"Cloud de confiance" : l'Etat a-t-il laissé entrer le loup américain dans la bergerie ?

Les groupes français Orange et Capgemini ont conclu un accord inédit avec Microsoft pour créer une société conjointe baptisée "Bleu". Objectif : proposer les services cloud du géant américain à partir d'infrastructures placées sous leur contrôle exclusif, hors d'atteinte des lois extraterritoriales américaines et notamment du Cloud Act. Mais certains acteurs français du cloud comme Scaleway voient rouge et mettent en garde contre le risque d'espionnage économique et d'évolution de la législation américaine.
Sylvain Rolland
(Crédits : Dado Ruvic)

Les offres du "cloud de confiance" se précisent. Quelques mois après l'alliance entre Google et OVHCloud et une semaine après l'annonce de la stratégie cloud de l'Etat visant à généraliser un cloud sécurisé et performant pour les organisations françaises, les groupes Capgemini et Orange ont annoncé jeudi 27 mai la création d'une co-entreprise. Baptisée "Bleu", celle-ci va fournir à ses clients, notamment l'Etat et les services publics mais aussi des opérateurs d'importance vitale (OIV) et de services essentiels (OIE), les solutions cloud de Microsoft, à partir de ses propres infrastructures. Cédric O, le secrétaire d'Etat à la Transition numérique, a également invité la société Bleu à "embarquer le maximum d'entreprises européennes, et notamment des startups".

Concrètement, Bleu va utiliser sous licence les technologies et les services de l'américain Microsoft, mais celles-ci seront hébergées et sécurisées en France. Tous les grands réseaux d'infrastructures -dans l'énergie, les transports, les télécommunications...- ainsi que les services financiers, notamment, qui sont des entreprises stratégiques pour la souveraineté de la France et de l'Europe, pourront bénéficier des services cloud de Microsoft comme la suite de travail collaboratif Office 365, ou la plateforme Azure, sans que leurs données ne tombent sous l'emprise de la législation américaine. Et notamment le fameux Cloud Act qui donne aux agences gouvernementales américaines le libre accès aux données des Européens du moment qu'elles sont détenues par une entreprise américaine, même hors des Etats-Unis.

Lire aussi 4 mnPourquoi la France veut créer un "cloud souverain"... avec des technologies américaines sous licence

Les données des clients de Bleu "immunisées" vis-à-vis des lois extraterritoriales américaines

Détenue majoritairement par Capgemini et Orange, sans participation au capital de Microsoft, Bleu bénéficiera d'une "immunité" par rapport à la législation américaine. Le service vise donc l'obtention du label "cloud de confiance" annoncé par l'Etat le 17 mai, accordé aux services cloud qui présentent des standards techniques élevés et qui sont exploités en Europe, par des acteurs européens. La société aura également ses propres ingénieurs et techniciens qui travailleront "en autonomie totale" par rapport au géant américain, ont affirmé les dirigeants de Capgemini et Orange.

"Ce partenariat constitue un message fort à l'attention des acteurs internationaux: ils sont les bienvenus à condition de respecter les valeurs qui sont les nôtres", a réagi le ministre français de l'Economie Bruno Le Maire, dans un communiqué.

Selon Jean-Philippe Courtois, vice-président exécutif de Microsoft à l'international, l'accord signé par Microsoft et les deux groupes français est "totalement unique" dans le monde. Tout juste peut-on trouver un lointain cousinage avec l'accord signé par Microsoft avec le Pentagone, qui prévoit également de faire fonctionner les outils cloud de Microsoft "dans un environnement isolé", a-t-il expliqué à l'AFP. En Chine, Microsoft laisse également sa technologie cloud aux mains d'une société locale, dont il est toutefois co-actionnaire.

Lire aussi 3 mnLes dépenses dans le cloud propulsées à de nouveaux sommets

Entre désir de souveraineté et réalité économique

Microsoft n'est pas le premier des géants américains du cloud à s'allier à un acteur français. En novembre dernier, le roubaisien OVHCloud signait avec Google Cloud un partenariat comparable, dans le sens où OVHCloud a annoncé le lancement d'une nouvelle offre, baptisée Hosted Private Cloud, permettant à ses clients de bénéficier des services de Google Cloud mais dans l'environnement sécurisé d'OVH.

Ces mouvements s'inscrivent dans la réorganisation ambitieuse mais toutefois contestée du cloud en France, autour d'une doctrine "le cloud au centre" présentée par le gouvernement le 17 mai. Ambitieuse, car l'objectif est de pousser davantage d'entreprises et organisations françaises, en retard dans leur numérisation et notamment dans l'adoption de services cloud, à s'équiper, à commencer par l'Etat. L'enjeu est crucial : rien qu'en Europe, le marché du cloud computing -informatique en nuage- a enregistré une croissance de 27% par an entre 2017 et 2019, selon un livre blanc publié en avril par le cabinet KPMG et cofinancé par des acteurs français comme OVH et Talan. Le marché, qui est estimé à 53 milliards d'euros pour 2020, devrait atteindre 300 à 500 milliards d'euros d'ici 2027-2030 et générer plus de 500.000 emplois directs.

Mais la doctrine du gouvernement est contestée car derrière l'impératif économique -la compétitivité des entreprises- se cache une équation politique difficile : la nécessité pour la France et l'Europe de garder la maîtrise de leurs données. Une question de souveraineté numérique. Or, le marché des infrastructures cloud est dominé par les Américains Amazon, Microsoft et Google, également très forts dans le logiciel, et l'Europe ne peut pas encore rivaliser malgré le lancement du projet européen Gaia-X ou la présence d'acteurs qui ambitionnent de devenir une vraie alternative aux GAFA comme OVHCloud.

La France a donc choisi le pragmatisme et le réalisme économique. Si les organisations ne peuvent ni ne veulent se passer des Américains, l'Etat mise sur un "label cloud de confiance", qui sera uniquement accordé aux entreprises "européennes et possédées par des Européens" et disposant "de serveurs opérés en France", même si elles exploitent des technologies américaines.

Nouveaux risques en vue ?

Mais si tout le monde s'accorde sur la nécessité d'une stratégie cloud ambitieuse, ce compromis laisse sceptique de nombreux experts et acteurs du cloud français.

"Cette doctrine arrive à point nommé, estime Yann Leschelle, le CEO de Scaleway, une entreprise française du cloud, car on estime qu'en Europe, 80% du tissu économique doit encore entamer son passage vers le cloud. Dans ce contexte, le positionnement de l'Etat, à travers cette doctrine, aura un effet d'entraînement indéniable et salutaire", estime-t-il dans un billet de blog.

Mais l'entrepreneur français craint que le gouvernement ne fasse qu'ouvrir grand la porte aux Gafa. De plus, malgré la garantie juridique, il reste sceptique sur la sécurité des données dans des dispositifs comme celui d'Orange/Capgemini avec Microsoft :

Encourager un tel positionnement nous paraît problématique et paradoxal, car cette solution ne fonde pas une voie pérenne dans le temps ou pourvoyeuse de certitude juridique, poursuit-il.

Et l'entrepreneur de mettre en garde contre un risque d'espionnage économique et d'évolution de la législation américaine.

"Loin de résoudre un problème de souveraineté, cette solution expose l'environnement numérique français à de nouveaux types de dépendances. Le code source de telles solutions ne sera probablement pas auditable, et par conséquent permettra soit des backdoors [portes dérobées, des vulnérabilités laissées dans le code qui permettent aux services de renseignement d'espionner en toute discrétion], soit fera remonter des informations sensibles sans qu'il soit facile d'analyser les flux sortants; donc une opacité parfaite d'un point de vue cyber. De plus, le bon déroulement de ces partenariats sera tributaire des conditions (que l'on sait fluctuantes, au gré de considérations très politiques) du régime de contrôle des exportations aux États-Unis en matière de licences. De même, nul ne sait comment les exigences du Cloud Act seront amenées à évoluer sous le coup du législateur américain. Cette absence de prédictibilité ne saurait en aucun cas représenter un gage de confiance."

Autant de questions auxquelles le gouvernement n'a pas encore apporté de réponse.

Sylvain Rolland

Sujets les + lus

|

Sujets les + commentés

Commentaires 9
à écrit le 29/05/2021 à 13:08
Signaler
Nokia ,le cloud ,nos données médicales Alston,Alcatel ,ect...quand mettons nous bruxelles à Washington ?

à écrit le 28/05/2021 à 20:01
Signaler
On part de super loin. Le cloud, c’est brique par brique qu’il faudra se l’approprier. Les US ne sont pas invincibles loin de là. Ils avaient une avance dans l’automobile et dans l’aéronautique. Ils l’ont perdu. Ils avaient une avance dans le finance...

à écrit le 28/05/2021 à 9:32
Signaler
Un cloud dit de confiance avec de possibles backdoors vers les services de renseignement US lol... La soumission de nos dirigeants aux intérêts US est sans limite. La France devient une simple province des Etats-Unis.

à écrit le 28/05/2021 à 9:32
Signaler
Aucun cloud n'est securisable puisque les informations circulent, transitent dans des câbles, de la fibre, au moyen de supports hertziens. Les données sont interceptables à tout moment et tout système de cryptage est craquable. Rappelons nous Enigma...

à écrit le 28/05/2021 à 9:31
Signaler
Aucun cloud n'est securisable puisque les informations circulent, transitent dans des câbles, de la fibre, au moyen de supports hertziens. Les données sont interceptables à tout moment et tout système de cryptage est craquable. Rappelons nous Enigma...

à écrit le 28/05/2021 à 8:27
Signaler
Nos chefs d'etat européens totalement dépourvus de puissance politique ont abandonné la notion de souveraineté pour des exercices comptables, ils ont rendu les armes avant même de combattre leur permettant de rester dans leur confort qui leur est si ...

à écrit le 28/05/2021 à 8:19
Signaler
Après nos données médicales voici les données » stratégiques » qu est ce qu ils font ces milleniums technocrates dans la tête ? Faut les virer ... qu’ils aillent faire leurs dégâts dans les starts ups ou autres boites à gogo -techno

à écrit le 28/05/2021 à 8:19
Signaler
Après nos données médicales voici les données » stratégiques » qu est ce qu ils font ces milleniums technocrates dans la tête ? Faut les virer ... sûils aillent faire leurs dégâts dans les starts ups ou autres boites à gogo techno

à écrit le 28/05/2021 à 8:02
Signaler
c'est hors d'atteinte des lois americaines, du moins sur le papier personne ne doute que si uncle sam tape du poing sur la table et exige les donnees sous peine de fermer microsoft, y aura moyen d'y avoir acces

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.