Retour
Featured image of post La souveraineté numérique le rêve a-t-il tourné au cauchemar ?
souveraineté cloud

La souveraineté numérique le rêve a-t-il tourné au cauchemar ?

Après une année forte en annonce sur la souveraineté numérique en demi-teinte que penser

Comme beaucoup d’entre vous, la souveraineté est un domaine qui me tient à coeur. J’avais déjà notamment abordé l’hégémonie du cloud américain sur ce blog dans l’article revenant sur les causes de cette hégémonie. Le moins que l’on puisse dire c’est que ces derniers mois ont été chargés dans le domaine de la souveraineté numérique. Ce qui m’a poussé à échanger avec vous au travers de cet article pour revenir sur ce qu’est la souveraineté numérique et surtout essayer de comprendre les enjeux actuels. Mais avant de parler de ça, une question me parait essentielle : pourquoi la souveraineté numérique est-elle si importante ?

La souveraineté numérique pour quoi faire ?

On oublie souvent de se poser cette question qui peut sembler simple, mais vitale avant d’aborder plus en profondeur sur la thématique. Globalement j’aurai tendance à regrouper les problématiques auxquelles répond la souveraineté en deux catégories, la géopolitique et l’économie.

Géopolitique

Quand on parle de géopolitique, ça peut très rapidement devenir flou, donc je vais détailler un peu ce que j’entends par ce terme. Tout d’abord, le point le plus mis en avant est surement l’espionnage notamment depuis l’affaire Snowden. Honnêtement, je ne pense pas que cela soit la principale raison, une grande partie de l’espionnage concerne des réseaux et services visant le grand public (réseaux sociaux et chat par exemple) et une grosse partie de ce risque en entreprise est déjoué par l’utilisation du chiffrement, même si évidemment la réalité est plus complexe.

Le second point que je note est la dépendance directe envers d’autres nations. On l’a bien vu avec notamment la crise du COVID et la pénurie de semi-conducteurs. Une pénurie impacte très rapidement le bon fonctionnement d’un pays et de ces entreprises comme par exemple l’industrie automobile. Cela nous laisse assez facilement imaginer l’impact possible d’un blocus, physique ou numérique des pays dont nous dépendons. Bien sûr actuellement la probabilité reste faible, mais cela reste un moyen de pression qui géopolitiquement pèse dans les différentes négociations.

Économie

Le domaine le plus impactant est surement l’économie. Pour le coup il s’agit d’un thème moins abordé, même si la keynote de Quentin Adam a remis ce sujet à nouveau sur la table. Pour se convaincre de l’importance du numérique dans l’économie il suffit de regarder les entreprises avec la plus grosse capitalisation :

Classement capitalisation - source boursorama.com
Classement capitalisation - source boursorama.com

On voit bien que sur les 7 plus grosses entreprises seulement une n’est pas une entreprise opérant dans le domaine technologique, c’est dire l’importance du numérique dans l’économie des pays. Ce domaine continue de grandir apportant des emplois, mais également au travers des taxes, une bonne santé économique au pays. De plus il ne faut pas négliger l’impact que peuvent avoir des filières locales sur les autres entreprises favorisant la création d’un vrai tissue entrepreneuriat.

On pourrait débattre et ajouter d’autres points, mais je pense qu’il s’agit là des principaux éléments poussant à l’adoption de plan visant la souveraineté numérique notamment de la part des gouvernements. Cet article a plus vocation à offrir une vision globale qu’un ensemble de points détaillés.

Le gouvernement a-t-il perdu la tête ?

Ces derniers mois, le gouvernement et plusieurs grandes entreprises françaises ont annoncé un ensemble de décisions qui semblent un non-sens au niveau de la souveraineté. Ces décisions ont d’ailleurs provoqué de vives réactions sur les réseaux sociaux. Parmi celles-ci, la principale a été de pousser les entreprises françaises à offrir des solutions cloud hébergées chez elles, mais en utilisant des briques de logiciel américaines, par exemple Bleu ou encore Thales. Ces annonces prêtent à se poser plusieurs questions quant à leurs buts et leurs efficacités, sachant qu’elles seront vraisemblablement certifiées par les organismes officiels, au travers du label SecNumCloud

une certaine vision de la souveraineté
une certaine vision de la souveraineté

À l’heure où c’est le logiciel qui créer la valeur notamment dans les offres cloud, reposer entièrement sur des solutions américaines ne répond clairement pas aux enjeux économiques. Il faut aller chercher l’enjeu autre part, et je pense que vous allez mieux comprendre où je veux en venir en parlant du Cloud Act. Le Cloud Act est une loi extraterritoriale américaine qui pour simplifier donne un cadre légal pour l’extraction de données par les autorités à tout client des services clouds américains. C’est précisément cela que le gouvernement actuel essaye d’attaquer, en faisant héberger les stacks par des entreprises françaises, le Cloud Act ne pourra plus rentrer en action légalement.

L’objectif est donc plutôt ciblé, mais on voie rapidement ces limites. Beaucoup des problématiques de souverainetés ne sont pas résolues par cette décision, notamment d’un point de vue économique. On peut aussi douter que la barrière légale bloque les autorités américaines dans des cas sensibles, les opérations relevées par Snowden par exemple montraient bien que l’action n’était pas souvent encadrée par un cadre juridique. Cette solution pourrait donc avoir une logique comme solution de transition avant une solution à long terme. Malheureusement, les différentes décisions du gouvernement semblent vouloir pérenniser cette stratégie dans lequel il ne prend pas de risque, ni changer grand-chose concrètement, surement peur d’un nouveau Cloudwatt.

Il va néanmoins être intéressant de voir si les élections présidentielles à venir vont voir ce sujet mis en avant et si des propositions intéressantes vont être faites. Même si le sujet risque de n’être que peu abordé directement, celui-ci n’étant pas un des sujets favoris lors des débats de la présidentielle.

La situation est-elle meilleure au niveau européen ?

Gaia-x, l’arbre qui tarde à bourgeonner

Au-delà des actions stratégiques les plus directes du gouvernement, d’autres initiatives à plus large échelle ont vu le jour. La plus importante des initiatives, que vous connaissez surement s’appelle Gaia-X. Au départ elle a réuni des entreprises allemandes et françaises dans le but de créer des normes, spécifications, connecteurs ouverts et aussi des labels visant à faciliter l’interopérabilité et l’adoption du cloud en Europe. Des intentions très louables en somme.

Très rapidement il s’est posé question d’ouvrir l’initiative à des acteurs extraeuropéens. Personnellement, je pense que l’idée n’était pas forcément problématique, tant qu’on ne leur donnait pas de contrôle sur Gaia-X. Malheureusement très rapidement une très grande quantité d’acteurs externes sont arrivés et surtout ont accédé aux commissions techniques afin d’imposer en bonne partie de leurs points de vues, donc leurs intérêts. Cet échec, car je pense qu’on peut appeler ça comme cela a notamment entrainé le départ de Scaleway, membre fondateur suite à ces problèmes.

Beaucoup de ces acteurs européens ont été eux aussi assez déçus de la tournure de Gaia-x ce qui entraina l’émergence d’une alliance : Euclidia

Euclidia va-t-il faire de l’ombre à Gaia-x
Euclidia va-t-il faire de l’ombre à Gaia-x

Euclidia, le papillon tente son envol

Une trentaine d’acteurs du cloud européen parmi lesquels vous reconnaitrez surement des noms comme Scaleway, Clever Cloud, Bluemind ou encore Nextcloud, se sont regroupés au tour d’une alliance appelé Euclidia. La définition de leurs buts globale pourrait être résumée elle aussi à favoriser l’adoption de solution cloud souveraine au niveau européen dans les entreprises. Pour y arriver, elle mise notamment sur l’amélioration de la collaboration entre les différentes entreprises afin de créer un écosystème et sur la promotion des solutions européennes. Au final, même si le but est assez proche de celui de Gaia-x, les axes utilisés sont assez différents. Euclidia va notamment faire pas mal de lobbying (ce mot n’est pas forcément péjoratif) auprès des politiques afin de rappeler l’importance des solutions de cloud européenne.

Pour autant, les deux organisations ne sont pas en conflit et fonctionnent de manière très différente. Même si Gaia-x s’égare sur ces objectifs premiers, j’espère que les deux pourront apporter leurs pierres à la construction d’acteurs souverains solides.

Un combat perdu ?

On peut se poser la question à en voir tous les initiatives et efforts mis en place pour des résultats souvent en dessous de l’attente de beaucoup d’acteurs et de personnes intéressées par la question.

Néanmoins, je ne pense pas que la souveraineté soit binaire aujourd’hui, comme nous l’avons notamment vu dans les choix du gouvernement. D’ailleurs, si l’on regarde l’exemple de l’affaire d’espionnage matériel par la Chine on constate que même les gros acteurs américains ne sont pas à l’abri. Cela n’empêche pas de tendre vers la souveraineté absolue, afin de répondre en grande partie aux points soulevés et pour le coup c’est un combat à voir sur le long terme, voir très long pour certains points.

Plusieurs choses me font penser que cette souveraineté numérique qui tend vers l’absolue est possible en France. Nous avons plusieurs avantages très importants, que nous avons parfois tendance à oublier. Les infrastructures en France sont de bonnes qualités, avec en plus une électricité décarbonée grâce au nucléaire, mais aussi avec une infrastructure réseaux qui reste très bonne en comparaison de beaucoup de pays. Au-delà des infrastructures, nous avons plutôt un bon vivier technologique, des solutions comme Docker ont d’ailleurs débuté en France avant de déménager aux États-Unis. Notre système éducatif public aussi, bien qu’en perte de vitesse, pourrait être le moteur de cette transition.

Là on peut se demander pourquoi avec tant de qualité, nous n’arrivons pas à nous imposer sur le marché. Car le cloud ce n’est pas un marché magique, les acteurs américains sont déjà très bien installés et ont de l’avance, qu’on le veuille ou non. Il faut donc du temps et des financements aux acteurs français comme Scaleway, CleverCloud ou encore OVHCloud pour arriver à gagner plus de maturité. Sur ce point du manque d’investissement et de maturité, l’État n’a pas réussi à créer une vraie dynamique. Je ne pense pas qu’il existe de solution miracle, mais rien que de privilégier des solutions françaises quitte à faire des concessions ou investir dans ces sociétés pour leur permettre de se développer plus vite changerait la donne. Il est normal pour l’état de privilégier des solutions qui auront un apport plus important pour le pays à moyen terme. D’ailleurs on le fait dans plusieurs domaines sans que cela choque. Il est tout de fois à noter que la situation est tout autre pour les entreprises privées qui doivent garder leurs libertés.

Et les solutions existantes

Comme je le disais, il existe des solutions souveraines qui même si elles ne sont pas au niveau des plus gros acteurs peuvent convenir pour une grosse partie des besoins. Pour le coup, je pense que dans une bonne année, si les choses continuent à leurs rythmes, des acteurs comme Scaleway vont devenir très intéressants.

Malheureusement, une ombre vient complexifier tout ça, les normes. Dans les entreprises, on aime bien définir des normes, exiger des niveaux de certification en un sens ça permet de s’assurer d’un certain niveau de maturité. C’est d’ailleurs le cas avec le domaine de la souveraineté, on a créé une nouvelle norme : SecNumCloud, qui comme des certifications ISO 27001 va encore complexifier la vie des petits acteurs. Car autant vous dire que les très grosses entreprises n’ont aucun mal à passer la quasi-totalité des normes, mais souvent encore plus la thématique de la sécurité est le parent pauvre des acteurs plus petit (pas de log auditable, pas d’IAM complet, exposition publique par défaut et j’en passe). Ce qui va disqualifier beaucoup de ces acteurs dans bon nombre d’appels d’offres, et encore je ne parle même pas des directions des achats qui vont être encore plus perdus.

On se retrouve donc à réduire le nombre d’appels d’offres auxquels nos acteurs peuvent répondre. Bien sûr, je ne dis pas par là que les aspects de sécurité doivent être négligés, juste que ce type de solution est trop souvent contre-productive.

En bref

Un article assez dense, qui passe en revue les points que je juge les plus importants sur cette question. On peut se demander qu’en retenir, si je devais retenir trois points je donnerais les suivants :

  • La souveraineté n’est pas binaire un acteur cloud comme AWS ou OVHCloud n’est pas lui-même forcément souverain au niveau matériel.
  • La souveraineté est un réel enjeu national, sur plusieurs points aussi bien géopolitiques qu’économique et dépasse donc l’aspect technique.
  • Tout n’est pas perdu et nous pouvons réussir dans ce domaine, qui est et sera un des axes économiques majeurs.

Il ne s’agit bien sûr que de mon avis, vous être libres de ne pas être d’accord et je ne pense d’ailleurs pas avoir la solution parfaite.

© 2020 - 2023 DamyR
Généré avec Hugo
Thème Stack conçu par Jimmy