LA TRIBUNE- Vous avez présenté votre offre commerciale de cloud de confiance. En France, il est aujourd'hui plus question de cloud de confiance que de cloud souverain. C'est un changement de cap. Est-ce que cela veut dire qu'on ne peut pas faire sans les GAFAM ?
MARC DARMON- Il existe beaucoup de notions, qui sont en fait des notions subjectives : cloud sécurisé, cloud de souveraineté, cloud souverain. L'administration française a décidé de lancer un concept très précis qu'on appelle le cloud de confiance. Ce cloud de confiance est synonyme d'une certification appelée SecNumCloud. Pour l'obtenir, vous devez cocher une somme de critères techniques très importants en matière de cybersécurité, de séparation de réseaux, de gestion d'identité, de critères de gouvernance comme l'actionnariat de la société, la nationalité des opérateurs, etc... Ce cloud de confiance est donc un concept très précis contrairement au cloud souverain, au cloud de souveraineté ou encore au cloud sécurisé. Plusieurs types de solutions peuvent donc obtenir en France le label SecNumCloud.
Y compris des solutions à partir de solutions apportées par des GAFAM ?
Effectivement, en utilisant des solutions "non 100 % françaises", on peut malgré tout obtenir la certification pour peu qu'on y ajoute un ensemble de contraintes : techniques, de cybersécurité, de gestion d'identité et des règles de gouvernance fixées par l'administration et labellisées par l'ANSSI. Donc, on peut faire sans les GAFAM, mais on peut aussi, si on met toutes les protections nécessaires, faire avec pour offrir l'ensemble des services, qui sont entièrement sécurisés et protégés selon la norme.
Comprenez-vous les critiques qu'il y a eu à l'automne dernier quand vous avez présenté votre offre de cloud de confiance avec Google? Avez-vous fait entrer le loup dans la bergerie ?
Aujourd'hui, les hyperscalers américains sont extrêmement présents sur le marché du cloud en France. Les entreprises, les opérateurs d'importance vitale, les opérateurs de sécurité essentiels vont massivement sur le cloud public standard. En créant ce label et en trouvant des solutions pour le respecter tout en utilisant des technologies d'hyperscaler, nous offrons un degré de sécurité supérieur qui n'existait pas encore. L'idée est d'avoir le meilleur des deux mondes : la puissance d'une plateforme telle que celle de Google Cloud avec des règles de sécurité qui sont certifiées par l'ANSSI. Ces règles sont extrêmement précises et permettent de disposer de la sécurité nécessaire exigée. Sans notre offre, il y aurait beaucoup d'entreprises, qui seraient sur des clouds des hyperscalers américains sans sécurité.
Au sein de votre partenariat avec Google, qu'avez-vous mis comme règles pour obtenir le label de cloud de confiance ?
Nos locaux, nos serveurs et nos personnels sont français. Nous avons créé une société de droit française (S3NS) complètement contrôlée par Thales. Nous respectons l'ensemble des règles exigées par l'ANSSI. Nous sommes au-delà même de ce que fixe la norme puisque Google sera un actionnaire très minoritaire de S3NS. Cette société est parfaitement contrôlée par Thales, sans aucun administrateur de Google. Elle aura une totale liberté pour sa politique commerciale, pour ses choix de partenaires, pour sa structure d'offres...
La part de Google atteindra-t-elle 20% ?
Elle n'atteint pas ce niveau et est bien inférieure aux critères de labellisation SecNumCloud. Pour rappel, SecNumCloud définit à 24% l'actionnariat maximal d'un acteur non européen, nous sommes largement en dessous dans notre cas.
Les serveurs seront-ils fabriqués par des sociétés françaises ?
Il n'y a pas de serveurs qui sont 100% fabriqués en France mais Thales en aura la propriété.
Vos clients seront-ils protégés des lois extraterritoriales américaines ?
Nous offrirons le plus haut niveau de protection contre le Cloud Act certifié par le label SecNumCloud de l'ANSSI.
Comment allez-vous faire ?
Google, qui doit adapter ses logiciels pour permettre une réelle séparation, ne sera pas connecté à S3NS. Il y aura donc une séparation à la fois logicielle et physique. L'ANSSI labellisera et certifiera les niveaux de séparation et de sécurité qu'elle aura spécifiés.
Quel est le montant des investissements pour créer cette entité et son offre commerciale ?
Nous ne pouvons pas communiquer ces éléments. S3NS est vraiment une société industrielle qui va gérer des infrastructures et opérer des systèmes. Elle va réaliser des investissements industriels. Concrètement, S3NS va investir dans des locaux, des solutions de sécurité (chiffrement), des data centers, des serveurs, des routeurs pour avoir un réseau propre. Cette société S3NS va en outre compter plus d'une centaine de personnes à terme. De son côté, Google fait travailler chez Google Cloud plusieurs centaines de personnes sur ce projet. On est sur un investissement global très significatif.
Quel est le retour du marché sur votre offre ?
Le marché du cloud en France, qui est évalué entre 10 et 15 milliards d'euros, est un marché en très grande croissance. Il réagit très bien à notre offre. Nous avons rencontré 40 clients, notamment des opérateurs d'importance vitale et des opérateurs de services essentiels, pour tester notre offre. Ils ont été unanimement très intéressés par le concept de cloud de confiance. Ils nous disent que c'est exactement ce qu'ils voulaient. Soit le meilleur des deux mondes. Et puis nous avons déjà six entreprises qui vont jouer les « early-adopters ». Elles veulent être les premières à tester nos solutions. Et ces six entreprises privées et semi-publiques vont signer dès le mois de juillet des contrats commerciaux pour notre offre intermédiaire. Cette solution permet à nos clients d'opérer leur trajectoire vers notre offre de cloud de confiance qui sera prête en 2024.
Comment prévoyez-vous la montée en puissance de S3NS ?
L'échéancier est précis. En 2022 et 2023, nous déployons notre solution Contrôles locaux avec S3NS, avec les solutions de sécurité, et nous formons nos ingénieurs pour une ouverture du service du cloud de confiance labellisé SecNumCloud en 2024. Il faudra plusieurs années pour atteindre le chiffre d'affaires que nous visons mais nos objectifs pourraient être atteints assez vite.
Avez-vous défini le partage de revenus entre Thales et Google ?
Le modèle est défini et dépendra notamment du prix commercial qu'on va fixer et des investissements de chacun. Le prix sera plus cher que le cloud normal, mais pas beaucoup plus cher. Il faut que l'offre soit accessible. Il n'y a rien de pire que les entreprises qui contournent la règle et les contraintes en raison d'un coût élevé. Nous sommes tous motivés pour proposer une solution qui soit attractive et nous sommes en mesure d'engager des échanges commerciaux sur cette offre dès maintenant.
Cette offre de cloud de confiance s'adresse-t-elle aux ministères de la défense pour des données de type secret défense ?
Non. Le cloud de confiance certifié SecNumCloud est le niveau le plus élevé en termes de sécurité pour un cloud qui n'est pas classifié défense. Mais nous, Thales, avons toute une offre de clouds de défense, qui sont généralement des clouds privés, propriétés des ministères de la Défense.
Avec l'arrivée du quantique, votre cloud de confiance sera-t-il résistant à cette technologie ?
Nous travaillons d'ores et déjà à des solutions de cryptographie post-quantique, qui résistent à l'ordinateur quantique. Nous sommes d'ailleurs parmi les leaders des certifications et des standardisations de ces algorithmes. Nous avons des plans d'intégration dans nos solutions de chiffrement pour intégrer les algorithmes post-quantiques quand il le faudra, sachant que Thales est leader dans la cryptographie.
« Quand nous mettrons le pied sur l'accélérateur, nous serons difficiles à égaler » (Joelle Pineau, directrice de la recherche en IA chez Meta)
Sujets les + commentés