À votre écoute 24/ 7

La question du cloud souverain analysée par Frans Imbert-Vier

Date 22 mars 2022
Type Articles

« On protège la donnée, mais on donne tout aux Américains » commente Frans Imbert-Vier, fondateur d’UBCOM, agence de conseil en cybersécurité. Comme à son habitude, il ne mâche pas ses mots quant à la stratégie numérique française. La question de la souveraineté numérique s’est invitée dans le débat public à l’occasion de la crise covid et l’arrivée sur tous les smartphones de l’application TousAntiCovid. Cette application n’est que la partie émergée de la plateforme des données de santé, appelée le « Health Data Hub » (https://www.publicsenat.fr/article/parlementaire/cedric-o-bouscule-au-senat-sur-le-choix-de-microsoft-pour-heberger-le-health). « On le voit avec la sélection de GAFAM choisi sans appel d’offres pour les grandes opérations publiques », explique-t-il encore en parlant du stockage du Health Data Hub par Microsoft ou encore des données du Prêt Garanti par l’État par Amazon. La guerre actuelle entre la Russie et l’Ukraine nous prouve encore que tous les rapports de force entre États se jouent aussi dans le cyberespace au travers d’une véritable guerre de la donnée (https://www.numerama.com/cyberguerre/871367-guerre-russie-ukraine-la-bataille-se-joue-aussi-dans-le-cyber.html).  

« On protège la donnée, mais on donne tout aux Américains » commente Frans Imbert-Vier, fondateur d’UBCOM, agence de conseil en cybersécurité. Comme à son habitude, il ne mâche pas ses mots quant à la stratégie numérique française. La question de la souveraineté numérique s’est invitée dans le débat public à l’occasion de la crise covid et l’arrivée sur tous les smartphones de l’application TousAntiCovid. Cette application n’est que la partie émergée de la plateforme des données de santé, appelée le « Health Data Hub » (https://www.publicsenat.fr/article/parlementaire/cedric-o-bouscule-au-senat-sur-le-choix-de-microsoft-pour-heberger-le-health). « On le voit avec la sélection de GAFAM choisi sans appel d’offres pour les grandes opérations publiques », explique-t-il encore en parlant du stockage du Health Data Hub par Microsoft ou encore des données du Prêt Garanti par l’État par Amazon. La guerre actuelle entre la Russie et l’Ukraine nous prouve encore que tous les rapports de force entre États se jouent aussi dans le cyberespace au travers d’une véritable guerre de la donnée (https://www.numerama.com/cyberguerre/871367-guerre-russie-ukraine-la-bataille-se-joue-aussi-dans-le-cyber.html).  

1. En quoi consiste le cloud souverain ?  

Pour l’État français, un cloud est souverain si les “services de cloud sont physiquement réalisés dans les limites du territoire national par une entité de droit français et en application des lois françaises.” Le cloud souverain garantit donc que les données stockées sont soumises au contrôle des autorités locales et que les hébergeurs sont en règle avec la loi. Cependant, d’après Frans Imbert-Vier, le problème réside dans le fait que le pays soit lui-même souverain numériquement, et pour cela, il doit pouvoir produire “un équipement matériel et la suite logicielle combinée pour assurer un traitement informatique automatisé d’une donnée”. Cela signifie donc qu’il détient la propriété intellectuelle de toute la chaîne d’équipements et de composants qui fait qu’il peut supporter lui-même la donnée. Seuls la Chine, la Russie et les États-Unis en sont capables, tous les autres pays sont contraints de se fournir chez l’un des trois. En outre, la quasi-majorité des états s’octroie un droit de préemption sur la donnée stockée sur leur territoire : « En termes de souveraineté numérique, le constat est dramatique, car il n’y a que deux pays au monde où on peut protéger sa donnée sans droit de préemption : la Finlande et la Suisse. » s’alarme alors Frans Imbert-Vier.

En France, le « cloud souverain » s’inscrit dans la logique de la « stratégie nationale du cloud », présentée par Bruno Le Maire et Cédric O, secrétaire d’État au Numérique (https://www.gouvernement.fr/sites/default/files/contenu/piece-jointe/2021/11/1617_-_dossier_de_presse_-_strategie_nationale_pour_le_cloud_.pdf). Cette stratégie vise à permettre aux entreprises et aux administrations d’avoir accès à des outils performants et de garantir un traitement des données respectueux des valeurs européennes, tout en favorisant les entreprises françaises et européennes. Néanmoins, les géants américains, Amazon, Microsoft et Google détiennent actuellement 64 % du marché. Cette stratégie n’est pour Frans Imbert-Vier qu’un écran de fumée : « Si le quinquennat de François Hollande peut être montré du doigt pour une inaction totale du point de vue de la souveraineté numérique, le quinquennat actuel peut l’être pour des mesures toutes mauvaises », nous explique Frans Imbert-Vier. « Emmanuel Macron a un discours contredit par ses actions. » Les recours ininterrompus aux géants du numérique chinois ou américains nous rappellent en effet le criant échec dans la matière.

2. Les récentes alliances du cloud 

Le 6 octobre 2021, le géant américain Google s’associe à Thalès pour la création d’un « cloud de confiance ». Dans la foulée, le 12 octobre 2021, Whaller, s’est allié à OVHCloud

pour proposer un cloud souverain destiné aux administrations publiques. Un partenariat uniquement motivé par « la cupidité et l’opportunité financière » commente Frans Imbert-Vier. Et pour cause, les alliances proposent l’argument marketing d’un cloud 100 % souverain alors que la technologie même appartient à des entreprises américaines.

Le partenariat franco-américain répondra aux critères de « Cloud de Confiance » censé poser un cadre de respect de critères de sécurité et de protection juridique. L’objectif de l’alliance est de proposer une offre qui soit conforme aux exigences de souveraineté. Thalès et Google seront les actionnaires de la nouvelle entité, mais elle sera sous le contrôle de Thalès. En effet, le géant américain n’aura pas de pouvoir décisionnaire ce qui permet à l’organisation d’échapper à l’application du Cloud Act, une loi qui permet au gouvernement américain d’accéder aux données des serveurs n’importe où dans le monde dès lors que la société qui héberge les données est américaine ou fait des affaires avec les États-Unis. Pour le moment, l’offre n’est pas disponible sur le marché, car le cloud de Google n’a pas le qualification « SecNumCloud » de l’ANSSI. De son côté, sa collaboration OVHCloud-Whaller propose aux utilisateurs une plateforme 100 % française et donc non-soumise au Cloud Act, avec des fonctionnalités capables de pallier les outils américains. (https://www.latribune.fr/technos-medias/internet/cloud-de-confiance-whaller-et-ovhcloud-s-allient-pour-proposer-enfin-une-solution-100-souveraine-894235.html).

Frans Imbert-Vier n’hésite pas à critiquer ces partenariats incorporant toujours des géants chinois ou états-uniens : “L’hypocrisie de l’opportunité numérique des grands acteurs français dit que si on ne s’associe pas à un des grands acteurs du numérique, que ce soit BATX ou GAFAM, on n’arrivera jamais à donner une opportunité à nos innovations européennes de pouvoir atteindre un marché.” L’association entre OVH Cloud et Whaller pourrait constituer un premier pas dans cette direction, mais souffre de l’utilisation d’un matériel non-européen.

3. La France et l’UE en retard sur le sujet  

Nombre de projets européens voient le jour avec l’idée d’offrir une alternative aux solutions américaines ou chinoises, mais très souvent n’aboutissent pas à cet objectif. C’est le cas du GAIA X supposé être le cloud européen par excellence mais qui « ne l’est plus du tout puisqu’on a fait entrer les géants du numériques comme Google et Huawei. » « On se greffe au train pour qu’il nous fasse avancer, mais le problème, c’est que si le train s’arrête, on s’arrête aussi, résume Frans Imbert-Vier pour illustrer la stratégie désastreuse des institutions européennes. » Le problème est similaire quand on évoque la certification « SecNumCloud » qui a été délivrée à un cloud issu d’une collaboration entre Orange et Huawei en 2017, ainsi qu’à de plus en plus de GAFAM et de BATX depuis. En attribuant la certification à Huawei, l’ANSSI affaiblit significativement la garantie souveraine de celle-ci étant donné l’étroite collaboration entre Huawei et l’État chinois.

L’Union européenne a néanmoins pris la décision d’investir 100 milliards d’euros sur 10 ans pour aider ses acteurs du numérique à investir dans la R&D, largement insuffisants pour Frans Imbert-Vier : « Ce n’est rien du tout par rapport aux 50 milliards de dollars par an russes ou aux 200 milliards américains. On n’a rien compris d’un point de vue politique, c’est 100 milliards par an qu’il faut mettre, pas 100 sur 10 ans ! » Pour lui, on subventionne pour en faire profiter les autres qui rachètent les entreprises résultant de cette recherche. Ce manque de considération de l’enjeu est couplé à un oubli complet de la notion de temps. « Le seul calendrier auquel le politique souscrit est le calendrier électoral. » Le numérique s’inscrit pourtant dans un temps court qui se marie mal avec la lourdeur administrative : « Le numérique et ce qui en découle ont besoin d’une agilité phénoménale. » L’enjeu n’est alors pas réellement compris par la sphère politique.

Quelles solutions ?  

Si la situation en Europe et en France est plutôt mauvaise, il est possible d’implémenter des mesures pour aller dans le sens du développement d’outils locaux et souverains. Pour commencer, il pourrait convenir de restreindre les institutions publiques aux solutions souveraines et locales. L’espoir existe avec un intérêt grandissant pour ces enjeux : « Quelques journalistes commencent à s’intéresser à la question de la souveraineté numérique notamment de par la Covid avec TousAntiCovid et StopCovid ce qui fait qu’on a alerté le public sur les atteintes à leurs libertés. » (https://www.lemonde.fr/economie/article/2022/01/20/health-data-hub-l-hebergement-par-microsoft-ne-sera-pas-remis-en-jeu-avant-la-presidentielle_6110275_3234.html). La France en particulier possède un retard important quand on voit que beaucoup de pays possèdent des institutions régaliennes bien établies œuvrant pour le numérique.

La première solution pour permettre un développement durable des entreprises du numérique européennes réside dans le lobbying. « Si on peut reconnaître quelque chose aux Américains, c’est qu’ils vendent mieux que nous. » En commençant à transgresser leurs modèles et à les appliquer pour nous-mêmes, on peut installer de nouvelles solutions, par exemple en communiquant sur les réseaux sociaux français. « Si on veut que le privé aille vers le cloud français il faut d’abord le subventionner pour le public. » Le problème étant qu’on subventionne aujourd’hui le cloud américain pour le public. D’autre part, si tout le secteur public utilise un cloud français, le secteur privé est susceptible d’utiliser ce même cloud par mimétisme. Subventionner plus largement les entreprises privées pour qu’elles achètent localement permettrait de pénaliser systématiquement les entreprises qui achètent aux États-Unis.

Enfin, la politique européenne pourrait limiter les ventes des entreprises françaises à l’étranger tout d’abord « en interdisant la défiscalisation des frais engagés lors d’un investissement vers les États-Unis ». D’autre part : « il faudrait qu’une entreprise subventionnée ne puisse pas se revendre à un acteur extra-continental. Et si jamais elle se vend à un acteur extracontinental, il faut qu’elle ait tout remboursé et que l’UE puisse s’assurer de profiter à minima de la protection intellectuelle de l’innovation de cette entreprise. »

La majorité de ces mesures sont déjà en place dans les pays leaders de l’industrie numérique et semble nécessaire pour que l’Europe permette le développement de ses acteurs du numérique. Cela implique cependant un changement dans la vision. La présidence française de l’Union européenne en cours ainsi que la campagne présidentielle ne laissent néanmoins pas présager d’une véritable présence des questions de souveraineté numérique sur la scène politique.