Cloud souverain : un marché en pleine ébullition

Cloud souverain : un marché en pleine ébullition Offrant le plus haut niveau de sécurité, la qualification SecNumCloud attire un nombre croissant de cloud providers. Après OVHcloud, Cloud Temple et Outscale, la liste des prétendants s'allonge avec Orange, SFR, NumSpot ou Bleu.

Comment exister face à la suprématie américaine dans le cloud public ? Alors que les trois hyperscalers Amazon Web Services (AWS), Microsoft Azure et Google Cloud accaparent 70% du marché français selon le cabinet Markess by Exægises, les cloud providers nationaux n'ont d'autre choix que de jouer la carte de la confiance. En proposant un environnement dit de confiance, les Outscale, OVHcloud et autres Cloud Temple attirent à eux des acteurs publics et des entreprises privées tenus, d'un point de vue réglementaire ou opérationnel, à garantir la confidentialité de leurs données.

Alors que la notion de souveraineté aux contours flous prête à confusion, le qualificatif de cloud de confiance ne souffre, en France, d'aucune erreur d'interprétation. La doctrine nationale dite du "Cloud au centre", introduite en 2021 et plusieurs fois réaffirmée depuis, octroie le label "cloud de confiance" aux seuls fournisseurs de servies IaaS, PaaS ou SaaS justifiant de la qualification SecNumCloud.

Les prestataires déjà certifiés SecNumCloud….
  Outscale  Cloud Temple OVHcloud Worldline Oodrive Whaller
Dernière qualification en date  2023 2022 2023 2024 2023 2024
Domaines IaaS IaaS et PaaS IaaS IaaS SaaS SaaS
Services certifiés IaaS Cloud on Demand Secure Temple, PaaS OpenShift Hosted Private Cloud powered by VMware Worldline Cloud Services Oodrive Platform Donjon
Evolutions envisagées PaaS NC Ensemble du catalogue NC NC NC
…et ceux qui ont engagé une démarche de certification
  Orange Business SFR Business Free Pro NumSpot S3NS Bleu 
Date envisagée d'obtention NC NC Début 2025 NC 2025 2025
Domaines IaaS IaaS IaaS IaaS IaaS, PaaS SaaS, IaaS
Services Cloud Avenue, Cloud Privé Virtuel Cloud Agility Dedicaded Secure Cloud Services managés Kubernetes, OpenShift et base de données Google Cloud Platform Microsoft 365, Microsoft Azure

Délivrée par l'Agence nationale de la sécurité des systèmes d'information (Anssi), ce référentiel atteste du plus en haut niveau d'exigence en matière de cybersécurité et de protection des données sur le plan technique, opérationnel et juridique. Dernière mouture en date, SecNumCloud 3.2 introduit en plus une immunité contre les lois extraterritoriales américaines tels que le Patriot Act, le Cloud Act ou le FISA qui vient d'être renouvelé pour deux ans.

L'appel de l'air de l'IA générative

Le recours à des environnements de cloud de confiance s'imposent aux ministères, aux administrations, aux collectivités locales, aux établissements de santé et, plus largement, aux opérateurs d'importance vitale (OIV) et aux opérateurs de services essentiels (OSE). "Si les acteurs publics ont été les premiers demandeurs, des entreprises privées dans le retail, l'industrie ou la défense s'intéressent aujourd'hui à ces solutions", observe Pierre Albert, responsable cloud de confiance chez Capgemini.

Selon lui, le cloud de confiance offre un bon équilibre entre sécurité, performances et innovation. "Dans une approche par les risques, les données les plus sensibles sont conservées on-premise tandis que les données sensibles qui ont besoin d'être partagées aux clients, fournisseurs ou partenaires se retrouvent dans le cloud confiance", poursuit-il.

L'essor de l'IA générative dope également l'offre de cloud de confiance. Des entreprises se disent intéressées mais seulement et si les modèles fonctionnent dans des environnements totalement sécurisés. "Or, il est difficile pour une entreprise d'accéder à des ressources GPU à des tarifs corrects sur ses propres infrastructures", fait observer Meriem Berkane, CTO d'Octo Technology.

EUCS : une inconnue qui déstabilise le marché

En revanche, une forme d'attentisme prévaut en ce qui concerne le sort futur schéma européen de certification des services cloud. En négociation depuis plus de trois ans, l'EUCS doit ouvrir la voie à une certification commune pour l'ensemble des Etats membre. Alors que la France s'attendait à ce qu'il reprenne a minima le niveau d'exigence du SecNumCloud, les dernières arbitrages font apparaître une suppression du critère de souveraineté.

L'EUCS, qui pourrait être finalisé dans les prochaines semaines, se rapprocherait des certifications allemande (C5) ou espagnole (ENS) avant tout axées sur la localisation et la sécurisation des données. Appelé à se subsister aux référentiels nationaux, cet EUCS "light" pourrait rendre le SecNumCloud caduc alors que les prestataires certifiés en France espèrent au contraire capitaliser dessus pour se développer en Europe. A défaut d'obtenir gain de cause, la France a demandé à conserver le SecNumCloud, aux côtés de l'EUCS.

En attendant le verdict de Bruxelles, les fournisseurs certifiés SecNumCloud bénéficient d'un atout concurrentiel majeur. Ils se comptent, en effet, sur les doigts des deux mains. Sur le site de l'Anssi, on retrouve les cloud providers Outscale, OVHcloud et Cloud Temple, ainsi que le spécialiste des paiements Worldline, sans oublier les éditeurs de suite collaborative Oodrive et Whaller.

La certification ne concerne pas l'ensemble de leurs offres au catalogue. Dans le cas par exemple d'OVHcloud, elle ne porte que sur son service de cloud privé (hosted private cloud). Le cloud provider européen prévoit à terme de faire certifier SecNumCloud (3.2) l'ensemble de ses services, en commençant par son offre d'hébergement sur des serveurs bare metal puis son offre de cloud public.

Après avoir obtenu en 2022 la qualification SecNumCloud pour son service de IaaS, Cloud Temple fournit, depuis mars dernier, le PaaS de Clever Cloud sur ses infrastructures certifiées. Premier cloudeur à obtenir la qualification SecNumCloud en 2019, Outscale, filiale de Dassault Systèmes, prévoit également de compléter son IaaS certifiée par du PaaS.

"Après le IaaS et le Paas, le prochain virage sera celui du SaaS", veut croire Pierre Albert. Il prend l'exemple de la dernière certification en date attribuée à Whaller pour Donjon, une solution collaborative en mode SaaS (réseau social d'entreprise, intranet, GED, coédition, visioconférence). L'éditeur a obtenu le label grâce à son partenariat avec OVHcloud.

Les opérateurs télécoms dans les starting-blocks

Et ce n'est que le début car la liste des prétendants est longue. Parmi les prestataires en cours de qualification publiés sur le site de l'Anssi (seuls ceux qui ont accepté de rendre leur démarche publique apparaissent), on trouve majoritairement les divisions BtoB des opérateurs télécoms comme Orange Business (pour l'offre Cloud Avenue) et SFR Business (Cloud Agility). Pour sa part, Free Pro espère décrocher le précieux sésame début 2025 pour son offre de cloud privé.

Bouygues Telecom a choisi, lui, de monter dans le bateau NumSpot. Annoncée en octobre 2022, cette co-entreprise comprend, outre l'opérateur télécom, Docaposte, filiale numérique du groupe La Poste et chef de file du projet, la Banque des Territoires et Dassault Systèmes. Elle ne part pas de zéro puisqu'elle peut capitaliser sur l'expertise et les infrastructures d'Outscale, filiale cloud de Dassault Systèmes déjà certifiée. NumSpot devait initier son propre processus de qualification SecNumCloud au premier trimestre 2024.

Bleu et S3NS, le meilleur des deux mondes ?

Enfin, la dernière catégorie des prétendants associe des hyperscalers américains à des acteurs français. Créée en mai 2021 par Capgemini et Orange, la société Bleu se propose de servir les technologies cloud de Microsoft (Microsoft 365 et Azure) dans un environnement de confiance. Après un très long silence et l'obtention du feu vert de Bruxelles, les deux partenaires ont fait savoir que les premiers services seront commercialisés d'ici la fin de l'année et qu'ils espèrent obtenir la qualification SecNumCloud 3.2 en 2025.

S3NS lui brulera peut-être la politesse. Annoncée également en 2021, cette société de droit français contrôlée à 100% par Thales se propose, elle, de fournir les services de Google Cloud sur un cloud de confiance. En juillet dernier, elle a rendu publique "son entrée dans le processus de qualification SecNumCloud". Dès décembre prochain, des clients "early adopters", comme la Matmut et Club Med, testeront sa plateforme.

Pour Meriem Berkane, "les promesses de Bleu et de S3NS de proposer la capacité d'innovation des hyperscalers dans un environnement de confiance constituent un compromis intéressant." Soit le meilleur des deux mondes ?