L'Etat a beau assumer le paradoxe d'un cloud souverain à la française qui repose sur des technologies américaines, la pilule ne passe pas. Mi-mai, le ministre de l'Economie, Bruno Le Maire, la ministre de la Transformation et de la Fonction Publique, Amélie de Montchalin, et le secrétaire d'Etat à la Transition numérique, Cédric O, ont dévoilé la nouvelle doctrine de la France en matière de cloud. Le but : pousser les administrations de l'Etat ainsi que les entreprises et organisations françaises, y compris les opérateurs d'importance vitale (OIV) et de services essentiels (OIE), à basculer massivement dans le cloud. L'enjeu, réel, est de rattraper le retard de la France dans le cloud et accélérer la transformation numérique de l'Etat et du privé.

Lire aussi Pourquoi la France veut créer un "cloud souverain"... avec des technologies américaines sous licence

Un label, un visa et un hébergement en Europe

Cette stratégie repose sur plusieurs piliers. D'abord, la création d'un nouveau label "cloud de confiance" pour que les entreprises, les services de l'Etat et les organisations privées puissent "bénéficier des meilleurs services cloud mondiaux", tout en étant rassurées sur la protection et la maîtrise de leurs données personnelles.

Ce label reposera sur un visa baptisé "SecNumCloud". Il s'agit d'une certification délivrée par l'Agence nationale de la sécurité des systèmes d'information (Anssi). Pour l'obtenir, les fournisseurs de cloud devront être en conformité avec les exigences techniques et de protection des données de l'Anssi et du schéma européen de certification de cybersécurité pour les services de cloud (ECCSC), actuellement en construction à Bruxelles mais dont les principes sont déjà connus. Ces exigences prévoient notamment un hébergement des services et des infrastructures cloud en Europe, par une entité européenne détenue par des Européens, pour protéger les données personnelles des régulations extra-territoriales étrangères. Et notamment du fameux Cloud Act, qui permet aux agences gouvernementales américaines de récupérer les données stockées en Europe par des acteurs américains, dont les Gafa qui dominent actuellement le marché du cloud.

Pour le gouvernement, cette approche est "souveraine" car elle garantirait la protection des données. L'Etat, les entreprises et les organisations françaises traitant de données sensibles peuvent d'après lui utiliser "les meilleures technologies" du marché en toute confiance. Et pour le gouvernement, les meilleurs ce sont les leaders actuels, les Amazon, Microsoft et Google, qui à eux trois concentrent 70% du marché des infrastructures cloud (IaaS). Une approche "pragmatique" basée sur le système des licences : un acteur français achète sous licence les services américains, et le tour est joué. Dix jours après l'annonce de la stratégie, Orange et Capgemini ont ainsi annoncé leur partenariat avec le numéro 2 mondial du cloud, Microsoft, sous la forme d'une coentreprise baptisée Bleu. Avec la bénédiction de l'Etat, qui a encouragé le secteur privé à souscrire à cette offre.

Lire aussi "Cloud de confiance" : l'Etat a-t-il laissé entrer le loup américain dans la bergerie ?

Le licencing et le soutien au Gafa : un non-sens économique et de souveraineté ?

Mais depuis l'annonce de la stratégie gouvernementale et encore plus depuis celle de la co-entreprise entre Microsoft, Orange et Capgemini, le secteur français du cloud s'étrangle. "Encourager un tel positionnement -avec les Gafa au centre, Ndlr -nous paraît problématique et paradoxal, car cette solution ne fonde pas une voie pérenne dans le temps ou pourvoyeuse de certitude juridique", estime Yann Leschelle, le CEO de l'entreprise française Scaleway.

D'autres experts s'étonnent du boulevard offert aux Américains et craignent l'impact économique sur les acteurs français du cloud. "Cela me choque qu'on bâtisse une stratégie cloud dans le but, je cite Cédric O, "d'assurer pleinement les enjeux de souveraineté numérique des entreprises et des organisations", mais qu'on choisisse pour cela des technologies américaines. Cela n'est tout simplement pas compatible !" s'étrangle auprès de La Tribune la sénatrice (UDI) Catherine Morin-Desailly, spécialiste à la fois du numérique et des enjeux de souveraineté au sein de la Commission des affaires européennes.

Et de poursuivre :

"La France a de nombreuses startups et entreprises qui proposent d'excellentes solutions cloud, à la fois dans le domaine des infrastructures, des plateformes et des logiciels, et certaines d'entre elles sont déjà sous contrat avec l'administration et des entreprises privées. Plutôt que d'instaurer une préférence nationale dans ce secteur stratégique en soutenant les acteurs français ce qui leur permettrait de monter encore en compétence, l'Etat présente les américains comme les meilleurs et encourage ses services et le secteur privé à utiliser leurs solutions. C'est incompréhensible", tacle-t-elle.

Lire aussi Plongée dans la jungle du cloud, vaste marché de plus en plus convoité

Le gouvernement assume, soutien du Cigref et de Syntec Numérique

La sénatrice s'étonne ainsi des "incohérences" du gouvernement vis-à-vis des Gafam -Google, Apple, Facebook, Amazon, Microsoft. En séance au Sénat, mardi 2 mai, elle a déploré la "gafamisation de l'Etat" et interpellé le gouvernement : "Assumez-vous vraiment ces choix qui mettent en péril notre sécurité et qui torpillent nos propres entreprises ?"

Mais le gouvernement assume. Face à la sénatrice, la secrétaire d'Etat Olivia Grégoire, en charge de l'ESS mais au fait des questions numériques, ne nie pas les "risques" du cloud, notamment ceux liés à "l'intégrité des données, à la multiplication des cyberattaques et aux menaces que représentent les législations extraterritoriales donnant accès à nos données aux États étrangers".

La ministre estime que la stratégie cloud de la France prévient ces risques. "Le premier pilier, le label "cloud de confiance" rend possible la création d'entreprises alliant actionnariat européen et technologies étrangères sous licence", ce qui "garantit la meilleure protection des données" en constituant une barrière au Cloud Act, argue-t-elle.

Olivia Grégoire se satisfait aussi que la politique "cloud au centre" prévoit que les données devront impérativement être hébergées sur le cloud interne de l'Etat ou sur un cloud industriel validé par l'Anssi. Ce qui est le cas pour Bleu, la co-entreprise entre Microsoft et Orange/Capgemini, ou pour la solution de Google avec OVHCloud lancée en fin d'année dernière. Ces conditions, estime-elle, garantissent la souveraineté numérique, qu'importe la nationalité des technologies sous licence utilisées.

Le gouvernement est également soutenu par le Cigref, une association qui représente des grandes entreprises et des administrations publiques françaises. Dans un communiqué, le Cigref accueille "favorablement, et avec grand intérêt" l'arrivée de Bleu, qu'il considère comme "une bonne nouvelle, tant pour les utilisateurs que pour la stimulation de la filière européenne du cloud".

Même satisfecit de la part de Syntec Numérique et de Tech in France, qui regroupent la plupart des entreprises du secteur du numérique en France dont les Gafam, mais qui comptent peu de startups dans leurs membres.

"Le gouvernement a très bien compris les enjeux, il faut prendre ses responsabilités face au retard de la France dans le cloud, s'agace auprès de La Tribune Godefroy de Bentzmann, le président de Syntec Numérique. Il faut acter que la France n'a pas gagné la bataille du cloud et qu'on en gagnera d'autres. Les solutions françaises ont beaucoup de qualités mais ne sont pas au même niveau : c'est parce que le cloud américain Azure de Microsoft permet d'activer des algorithmes d'IA que ne permettaient pas les entreprises françaises qu'il a été choisi pour le Health Data Hub, qui est en train d'être détricoté pour des raisons politiques", poursuit-il.

Lire aussi Comment l'ANSSI va muscler la défense de la France face aux cybermenaces

Les données pourront-elles vraiment échapper aux Américains ?

Si cette stratégie déchaîne les passions, la question centrale de la sécurité des données, même hébergées en France par des entreprises françaises non-soumises au Cloud Act, fait grincer les dents de nombreux spécialistes de la cybersécurité. Et y compris, d'après nos informations auprès de plusieurs sources, au sein même de l'Anssi.

Car la menace ne serait pas tant le Cloud Act -qui peut être effectivement contourné si l'entreprise n'est pas américaine, d'où la pertinence du système des licences- que le Foreign Intelligence Surveillance Act, ou FISA. Cette loi, votée par le Congrès américain en 1978, se place également au-dessus du RGPD européen et permet au gouvernement américain d'autoriser une surveillance sans mandat pour la collecte de renseignements à l'étranger. "Avec le FISA, il n'y a pas besoin que l'entreprise soit américaine", souligne Catherine Morin-Desailly, qui estime qu'utiliser des technologies américaines facilite cette surveillance.

Au-delà même du risque juridique, les opposants au "loup américain" dans la bergerie française mettent en garde contre le risque de "backdoor", qui serait favorisé par l'utilisation de solutions américaines, même sous licence. "L'enjeu c'est bien sûr l'hébergement des données et la nationalité de l'entreprise, mais c'est aussi le logiciel", résume un expert sur les questions cyber à La Tribune. Si le code source des logiciels sous licence n'est pas auditable -et les Gafam le gardent jalousement fermé-, alors "cela permettra soit des backdoors [portes dérobées, c'est-à-dire des vulnérabilités laissées volontairement pour permettent aux services de renseignement d'espionner en toute discrétion], soit cela fera remonter des informations sensibles sans qu'il soit facile d'analyser les flux sortants", craint Yann Leschelle, le CEO de Scaleway, pépite française du cloud, dans un billet de blog.

Pour les partisans de cette stratégie, le risque cyber est surestimé. "Le risque zéro n'existe pas et des backdoors peuvent être placées partout. Il est toujours plus sécurisé d'héberger ses données dans un cloud appartenant à une entreprise française située en France et labellisée SecNumsec, que chez soi", relativise Godefroy de Bentzmann, du Syntec Numérique.

Reste le symbole. Au-delà des craintes plus ou moins légitimes, présenter comme souveraine une stratégie qui place les Gafam au centre du jeu reste un saut de logique compliqué à justifier, même pour le gouvernement. "C'est dangereux économiquement pour la filière française et un recul politique majeur au moment où l'Union européenne lance des régulations ambitieuses pour assurer la souveraineté numérique et réduire notre dépendance aux Gafam", déplore Catherine Morin-Desailly. "La réalité économique et les enjeux de numérisation de l'État et des entreprises, avec leurs impacts en termes de productivité, de compétitivité, de croissance et d'emplois, nous imposent de prendre davantage de hauteur et de sortir des postures" répond Godefroy de Bentzmann.

Cette stratégie est en fait une bonne illustration du "en même temps" d'Emmanuel Macron, à mi-chemin entre la solution européenne prônée par certains mais raillée depuis des années pour son manque de réalisme, et la prise en compte de la domination des américains sur ce marché. Reste à voir si elle sera efficace.

Lire aussi Cloud : le géant français OVH s'ouvre une ligne de crédit de 400 millions d'euros

Sylvain Rolland

08 Juin 2021, 17:19

Partager :