État des lieux et enjeux du cloud souverain ou “de confiance”

Le cloud computing, c’est-à-dire l’exploitation de la puissance de calcul ou de stockage de serveurs informatiques distants, loués à la demande, par l’intermédiaire d’un réseau, pose pour les États, les utilisateurs et les industriels la question de la confiance que l’on accorde aux hébergeurs de ces données, localisés le plus souvent hors des frontières françaises et européennes.

L’essentiel du marché du cloud computing (plus de 60%) est aujourd’hui capté par trois acteurs américains : Amazon (AWS), Microsoft (Azure) et Google (Google Cloud Platform)

L’ambition française d’un cloud souverain s’est concrétisée en 2011 avec le “projet Andromède” qui a vu la création de Numergy (porté par Bull et SFR) et Cloudwatt (Thales et Orange) dans lesquels l’Etat français a injecté 150 millions d’euros. Mais ces deux clouds ont été des échecs commerciaux et ils ont disparu trois ans plus tard. L’urgence de créer une offre indépendante et souveraine s’est accentuée en mars 2018 avec le “Cloud Act”. Cette loi fédérale américaine étend la portée géographique des demandes éventuelles du gouvernement américain à pouvoir accéder aux données stockées dans des datacenters appartenant à des sociétés d’origine américaine. Or, l’essentiel du marché du cloud computing (plus de 60%) est aujourd’hui capté par trois acteurs américains : Amazon (AWS), Microsoft (Azure) et Google (Google Cloud Platform). La France et l’Europe (au travers du projet Gaia-X qui réunit 22 acteurs européens) tentent aujourd’hui de relancer ce projet de cloud souverain avec la signature, le 8 février 2022, d’un “projet important d’intérêt européen commun” (PIIEC). Il sera financé à hauteur de 7 milliards d’euros (l’État français mettra 670 millions d’euros) par des fonds publics et privés. Parallèlement, les pouvoirs publics français et l’ANS poussent pour que soit adopté massivement le “Cloud de confiance” un label reposant sur un ensemble de règles fixées par l’ Agence nationale de la sécurité des systèmes d’information (ANSSI) et son référentiel SecNumCloud.

Les enjeux

Sécuriser les données de santé

• La certification et l’agrément HDS

Depuis le 1er avril 2018, une nouvelle procédure de certification remplace l’agrément auparavant délivré par le Ministère de la Santé. Elle encadre l’activité d’hébergeur de données de santé (HDS) par une évaluation de conformité au regard du référentiel HDS. La loi (L.1111-8 du code de la santé publique, modifié par la loi n° 2016-41 du 26 janvier 2016) indique que “toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet.” Cette certification est délivrée par le ministère de la Santé. Le décret 2018-137 du 26 février 2018 définit la procédure de certification et organise la transition entre l’agrément et la certification. (Liste des hébergeurs agréés / Liste des hébergeurs certifiés).

• Le label « Cloud de Confiance »

Le 17 mai 2021, Bruno Lemaire, ministre de l’Economie et des Finances et Cédric O, secrétaire d’État chargé du Numérique, ont annoncé la création d’un nouveau label “Cloud de Confiance”. Pour détenir ce nouveau label, les infrastructures et les systèmes devront être localisés en Europe, et l’offre commerciale et opérationnelle assurée par une entité européenne détenue par des acteurs européens. La démarche vise directement le Cloud Act.

Contrer le Cloud Act

Derrière les craintes des acteurs français et européens, se trouve le Cloud Act (acronyme de « Clarifying Lawful Overseas Use of Data Act »). Cette loi fédérale américaine promulguée en mars 2018 étend la portée géographique des demandes éventuelles du gouvernement américain à pouvoir accéder aux données stockées dans des datacenters appartenant à des sociétés d’origine américaine. Dès lors, il devient juridiquement possible pour le gouvernement américain de demander l’accès à des serveurs Microsoft, Amazon ou Google, basés en France. Le RGPD précise cependant que les fournisseurs de services qui souhaitent divulguer des données personnelles en dehors de l’UE sont tenus de demander l’autorisation à leurs clients (article 44 à 49 du RGPD). Le périmètre juridique des potentielles demandes d’accès américaines est toutefois suffisamment large (de l’enquête criminelle à la très floue “menace à l’ordre public”) pour inquiéter les acteurs européens.

Le cas du Health Data Hub

De nombreuses critiques ont été formulées lorsque le Health Data Hub a fait le choix de Microsoft Azure pour héberger ses données. Même si le HDH s’est maintes fois défendu sur cette question, arguant que, même dans le cas peu probable de fuite des données, ces dernières sont anonymisées, les critiques perdurent. Le ministre de la Santé Olivier Véran s’est engagé en novembre 2020 auprès de la CNIL à mettre un terme au contrat entre le HDH et Microsoft Azure…

Des clouds franco-américains, une solution ?

Le 27 mai 2021, Orange et Capgemini annonçaient la création de la société “Bleu” fournisseur français de services cloud “de confiance”, s’appuyant sur les briques techniques de Microsoft Azure. Thalès et Google ont également annoncé le 6 octobre 2021 un partenariat stratégique pour développer un cloud souverain dit “de confiance”. Dans les deux cas, l’objectif est de s’appuyer sur la puissance des grands clouds publics américains, tout en gardant le contrôle sur les infrastructures informatiques, hébergées en France. Ces co-entreprises seront de droit français, pour éviter l’espionnage, respecter le RGPD, et lutter contre les menaces que représentent le Cloud Act américain et le Privacy Shield.

Les chiffres clés

• Selon Gartner, en 2022, “plus de 1 300 milliards de dollars de dépenses informatiques des entreprises sont en jeu du fait du passage au cloud, et ce chiffre passera à près de 1 800 milliards de dollars en 2025”. Logiciels applicatifs, logiciels d’infrastructure, outils business, systèmes d’infrastructure… Quel que soit le segment de marché observé, les dépenses IT cloud seront supérieures aux dépenses IT traditionnelles dans les années à venir. Toujours selon Gartner, d’ici 2025, 51% des dépenses IT dans chacune de ces catégories auront basculé à l’avantage du cloud public, contre 41% en 2022.

• Selon les estimations de Canalys, les dépenses mondiales en services Cloud ont atteint 53,3 Mds $ pour le dernier trimestre 2021, un record. Ces dépenses ont progressé en 34% par rapport au dernier trimestre 2020.

• Les 3 leaders du marché absorbent 64% des dépenses en services cloud des entreprises. AWS détient toujours 33% du marché mondial, Azure 22% et Google Cloud 9% sur le dernier trimestre 2021. Au total, les organisations – à l’échelon mondial – ont dépensé 191,7 milliards de dollars en 2021, toujours selon Canalys.

• Le cloud en Europe pèse environ 53 milliards d’euros, soit un cinquième du marché mondial (estimation 2020 de Global Strategy Group, l’entité de conseil en stratégie de KPMG qui s’est notamment appuyée sur des données d’IDC). Sur les 53 milliards d’euros en question, 61 % seraient issus du SaaS ; 16 % du PaaS ; 24 % du IaaS.

• En France, le secteur public va accroître son utilisation du cloud de 18 % par an d’ici 2025 (Markess).

• Le marché du cloud en France, jusque-là fortement porté par les grands comptes, va profiter de l’adoption croissante du cloud par les entreprises de taille intermédiaire et les PME/PMI, qui représenteront 55 % du marché en 2025 (Markess).

• 38 % des DSI, au niveau mondial, avaient prévu d’augmenter leurs investissements dans le cloud en 2021, 45 % de les maintenir au même niveau et 15 % de les réduire (Source : Aruba/ 2020).