De nouvelles chaînes de confiance se constituent associant des infrastructures cloud certifiées SecNumCloud, des couches applicatives souveraines et des solutions cyber « made in France ». Ces offres groupées s’adressent aux acteurs publics et aux entreprises évoluant dans des secteurs sensibles.

En édictant, en 2021 la doctrine dite du « cloud au centre », l’État français a posé les fondations d’un vaste écosystème numérique de confiance qui s’est, depuis, largement diffusé. Cette doctrine, réaffirmée en 2023 puis gravée dans le marbre de la loi « Sécuriser et réguler l’espace numérique » (SREN), fait du cloud un prérequis pour tout nouveau projet numérique des services de l’État.

Pour qualifier les offres du marché, la stratégie nationale du cloud a créé le label de « cloud de confiance ». Le principe est simple. Ne peuvent se prévaloir de cette appellation que les providers ou les éditeurs certifiés SecNumCloud. Délivrée pour une durée de trois ans par l’Agence nationale de la sécurité des Systèmes d’Information (Anssi), cette qualification atteste du plus haut niveau de protection des données, d’un point de vue tant technologique qu’opérationnel et juridique. 

Dernière version en date, SecNumCloud 3.2 garantit une immunité contre les lois extraterritoriales américaines de type Cloud Act, Patriot Act ou FISA. Les acteurs publics, les collectivités territoriales, les hôpitaux, les Opérateurs d’importance vitale (OIV), les Opérateurs de services essentiels (OSE) et, plus généralement, les organisations évoluant dans les secteurs sensibles sont invités à recourir à ces cloud de confiance.

Sur les doigts d’une seule main

Pour l’heure, les providers cloud certifiés SecNumCloud se comptent sur le doigt d’une seule main avec Outscale, Cloud Temple et OVHcloud, accompagnés des éditeurs de logiciels Cegedim, Oodrive, Whaller et du fournisseur de solutions de paiement Worldline. Ce club fermé va rapidement compter de nouveaux membres. Le marché du cloud souverain s’annonce particulièrement porteur – IDC évoque un marché de 250 milliards de dollars en 2027, soit un taux de croissance annuel de plus de 26 % – et attise, de fait, les convoitises. 

Plusieurs prestataires se sont lancés à leur tour sur le chemin de la qualification. Un investissement long – environ 18 mois – et coûteux dont ils espèrent en tirer un avantage concurrentiel. Dans le secteur des télécoms, les opérateurs Orange (pour son offre Cloud Avenue), SFR Business et Free Pro ont engagé le processus. Le 8 janvier, Scaleway, filiale cloud du groupe Iliad, maison mère de Free, annonçait l’octroi du jalon « J0 ». Ce qui signifie que l’Anssi a validé son dossier et que l’instruction peut débuter.

Le 21 janvier, c’était au tour de NumSpot de se réjouir d’avoir franchi l’étape du J0. Cette co-entreprise réunit un autre opérateur télécom, Bouygues Telecom, ainsi que Docaposte, la filiale numérique de La Poste, la Banque des Territoires et Dassault Systèmes. NumSpot ne part pas de zéro puisque son offre repose sur la plateforme cloud d’Outscale, « marque » de Dassault Systèmes, déjà certifiée SecNumCloud.

Deux autres acteurs se fixent pour objectif de décrocher la qualification SecNumCloud dès cette année. Ils ont pour particularité de commercialiser les services d’hyperscalers américains, mais en les exécutant dans un environnement de confiance. Coentreprise de Capgemini et Orange, Bleu propose l’écosystème cloud de Microsoft – Microsoft 365 et Azure – depuis ses datacenters. Société de droit français, contrôlée à 100 % par Thalès, S3NS fait de même avec le catalogue de Google Cloud.

L’IA souveraine, facteur discriminant

Chez les fournisseurs déjà qualifiés, le périmètre de certification s’élargit. Après avoir débuté par son offre de cloud privé, OVHcloud veut apposer le sésame de l’Anssi à son service d’hébergement sur serveurs bare metal puis à sa plateforme de cloud public. Pour le premier provider européen, la notion de souveraineté ne se limite pas à la qualification SecNumCloud et rappelle qu’il assemble ses propres serveurs et conçoit ses datacenters.

Pour sa part, Cloud Temple a complété son offre d’IaaS de cloud de confiance par un PaaS OpenShift certifié SecNumCloud. « Nous proposons le catalogue de services de cloud de confiance le plus complet du marché », se targue Sébastien Lescop, son directeur général. Cloud Temple a aussi pris le virage de l’IA générative en mettant en place une infrastructure de calcul, dopée aux processeurs graphiques de dernière génération (GPU), à même d’entraîner et exécuter de grands modèles de langage (LLM).

Premier provider à avoir décroché la qualification SecNumCloud dès 2019, Outscale fait également de l’IA générative souveraine un critère discriminant. « Une entreprise peut faire tourner son modèle dans un environnement dédié, avance David Chassan, directeur de la stratégie. Elle y dépose ses données et génère des résultats qui lui appartiennent à elle seule. » Pour rester dans un monde souverain, Outscale intègre les modèles de la pépite française Mistral AI.

La chaîne de confiance monte dans les couches hautes

Après le IaaS et le PaaS, le SaaS, troisième pilier du cloud, est lui aussi atteint du syndrome du « tout souverain ». « En associant un cloud de confiance à une solution de travail collaboratif, Bleu entend proposer un continuum SecNumCloud et donc une sécurisation de bout en bout, de la couche basse de l’infrastructure à la couche applicative », explique Jean Coumaros, son président.

Au-delà de la suite collaborative de Microsoft, Bleu prévoit de constituer une marketplace applicative en rassemblant de grands noms du logiciel d’entreprise, à commencer par SAP qui annoncé son intention d’héberger S/4HANA dans son cloud. « En tant que société française, Bleu a aussi la volonté de réunir des éditeurs français », complète Jean Coumaros.

Sur ce terrain de la digital workplace, Bleu entre en concurrence avec d’autres solutions souveraines. Édité par le français Whaller, Whaller Donjon se présente comme la première plateforme collaborative de confiance. Elle s’appuie sur l’offre IaaS certifiée d’OVHcloud. « C’est la première solution SaaS qualifiée SecNumCloud par « composition », estime Thomas Fauré, son président. Sans ce partenariat et ce choix technique, la qualification nous aurait été plus difficilement accessible. »

Autre acteur hexagonal du collaboratif, l’éditeur Jamespot dévoilait, le 14 janvier, la phase 2 du projet CollabNext dont il est le porteur. À savoir, la commercialisation de cette suite bureautique collaborative « souveraine et 100 % made in Europe ». S’inscrivant dans le cadre du plan France 2030, CollabNext réunit un consortium d’acteurs hexagonaux aux expertises complémentaires. Outscale et Clever cloud apportent l’infrastructure cloud, Alinto la brique de messagerie professionnelle, Glowbl le module de visioconférence, XWiki la gestion documentaire et Wallix sa solution de gestion des identités et des accès (IAM). 

En proposant un mode freemium, CollabNext entend faciliter l’accès à sa solution. « En quelques clics, les utilisateurs peuvent créer un compte, partager un document ou lancer une visioconférence, découvrant ainsi toute la puissance et la simplicité de la plateforme, explique le communiqué de presse. Cette première étape permet aux organisations d’évaluer les fonctionnalités de CollabNext sans engagement. »

« Nous visons prioritairement les collectivités territoriale et les agences de l’ “État qui souhaitent sortir des écosystèmes de Microsoft et Google », détaille Alain Garnier, CEO et cofondateur de Jamespot, qui indique avoir déjà « des premiers prospects engagés ». 

La cybersécurité « by design »

Quid de la cybersécurité ? Pour Jean-Noël de Galzain, PDG de Wallix et président de Hexatrust, le projet CollabNext est exemplaire d’une tendance de fond qui voit la couche cyber s’intégrer nativement à une chaîne de confiance. « Un écosystème d’acteurs souverains proposent leurs innovations et leurs technologies éprouvées dans un cadre sécurisé. »

C’est d’ailleurs la vocation de Hexatrust que de fédérer les champions français et européens de la cybersécurité, du cloud de confiance et de la digital workplace. Créée en 2014, cette association loi 1901 réunit, entre autres, des startups, des éditeurs de logiciels, des fournisseurs de solutions et des sociétés de services.

Cette approche groupée, de type « one stop shopping », permet également de rendre accessibles les solutions de cybersécurité en faisant baisser le ticket d’entrée et en simplifiant le mode tarifaire, via un modèle d’abonnement. « Une PME n’a ni le temps, ni l’argent, ni les compétences pour sélectionner les différentes briques de cybersécurité et de les intégrer ».

Jean-Noël de Galzain donne rendez-vous à Lille du 1er au 3 avril, à l’occasion de la prochaine édition du Forum InCyber Europe, à tous les acteurs qui souhaitent créer ce type de chaînes de valeur à même de réunir des solutions innovantes et souveraines.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.