Cloud souverain : le choix pragmatique de l’État

Cloud souverain, cloud de confiance, autonomie numérique: ces termes désignent ce qui fait donner à la France son indépendance et sa sécurité numérique.

Cela a pris un peu de temps, mais l’État a admis que le cloud était une opportunité. Pour lui, le cloud apporte des avantages, aussi bien pour des acteurs privés que pour des acteurs publics, notamment en matière d’innovation. Il permet de favoriser l’emploi et d’optimiser les budgets. Par exemple, grâce au cloud, le concours de Science Po a pu être organisé durant la Covid rapidement et pour un faible coût.

On parle souvent de la consommation électrique de ces énormes datacenters dans lesquels fonctionnent les clouds. Mais en fait, ils sont source de diminution de l’empreinte carbone des services numériques : ceux-ci ne sont utilisés uniquement qu’en cas de besoin. Typiquement, le calcul des fiches de paie ne s’effectue qu’à la fin du mois. Il est donc inutile pour une entreprise d’avoir en permanence des serveurs dédiés à cette tâche.

Le gouvernement est conscient que l’on ne peut pas aller contre ces nouvelles solutions mais s'interroge sur la gouvernance et la sécurisation des données. Les données situées sur des clouds américains, hébergées en France ou non, posent en effet un problème en termes d’espionnage.

Après les échecs de Cloudwatt et Numergy, la France et l’Allemagne ont lancé l’initiative GAIA-X. Il ne s’agit pas réellement d’un cloud, mais d’un référentiel numérique commun. Il suit un certain nombre de critères en termes de sécurité, d’interopérabilité, de transparence. Le paradoxe est que GAIA-X est ouvert à des acteurs non européens, américains et même chinois.

Sécurité gérée par les acteurs français

Du coup, le gouvernement a pris une initiative pragmatique : les fournisseurs américains étant très en avance technologiquement, les acteurs français prendront des licences leur permettant de faire tourner les technologies cloud d’outre-Atlantique sur l’Hexagone, sans que les hyper scalers n’aient droit de regard. Par exemple, des spécialistes comme Orange ou Capgemini pourront acheter des licences Azure ou GCP, les installer sur leurs infrastructures en Europe, ce qui permettrai de contrer le Cloud Act. Cela permet de profiter des technologies avancées américaines tout en préservant nos données, aussi bien pour des acteurs publics que des acteurs privés. Pour garantir la sécurité des données, il faudra s’adosser à l’ANSSI (Agence nationale de la sécurité des systèmes d’information), pour obtenir le label de confiance (SecNumCloud de l’ANSSI). Et pour cela, les solutions de sécurité et d’authentification devront être fournies par l’acteur français. C’est une stratégie Win-Win : accords avec les multinationales américaines et données sécurisées chez les acteurs français.

Licencier les technologies américaines

Deux initiatives sont associées à ce cloud souverain. Thales avec Google avec l’offre S3NS et l’initiative Bleu, menée par Capgemini et Orange, basée notamment sur Office 365. Le secteur public est un enjeu très fort dans leur stratégie. En résumé, le gouvernement a été pragmatique et a choisi les technologies américaines plus avancées, sans chercher à réinventer la roue. Ces solutions s'exécuteront en France sur des infrastructures d’acteurs français, ce qui nous protègerais Cloud Act.

Cette semaine deux informations renforcent cette attente du marché d’avoir une offre de Cloud Souverain et de confiance en France. La Poste, Dassault Systèmes et Bouygues Telecom ont annoncé le lancement d’une société commune baptisée “Numspot” pour proposer une plateforme cloud 100% française. Et selon une source du Journal du Net, depuis plusieurs mois, Amazon Web Services (AWS) et Atos travaillent main dans la main pour tenter de décrocher le label « cloud de confiance » et ainsi proposer une offre cloud éligible au fameux « SecNumCloud », de l’Anssi.

Qui sera donc le premier à décrocher le fameux sésame ?