Cloud : pour le public, hors du privé, point de salut, selon Nicolas Chaillan

Un ovni dans les hautes sphères de la défense américaine. Natif de Marseille, Nicolas Chaillan frôle la quarantaine, mais a déjà dirigé la cybersécurité des États-Unis au sein du Department of Homeland Security (DHS), un super ministère de l’Intérieur, avant de devenir conseiller au cabinet du secrétaire à la Défense puis « Chief Software Officer » au sein de l’US Air Force. Un poste de responsable des logiciels créé sur mesure.

Autant dire que ce serial entrepreneur, qui a écrit son premier logiciel à l’âge de 12 ans, prend la cybersécurité au sérieux. Pourtant, lors de l’entretien qu’il a accordé à inCyber, Nicolas Chaillan a développé sur le cloud des positions pour le moins iconoclastes.

Le cloud est le thème central du FIC cette année. Nous sommes dans un contexte tendu en termes géopolitiques avec la Russie, la Chine, et également en termes de cybersécurité. Est-ce vraiment une bonne idée de confier ses données à l’ordinateur de quelqu’un d’autre ?

C’est un peu plus compliqué que cela. Il y a des notions de sécurité mais il y a aussi celles de vélocité, de capacités d’innover. Quand on regarde le problème plus précisément, on se rend compte qu’ici, aux États-Unis, nous avons dépensé des dizaines de milliards de dollars pour avoir un cloud souverain avec Amazon et Azure. Et malgré ces sommes faramineuses – que d’ailleurs l’Europe ne peut pas dépenser parce qu’elle ne les a pas –, la version gouvernementale des clouds a en moyenne entre deux et quatre ans de retard sur les versions commerciales.

Et là, avec l’arrivée de l’IA, comme OpenAI et ChatGPT, on voit que ça coûte 100 millions de dollars pour héberger OpenAI sur un cloud. Si on doit dupliquer tout cela sur les réseaux du gouvernement, cela coûterait une fortune : ce n’est pas une fois 100 millions, mais plusieurs fois 100 millions.

En plus, ces solutions deviennent obsolètes à une rapidité incroyable ! Si on veut conserver l’accès aux meilleures technologies avec la rapidité qui nous permet de rester concurrentiels, on se rend compte assez rapidement qu’on n’a pas d’autre choix que d’utiliser des versions commerciales.

Des clouds commerciaux dans des domaines aussi sensibles que la Défense ?

C’est-à-dire qu’ici, après avoir dépensé tellement d’argent, on envisage d’accepter le risque d’héberger des données ou d’utiliser des services qui sont hébergés sur des clouds non gouvernementaux. Ceci parce qu’on a besoin d’avoir accès aux meilleures technologies possibles et qu’au final, on se rend compte que de ne pas y avoir accès crée peut-être de plus gros problèmes de sécurité que si nos données étaient piratées.

Sans ces nouvelles technologies, nous ne sommes pas concurrentiels. Et de ne pas être concurrentiel, c’est encore plus grave qu’un vol de données. Donc c’est une balance entre la sécurité et la vélocité, la capacité d’innover pour être concurrentiel. La sécurité, c’est un vrai problème, mais il n’y a pas de solution facile. Je crains toujours que le Département de la Défense (DoD) soit piraté, mais j’ai encore plus peur qu’il devienne tellement obsolète que plus personne n’essaie de nous pirater.

Vous parlez de concurrence par rapport à d’autres puissances

Voilà. La Chine, la Russie, tout le monde est en concurrence, que ce soient des pays ou des sociétés, il y a toujours un concurrent quelque part. Et pour nous, ce sont la Chine, la Russie, la Corée du Nord.

En termes de dangers géopolitiques et cyber, du point de vue américain, vous évoquez la Chine. D’un point de vue européen, la Russie n’est-elle pas la principale menace ?

La Chine est quand même bien plus avancée que la Russie, elle me fait bien plus peur. Elle est vraiment dans un modèle de domination mondiale. Ils sont de facto en guerre contre les États-Unis et donc forcément, l’OTAN est impliquée.

D’un point de vue européen, la question du cloud n’est-elle pas encore plus sensible dans la mesure où on n’a guère d’autre choix que de recourir à des solutions américaines avec les problèmes de dépendance que cela peut induire, de confidentialité des données, ceux liés au Cloud Act, etc.

Dans le pays des Bisounours, on voudrait tous avoir les meilleures technologies et les meilleures capacités et ne pas avoir à payer des milliards. Mais le fait est que le cloud nécessite des investissements extrêmement lourds et on voit que les sociétés européennes comme OVH , qui est un top 10 mondial, accuse du retard par rapport à Amazon ou Azure. Quand ils sont venus me voir au DoD, c’était une plaisanterie. Ils étaient tellement en retard que c’en était presque risible ou presque à pleurer.

Les Américains intègrent déjà des services à base d’IA, pas les Européens, et on voit que ChatGPT est en train de complètement changer le monde de l’IT. Mais ce sont des investissements énormes, des milliards. Et OVH/les Européens n’ont pas la capacité financière pour ce genre d’investissement. C’est comme si vous disiez que des personnes dans leur sous-sol vont réussir à envoyer des gens sur Mars, mais en réalité, SpaceX sera le seul qui va y arriver.

Et ce qui me fait peur, c’est que souvent, les gens vont prendre la sécurité et la souveraineté comme un facteur dominant dans leurs décisions. D’ailleurs, j’ai beaucoup d’interactions avec les gouvernements, américain bien entendu, mais aussi français, australien, anglais et j’ai fait passer le message en disant que le côté souverain, c’est important, mais si vous n’êtes plus concurrentiels, c’est encore pire.

Donc à un moment donné, il faut être réaliste. Un cloud aujourd’hui, ce n’est pas juste virtualiser des serveurs et faire du stockage, ce sont des milliers de services que l’on utilise au jour le jour. Et reconstruire cela, c’est impossible, c’est une hérésie. Voilà ce qu’on peut conclure.

L’UE fait pourtant des efforts pour essayer de bâtir un cloud européen.

Il y a des efforts, mais ils sont risibles. S’il n’y a pas Apple, Microsoft, Google ou Amazon dans le lot, c’est physiquement ridicule. Voilà, c’est une perte d’argent, c’est une perte de temps.

Cela dénote aussi une compréhension du cloud très limitée. C’est-à-dire que ce sont des gens qui croient toujours que le cloud, ce n’est que de l’infrastructure, alors qu’aujourd’hui, ce sont des services très complexes. Cela a été très compliqué d’innover dans le cloud, ce n’est plus du bas niveau comme il y a dix, quinze ans, où on pouvait avoir des serveurs, une machine virtuelle et du stockage et on avait un cloud. Maintenant, c’est bien plus avancé que ça.

Et donc ce qui me fait peur, ce sont ces pays qui essaient de construire ces clouds souverains en oubliant complètement qu’ils passent un temps fou sur cela alors qu’au final, il y a des capacités existantes bien plus performantes.

Mais cela pose tout de même des problèmes de sécurité et de confidentialité.

Nous le faisons tous les jours au DoD. On peut héberger des données sur un cloud que l’on considère comme potentiellement piraté, on appelle ça un cloud « dirty » qui n’est pas « trusté ». On a les moyens de gérer tout ça, qui font qu’on est capable d’utiliser le cloud même s’il n’est pas souverain et en étant sûr que personne ne peut venir voler nos données. C’est un problème qui est résolu par les technologies de chiffrement. La sécurité, aujourd’hui c’est « zero trust » et cela fonctionne. Dans les agences comme la NSA, la CIA, tout tourne sur des clouds à l’étranger qui ne sont pas du tout américains.

En résumé, on n’a pas tellement d’autre choix que de recourir aux solutions de cloud commerciales existantes, notamment américaines.

À un moment donné, il faut être réaliste. Le pire, c’est que vous avez le choix. Mais si vous faites le mauvais choix, vous perdez la guerre. Est-ce que c’est réellement une option ? Attention, le problème, c’est que les résultats des décisions prises aujourd’hui seront visibles dans dix ans, quand toutes les personnes qui les ont prises seront à la retraite et n’en auront plus rien à faire. Donc, il se peut très bien que les gens prennent les mauvaises décisions et qu’à court terme, ils s’en sortent plus ou moins, mais qu’à plus long terme, on perde la guerre.