Pour les entreprises françaises du cloud, les partenariats avec les géants américains ne font pas « S3NS »
La course au « cloud de confiance » est lancée et les géants américains, en dépit des défis qui se posent à eux pour l’obtention du label, ne comptent pas passer à côté de leur part du gâteau.
La course au « cloud de confiance » est lancée et les géants américains, en dépit des défis qui se posent à eux pour l’obtention du label, ne comptent pas passer à côté de leur part du gâteau.
Les acteurs français du cloud voient d’un très mauvais œil l’arrivée de partenariats entre entreprises nationales et américaines pour proposer un « cloud de confiance » — une offre certifiée et censée garantir le plus haut niveau de sécurité et de protection, contre l’extraterritorialité des lois américaines notamment.
La semaine dernière, Thalès a officiellement annoncé le lancement de « S3NS », prononcé « sens », une société de droit français qui opérera les solutions nées du partenariat stratégique signé entre l’entreprise française et Google Cloud en octobre 2021.
Un peu plus tôt, Capgemini et Orange avaient indiqué que leur projet de « cloud de confiance » intitulé « Bleu » et qui s’appuiera sur la technologie de Microsoft ne serait opérationnel qu’en 2024.
Alors que les enjeux ne souveraineté des données n’ont jamais été aussi présents dans le débat public, ces clouds franco-américains ont pour ambition d’offrir aux entreprises et aux administrations françaises une solution de qualité, détentrice du label « cloud de confiance » délivré par le gendarme de la cybersécurité français, l’ANSSI, sur la base de son référentiel SecNumCloud.
Dans sa dernière version, la certification de l’ANSSI inclut des critères de protection vis-à-vis des lois extraeuropéennes (localisation et transferts des données, détention du capital, etc.) — en ligne avec le projet de schéma européen de certification de cybersécurité.
Si l’écosystème français doute que partenariats franco-américains, et les montages administratifs et juridiques proposés, permettent véritablement de garantir cette imperméabilité, et par extension l’obtention du label « cloud de confiance », il s’interroge d’abord sur l’intérêt de ces solutions.
« Cette stratégie “cloud de confiance” aurait dû être un compagnon de croissance de l’industrie française », explique à EURACTIV Thomas Fauré, PDG de Whaller, une entreprise française éditrice de logiciels et de solutions collaboratives en ligne, ajoutant que les offres de Bleu et de S3NS n’ont « rien de souverain parce que les briques et la stratégie industrielle qui sont derrière ne sont ni françaises ni européennes ».
Dans une tribune publiée la semaine dernière, les patrons de Scaleway, OVHcloud et de Clever Cloud, champions du cloud en France, rappellent que le pays dénombre déjà de nombreuses pépites dans l’industrie, qui font preuve d’innovation, de transparence et qui mettent « la réversibilité, l’interopérabilité, l’open source au centre de leur stratégie » tout en étant déjà par défaut imperméable à l’extra-territorialité des lois étrangères.
« Le cloud à la française n’a donc pas besoin d’être réinventé : il existe déjà ! », concluent-ils.
« Cloud. De confiance. »
Au-delà du seul intérêt à se tourner vers ces solutions franco-américaines, les entreprises françaises pointent du doigt la stratégie marketing de ces partenariats, promouvant leurs offres sur la base du label « cloud de confiance », loin d’être encore obtenu.
« On peut avoir de grandes interrogations sur l’accès à ces technologies américaines par la société française qui va les héberger » tant que ces offres ne donneront pas accès au code source qui permettrait de vérifier qu’il n’y a pas de backdoors, souligne M. Fauré. Sans compter que des salariés de Google ou Microsoft pourraient potentiellement être amenés à travailler au sein des centres de données installés en Europe, précise-t-il.
Ces questions et défis en suspens n’empêchent pas S3NS ou Bleu de parier sur l’obtention future de la certification, et d’en faire un élément marketing. « S3NS proposera dès le deuxième semestre 2024 son offre de Cloud de confiance », annonce par exemple Thalès.
« Nous respectons l’ensemble des règles exigées par l’ANSSI » et offrirons le plus haut niveau de protection contre le Cloud Act certifié par le label SecNumCloud », a déclaré le directeur général adjoint chez Thales, en charge des systèmes d’information et de communication sécurisés, Marc Darmon, à La Tribune vendredi (1er juillet).
Une promesse que certains jugent précipitée, voire trompeuse.
« Ce qu’il faut retenir, ce n’est pas seulement s’ils seront capables de se qualifier dans deux ans ou non, mais plutôt leur stratégie commerciale », souligne M. Fauré. « En lançant cette offre, S3NS explique à ses futurs clients qu’en choisissant dès maintenant son offre, ils seront sur un chemin qui leur permettra d’aller vers le cloud de confiance », ajoute-t-il, déplorant que ce partenariat « profite de cet espace de deux ans pour imposer des solutions qui ne seront peut-être jamais qualifiées ».
Sur la page d’accueil de S3NS, on peut même lire « Cloud. De confiance. Pour la France. », ce que le patron de Whaller estime être un détournement malhonnête et illégitime de l’expression consacrée de « cloud de confiance ».
« Ça reste du marketing agressif, c’est quand même gonflé », dénonce-t-il.
Une inquiétude partagée par le député de la majorité présidentielle, Philippe Latombe. Dans un courrier adressé mardi (5 juin) à la CNIL et à l’ANSSI et consulté par EURACTIV, il demande aux deux autorités de se pencher sur cette « tentative d’enfumage » et de « tirer les conséquences » de l’analyse juridique qui devrait en découler.
« L’utilisation faite ici de l’expression “Le Cloud de confiance” pose le risque d’induire sur acheteurs en erreur sur le caractère exclusif de cette offre eu égard au “label Cloud de confiance” », écrit-il, invitant plus généralement ses destinataires à la plus grande prudence quant aux promesses faites dans le cadre de S3NS et Bleu.
Contacté par EURACTIV, Thalès se défend de toute tentative de duperie et rappelle que, si l’offre qu’il propose actuellement (« Contrôles locaux avec S3NS ») ne dispose pas du label, elle vise toujours un « cloud de confiance » à l’horizon 2024.
« On n’est pas aux États-Unis et on n’est pas en train de jouer avec les règles. Quand il y a une confusion dans l’esprit des utilisateurs, ça se sanctionne », explique M. Latombe à EURACTIV.
Thalès n’a pas répondu aux sollicitations d’EURACTIV à l’heure de la publication de cet article.
