats des grands groupes en France concernent des technologies européennes, selon l’étude Scale Up Europe commissionnée par l’Elysée.

« Les acteurs américains dominants sont les meilleurs dans la captation de la valeur. Ils créent du logiciel à forte valeur ajoutée et ils rapatrient toute la valeur aux Etats-Unis. En France, en Europe, nous n’avons pas pour habitude de capter cette valeur dans le numérique. On laisse partir cette valeur vers la Californie » se désole-t-il. « Il existe des solutions performantes. Il faut avoir le réflexe d’acheter un peu plus local. Pourquoi travailler avec des acteurs extraterritoriaux s’il existe des solutions performantes ? C’est à nous de démontrer que l’on a les solutions qui vont bien. Il faut avoir le réflexe d’acheter un peu plus local » termine-t-il.

Côté OVHCloud, on a également ses propres formulations de la souveraineté et de la confiance. « Pour nous, il y a la souveraineté des données. Les données doivent être protégées c’est à dire non soumises à des lois extraterritoriales » définit Caroline Comet- Fraigneau, Vice Président France, Benelux et Afrique d’OVHcloud, intervenant lors de la même table ronde. « On doit aussi apporter la garantie à nos clients que jamais nous n’utiliserons leurs données pour faire tourner des algorithmes. Et il y a la notion de liberté. Le client doit pouvoir partir à n’importe quel moment et récupérer ses données simplement et sans des coûts exorbitants » établit-elle.  

Utiliser la technologie américaine sans que personne n’accède aux données

La responsable ajoute à cela la souveraineté technologique. « On parle de souveraineté technologique. Aujourd’hui, nous devons intégrer des technologies américaines, mais c’est toujours avec l’exigence que personne ne pourra accéder aux données hébergées chez nous » poursuit-elle. La Vice Présidente souligne également qu’il faut stimuler un écosystème européen. « Le portefeuille de solutions est en train d’émerger sur SecNumCloud » se réjouit-elle. « La démarche de l’Etat est positive avec l’intégration dans sa commande des enjeux de souveraineté. Avant c’était la porte ouverte à toutes les solutions et les Gafam étaient très présents dans les ministères et le sont toujours. Mais là cela donne un cadre et une direction. Et cela sensibilise les acteurs aux enjeux de souveraineté, de non soumission aux lois extraterritoriales. En plus c’est vrai que cela apporte des couches de sécurité par la certification SecNumCloud » dit-elle.

Comment se présente l’avenir ?  « Quand tout est dit rien n’est fait » répond Cédric Parent d’Orange. L’heure est aux mises en œuvre. « Il faut arriver à mettre en pratique les définitions qui ont été faites. C’est uniquement dans les réalisations que l’on verra toutes ces régulations, ces définitions, ces normes, ces doctrines, et à quel point elles ont été appliquées. C’est l’application qui donnera raison à ce mouvement » déclare-t-il.

Côté OVHCloud, on veut croire que l’on peut répondre aux besoins les plus courants des entreprises. « Nous avons fait des études avec KPMG. Quand on regarde le catalogue de services des Gafam, une petite partie est utilisée. C’est celle là que l’on va proposer à nos clients. C’est pour cela que l’on fait des partenariats technologiques comme avec MongoDB afin d’avoir des solutions de bases de données en mode souverain » illustre Caroline Comet- Fraigneau. Elle reconnaît également qu’il y a un gros travail à faire pour acheminer un certain nombre de commandes vers des Cloud providers français ou européens. « Nous sommes en attente d’actes et de volume. A partir du moment où on est un acteur européen, dont le siège est en France, nous ne sommes pas soumis aux lois extraterritoriales, et donc notre Cloud est un Cloud de confiance par définition. SecNumCloud permet d’aller un niveau plus loin en matière de sécurité » souligne-t-elle.  

La réglementation doit favoriser un Cloud européen

Elle veut une réglementation au service des acteurs de Cloud locaux. « Il faut avoir une approche européenne car le marché français est assez limité. D’où l’importance de la démarche de l’Enisa [NDLR : European Union Agency for Cybersecurity]. C’est l’équivalent de l’Anssi au niveau européen pour avoir des qualifications européennes en matière de sécurité et de protection vis à vis des lois extraterritoriales. La réglementation doit être au service des entreprises et aussi favoriser l’essor d’un Cloud européen » conclut Caroline Comet-Fraigneau d’OVHCloud.

Quoiqu’il en soit, on peut aussi se dire que tant que les offres de Cloud américains séduiront plus les jeunes professionnels français de l’informatique, les fournisseurs hexagonaux de Cloud ont encore du pain sur la planche.