Initiatives

Cloud souverain, où en sommes-nous ?

Les notions de territoire et de localisation ont-elles un sens lorsqu’on parle de numérique ? Si certain en doute, une circulaire publiée au Journal Officiel l’an dernier rappelle en tous cas que les collectivités locales françaises, qui souhaitent  souscrire à une offre de type Cloud, doivent passer par des prestataires hébergés en France. Un an après, où en sommes-nous ?

Le Cloud, c’est quoi déjà ?

Le Cloud, pour cloud computing, se définit généralement comme le fait de pouvoir “accéder via un réseau de télécommunication, à la demande et en libre-service, à des ressources informatiques partagées”. Concrètement, cela consiste à utiliser une puissance de calcul ou de stockage de serveurs informatiques externe, plutôt que d’utiliser la mémoire de votre ordinateur ou de votre réseau interne. Vous louez donc un espace de stockage auquel vous pouvez avoir accès en permanence et depuis n’importe quel appareil via une connexion internet. A noter qu’un « nuage » (cloud en anglais), peut tout aussi bien être public, privé que communautaire. Cette délocalisation de l’infrastructure informatique a de nombreux avantages parmi lesquels, celui de ne nécessité aucun investissement préalable. Par ailleurs, il permet de se libérer des problématiques de maintenance, de sécurisation ou encore de mises à jour. Ces aspects relevant exclusivement de la responsabilité du prestataire choisi. Conséquence, on voit dans certaines études apparaître des économies affichées de l’ordre de 20 à 25%.

Plus facile à dire qu’à faire?

Une collectivité, quelle qu’elle soit peut donc souscrire à ce type d’offre pour archiver les documents qu’elle produit par exemple, ou bien encore pour moderniser ses méthodes de travail, mettre en ligne des documents partagés. Mais la Direction Générale des Collectivités Territoriales, conditionne néanmoins ces nouveaux usages : “Les documents et données numériques produits par les collectivités territoriales relèvent du régime juridique des archives publiques dès leur création”. La conséquence directe est donc, que les documents produits (cela inclut aussi les emails) bien que dématérialisés relèvent “du régime des trésors nationaux”. Dès lors, il est nécessaire de stocker toutes les données dans des serveurs basés physiquement en France. Impossible en effet, de faire sortir ces archives du territoire national puisque, comme le rappel un article de maire info, “la qualité de trésor national impose un régime de circulation contraignant. (Ils) ne peuvent sortir de l’espace douanier français.”

Et la circulaire de préciser que “les services des Archives départementales se tiennent à disposition des collectivités pour les orienter vers des offres de clouds souverains, garantissant la traçabilité des données”. Or, comme le précisait un article de maire-info.com : “Le problème étant évidemment que l’offre actuelle en la matière est fort maigre”.
Dans un rapport remis au Premier Ministre en avril dernier, intitulé “De la smart city au territoire d’intelligence(s) “, Luc Belot insiste sur les différents enjeux auxquels doivent faire face les collectivités et les acteurs français du numérique pour ne pas passer à côté du défi numérique. Si la Loi pour une République Numérique, a permis
notamment de construire un cadre législatif et un horizon pour le traitement des données, le plus dure reste à faire. Comment encourager l’émergence de sociétés numériques locales tout en garantissant la souveraineté de la puissance publique ?

Souverain, le retour du protectionnisme ?

Si les acteurs privés français se réclament souverains, c’est que leurs services sont réalisés et hébergés dans l’hexagone. Mais comme le précisait Claire Sibille de Grimoüard, du Service interministériel des archives de France pour le site ZDnet, « Il ne s’agit pas du tout de limiter les marchés publics à des opérateurs nationaux. N’importe quel prestataire de l’UE peut proposer une offre de Cloud dans la mesure où celle-ci respecte la loi française, c’est-à-dire conserver les archives nationales sur le territoire ». Du côté de l’ANSSI et des questions de cybersécurité, Guillaume Poupard, directeur général, a bien précisé lors des Assises de la sécurité en octobre dernier, que l’agence se voulait souveraine, européenne, et ouverte aux acteurs internationaux. De même, nous avons tout à gagner à voir émerger des acteurs français souverain capable de s’exporter à l’international. C’est la cas par exemple d’Orange Cyberdéfense, qui par la voix de directeur général, Michel Van Den Berghe, se définit dans un article du monde informatique comme “ un acteur français à vocation internationale et un acteur souverain, dans la mesure où aucune donnée client ne sort du territoire national (…) Le grand objectif commercial est d’aller à l’international.” Récemment, Orange Cyberdéfense a ainsi pu ouvrir un bureau composé de 15 personnes en Asie.

Cocoricco, les offres d’acteurs français souverains montent en puissance

Comme le souligne Jean-Noël de Galzain, CEO du groupe Wallix, toujours dans ce même article du monde informatique, les entreprises françaises ont fait tous les efforts attendus pour obtenir les certifications et être référencées à l’Ugap, la centrale d’achat publique française mais “nous sommes parfois écartés pour de simples raisons de coûts, le client choisit le mieux disant. Il faut savoir ce que l’on veut. Si l’on veut vraiment un éco-système d’entreprises françaises en cybersécurité, c’est maintenant au client de le prouver. Sinon, nous irons conquérir l’international, c’est déjà commencé.”

Créée en 1999 par Octave Klaba, un entrepreneur français d’origine polonaise, OVH est le pionnier du Cloud en France puisqu’elle commence a commercialisé une offre cloud dès 2010. Installée à Roubaix, cette société est souvent qualifié de “leader européen du cloud” et ne cache pas ses ambitions internationales. Après avoir levé en octobre 2016 près de 250 millions d’euros, OVH a multiplié les ouvertures de data centers dans le monde. Fin juin 2017, elle a par ailleurs annoncé l’obtention d’un financement complémentaire de 400 millions d’euros.

Plus jeune car lancée en 2012, Cloudwatt est basée sur deux datacenters situés en Normandie et à Rueil. Depuis mars 2015, Cloudwatt a été intégré à Orange Business Services à travers sa filiale Orange Cloud for Business. Ce dernier est en passe d’obtenir pour son offre Flexible storage, le label SecNumCloud de l’ANSSI dont les exigences sont élevées. Celui-ci répond aux besoins de projets institutionnels et lui permettra de s’imposer comme “une offre de référence pour le secteur public” indique Philippe Laplane, directeur général d’Orange Cloud for Business chez Orange Business Services. Cloudwatt garantit à ses clients de pouvoir disposer de contrats exclusivement de droit français, transparents et réversibles et de protéger les données grâce à une infrastructure souveraine sécurisée.

Autre espoir de l’industrie numérique française, Oodrive, éditeur de logiciels  a récolté en mars dernier 65 millions d’euros auprès d’investisseurs tricolores comme MI3, Tikehau Capital ou encore NextStage. Elle est spécialisée dans le BtoB et compte bien profiter de sa levée de fond pour accélérer son déploiement à l’international.

Quel prestataire choisir ? L’ANSSI vous aide à choisir

Pour accompagner les établissements publics dans leur choix d’offres, l’ANSSI a publié dès septembre 2014 une liste d’offres reconnues, baptisée Secure Cloud et regroupant des prestataires « souverains ». L’agence a procédé à une phase expérimentale, “dont l’objectif était de tester en conditions réelles la pertinence des exigences fixées dans la première version du référentiel”. Depuis, un nouveau référentiel dénommé  “SecNumCloud” a été publié. Il recouvre les services d’informatique Cloud Computing et vise la qualification de prestataires proposant de tels services. Les collectivités pourront ainsi s’assurer de la localisation mais aussi des questions relatives à la sécurité, à la traçabilité sans oublier la possibilité de suppression des données du système.

La liste des prestataires en cours de qualification ou qualifiés est disponible sur le site web de l’ANSSI.

Mis à jour le 27 juillet 2017

Commentaires