Cloud souverain : le gouvernement ouvre la porte à Google et Microsoft
Ce lundi 17 mai, le gouvernement a dévoilé sa stratégie en matière de cloud pour 2021 lors d'une conférence de presse. Principale annonce : la création d'un label porté par l'Etat qui visera à assurer la souveraineté des données. "Ce label de confiance a d'abord pour but de garantir leur protection technique", souligne Bruno Le Maire, en évoquant la certification SecnumCloud de l'ANSSI comme point de passage obligé pour le décrocher. "Il garantira également une protection juridique des informations, notamment contre les lois extraterritoriales des Etats-Unis." Pour mettre en œuvre ce bouclier numérique, les données devront être stockées sur des serveurs installés en France et opérés par des sociétés européennes. "Ce impliquera la commercialisation d'offres cloud américaines, comme celles de Microsoft ou Google, par des acteurs européens du secteur", indique le ministre de l'Economie et des Finances.
Bruno Le Maire assume. "Le recours à des licences américaines dans le nucléaire n'a pas empêché la France de devenir une puissance souveraine dans ce domaine. L'objectif est de suivre la même approche avec le cloud", argue-t-il. Pour soutenir cette vision, le gouvernement entend s'appuyer sur les 100 millions d'euros du Plan de relance dédiés à cinq projets de services de données. "Une politique d'investissement industrielle sera aussi importante pour proposer une alternative aux géants du cloud américains et asiatiques", déclare de son côté le secrétaire d'Etat chargé de la transition numérique Cédric O. Pour relever ce défi, le gouvernement place sa stratégie dans le cadre du plan de l'Union européenne en faveur du nuage, qui vise notamment à investir 10 milliards d'euros dans les infrastructures cloud de nouvelle génération. "Le label (que nous initions, ndlr) rejoint évidemment le projet Gaya-X annoncé conjointement avec l'Allemagne", complète Bruno Le Maire (lire l'article Gaia-X : la France et l'Allemagne lancent leur Airbus du cloud).
Azure en pourparlers avec des clouds français
Il n'est pas étonnant que le ministre évoque Google et Microsoft. Le premier a officialisé en octobre 2020 un partenariat avec OVHCloud. Un accord qui prévoit le déploiement et la vente par OVH de la plateforme cloud Google Anthos. "Le data plane, c'est-à-dire les machines qui hébergent les données et softwares du client, mais également le control place (API, couches d'orchestration, observabilité...) seront déployées et gérées par nos équipes", explique Maxim Hurtrel, product manager chez OVHCloud. "Dans ce partenariat, Google se positionne par conséquent comme un éditeur logiciel à qui nous payons des licences. Quant au service, il est fourni à 100% par OVHCloud au client final."
De son côté, Microsoft se prépare à lancer une solution équivalente. Le groupe de Satya Nadella a déjà lancé des négociations avec plusieurs fournisseurs de cloud, parmi les principaux du marché hexagonal. Comme Google, il entend leur vendre des licences Azure pour leur permettre de commercialiser sa technologie chez eux sous législation européenne. Qu'en est-il de l'offre en question ? Il ne s'agirait pas d'Azure Arc, l'environnement de cloud hybride de Microsoft, mais d'un environnement Azure développé spécialement pour l'occasion.
"Le serveur de licences doit être hébergé de manière étanche, et les données d'authentification et d'usage des clients rester en Europe"
Quant à Amazon, il n'est pas étonnant qu'il n'ait pas été cité par Bruno Le Maire. Comme pour les produits de son site e-commerce, le groupe de Seattle n'a pas pour habitude de passer par des tiers pour distribuer ses services cloud. A la différence de ses deux concurrents, AWS ne distribue pas non plus ses développements en open source.
"Ce label valide notre stratégie de cloud industriel, notamment en matière de sécurité et de localisation des données. Mais aussi notre cadre juridique", réagit David Chassan, chez 3DS Outscale. Aux côtés d'OVH, le provider de Saint-Cloud est le seul cloud français à être certifié ScnumCloud. Que penser de la volonté du gouvernement de promouvoir la commercialisation en France d'Azure et Google Cloud par des clouds européens ? Pour David Chassan, cette voie implique de bien veiller au mode d'exploitation. "Le diable se cache dans les détails", insiste-t-il. "Dans un tel scénario, le serveur de licences doit être hébergé de manière étanche, et les données d'authentification et d'usage des clients rester en Europe. Il n'est pas question également que la maintenance soit réalisée par des équipes du fournisseur en délégation chez le revendeur car il y aurait des risques d'intrusion."
Deux clouds interministériels
Du côté de l'adoption du cloud par les administrations centrales, le gouvernement entend accélérer le mouvement. "Dans le cadre de notre nouvelle doctrine baptisée 'Cloud au centre', ce mode d'hébergement va être désormais retenu par défaut pour tout projet numérique lancé ou mis à jour", souligne Amélie de Montchalin, ministre de la Transformation et de la Fonction publiques. Autre axe de cette nouvelle politique, les services publics numériques manipulant des données personnelles ou d'entreprises devront être systématiquement localisés sur le cloud interne de l'Etat ou sur un cloud qualifié SecNumCloud par l'ANSSI et protégé contre toute réglementation extracommunautaire.
"Le cloud de l'Etat va être mutualisé autour de deux plateformes interministérielles, l'une portée par le ministère de l'Intérieur et l'autre par le ministère de l'Economie", précise Amélie de Montchalin. Enfin, en cohérence avec l'approche de Gaya-X, les technologies retenues à la fois en matière de cloud privé et public devront garantir la réversibilité, l'interopérabilité et la portabilité des applications.