Le 4 juin 2020, les ministres de l’économie français et allemand ont détaillé, lors d’une conférence de presse conjointe, Gaia-X, leur nouveau projet d’infrastructure européenne de services cloud. Alors que le confinement d’une large partie de la population européenne et le recours au télétravail ont mis en lumière le manque d’alternatives aux solutions américaines, cette présentation de Gaia-X ramène les ambitions françaises de création d’un “cloud souverain” sur le devant de l’actualité. 

En ouverture d’un nouveau dossier thématique consacré à ce sujet, Pierre Noro, coordinateur de la Chaire Digitale, Gouvernance et Souveraineté, fait le point sur le projet français de 
cloud souverain, ses origines et son évolution.

Aux origines du cloud souverain : s’affranchir de la dépendance américaine

Avec le développement des usages informatiques, le déploiement de connexion à haut-débit et la croissance exponentielle du volume de données échangées dans les économies développées, le recours au cloud computing (infrastructure informatique “en nuage”), où les données sont stockées et traitées sur des ordinateurs autres que l’équipement de l’utilisateur final, s’est rapidement imposé comme une norme durant la première moitié des années 2000. Les économies d’échelle rendues possibles par la mutualisation d’immenses capacités de calcul et de stockage dans des data centers, accessibles facilement et de manière flexible, ont donné lieu à l’émergence de leaders technologiques et industriels, principalement aux États-Unis et plus récemment en Chine.

Dès 2008, deux années seulement après le lancement d’Amazon Web Services (AWS), son leader historique, le marché global du cloud public (service pouvant être souscrit par n’importe quel client, par opposition à un cloud privé, interne à une organisation) pesait déjà presque 6 milliards de dollars. Une décennie plus tard, il avoisine les 300 milliards de dollars (Forrester Research, 2019). Pour les usages qu’elle permet ou les opportunités industrielles qu’elle incarne, directement et indirectement (R&D en IA, big data…) développer les capacités du cloud en France est rapidement devenu un enjeu économique.

En effet, dès 2009, François Fillon alors Premier ministre affichait déjà l’ambition de son gouvernement quant à l’émergence de leaders du cloud en France. 

« […] les Nord-Américains dominent ce marché, qui constitue pourtant un enjeu absolument majeur pour la compétitivité de nos économies, pour le développement durable et même, j’ose le dire, pour la souveraineté de nos pays. »

Discours du Premier ministre François Fillon sur le haut débit et de l’économie numérique, 18 janvier 2010, Vélizy

Le PATRIOT Act de 2001 autorisait déjà les agences gouvernementales américaines à accéder aux données hébergées par des compagnies américaines dans le cadre de la lutte antiterroriste, mais c’est avec les révélations d’Edward Snowden en 2013 sur les systèmes de surveillance à grande échelle déployés par les États-Unis, collectant massivement, avec l’aide des grandes entreprises du numérique, des données provenant de l’étranger et bien au-delà du périmètre prescrit par le PATRIOT Act, que le projet de cloud souverain en France a vu son importance stratégique considérablement amplifiée (Bômont & Cattaruzza, 2020).

Le risque de voir des informations critiques, au niveau de l’État ou d’entreprises françaises, être collectées dans le cadre de mesures de surveillance (ou d’opérations d’intelligence économique) a été renforcé par la signature du Clarifying Lawful Overseas Use of Data Act, en Mars 2018. Le CLOUD Act réaffirme la capacité du droit américain à s’appliquer, en matière numérique, peu importe le territoire. Il permet, en particulier à la justice américaine, munie d’un simple mandat, d’exiger auprès des entreprises technologiques établies aux États-Unis la transmission des données de communications d’un utilisateur stockées sur des serveurs appartenant ou étant opérés par l’entreprise, où qu’ils se trouvent, sans en informer l’individu en question.

Un projet, deux entreprises, aucun survivant

C’est donc dès 2009, constatant le développement spectaculaire du secteur, que l’idée d’un cloud souverain a germé au sein de l’État . Deux ans plus tard, une ébauche de partenariat public-privé avec Orange, Thales et Dassault Systèmes voit le jour sous le nom de “Projet Andromède”, avec pour objectif de combiner les expertises des trois entreprises en matière de télécommunications et de cybersécurité afin de donner naissance à un géant français à même de garantir l’indépendance et la souveraineté de l’industrie française. Le projet Andromède est inclus dans la première vague des “investissements d’avenir”, avec 135 millions d’euros d’investissements prévus.

Pourtant, suite à un désaccord entre Dassault Système et Orange, ce n’est pas une mais deux entreprises qui voient le jour en septembre 2012. D’un côté, Orange et Thalès lancent Cloudwatt. De l’autre, Dassault Systèmes est rejoint par SFR et Bull pour former Numergy. L’État devient actionnaire minoritaire à 33% dans les deux “startups”, grâce à deux investissements de 75 millions d’euros issus du Fonds national de Sécurité Numérique, géré par la CDC.

L’État français mise donc sur une concurrence et une complémentarité vertueuse entre ses deux nouveaux champions, comme le rappelle Fleur Pellerin, ministre déléguée à l’Economie numérique, en octobre 2012 : 

« Le gouvernement a décidé de soutenir deux projets «cloud» de taille critique face à la concurrence nord-américaine. La volonté de l’État est de privilégier l’effet de levier plutôt que la concentration des efforts sur un seul projet. L’émulation ne peut apporter que des bénéfices. »

Cependant, les deux jeunes pousses peinent à atteindre leurs objectifs. Elles sont issues d’entreprises non-spécialistes du cloud, elles ne bénéficient pas des économies d’échelle qu’aurait permises une mutualisation de leurs ressources, et elles développent toutes les deux des produits sur OpenStack, une infrastructure en licence libre qui ne leur confère qu’un avantage concurrentiel limité. De plus, Cloudwatt adopte un positionnement commercial ambigu, proposant des offres pour les utilisateurs individuels avant même le lancement de services pour les entreprises. Alors que le projet Andromède tablait originellement sur 597 millions d’euros de chiffre d’affaires en 2015, Cloudwatt ne franchit pas la barre des 2 millions en 2014. Numergy fait à peine mieux avec 6 millions d’euros. AWS engrangeait 4,6 milliards de dollars la même année.

Dans l’espoir de redresser la barre, Orange rachète, en mars 2015, les parts de Thalès et de la CDC pour devenir l’unique propriétaire de Cloudwatt. SFR emboîte le pas l’année suivante avec le rachat complet de Numergy. De son côté, l’État accepte l’échec de sa stratégie d’investissement direct, profitant de cette porte de sortie pour affirmer que des 150 millions d’euros initialement prévus à l’investissement, seule la moitié aurait été dépensée.

Le 23 mars 2018, le directeur de l’activité data centers et cloud chez SFR Business, Eric Jacoty, expliquait dans une interview pour l’Usine Nouvelle, que Numergy ne faisaient plus partie de la stratégie de cloud public de SFR. En juillet 2019, c’est par un simple email aux utilisateurs de ses services qu’Orange annonçait la fermeture de Cloudwatt, programmée pour janvier 2020.

Le retour du cloud souverain : Gaia-X, une “infrastructure européenne des données”

Lors de la conférence de presse du 4 juin 2020, l’État français a donc renoué avec ses ambitions de cloud souverain, prenant acte de ses échecs en rejoignant une initiative allemande dessinée en octobre 2019. En abandonnant l’idée de créer “ex-nihilo” une nouvelle entreprise soutenue par la puissance publique et des grandes entreprises, pour se tourner vers la formation d’une infrastructure européenne articulée autour d’un organisme de gouvernance et de coordination chargé d’émettre des standards de sécurité, d’interopérabilité et de portabilité des données, Gaia-X concrétise une lente transformation de la stratégie nationale de cloud souverain. 

D’une part, comme l’explique un rapport de mai 2020, Gaia-X promeut un écosystème reposant sur de nombreuses entreprises capables de proposer des offre complémentaires et interopérables pour répondre aux besoins effectifs des entreprises et de la sphère publique. Les “34 plans de la Nouvelle France Industrielle”, en 2013, parmi lesquels figurait le cloud souverain, privilégiaient déjà les entreprises françaises spécialistes du secteur (OVH, Atos, Gandi, Scaleway…), que le projet Andromède avait fait le choix d’ignorer. Le soutien de Gaia-X par le gouvernement français traduit également une stratégie plus mature de l’adoption du cloud souverain, dans la lignée de la Circulaire du Cabinet du Premier Ministre relative à la doctrine d’utilisation de l’informatique en nuage par l’État (8 novembre 2018).

Cette circulaire détermine, en effet, trois offres de cloud organisées en “cercles” :

  • Le premier cercle s’appuie sur un cloud interne à l’État, fonctionnant sur une base OpenStack, pour “des données, des traitements et des applications sensibles” et pour “répondre à des besoins régaliens d’infrastructures numériques”;
  • Le deuxième cercle repose sur un cloud “dédié”, développé par un partenaire industriel mais adapté pour les besoins de l’État “d’une sensibilité moindre, mais nécessitant un certain niveau de pérennité”;
  • Le troisième cercle définit quant à lui le recours à des offres génériques de cloud externe de prestataires externes.

Alors que les investissements colossaux et les économies d’échelles dont bénéficient les géants du numérique américains et chinois rendent improbable la naissance d’un leader unique sur le territoire national, une stratégie axée sur un catalogue de solutions complémentaires, la collaborations entre experts de différents segments du marché et la portabilité des données permet aux acteurs soucieux de localiser leurs données dans des data centers européens d’avoir recours aux services de plusieurs entreprises “compatibles” avec Gaia-X.

D’autre part, plutôt que de s’intéresser uniquement au marché français, où la demande et l’offre sont croissantes mais limitées, Gaia-X entend mettre en place un réseau décentralisé de services européens, adossé à la coopération franco-allemande. Les efforts de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) et de la Bundesamt für Sicherheit in der Informationstechnikle (BSI) avaient déjà abouti, en décembre 2016, à l’adoption d’un label commun, ESCloud, pour certifier les offres de cloud “de confiance”, qui n’est plus fournit par un acteur contrôlé ou soutenu par l’État, mais qui répond à 15 normes communes de sécurité, de maîtrise et de confidentialité des données. 

A l’échelle européenne, ce projet s’inscrit dans la continuité de la politique de Digital Single Market, en 2015, du Règlement Général sur la Protection des Données, adopté en avril 2016, et de la  « European Strategy for Data », présentée par la Commission européenne, qui évoquait déjà, en février 2020, au travers de sa vision « d’espace européen de la donnée », le projet de « super cloud » européen.

Pour permettre le développement et la compétitivité des entreprises européennes, Gaia-X doit désormais assurer la coordination entre des acteurs économiques, et indirectement entre des États, d’ordinaire en situation de concurrence, pour standardiser leurs offres et maximiser l’acquisition des clients européens.

Le succès de Gaia-X dépend aujourd’hui de l’engagement des 22 partenaires industriels (11 français, 11 allemands) et des gouvernements soutenant l’initiative. En particulier, l’alignement stratégique entre des parties prenantes de taille et d’expertise variées requiert une réelle confiance qui ne peut se construire qu’avec une grande transparence dans la gouvernance du projet.

La constitution d’un catalogue de services cohérent, à même de concurrencer les offres de Amazon, Microsoft et Google, ou bien de leurs challengers chinois Baidu, Tencent et Alibaba, passe aussi par l’inclusion de nouveaux partenaires au sein de cet écosystème. Mais ces nouveaux entrants ne seront pas exclusivement européens, puisque toute entreprise respectant les futurs standards européens est éligible, Microsoft étant déjà sur les rangs.

“With the Covid crisis, companies massively shifted to teleworking. This makes the need for a secure and European cloud solution all the more urgent.”

Discours de Bruno Le Maire, ministre de l’Economie et des Finances, Bercy, 4 juin 2020

Pierre Noro coordonne la Chaire Digital, Gouvernance et Souveraineté de l’École d’Affaires Publiques de Sciences Po Paris, où il enseigne également sur la Blockchain et l’innovation sociale.

Source : www.sciencespo.fr/public

risus justo suscipit facilisis libero vel, mi, Sed pulvinar porta. dapibus