Cloud de confiance : une offre 100% française pourra-t-elle s’imposer ?

Malgré un usage de cloud en deçà de la moyenne de l’Union Européenne (UE), les organisations françaises opèrent une transition majeure vers le cloud afin d’accroitre leur vitesse, évolutivité et innovation. Cette transition a été accélérée par la récente pandémie qui a bouleversé les usages des outils informatiques. Le terme de cloud computing désigne la fourniture à la demande de ressources informatiques, de serveurs à distance facturés à l’usage. Au lieu d’acquérir puis d’entretenir leur propre centre de données ou leurs serveurs, des organisations utilisent, en fonction de leurs besoins, des technologies et des services informatiques.

Un état des lieux du cloud en France

Le marché du cloud en France est dominé à 71% par les 3 acteurs américains Amazon, Google et Microsoft membres des fameux GAFAM qui visent aussi bien les TPME et PME que les grands groupes dans tous les secteurs d’activité. Face à eux, l’écosystème français de cloud se compose d’une quarantaine sociétés françaises qui tentent de se faire une place en misant sur des segments spécifiques. On note pour l’infrastructure notamment OVH, Scaleway ou Outscale et pour les suites logicielles des sociétés telles que Abilian, Wallix, Oodrive, Jamespot, Clevercloud, Whaller, Netframe, Wimi.

Le cloud s’impose comme un levier essentiel de la prochaine révolution industrielle car il est la pierre angulaire de l’industrie 4 .0 avec ses technologies disruptives telles que l’Intelligence Artificielle (IA), la robotique, la réalité augmentée etc…Du point de vue des décideurs politiques ou industriels français, il apparait donc comme un enjeu crucial pour la France de disposer d’une solution qu’elle maitrise pour assurer son avenir industriel.

Le marché du cloud croit entre 15 et 20% par an mais paradoxalement, n’en est qu’à ses débuts. En effet, les spécialistes estiment que le marché du cloud en France ne représente aujourd’hui que 20% de la taille qu’il aura en 2030 (30 Mds€) : ainsi Quentin Adam le patron de Clevercloud un brin provocateur affirme que « finalement la bataille pour le cloud n’est pas pliée, elle ne fait que commencer »

De la nécessité d'un cloud souverain

Longtemps ignorée voire galvaudée, la notion de souveraineté numérique a été poussée en France à partir de 2014 par des acteurs clés tels que Tariq Krim, Bernard Benhamou ou encore Pierre Bellanger auteur d’un ouvrage portant explicitement ce titre en 2014. Suite à la promulgation du Cloud Act en 2018 (« Clarifying Lawful Overseas Use of Data Act » loi du gouvernement américain qui permet d’accéder aux données sur les serveurs, quel que soit leur localisation) et la prise de conscience des dépendances durant la pandémie, la question de la souveraineté, c’est à dire notre capacité à maîtriser nos dépendances aux solutions technologiques extra-européennes, à garantir l'autonomie stratégique des États et de leurs entreprises, s’est imposée dans le paysage français tant au sein de la société civile qu’au niveau étatique.

Selon un sondage IFOP publié en avril 2021, 69% des Français estiment que la souveraineté des données est un enjeu majeur et 72 % des Français se disent opposés à ce que leurs données personnelles soient stockées en dehors de l’Union européenne. La question de la souveraineté longtemps galvaudée s’est imposée dans le paysage français tant au sein de la société civile qu’au niveau étatique.

De la domination commerciale et informationnelle des GAFAM

Le 17 mai 2021, Bruno Le Maire alors ministre de l’économie, présente sa nouvelle stratégie nationale du cloud et annonce la création d’un label « cloud de confiance » qui est destiné à promouvoir le déploiement du Cloud au sein de l'administration et chez les opérateurs d'importance vitale (OIV) et de services essentiels (OSE). Ce label, reposant sur le visa SecNumCloud délivré par l’agence nationale de la sécurité des systèmes d’information (ANSSI), impose au niveau juridique que l’infrastructure soit située et opérée en Europe par une entité européenne afin de se protéger des lois extra territoriales. Il souhaite par ailleurs l’émergence de champions nationaux tout en autorisant l’emploi de « technologies étrangères sous licences », de facto celles des GAFAM.

Cette annonce contradictoire illustre bien comment les GAFAM ont pu avec une grande efficacité imposer dans l’esprit des décideurs privés et publics le fait de leur supériorité technique, basée sur des solutions globales répondant à tous les besoins des clients sur une seule et même plateforme. Quelle meilleure preuve que la déclaration de Bruno Le Maire : « Mais au moment où je vous parle, il se trouve que ces meilleures entreprises de services, elles sont américaines » (annonce du 17 mai 2021).

Ainsi pourront se monter des co-entreprises de droit français mais utilisant les technologies cloud américaines et éligibles au fameux label. Le 27 mai 2021 sera officiellement lancée l’offre Bleu : Microsoft Azure, Orange et Capgemini. Puis le 30 juin 2022 l’offre S3NS : Google Cloud avec Thales. En parallèle, des discussions ont toujours lieu entre Amazon et Atos.

De l'offensive des acteurs Français

Les acteurs français du cloud sont dans la posture du faible face au fort. Leur riposte s’articule autour de deux axes. Un axe défensif d’abord où il faut véhiculer l’image d’un écosystème uni capable de rivaliser au niveau technique avec les GAFAM. Cette démarche se matérialise en juillet 2021 par la création de l’alliance industrielle européenne du cloud (EUCLIDIA) composées de 23 membres dont le but est de promouvoir les solutions souveraines européennes auprès des décideurs politiques et l’activation d’autres organisations promouvant la souveraineté numérique telles que Hexatrust ou encore Play France digital.

Leur offensive informationnelle sera concentrée sur le point faible des offres hybrides, à savoir leur non souveraineté et le risque sur protection des données. En effet, suite à l’annonce des partenariats Bleu puis S3NS, se pose la question de l’applicabilité des lois extraterritoriales américaines, Cloud Act ou FISA (Foreign Intelligence Surveillance Act). Les attaques informationnelles seront concentrées sur point afin de décrédibiliser l’offre de cloud de confiance des GAFAM (Bleu et S3NS)

Les acteurs français peuvent compter sur certains parlementaires très offensifs sur le sujet de la souveraineté. Le député Philippe Latombe, spécialiste des questions numériques et très actif sur les réseaux sociaux, publie le 4 juillet 2022 une lettre à l’ANSSI et à la CNIL dans laquelle il l’accuse l’offre S3NS d’être soumise au Cloud Act et la qualifie « d’enfumage ». Autre parlementaire engagée la sénatrice Morin-Desailly alertera le gouvernement sur une autre loi extraterritoriale, FISA passée sous le radar. Cette loi de 1978, se place également au-dessus du RGPD européen et permet au gouvernement américain d'autoriser une surveillance sans mandat pour la collecte de renseignements à l'étranger notamment via l’installation de porte dérobées dans les logiciels. Sans un véritable audit du code, et les GAFAM ne le permettent pas, impossible de savoir si les services de renseignement n’espionnent pas discrètement.

Le 16 aout 2022: le gouvernement hollandais commande une étude au cabinet américain Greenberg Traurig sur le Cloud Act dont le résultat est sans ambiguïté : toute solution hybride de cloud qui utilise des logiciels américains peut être soumise au Cloud Act ce qui contredit la communication du gouvernement français sur le Cloud de confiance. Les résultats de cette étude seront très relayés par l’écosystème français

Conséquence de cet affrontement

En mai 2022, on pouvait percevoir un changement de cap quand Bruno Le Maire devenait ministre chargé de l'Economie, des finances et de la souveraineté industrielle et numérique. Mais c’est le 12 septembre 2022 que Bruno Le Maire, Thierry Breton et Jean-Noël Barrot (le nouveau secrétaire d’état au numérique) lors d’un déplacement dans les locaux d’OVH, opèrent une volteface dans le discours en affichant « un soutien clair, massif et sans ambiguïté à la filière française du cloud ». Il est d’ailleurs question de développer la filière du cloud française en levant un certain nombre de freins et en créant un comité stratégique de filière (dirigé par Michel Paulin directeur géneral de OVH) dont sont exclus les GAFAM. Jean Noël Barrot déclarera par ailleurs que les acteurs français disposent de toutes les briques technologiques pour élaborer des solutions souveraines tandis que Bruno Le Maire déclarera son opposition au principe d’extraterritorialité américaine.

Hasard du calendrier ou pas, le 26 octobre, est officialisée Numspot, l’offre cloud de confiance 100% française et formée par : Docaposte, Outscale la filiale de Dassault Systèmes, Bouygues Telecom et la Banque des Territoires. Cette offre laisse espérer de futures synergies au sein de l’écosystème français.

Les GAFAM qui dominent outrageusement le marché français continuent leur offensive informationnelle. Ainsi en réaction à l’annonce du 12 septembre, Amazon rappelait les investissements massifs à venir en France (5,3 milliards d’euros). Signe de la bataille qui se joue en coulisse et de la volonté du gouvernement de ménager les deux camps, c’est Guillaume Poupard le directeur de l’ANSSI qui sera envoyé par le gouvernement à l’audition du Sénat du 5 octobre pour déclarer : « nous ne sommes pas capables de faire du cloud de haut niveau en France aujourd'hui avec des technologies exclusivement françaises développées en France ».

Au vu de la communication du gouvernement qu’on peut analyser comme un baromètre de l’affrontement entre les acteurs français et les GAFAM, un rééquilibrage pourrait s’opérer et profiter à la filière française si elle arrive à se structurer.

 

Pierre-Emmanuel Massieux
Auditeur de la 41ème promotion MSIE de l'EGE