Cloud souverain : la stratégie du chaos

DÉCRYPTAGE. Le leader mondial du secteur, Amazon Web Services, et le champion tricolore déchu des services informatiques, Atos, s'allieraient pour proposer une nouvelle solution de Cloud de confiance, après Bleu (Microsoft avec Orange et Capgemini) et S3ns (Google avec Thales). Au-delà des graves problèmes actuels d'Atos, cette nouvelle solution s'inscrit dans une stratégie cloud nationale devenue presque illisible en raison des multiples revirements du gouvernement et du casse-tête juridique provoqué par l'intégration des Gafam. La Tribune fait le point.
Sylvain Rolland
(Crédits : iStock)

Le chaos continue et s'amplifie dans le cloud français. Après l'alliance de Microsoft avec Orange et Capgemini pour lancer Bleu, puis celle de Google avec Thales pour proposer S3ns, c'est au tour d'Amazon, leader du marché mondial du cloud, de s'allier avec Atos pour proposer à son tour une solution de « cloud de confiance », d'après l'information révélée par nos confrères du JDN en fin de semaine dernière. Le principe devrait être le même : les solutions cloud d'Amazon Web Services seront vendues par une coentreprise de droit français avec Atos, qui hébergera les données en France. Ce montage est censé protéger -en théorie- les futurs clients des lois extraterritoriales américaines, conformément à la stratégie Cloud de confiance lancée en mai 2021.

Lire aussi« Cloud de confiance » : le député Philippe Latombe attaque le projet de Google et Thales (S3ns) auprès de la Cnil et de l'Anssi

Grosses incertitudes sur l'avenir d'Atos

Contacté par La Tribune, Amazon Web Services France n'a souhaité faire « aucun commentaire ». Même son de cloche du côté d'Atos, qui estime que cette actualité « n'a pas de caractère officiel ». Mais aucun ne dément. Surtout, cette alliance était attendue -des rumeurs circulaient sur le sujet depuis des mois dans l'écosystème français du cloud- et paraît tout à fait crédible, y compris pour certaines sources gouvernementales contactées par La Tribune.

Le ministère délégué au Numérique et aux Télécommunications de Jean-Noël Barrot, a même réagi à La Tribune en se félicitant de constater que « les acteurs internationaux acceptent progressivement de se plier à nos règles et notamment en termes de protection des données personnelles comme non personnelles ». Mais contrairement aux annonces précédentes (Orange/Capgemini avec Microsoft et Thales avec Google), le gouvernement ne se risque plus à garantir la sécurité juridique de ces offres américaines emballées par des Français. « Il reviendra néanmoins à l'Agence nationale de sécurité des systèmes d'information -ANSSI- de dire si ces co-constructions sont porteuses de confiance pour le marché unique du numérique », ajoute prudemment le ministère.

Avec Amazon dans le Cloud de confiance, la boucle est bouclée. Malgré son statut de leader mondial du cloud -46% de parts de marché en France en 2021 à lui seul-, Amazon Web Services était le seul des trois géants américains à ne pas encore avoir profité de la stratégie de l'Etat. D'après nos informations, Amazon a d'abord estimé que sa position dominante sur le marché français ne justifiait pas de se soumettre à pareille contrainte gouvernementale, d'autant plus que le lancement de la stratégie ne l'a pas empêché de signer des clients importants comme la SNCF. Mais l'implication de ses deux concurrents Microsoft et Google, et la possibilité de voir le marché se tourner vers eux grâce à l'argument de la sécurité juridique, lui ont fait rapidement changer d'avis.

De son côté, Atos est, comme Thales, déjà présent dans le business de la cybersécurité. Et comme Orange, il commercialise déjà des solutions cloud et a été l'un des premiers français à signer des partenariats avec des géants américains. Pour Atos, qui rencontre d'énormes difficultés financières et s'apprête à scinder, en 2023, ses activités en deux pour justement se concentrer sur le cloud, la data et la cyber, s'allier avec un Américain dominant lui permettrait de renforcer sa présence sur ce marché stratégique et en pleine croissance.

Mais le groupe français de services informatiques reste dans une grande tourmente : son cours de Bourse a plongé de 95% depuis le début de l'année, certains actionnaires minoritaires grondent, et les prédateurs rôdent autour de lui, à l'affût de la bonne affaire qui serait de racheter ses activités en croissance à bon prix. La société de conseil OnePoint a même proposé une offre de rachat des activités cyber et data fin septembre, refusée par le conseil d'administration. Orange et Thales -déjà impliqués dans Cloud de confiance- ne cachent pas non plus leur intérêt pour l'ancienne gloire du CAC40, tout comme l'homme d'affaires tchèque Daniel Kretinsky... En conclusion, l'avenir d'Atos est un vrai sujet, et le lancement d'une coentreprise cloud avec Amazon ne manque pas d'interroger dans ce contexte.

Lire aussi Un duo franco-britannique veut acheter les activités digitales et de cybersécurité d'Atos

Non-sens juridique

En plus de la situation très délicate d'Atos, la nouvelle solution avec Amazon ne devrait pas échapper aux polémiques qui encerclent en ce moment les projets Cloud de confiance concurrents, Bleu et S3ns. En cause : la solidité de ces offres face aux lois extraterritoriales américaines, notamment le Cloud Act et la loi FISA. A l'origine, la stratégie Cloud de confiance était annoncée comme "souveraine" : pour le gouvernement, il suffisait qu'une coentreprise de droit français vende les solutions des Gafam pour les dé-risquer totalement au niveau juridique. Pour l'ancien secrétaire d'Etat au Numérique Cédric O, principal artisan de cette stratégie, il s'agissait de faire d'une pierre deux coups : proposer les solutions les plus populaires du marché -qui sont également de grande qualité- sans leur principal inconvénient qui est leur vulnérabilité à l'espionnage américain.

Sauf que ce n'est pas aussi simple. La loi extraterritoriale américaine FISA -pour Foreign Intelligence Surveillance Act-, totalement ignorée par la communication gouvernementale et celle de Bleu et de S3ns, a pourtant été spécialement conçue pour les entreprises non-américaines. De plus, FISA s'applique au cloud, et permet aux services de renseignement américains de déposer des « backdoors » (portes dérobées) sur tout logiciel américain pour accéder aux données, comme l'ont souligné auprès de La Tribune de nombreux experts juridiques. La sénatrice (UDI) Catherine Morin-Desailly, spécialiste du numérique, se montre stupéfaite que l'Etat ignore si délibérément l'éléphant FISA dans la pièce. « J'ai alerté l'Etat au moins trois fois, via des questions au gouvernement et même par courrier à l'ancien Premier ministre Jean Castex ainsi qu'à Elisabeth Borne et Bruno Le Maire récemment. Je n'ai jamais obtenu une réponse, le gouvernement ignore ou esquive le sujet FISA, c'est juste incompréhensible et hallucinant », tonne la sénatrice auprès de La Tribune.

Et malgré les démentis officiels, les solutions Cloud de confiance pourraient même tomber sous le coup du Cloud Act : c'est la conclusion d'un rapport remis cet été au gouvernement des Pays-Bas par un cabinet d'avocat indépendant américain basé à Amsterdam, et dont les auteurs ont été contactés par La Tribune. Ceux-ci expliquent qu'il est théoriquement possible à des solutions comme Bleu ou S3ns d'ériger une véritable muraille de Chine pour empêcher les Américains d'accéder aux données hébergées en Europe. Mais ils expliquent aussi que les États-Unis considèrent que l'utilisation de logiciels américains, même dans une offre étrangère, est une raison suffisante pour invoquer le Cloud Act.

Autrement dit, les offres Bleu et S3ns ne pourront échapper au Cloud Act que par la solidité de leur cybersécurité -mais l'infaillibilité n'existe pas en cybersécurité-, et uniquement à condition d'adapter leur structure à tous les niveaux, y compris dans l'organisation interne et RH. Ainsi, il faudra jouer un éternel jeu du chat et de la souris pour empêcher les Américains de profiter légalement de chaque opportunité pour récupérer des données, qu'il s'agisse d'une faille de sécurité, d'un transfert de données -pour une mise à jour, une sauvegarde...- ou tout simplement l'embauche d'un ressortissant américain par la structure française, qui pourrait alors servir de cheval de Troie.

Lire aussiBleu, S3ns : pourquoi les offres Cloud de confiance seront certainement soumises au Cloud Act

Revirement stratégique majeur

La publication de ce rapport explosif, ainsi que la bronca généralisée de l'écosystème français du cloud depuis mai 2021, ont poussé le gouvernement à faire partiellement marche-arrière sur sa propre stratégie en septembre 2022. Lors d'un déplacement à Strasbourg, dans le nouveau datacenter du leader tricolore OVHCloud, le ministre du Numérique, Jean-Noël Barrot, celui de l'Économie, Bruno Le Maire, et le commissaire européen au marché intérieur, Thierry Breton, ont annoncé un revirement stratégique majeur via le lancement d'une initiative baptisée « Numérique de confiance ». Celle-ci éclipse Cloud de confiance et place les acteurs français ignorés par la première stratégie au cœur du soutien de l'Etat. Comme le racontait alors La Tribune, les mots « Cloud de confiance », « Bleu », « S3ns », « Orange », « Capgemini » et « Thales » n'ont même pas été cités une seule fois à Strasbourg, et les Gafam n'y ont été présentés que comme des prédateurs de données. La montée en qualité et en diversité des offres françaises a aussi été érigée au rang de priorité politique.

Mais si le gouvernement les a oubliées à Strasbourg, les offres Cloud de confiance existent toujours. Pour se dépatouiller de cet imbroglio, l'Etat a donc accouché d'un tour de passe-passe sous la forme d'une nouvelle classification à venir des données. L'idée : concilier Cloud de confiance avec le nouveau concept de Numérique de confiance. La nouvelle classification des données dans les tuyaux permettrait ainsi à l'Anssi de labelliser tout le monde, mais de réserver l'accès aux données les plus sensibles seulement aux acteurs vraiment souverains, donc français. Les autres types de données, moins sensibles, pourraient être éligibles aux offres Cloud de confiance, ce qui serait également une manière d'imposer le multicloud aux entreprises, c'est-à-dire l'utilisation de services concurrents pour leur cloud.

Le gouvernement, via certaines personnalités comme le fidèle député Eric Bothorel (Renaissance), appelle cela la « souveraineté choisie » ou « la maîtrise de ses dépendances ». Il s'agit d'une sorte de realpolitik numérique qui présente l'avantage de ne pas trop froisser les grands groupes -qui sont tous chez les Gafam-, tout en jouant la carte de la souveraineté technologique en favorisant des offres nationales. Le tout dans un contexte de dépendance renforcée de l'Union européenne vis-à-vis de son allié américain depuis la guerre en Ukraine.

Lire aussiCloud souverain : la surprenante volte-face de l'Etat en faveur de l'écosystème français

Re-caresser les GAFAM pour éteindre l'incendie de Strasbourg

Reste que depuis la claque spectaculaire de Strasbourg, les Gafam et les groupes français qui s'y sont associés sont furieux contre l'État et multiplient les coups de pression pour obtenir un soutien politique. Comme Jean-Noël Barrot et Bruno Le Maire ne peuvent se contredire -ce dernier s'étant déjà contredit à Strasbourg par rapport à ses propos de mai 2021 avec Cédric O !-, c'est donc l'Anssi, par la voix de son directeur, Guillaume Poupard, qui s'est chargée d'éteindre l'incendie.

Lors d'une audition devant le Sénat, Guillaume Poupard a frappé un grand coup en déclarant que les acteurs français du numérique ne sont « pas capables de développer un cloud de haut niveau avec des technologies exclusivement françaises ». De quoi calmer Microsoft, Google, Orange, Capgemini et Thales, qui ont reçu cinq sur cinq le message subliminal : « l'Etat ne vous a pas oublié ! »... et ne manqueront pas de s'en servir comme argument commercial. Quant à Guillaume Poupard, qui a été, en coulisse, l'un des artisans du revirement de Strasbourg comme La Tribune l'écrivait dans cette enquête, il a atténué sa position quelques jours plus tard, aux Assises de la Cybersécurité à Monaco, en déclarant qu'il y a de la place pour tout le monde : « La souveraineté, c'est maîtriser les choses, décider de son avenir, ne pas être dans les mains des autres, adversaires ou alliésIl faut pousser nos startups, nos chercheurs, nos industriels à être compétitifs. Il faut avoir une approche rationnelle et pragmatique des questions technologiques. Il y a différentes manières d'arriver à une meilleure sécurité et souveraineté technologique et on ne peut pas s'offrir le luxe d'écarter telle ou telle solution », a-t-il tempéré. Ce qui est en fait sa position officielle -et alors dissonante au sein de l'Etat- depuis septembre 2021, comme le montre une interview qu'il avait accordée à La Tribune à ce moment-là.

Sylvain Rolland

Sujets les + lus

|

Sujets les + commentés

Commentaires 5
à écrit le 19/10/2022 à 12:25
Signaler
Les américains veulent pomper l'ensemble des données des européens pour mieux nous contrôler et la RGPD ((règlement général sur la protection des données) mis en place en 2016 par l'UE ne sert strictement à rien.On peut rappeler que 14.000 pharmacies...

à écrit le 18/10/2022 à 23:42
Signaler
Perso ou pro je ne fais rien en cloud je mets tout sur disque dur ou clef usb.. tant q un champion fr ancaid ou européen n’ émerge pas .. j invite tous les consommateurs à en faire autant …. Usa chinois ou russe out !!

à écrit le 18/10/2022 à 23:17
Signaler
Cet article participe à créer de la confusion. Il semble même commander pour que les solutions AWS et autres retrouvent une place. Le revirement stratégique de septembre 2022 était pourtant tres clair. Pour ses données sensibles et ses activités stra...

à écrit le 18/10/2022 à 13:38
Signaler
Quand on rajoute des adjectifs au mot "Cloud", comme pour toute publicité, c'est que la confiance doit être toujours relative et jamais entière !

à écrit le 18/10/2022 à 13:32
Signaler
Présence d'un GAFAM soumis aux lois des Etats Unis : 0 confiance

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.