La stratégie nationale pour le cloud, dévoilée en mai 2021, place le cloud au cœur de la transformation numérique de l’État. Elle implique également des conditions exigeantes d’accès au marché des données en Europe. Décryptage des enjeux d’un texte qui acte la prédominance stratégique des technologies cloud.

Trois ministres, trois axes d’actions, et une stratégie nationale pour le cloud. Le 17 mai dernier, Bruno Lemaire (ministre de l’Économie, des Finances et de la Relance), Amélie de Montchalin (ministre de la Transformation et de la Fonction publiques et Cédric O (secrétaire d’État chargé de la Transition numérique et des Communications électroniques) ont précisé ce que doit être le « cloud de confiance » français. En résumé : un cloud souverain, à l’abri des lois extraterritoriales américaines (premier axe) ; un cloud au meilleur niveau des services existants sur le marché (deuxième axe) ; et enfin un cloud développé en cohérence avec les initiatives européennes en la matière.

A cette stratégie nationale sommairement résumée font écho, d’une part, les premiers pas opérationnels du projet européen Gaia-X et, d’autre part, l’annonce du projet industriel « Bleu », initié conjointement par Orange et Cap Gemini, en partenariat avec Microsoft. Gaia-X, né d’une initiative franco-allemande en juin 2020, dispose désormais d’une gouvernance claire et malgré des retards, ce cadre de développement de clouds sécurisés, interopérables, devient réalité : ses premières spécifications techniques, les «GAIA-X Federation Services»l ont été présentées en mai 2021. Bleu, pour sa part, doit fournir ses solutions aux Opérateurs d’Importance Vitale (OIV), aux Opérateurs de Services Essentiels (OSE), à l’Etat français, à la fonction publique, aux hôpitaux et aux collectivités territoriales requérant la mise en place d’un Cloud de Confiance. Il devrait rejoindre le cadre de Gaia-X. Surtout, les services fournis par Bleu devraient permettre d’obtenir la qualification « Cloud de Confiance » décernée par les pouvoirs publics, puisqu’ils satisferont l’ensemble des critères requis par le label SecNumCloud de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), ainsi que les dispositions juridiques confirmant son statut d’opérateur de « Cloud de Confiance ».

Tous les voyants semblent donc au vert pour que la France puisse prétendre disposer des outils industriels donnant corps à son Cloud de confiance, et être capable d’en garantir les qualités.

« Cloud au centre » : enjeu clé pour la transformation numérique de l’Etat

La France était-elle, avant l’énonciation de sa nouvelle stratégie, en défaut de capacités ? Oui, à en croire les commentaires de Bruno Lemaire, présentant la stratégie en mai 2021. « Pourquoi ce cloud de confiance est aussi stratégique pour nous tous ? Tout simplement parce que les données sont stratégiques et qu’une grande partie de la valeur économique se fera au XXIe siècle avec les données. Et que, par conséquent, protéger les données est aussi essentiel que de protéger les PME, protéger les technologies, protéger les entreprises », a rappelé le Ministre de l’économie. Avant de reconnaître qu’« il y a déjà eu beaucoup de tentatives de faire des clouds de confiance, des clouds souverains, et qui ont échoué tout simplement parce que je crois que nous n’avions pas tenu compte ni des réalités technologiques ni des attentes des entreprises, ni des attentes des administrations ».

De fait, l’État n’a pas attendu 2021 pour fixer un cadre précis au déploiement et à l’usage des technologies cloud. La précédente doctrine « d’utilisation de l’informatique en nuage par l’État », présentée en novembre 2018, définissait alors trois « cercles » pour les offres de cloud. Le premier cercle s’appuyait sur un cloud interne à l’État, pour “des données, des traitements et des applications sensibles” et pour “répondre à des besoins régaliens d’infrastructures numériques”. Le deuxième cercle reposait sur un cloud “dédié”, développé par un partenaire industriel mais adapté pour les besoins de l’État “d’une sensibilité moindre, mais nécessitant un certain niveau de pérennité”. Enfin, le troisième cercle définissait le recours à des offres génériques de cloud externe de prestataires externes. Cette doctrine devait être un composant essentiel de la transformation numérique de l’État. Objectif affiché : « développer massivement l’utilisation de l’informatique en nuage au sein de l’administration et à terme d’en faire la norme ».

Cet objectif est à nouveau au cœur de la doctrine énoncée en 2021, et entend pousser plus loin, dans les faits, la transformation numérique de l’État. « Le cloud est aujourd’hui un enjeu central, pour l’excellence et la qualité des services numériques de l’État. Quand la doctrine de 2018 structurait l’offre de cloud utilisable par l’administration, celle de 2021 s’attache également à développer la demande et la culture du Cloud au sein de l’État. En outre, le contexte règlementaire a changé avec la fin du Privacy Shield : le concept de cloud de confiance, associant qualification « SecNumCLoud » de l’ANSSI, immunité au droit hors Union européenne et réversibilité des solutions choisies, prend tout son sens », précise Vincent Coudrin, chargé de mission cloud à la DINUM.

En pratique, avec la doctrine « cloud au centre », élément central de la nouvelle stratégie, le cloud devient la cible par défaut des services numériques de l’État. « Cette doctrine rejoint les efforts des acteurs privés, Cigref notamment, et ceux coordonnés à l’échelle européenne par l’ENISA pour trouver un référentiel commun de sécurité et de souveraineté. Un cadre commun augmente la taille du marché adressable, l’enjeu étant d’atteindre la taille critique permettant aux offres européennes de cloud de confiance de gagner en qualité. La doctrine permet également à l’État français de prendre sa part, au moyen de la commande publique », précise Vincent Coudrin.

L’État dispose d’ores et déjà de deux clouds internes, opérés par le Ministère de l’Economie et le Ministère de l’intérieur. Ces deux clouds, appuyés chacun sur deux « régions » (aujourd’hui en région parisienne) sont appelés à s’étoffer et devraient intégrer de nouveaux services et technologies, notamment les technologies de « containerisation ». « Très concrètement, il y a là un enjeu de formation et développement des compétences très important : il s’agit de disposer de véritables équipes de DevOp agiles, réactives, travaillant au plus près des besoins des métiers », poursuit notre interlocuteur.

Un outil de maîtrise de l’accès au marché européen des données

Au-delà de l’usage du cloud par les services numériques de l’État, la nouvelle stratégie cloud nationale entend dépasser les tâtonnements passés. L’ambition est bien de doter la France, et au-delà, les utilisateurs européens des technologies cloud, d’offres susceptibles de rivaliser, en qualité de service, avec les offres américaines, tout en préservant le cadre réglementaire européen (RGPD, en premier lieu) et l’immunité des données au droit hors U.E.

Cette aspiration n’est pas sans rappeler les prises de position du gouvernement Fillon, dès 2010. « Force est de constater que les Nord-Américains dominent ce marché, qui constitue pourtant un enjeu absolument majeur pour la compétitivité de nos économies, pour le développement durable et même, j’ose le dire, pour la souveraineté de nos pays. », alertait alors le premier ministre. S’en étaient suivies plusieurs initiatives industrielles. Une ébauche de partenariat public-privé avec Orange, Thales et Dassault Systèmes voit le jour en 2012 sous le nom de “Projet Andromède”. Cette initiative se transforme, suite à des désaccords, en deux projets différenciés. D’un côté, Orange et Thalès lancent Cloudwatt. De l’autre, Dassault Systèmes est rejoint par SFR et Bull pour former Numergy. L’État devient actionnaire minoritaire à 33% des deux entreprises. Las, le succès commercial ne suit pas. En 2015, Orange prend le contrôle de Cloudwatt, SFR celui de Numergy. En janvier 2020, les services de Cloudwatt ferment ; Numergy est abandonné par SFR quelques mois plus tôt.

Ces échecs ne doivent pas masquer l’importance effective du cloud, désormais bien perçue par les décideurs, ainsi que la solidité des travaux de fond du Cigref et de l’ANSSI, préparant les référentiels indispensables à l’établissement d’un cadre de confiance. Ces cadres sont aujourd’hui disponibles, une nouvelle stratégie, mieux informée des réalités industrielles, plus attentive que jamais aux enjeux de souveraineté des données, est actée. Et désormais, l’enjeu n’est pas tant pour la France et l’Europe de rattraper un retard commercial sur les acteurs Américains (lire l’encadré) que de construire un espace de confiance et des services de qualité, pour les acteurs du cloud et ses utilisateurs. Ce qui passe, et c’est là une position distinguant la stratégie des approches précédentes, par un recours assumé aux technologies hors Union Européenne. « Nous n’avons pas du tout perdu notre ambition […]. Mais il se trouve que les meilleures entreprises de services [cloud] sont américaines. Nous avons donc décidé que ces meilleures entreprises de services américaines, je pense en particulier à Microsoft ou à Google, pourraient licencier tout ou partie de leur technologie à des entreprises françaises de façon à ce que, dans ce cloud de confiance, on puisse conjuguer ce que nous n’étions jamais arrivés à conjuguer, protection maximale et valorisation maximale des données », a expliqué Bruno Lemaire. Ce choix, sans surprise, n’est pas sans faire réagir les acteurs français du secteur. Guillaume Champeau, directeur éthique et Affaires juridiques de Qwant, estime, par exemple, que « vouloir encourager le licensing des techno US par les acteurs UE c’est encourager durablement la dépendance à des technos qu’on ne maîtrise pas». Les acteurs français et européen, s’ils défendent l’argument de la maîtrise technologique, et peuvent compter sur un cadre opérationnel et transparent leur donnant a priori un accès privilégié au marché européen, peuvent-ils se positionner de manière aussi tranchée sur le terrain de la qualité de services ? L’avenir le dira. Une certitude : pour les décideurs publics comme pour les acteurs industriels, le cloud est une technologie stratégique prioritaire. La commission d’enquête sur la souveraineté numérique y insistait, déjà, en 2019, jugeant que « l’informatique en nuage est le socle d’un continuum technologique intégrant 5G, Internet des objets (IoT), big data, machine learning, et intelligence artificielle. […] L’identification et la recherche de la maîtrise de l’ensemble des technologies essentielles pour notre sécurité numérique s’est, à ce stade, pour des raisons de ressources, centrée sur le besoin prioritaire d’un cloud de confiance. »[1] (Sénat, Rapport fait au nom de la commission d’enquête sur la souveraineté numérique, n° 7, session ordinaire 2019-2020, remis le 1 er octobre 2019, p. 144.)

Repères[2]

Le marché du cloud s’établissait en 2020 à 270 milliards de dollars (contre 233,4 milliards en 2019). Le marché mondial est dominé par quatre acteurs américains qui possédaient 65 % de parts de marché fin 2020 : Amazon (33 %), Microsoft (18 %), Google (9 %), Alibaba (5 %), IBM (5 %), Salesforce (3 %), Tencent (2 %), Oracle (2 %), NTT (1 %) et SAP (1 %). En Europe, il a enregistré une croissance de 27 % par an entre 2017 et 2019, est estimé à 53 milliards d’euros en 2020 et devrait atteindre 300 à 500 milliards d’euros d’ici 2027-2030.

Les États-Unis dominent le marché des services applicatifs (SaaS ou Software as a service) et le marché européen du cloud, avec trois acteurs majeurs (les « hyperscalers »), qui captent, sur le marché de l’Infrastructure en tant que Service (IaaS), 70 % de parts de marché : Amazon avec AWS (53 %), Microsoft avec Azure (9 %) et Google Cloud (8 %). Les spécialistes du cloud et les opérateurs télécoms européens gagnent progressivement de l’importance sur leurs marchés nationaux. OVHcloud et Deutsche Telekom se classent troisième et quatrième dans leur pays sur les marchés infrastructures et plates-formes. On peut également citer en France : Atos, Orange Business Services ou encore Outscale. En France, Amazon occupait, en mai 2020, 30 % du marché, Microsoft 20 % et OVHcloud dépassait 10 %. Amazon représente plus de trois fois la taille d’OVHcloud en termes de revenus dans le cloud d’infrastructure en France.

[1] Sénat, Rapport fait au nom de la commission d’enquête sur la souveraineté numérique, n° 7, session ordinaire 2019-2020, remis le 1 er octobre 2019, p. 144

[2] Sébastien MEURANT et Rémi CARDON, Rapport d’information fait au nom de la délégation aux entreprises, relatif à la cybersécurité des entreprises, juin 2021, p.90

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.