Les feux des projecteurs ont si longtemps été braqués sur les péripéties de Numergy et CloudWatt, que tout à chacun pourrait légitimement penser que le Cloud souverain est une initiative échouée, bonne à enterrer.

Est-ce pour autant aussi manichéen ? Que définit-on sous le terme de Cloud souverain pour décréter qu’il n’est pas viable ? Que fait-on alors de l’ensemble des fournisseurs français offrant des solutions cloud hébergées sur notre sol ?

Cloud : Un tissu économique français enfin convaincu

Lors de la récente semaine Cloudweek, la présentation d’une étude a eu de quoi remettre les pendules à l’heure sur la relation entre la France et le Cloud. Le cabinet PAC, auteur de cette dernière, a d’abord annoncé que le Cloud avait bel et bien pris son envol, représentant déjà 4 milliards d’euros en France pour l’année 2015, et qu’il tablait sur une croissance de 21% par an jusqu’en 2019. Les entreprises franchissent désormais le pas du Cloud, en y trouvant une réponse à leurs besoins et une clé pour l’avenir 3.0.

PAC révèle en effet qu’au-delà du classique levier de la réduction des coûts, c’est aujourd’hui la transformation numérique, le principal moteur de l’adoption des solutions Cloud. L’automatisation voire le passage à la robotisation de leurs processus en est un autre très émergeant. Face à cette demande croissante, quid côté offre ?

Le Cloud made in France : les raisons d’y croire

Si les acteurs tant publics que privés sont aujourd’hui convaincus des avantages de la digitalisation et du cloud, entraînés il est vrai par un Etat plutôt moteur en la matière (open data public, DMP…), et que cela fait de la France un marché substantiel, il convient de se demander si les fournisseurs français de solutions Cloud sont en capacité d’en capter une part de marché. Même s’ils sont nettement plus limités en chiffre d’affaires que les grandes majors américaines (Amazon web services, Microsoft Azur, Oracle, IBM, Apple…), un panel de fournisseurs européens et français existe bel et bien (Orange Business Services, Cloudwatt, Numergy, OVH, Claranet, Oodrive, Scalair…).  Pays d’ingénierie et du logiciel libre, la France comprend un écosystème de qualité et reconnu à travers le monde, forte depuis quelques années d’une dynamique d’innovation avec l’émergence de startups à haute valeur ajoutée.

Faut-il encore maintenant que l’offre d’un Cloud à la Française puisse séduire le marché. Et contre toute attente, il se pourrait bien que les velléités régulatrices de la France et de l’Europe à l’opposé des réflexes libéraux américains soient pour une fois un atout commercial et différentiant dans la conquête du marché du Cloud.

En effet, si dès 2009, la volonté de la France de créer un super cloud était clairement de concurrencer Amazon pour rebondir dans la course au numérique et dans le même temps de disposer de data centers propres à l’Etat, ce projet de « Cloud souverain » tirait davantage son nom de son instigateur : l’Etat. C’était sans compter sur les révélations du programme PRISM par E. Snowden en 2013 qui ont donné toute son intensité et corps à la formule. Face à l’ampleur de la surveillance, le cloud – souverain – ne l’est plus de par une seule initiative politique, mais d’une nécessité absolue pour la protection des intérêts stratégiques, de défense et de sécurité économiques de la Nation.

Néanmoins, dans cet univers tout numérique et ultra-mondialisé, les difficultés de Cloudwatt et Numergy auront eu au moins le mérite de nous apprendre que tout ne peut pas se décider dans les salons feutrés du pouvoir, mais bel et bien sur l’échiquier concurrentiel mondial. En d’autres termes, le Cloud à la Française ne peut exister que s’il s’en donne les moyens et qu’il se diversifie de l’offre existante.

La confiance : le facteur différentiant du Cloud à la française

Plusieurs études auprès de DSI ont montré que le premier frein à l’adoption d’une solution Cloud est et reste – loin devant le degré de performance ou les difficultés d’intégration – le souci de la sécurité. Même si les études ne font pas toujours le distinguo entre la sécurité logique et la sécurité économique, il n’en demeure pas moins que les entreprises estiment pour une large part que les solutions Cloud aujourd’hui n’offrent pas suffisamment de garanties de disponibilité, d’intégrité, de confidentialité ou de traçabilité de leurs données, que ce soit vis-à-vis des menaces cybercriminelles ou de la surveillance de masse de puissances étrangères.  Au final, les deux font perdre du business.

Sans surprise, il y a pourtant fort à parier que ces besoins en protection des informations des organisations en France ne vont pas cesser de croître dans les prochaines années. Alors que les premiers arrêtés sectoriels de la loi de programmation militaire sont sortis fin juin, et compte tenu de la forte granularité des règles de sécurité auxquels sont désormais assujettis les OIV, les choix IT et technologiques de ces organisations risquent d’en être fortement impactés. S’il est vrai que les règles de sécurité de la LPM n’abordent pas directement et spécifiquement le Cloud, on voit mal comment des entreprises qui vont investir lourdement dans leur mise en conformité se risqueraient dans les deux ou trois prochaines années à des choix hasardeux en termes de solutions Cloud. Par effet domino, on peut estimer que les règles de la LPM vont déteindre fortement sur les clients et fournisseurs des OIV.

Pareillement, l’autre chance du Cloud « made in France » réside dans l’entrée en vigueur le 25 mai 2018 du règlement européen de protection des données personnelles (GDPR). Concourant non seulement à la protection des données personnelles au titre des libertés et droits fondamentaux, le règlement participe également à la sécurité physique et logique de ces mêmes données. S’il impose sans équivoque des règles de sécurité propres aux systèmes d’information, les rédacteurs renversent la charge de la responsabilité de la protection des données personnelles, en imposant des responsables de traitement qu’ils pratiquent eux-mêmes une analyse d’impact des traitements qu’ils font.

Les discussions entre l’Europe et les USA sur le Privacy Shield laissent peu d’équivoque sur la philosophie des autorités américaines quant à la protection des données, et quoi que les fournisseurs américains en pensent, il leur sera difficile d’offrir dès maintenant des solutions Cloud assainies de toute surveillance. Ça ne les empêche pas pour autant et déjà de se mettre en ordre de bataille pour conserver le marché français et européen et d’implanter dores et déjà des data centers en France, à l’instar récemment de Salesforce.

C’est pourquoi, la fenêtre de tir pour les fournisseurs français de cloud existe mais ne sera pas éternelle. Les offreurs tout comme les autorités françaises commettraient une erreur stratégique sévère en ne surfant pas sur ces opportunités alors qu’elles sont en pleine maîtrise de cette nouvelle donne et ont l’habitude d’évoluer dans cet écosystème hyper régulé.

Il est donc grandement l’heure d’offrir non seulement des offres étendues de cloud, fortement interopérables, réduisant au maximum les difficultés d’intégration d’anciennes applications, mais surtout des solutions Cloud fortement sécurisées. Garantir la stricte confidentialité des données, un hébergement en France ou en Europe, la garantie par des contrats exclusifs de droit français de ne jamais tomber sous le coup de législations étrangères, est aujourd’hui la meilleure façon de percer le marché.

Pour ceux qui penseraient qu’un tel positionnement serait un frein à l’export, il faut rappeler que les fuites de données continues et médiatisées commencent à éveiller les consciences à travers le monde et qu’il y a fort à parier que même pour des particuliers, si une véritable offre attractive sinon française, mais européenne venait à voir le jour, la bascule vers un cloud sécurisé pourrait se faire assez vite.

Malheureusement il est difficile d’oublier que les européens ont 10 ans de retard et que revenir sur les habitudes numériques des utilisateurs grand public ne se fera pas sans mal, mais qu’il y a encore une chance côté entreprises.

Les labels Secure Cloud et Secure Cloud + de l’ANSSI : une reconnaissance déterminante.

La sécurité du Cloud étant la principale préoccupation des entreprises, la confiance est donc déterminante. Favoriser l’émergence d’offres Cloud de haute qualité et transparentes, labellisées par la plus haute autorité de régulation de la SSI en France, et garantissant de la compétence de l’offreur permettrait ainsi d’en faire des « best-sellers ». C’est en passe d’être le cas puisque l’ANSSI s’apprête à labelliser plusieurs prestataires, selon deux niveaux d’exigences, très inspirés de la norme ISO 27001 : le label Secure Cloud et le Secure Cloud +. Les deux labels garantissent la prise en compte de bonnes pratiques sécuritaires. Le Secure Cloud + quant à lui, s’apparente vraiment à un cloud souverain dans le sens où les exigences tant sur le contrôle d’accès, l’authentification que sur le chiffrement sont supérieures et l’hébergement exclusivement sur le territoire français. La manœuvre est plutôt très bien pensée en permettant à des offreurs étrangers de se labelliser et on sait que l’ANSSI fait du lobby auprès de Microsoft. De deux maux il faut en effet choisir le moindre : si nous ne pouvons créer de cloud concurrent, œuvrons au moins pour une implantation raisonnée et dictée par nos règles.

_____________
Georges Lotigier est Président de Scalair