Le « cloud souverain » est mort, vive… le « cloud de confiance » ! La première expression fait encore bondir une bonne partie des professionnels réunis, il y a quelques jours, aux Assises de la sécurité informatique à Monaco. L’échec des premières tentatives françaises, en 2012 (Cloudwatt et Numergy), de protéger les données les plus stratégiques de l’Etat et des entreprises, leur reste en travers de la gorge. Mais l’indiscrétion des lois extraterritoriales américaines et les craintes d’espionnage chinois, poussent le gouvernement à rappeler les sociétés informatiques françaises, pour bâtir un abri pour les données hautement sensibles (contrats commerciaux, résultats de R&D, etc.) des entreprises. Il redoute redoute que les secrets des fleurons français puissent être connus de leurs concurrents mondiaux s’ils sont hébergés par des technologies étrangères. « Nous voulons bâtir ce cloud de confiance à partir de 2020 », pressait Bruno Le Maire début octobre.
Organisés en comité stratégique de filière, les acteurs français du cloud et de la cybersécurité s’emploient depuis plusieurs mois avec les autorités à définir les impératifs techniques et juridiques du cloud de confiance. Le ministre a
demandé aux français OVH et Outscale (Dassault Systèmes) de lui remettre leurs propositions en décembre. La liste des acteurs n’est pas exclusive, indique l’entourage de Bruno Le Maire, alors qu’Orange Business Cloud se dit lui aussi impliqué. Partenaire du chinois Huawei pour la couche logicielle de nombre de ses serveurs, l’opérateur déploie aussi des offres 100 % française.
Trois niveaux de protection
La filière est également appelée à constituer des offres adaptées aux contraintes, notamment budgétaires, des administrations publiques. La direction interministérielle des systèmes d’information de l’Etat (Dinsic) a défini trois niveaux de protection nécessaire en fonction de la sensibilité des données qui correspondront à différents appels au marché. Un appel d’offres est déjà lancé sur le niveau requis pour les administrations publiques à moindre risque. Capgemini, Atos (en partenariat avec SCC) et les suisses de Software One sont en train d’y répondre. Chacun négocie des prix et des garanties de sécurité avec les hébergeurs français, mais aussi américains, ces derniers uniquement pour certaines données de l’administration n’exigeant pas de protection particulière. Après avoir constitué son catalogue
avec plusieurs hébergeurs, le vainqueur de l’appel d’offres pourra conseiller certains ministères peu sensibles, mais surtout les collectivités locales, avant de leur installer ces technologies. « C’est un marché à plusieurs centaines de millions d’euros sur quatre ans », évalue un acteur.
Pour les informations un peu plus sensibles, notamment celles appartenant à des ministères critiques, les hébergeurs, choisis en direct par l’Etat, devront répondre aux exigences du label SecNumCloud de l’Anssi. L’agence de cyberdéfense
impose que les données soient strictement hébergées en France, par des acteurs européens. Outscale, OVH et Orange sont en cours de qualification sur ce marché plus petit mais plus rentable. Scaleway, la filiale d’Iliad, suit aussi le dossier de près. Pour les données à la sensibilité rouge vif, l’Etat va construire sa propre infrastructure. Mais ses services
informatiques pourraient être aidé par des groupes privés au vu des difficultés à recruter des experts.
Malmenés par les acteurs américains, les professionnels français du cloud voient la souveraineté comme un bol d’air. « Nous ne demandons pas d’argent public mais des commandes publiques », résume Michel Paulin, le DG d’OVH. Néanmoins, les échecs de Numergy et Cloudwatt incitent à la prudence. « Le cloud souverain, opéré par des salariés français, cela coûte plus cher que le cloud opéré un peu partout dans le monde », pointe un observateur. Le secteur aurait intérêt à ce que l’Etat impose le cloud de confiance à certains acteurs économiques.
Article de Florian Dèbes publié dans Les Échos du 15 octobre 2019.