Attaque en règle qui fragilise l’émergence d’un Cloud souverain

L’association Anticor, se basant sur un article de l’Obs prédisant par le biais « d’une source bien informée » un coût mensuel de l’application StopCovid de plusieurs centaines de milliers d’euros, a saisi le parquet national financier le 10 juin 2020. La raison de cette saisie est d’une part le montant qui lui semble « supérieur aux pratiques du marché », et d’autre part l’absence de « procédure de passation de marché public » pour « l’attribution du marché de maintenance ». Si cette application est au cœur du débat public depuis plusieurs mois – pour son efficacité relative autant que pour les risques liés à la gestion des données personnelles et aux soupçons d’espionnage étatique -, elle est disponible depuis le 2 juin après une validation difficile, autant par le corps parlementaire que par la CNIL.

Une polémique très orientée

Issue d’une collaboration entre plusieurs acteurs publics et privés ayant travaillé bénévolement à son développement – ANSSI, Capgemini, Dassault Systèmes, Inserm, Lunabee Studio, Orange, Santé Publique France et Withings -, l’application dorénavant mise en production et accessible au public représente un coût : en plus de la maintenance des applications disponibles sur AppStore et GooglePlay, la maintenance des systèmes de collecte, de traitement et de stockage des données ainsi que leur hébergement est également à prendre en compte.

En l’occurrence, le site du ministère de l’Économie annonce que c’est Outscale* qui s’occupe de l’hébergement des données, en qualité de « seul prestataire qualifié SecNumCloud par l’ANSSI » et « hébergeur de données de santé ». Comme détaillé juste avant, cet hébergement ne représente pas l’intégralité du coût récurrent de StopCovid : CapGemini et Lunabee Studio font partie, avec Outscale, du groupe projet en charge du fonctionnement de la solution StopCovid. Pourtant c’est Outscale, filiale Cloud de Dassault Systèmes, qui se retrouve sous les feux des projecteurs d’Anticor et de la presse pour « soupçons de favoritisme ».

Affaiblir son adversaire grâce à l'ignorance populaire

Si sur le fond la question de la mise en concurrence mérite évidemment d’être posée pour tout projet représentant une dépense de denier public, le focus fait exclusivement sur Outscale mérite de prendre du recul. Tout d’abord, la présidente d’Anticor annonce que « StopCovid, c’est une facture de plus de 200.000 euros par mois quand d’autres évoquent 1.000 ou 2.000 euros ». Si ce chiffre donné par une « source bien informée » – sur laquelle nous reviendrons par la suite – peut paraître élevé, il conviendrait de savoir quel périmètre il englobe. En effet, il faut prendre en compte les coûts de maintien de l’application mobile, mais également de toute « l’intelligence » de la solution, l’anonymisation et la sécurisation des données, en plus de leur hébergement. Sachant que concernant ce dernier, le choix d’un hébergeur spécialiste du Cloud devrait permettre de maîtriser le budget plutôt que de le voir s’envoler : le principe premier du Cloud est de ne facturer que ce qui est consommé. Il convient donc de faire la part des choses entre les différentes composantes du budget annoncé avant d’identifier les éventuels abus. Tout en sachant que les montants qui font réagir Anticor n’ont en réalité aucun fondement, le secrétaire d’État au numérique mettant en avant une somme inférieure à 100.000€ et que les coûts concernant l’hébergement seront loin d’approcher ce montant.

D’autre part, Anticor indique également que « la maintenance de l’application disponible gratuitement sur l’ensemble des téléphones portables iPhone et Android par le biais de plateformes de téléchargement l’App Store et Google Play est assurée par la filiale Outscale ». Or le métier d’Outscale est la fourniture de ressources Cloud : c’est d’ailleurs pour cela que la société est associée à Lunabee, spécialisée dans le développement d’applications mobiles, et CapGemini, entreprise de services numériques, qui doit logiquement s’occuper de toute la mécanique de traitement des données. S’il est étonnant que le prestataire qui fournit le matériel soit le seul au cœur de la polémique, il est d’autant plus surprenant que les faits qui lui sont reprochés soient totalement hors de son périmètre. Seulement, parmi les domaines pour lesquels l’ignorance permet d’énoncer des inepties sans que leur grossièreté ne saute aux yeux, le numérique est particulièrement touché. La reprise par les médias d’une information qui après une analyse évidente apparaît comme ridicule permet de penser à une action volontairement dirigée par un concurrent.

La difficile recherche d'une souveraineté numérique pour la France

Outscale est née en parallèle de ce devait devenir le fiasco du projet Andromède, sous l’impulsion de Dassault Systèmes qui pressentait des difficultés auxquelles le consortium initial avec Orange et Thalès allait devoir faire face. Il a fallu plusieurs années à la société pour sa crédibilité face à des acteurs historiquement établis mais n’ayant pas saisi les subtilités du Cloud tel que défini par Amazon, le mètre-étalon du secteur. Sa pugnacité et son offre technologique lui ont cependant permis fin 2019 d’être missionnée par le ministre de l’Économie et des finances pour travailler sur le renouveau du cloud souverain français, en tandem avec OVH. Cette initiative, 18 mois après la publication d’une doctrine d’utilisation du Cloud par l’État, faisait notamment échos aux appels d’Octave Klaba, le fondateur d’OVH, à fédérer les acteurs pour contrer les GAFAM. En effet, après un départ aux États-Unis en grande pompe suivi d’un retour en catimini, l’entrepreneur réalisait qu’un changement de nom n’était pas suffisant pour être crédible sur la fourniture de services Cloud et leur spécificité. Dès lors, associer la notoriété d’OVH à la proposition de valeur du Cloud de Dassault Systèmes pour relancer l’idée de Cloud souverain jetait les bases d’un renouveau de l’écosystème.

Pourquoi cibler Outscale aujourd’hui ? Les révélations de l’Obs correspondent opportunément au lancement du projet Gaia-X, initiative franco-allemande dont la société – de même qu’OVH – est partie prenante et qui vise à fournir au niveau européen des services Cloud crédibles. Son objectif est évidemment de faire face à l’hégémonie des GAFAM[1] américains et la prépondérance du CLOUD Act[2] ainsi que, dans une moindre mesure pour l’instant, aux BATX[3] chinois. À cela viennent s’ajouter les polémiques autour du choix de Microsoft pour héberger le Health Data Hub, la plateforme faisant le lien entre les différents organismes de santé et qui met de facto à portée de main du gouvernement américain et d’acteurs privés peu scrupuleux le juteux filon des données de santé des français. Avec les certifications et la notoriété grandissante dont Outscale bénéficie, la société devient une cible sérieuse pour porter un coup aux ambitions de Cloud souverain.

Une attaque informationnelle exacerbée par le climat politique

 En complément de la situation difficile dans laquelle se trouve le gouvernement de par sa gestion de l’épisode COVID-19, la fronde se lève contre Cédric O, le secrétaire d’État au numérique. Lors d’une intervention au Sénat, il déclarait que le retard dont la France accuse en matière de Cloud ne laissait pas d’autre choix que de choisir un prestataire américain, une remarque qui n’a pas manqué d’indigner le tissu technologique français. L’opportunité d’attaquer toujours plus sa crédibilité en faisant porter sur lui des soupçons de favoritisme est donc du pain béni pour les détracteurs d’un gouvernement qui semble tout faire pour prêter le flanc à la critique.

La situation politique vient ainsi accentuer l’attaque informationnelle. Il aura suffi d’une source anonyme qualifiée de « fiable » par un journaliste mais pour laquelle il n’est possible que de spéculer sur les motivations – la limite entre lanceur d’alerte et corbeau étant parfois ténue, et l’art de « se tirer dans les pattes » étant une spécialité française – pour lancer une polémique ayant l’objectif clair de déstabiliser un acteur français évoluant dans un secteur éminemment stratégique.

Quelle que soit la source de l’attaque – société soucieuse de voir l’émergence d’un Cloud souverain en France ou concurrent jaloux de ne pas avoir été retenu pour la phase de production de StopCovid -, elle est l’illustration qu’il suffit de bien peu d’éléments pour lancer une rumeur pouvant être reprise largement par la médiasphère. Sans aucune analyse sur la véracité de l’accusation, et avec les conséquences potentielles que cela peut avoir sur la crédibilité d’une société et des initiatives auxquelles elle participe, à savoir ici la structuration d’une industrie stratégique participant à l’autonomie numérique de la France.

 

Cédric Joly

 

[1] Google, Amazon, Facebook, Apple, Microsoft

[2] Clarifying Lawful Overseas Use of Data Act, loi extraterritoriale permettant aux États-Unis de réquisitionner n’importe quelle donnée hébergée par un acteur américain, quelle que soit sa localisation, sans passer par les mécanismes de coopération interétatique

[3] Baidu, Alibaba, Tencent, Xiamo