Le marché du cloud de confiance prend (enfin) son envol

Les prestataires cloud qualifiés SecNumCloud profitent du sursaut protectionniste de l’Europe face à l’administration Trump. Le marché gagne, par ailleurs, en maturité avec la certification attendue d’Orange, NumSpot ou Bleu. Même les hyperscalers américains s’inscrivent dans cette tendance en faveur d’une souveraineté retrouvée.

Peut-on parler d’un « effet Trump » ? Depuis le retour au pouvoir de Donald Trump en janvier, il n’aura jamais été autant question de souveraineté technologique de ce côté-ci de l’Atlantique. Avec ses prises de positions brutales et unilatéralistes, le 47ème président des Etats-Unis aura provoqué une réelle prise de conscience du Vieux Continent. Dans sa volonté d’annexer le Groenland, la nouvelle administration a notamment menacé le Danemark de lui couper les services numériques fournis par les acteurs américains.

Le Cigref, le club des grands DSI français, a chiffré notre dépendance technologique aux acteurs américains et tout particulièrement aux trois hyperscalers, Amazon Web Services (AWS), Microsoft Azure et Google Cloud. D’après son étude, « Chaque année, 83 % des achats de logiciels et services cloud à usage professionnel de l’économie européenne génèrent près de 264 milliards d’euros de chiffre d’affaires au profit de l’industrie américaine du numérique ».

Un marché conséquent qui ne profite qu’à la marge aux pays européens. 80 % environ de cette activité est créée directement sur le sol des États-Unis. « Ces achats soutiennent outre-Atlantique environ 1,9 million d’emplois directs, indirects et induits », précise le Cigref.

Une « situation devenue problématique » sur le plan économique, social, géopolitique mais aussi juridique. Les réglementations extraterritoriales telles que le Patriot Act, le Cloud Act ou le FISA contraignent les fournisseurs américains à fournir aux agences de renseignement, même sans mandat préalable dans le cas du FISA, les données d’individus ou d’organisations situés hors des frontières étasuniennes.

La France aux avant-postes avec le SecNumCloud

La France est aux avant-postes de la riposte. Introduite en 2021, et plusieurs fois réaffirmée depuis, la doctrine nationale dite du « Cloud au centre » a permis la création du label « cloud de confiance ». Il est attribué aux seuls fournisseurs de services IaaS, PaaS ou SaaS justifiant de la qualification SecNumCloud.

Attribué par l’Anssi, ce référentiel atteste du plus haut niveau de protection des données sur le plan technique, opérationnel et juridique. Sa dernière version, SecNumCloud 3.2, prémunit contre les lois extraterritoriales américaines citées précédemment.

Ce marché du cloud de confiance qui vivotait, se limitant aux acteurs publics, aux Opérateurs de Services Essentiels (OSE) et aux Opérateurs d’Importance Vitale (OIV), bénéficie donc de « l’effet Trump ». « Nous n’avons jamais été autant sollicités, se réjouit Sébastien Lescop, directeur général de Cloud Temple. Les dossiers se sont accélérés même s’il est trop tôt pour dire quel sera l’impact sur le chiffre d’affaires, les démarches prenant environ 6 mois. »

Même son de cloche chez Outscale, premier offreur à avoir obtenu la qualification SecNumCloud en 2019. « Trump a réveillé l’Europe, juge David Chassan, son directeur de la stratégie. Les entreprises et les institutions publiques doivent tenir compte de l’enjeu de souveraineté dans leur gestion des risques. » Tout en tempérant. « Il y a une dynamique d’intérêt mais pas encore de preuves d’amour. L’engagement viendra après. »

« Marque » de Dassault Systèmes, Outscale est l’opérateur de plateforme du deuxième éditeur de logiciels européen avec un réseau de 13 datacenters. Il compte aussi la Cnaf et le ministère de la Transition écologique parmi ses références clients.

Sept nouveaux prétendants à la qualification

Le marché entre, par ailleurs, dans une phase de maturité. Longtemps, les providers cloud qualifiés SecNumCloud se comptaient sur les doigts d’une seule main avec OVHcloud et Worldline en plus des deux précités. Un club très fermé qui compte aussi les éditeurs en mode SaaS Oodrive et Whaller. La liste des heureux élus est toutefois appelée à fortement s’allonger.

Dans le monde des télécoms, Orange (pour sa plateforme Cloud Avenue), SFR Business, le groupe Iliad (Free Pro, Scaleway) ont annoncé avoir engagé une démarche de certification. Bouygues Telecom s’est lui associé à Docaposte, la Banque des Territoires et Dassault Systèmes pour créer, en octobre 2022, NumSpot. Leur co-entreprise a franchi, en janvier dernier, le premier jalon de la qualification de l’Anssi.

Deux entreprises plus originales, Bleu et S3NS, ont également passé le « jalon J0 » du processus de certification. Lancée officiellement en janvier 2024 par Capgemini et Orange, la société Bleu propose de fournir les technologies cloud de Microsoft (Microsoft 365 et Azure) dans un cloud de confiance opéré dans ses datacenters et par son propre personnel. Contrôlée par Thalès, S3NS se fixe le même objectif mais cette fois-ci pour adresser le portefeuille de services de Google Cloud.

Pour David Chassan, cette multiplication des prétendants au précieux sésame crédibilise la démarche entreprise par Outscale lors de sa création en 2010. « Cela dénote l’intérêt porté au SecNumCloud. La qualification exige un gros investissement et des designs particuliers. »

Le cloud souverain selon les hyperscalers américains

Pour ne pas être dépassés par ces nouveaux entrants, les trois hyperscalers américains surfent également sur cet enjeu de souveraineté. Dans un long billet de blog publié fin avril, Brad Smith, président de Microsoft, multiplie les engagements à l’égard de ses clients européens, promettant de doubler le nombre de ses datacenters sur le continent et de renforcer la protection des données.

La firme de Redmond promet de contester « rapidement et vigoureusement » tout ordre de suspension de ses opérations cloud en Europe si le gouvernement américain venait à lui demander. Et dans le « cas peu probable » que cette demande survienne, Microsoft estime pouvoir s’appuyer sur ses partenaires locaux, comme Bleu en France ou Delos Cloud, filiale de SAP, en Allemagne.

Quelques semaines plus tard, c’était au tour de Google Cloud d’annoncer un renforcement de ses solutions de cloud souverain en mettant l’accent sur la protection et le chiffrement des données. « La sécurité et la souveraineté sont les deux faces d’une même médaille, avance Hayete Gallot, présidente de l’expérience client : « Aucune organisation ne peut être considérée comme souveraine si les dépendances à l’égard de l’infrastructure existante rendent ses données vulnérables à la perte ou au vol. » Comme Microsoft avec Bleu, Google Cloud met en avant son association avec Thalès dans S3NS.

Début juin, AWS se fendait, à son tour, d’un communiqué pour préciser les contours de son futur cloud souverain européen qui sera lancé d’ici la fin de l’année. Une société mère sera créée pour l’occasion, « dirigée par des citoyens de l’UE et soumise aux lois locales ».

Ce cloud offrira « des garanties souveraines et des protections juridiques conçus pour répondre aux besoins des gouvernements et des entreprises européens. » Fonctionnant comme un cloud indépendant, il « n’aura aucune dépendance critique vis-à-vis d’une infrastructure non européenne ». Une illusion de cloud souverain, tacle Le Figaro, reprenant une analyse du journal allemand Die Welt.

L’IA souveraine, le nouveau défi

En attendant ces grandes manœuvres, les pionniers du cloud de confiance ne se reposent pas sur leurs lauriers. Après avoir certifié son PaaS OpenShift, Cloud Temple a étendu sa qualification SecNumCloud 3.2 à une nouvelle offre de serveurs Bare Metal et à une infrastructure IaaS open source. Le provider met aussi en place un service de chiffrement par un mode de sécurité matérielle ou HSM (Hardware Security Module). « Cloud Temple est le seul pure player SecNumCloud, affirme Sébastien Lescop. Tous les services que nous construisons sont qualifiés. »

Son entreprise vient de nouer un partenariat avec l’allemand Wire. Cet éditeur appartient à Schwarz Digits, la filiale numérique de Schwarz Group, entreprise propriétaire des 14 000 magasins Lidl et Kaufland. En attendant Bleu, les administrations pourront adopter son alternative souveraine à Microsoft Teams. Les éditeurs français Whaller et Jamespot (via l’initiative CollabNext) commercialisent également des solutions collaboratives présentées comme souveraines.

Outscale a, de son côté, enrichi son offre de Kubernetes as a Service (OKS) en proposant le mode multi-zonage, ou Multi-Availability Zone (Multi-AZ), avec trois zones de disponibilité et, à partir de la rentrée, l’autoscaling. Un cluster de containers bénéficiera d’un ajustement automatique du calcul et du stockage en fonction de la charge.

En novembre, Outscale lancera, en version bêta, une offre de Quantum as a Service (QaaS), présentée comme « la première offre quantique 100 % européenne offrant un calcul « sans bruit » grâce à son algorithme de correction d’erreurs ». Cet environnement souverain permettra aux organisations de se familiariser aux technologies quantiques en toute sécurité.

Mais c’est surtout sur le terrain de l’intelligence artificielle souveraine que les providers sont attendus. Cloud Temple propose 36 modèles d’IA générative « as a service » avec une facturation à l’usage (au token). Il intègre également watsonx.ai d’IBM, un studio qui permet à une organisation de développer et déployer des services d’IA à grande échelle.

Outscale conforte, pour sa part, son partenariat industriel avec Mistral AI. Après avoir dévoilé, en septembre, une offre de LLM as a service (LLMaaS) permettant de déployer les modèles de la licorne française dans son environnement SecNumCloud, le provider distribue Le Chat, l’assistant conversationnel de Mistral AI, et à partir de septembre, La Plateforme, son framework dédié aux développeurs.

En attendant EUCS, les certifications nationales et GaiaX

Nos providers souhaitent s’internationaliser en capitalisant sur leur savoir-faire. Le SecNumCloud ne peut malheureusement pas s’exporter et ils doivent passer les certifications nationales comme C5 en Allemagne ou ENS en Espagne. « Nous ne partons pas de zéro, tempère Sébastien Lescop. SecNumCloud coche déjà pas mal de cases et il faut faire des correspondances avec la certification cible. »

EUCS, le futur schéma européen de certification des services cloud, doit éviter tout ce travail en se substituant aux qualifications nationales. Vrai serpent de mer, cet EUCS pourrait être entériné par la Commission européenne fin 2025 (mais plus vraisemblablement en 2026). Un temps remis en question, son niveau de protection le plus élevé, le « High + », qui immunise contre les lois extraterritoriales américaines, pourrait finalement être maintenu. Encore l’effet Trump !

En attendant, Cloud Temple s’est engagé dans le processus de certification GaiaX, garantissant une conformité à ses standards de protection des données ou d’interopérabilité. Le consortium européen a créé, pour cela, un référentiel qui se cale sur le principe de gradation de l’EUCS. Le prestataire français devrait être le premier fournisseur européen certifié « level 3 », le plus haut niveau de protection, en septembre ou en octobre.