Pedro Lucas (Euris) : “Il faut remettre de la transparence dans les solutions cloud dédiées à la santé”

Nos pouvoirs publics parlent de plus en plus de “cloud de confiance”. Quelle est votre définition ?

“Cloud de confiance” est un terme marketing qui a été repris par les pouvoirs publics pour faire évoluer la notion de cloud souverain. Derrière cette notion, il y a un certain nombre de règles et d’obligations édictées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et le référentiel SecNumCloud.Mais ce référentiel ressemble un peu à un club privé, au sens où c’est un référentiel créé par un certain nombre d’acteurs, qui coûte très cher et qui a un côté intrusif. Les normes de référence dans notre secteur : ISO 27001 & HDS (Hébergement de Données de Santé) nous demandent de démontrer qu’on respecte les obligations de la norme, mais ne nous imposent pas comment le faire, contrairement à SecNumCloud. Le risque est aussi d’ajouter une norme de plus, là où l’on a déjà beaucoup de mal à faire en sorte que les établissements de santé respectent celles qui existent. Les GHT, par exemple, peuvent depuis peu être exemptés de la certification Hébergeur de données de santé (HDS). Et l’on voudrait leur imposer une exigence plus grande encore ? Il serait bon d’appliquer ce qui existe et d’arrêter de laisser certains contourner les règles, en particulier avec les clouds publics américains.

Qui contourne ces règles et comment ?

Quand le Health Data Hub (HDH) choisit comme hébergeur Microsoft Azure ou quand TousAnticovid adopte un cloud qui n’a pas les certifications exigées par la règlementation, c’est agaçant pour les acteurs qui, comme Euris, investissent depuis de nombreuses années sur la sécurité, l’innovation et les certifications pour garantir à la fois le respect du droit des patients et la protection de leurs données de santé. Les trois principaux clouds américains n’hésitent pas à contourner notre règlementation. Ils prétendent par exemple, afin d’avoir la certification HDS, pratiquer l’activité d’administration et l’exploitation du système d’information contenant les données de santé. Or, aucun ne propose ce service. Ils vont donc, de manière déloyale, sur le terrain d’acteurs français et européens du cloud, qui font réellement ce métier-là, en contribuant par leur expertise et leur respect de nombreuses obligations à garantir le droit des patients et la sécurité des clouds contenant les données de santé. Il y a un moment où le régulateur doit faire cesser ces pratiques et rétablir de la transparence.

Ce serait un moyen pour les acteurs européens et américains de jouer avec les mêmes règles… 

Oui, mais c’est aussi un enjeu de sécurité majeur. Les clouds publics sont les plus scannés par les hackers. Si vous construisez, sans le bon niveau d’exigence et d’expertise, une plateforme à partir de leurs briques techniques, la moindre faille est immédiatement exploitée et ils ne peuvent pas en être tenus responsables. N’importe quel acteur de la santé peut aujourd’hui prendre un compte chez eux et “bricoler” un cloud. C’est particulièrement inquiétant dans un secteur où l’on exploite des données sensibles.

Quel serait pour vous le principal danger ?

L’enjeu de la confiance des patients est fondamental. Si nous laissons des acteurs de la santé sans cadre de référence, cela risque, en cas de scandale autour de la sécurité, de fragiliser tout notre secteur et le développement de la santé connectée. Nous sommes actuellement en concurrence avec des “boîtes grises”, des clouds dans lesquels on ne sait pas de manière précise qui fait quoi, et surtout qui est responsable de quoi. Nos associations professionnelles travaillent avec les pouvoirs publics à renforcer la transparence et le respect de la règlementation, notamment en obligeant les plateformes de santé à indiquer de manière explicite dans leurs « mentions légales », qui est responsable de quoi. Notamment qui porte la responsabilité de chacune des 6 activités de la certification HDS. Si l’ensemble des professionnels du secteur réalise ce travail de responsabilité et de transparence, en identifiant le prestataire interne ou externe qui réalise les différentes activités garantes de la sécurité et de la protection des données des patients, cela assainira la situation. A terme, nous devrons veiller à la même transparence concernant les données de santé. Les acteurs devront indiquer d’où elles proviennent, comment a été recueilli le consentement, etc. Il faut remettre de la transparence dans les solutions cloud, pour renforcer la confiance dans le système.

En octobre dernier, Thalès a annoncé un partenariat stratégique avec Google en vue de créer une société de cloud de confiance, Orange et Capgemini entendent faire de même avec Microsoft (projet « Bleu »). Quel regard portez-vous sur ces accords ?

Le projet “Bleu” consiste par exemple à prendre “une partie d’Azure”, à la privatiser, et à gérer un cloud souverain fonctionnant avec la technologie Microsoft. Cela va dans le sens de l’Histoire. On peut toujours se poser la question du risque d’intrusion lorsqu’on utilise la technologie d’un pays étranger, mais il y a une différence entre appliquer la loi (si le gouvernement américain vient à demander de communiquer des données) et utiliser des procédés malveillants pour aller chercher de l’information. Il est tout à fait possible de prendre des briques de technologie de ces clouds publics américains et de les opérer en fournissant un certain nombre de garanties.

Vous avez donc renoncé à voir émerger un champion français ou européen du cloud ?

Je regrette que l’on n’ait pas actuellement la technologie et le savoir-faire pour faire aussi bien que les acteurs américains ou chinois. Par ailleurs, sans volonté politique et industrielle européenne,  je ne pense pas qu’une offre 100% européenne existera un jour. La stratégie adoptée par Thalès, Orange et Capgemini est une bonne solution, pour peu que ces entreprises qui vont opérer de la technologie Azure, AWS ou Google, négocient bien leurs contrats, qu’elles prévoient notamment des règles de réversibilité dès leur signature, afin de garder leur indépendance. C’est une bonne façon de rester maîtres de ces technologies, tout en permettant à des acteurs européens et français de se mettre à niveau.

A quoi ressemble l’écosystème du cloud français ?

En tant que cloud 100% dédié à la santé connectée, Euris est un acteur de niche. Nos concurrents, en tant qu’infrastructure souveraine, vont être des acteurs comme Orange. Il existe d’autres acteurs, plus généralistes comme Dassault (avec 3DS) ou OVH qui ont également une volonté de souveraineté. Enfin, vous avez ceux qui comme Orange, Thalès ou Capgemini, que nous avons évoqués, vont construire des offres avec les principaux clouds publics américains qui leur fourniront la technologie. C’est un peu l’approche que la Chine a mise en place pour autoriser les clouds publics américains en Chine continentale. Les solutions Microsoft Azure et Amazon web services (AWS) sont opérés par des sociétés chinoises.

Vous proposez également une offre dite “hybride”, comment fonctionne-t-elle ?

Nous avons capitalisé sur notre infrastructure de cloud souverain et l’avons raccordé à haut-débit avec des ressources de cloud public. Nous avons mis en conformité et fait certifier l’ensemble de la solution. Nous opérons pour nos clients cette infrastructure en leur laissant le choix de  localiser leurs données soit en “cloud souverain”, dans notre cloud privé, soit en cloud public. L’idée est de pouvoir utiliser la puissance du cloud public, mais de le faire de manière sécurisée et conforme à la règlementation. Dans cette offre hybride, les clouds publics sont nos sous-traitants, c’est nous qui portons les certifications et les contrats, qui gérons les droits d’accès et la conformité RGPD, ISO 27001 & HDS de la solution technique mise en place. Nous détenons, en tant que tiers de confiance, les clefs de chiffrement, nous assurons le chiffrement de l’ensemble des flux et des données qui sont utilisées sur les ressources de cloud public. Cela garantit la confidentialité de manière générale, mais également qu’elles ne seront pas accessibles, si le gouvernement américain venait par exemple à exiger des clouds publics américains de les lui transmettre.

Quelle pourrait être la stratégie européenne pour concurrencer les clouds d’Amazon, Microsoft ou Google ?

Il faut déjà bien reconnaître que leur technologie est impressionnante. Par contre, ces sociétés américaines sont très excessives dans leur hégémonie et leur volonté de conquête. Il faut donc absolument les réguler si l’on ne veut pas se retrouver dans la même situation qu’un Google vis-à-vis des médias, qui a concentré 40% de la publicité mondiale. A minima, nous devons donc leur demander de respecter les mêmes règles que les autres. Lorsqu’il s’agit de conserver des parts de marché, ils savent parfaitement s’adapter.

Que pensez-vous du choix du HDH en faveur de Microsoft ?

La force des clouds publics américains tient à leur marketing, qui pousse les organisations à adopter leurs standards. Lorsque le HDH s’est vu reprocher le choix de Microsoft, son discours a été de dire “je n’avais pas d’offre équivalente”. Mais il s’est probablement passé la même chose que dans l’Education nationale, où Microsoft avait d’abord distribué des licences gratuites, pour que toutes les personnes qui y travaillent se forment sous Word, Excel et Powerpoint. Il est ensuite très compliqué de revenir en arrière. Les trois grands clouds publics américains appliquent la même stratégie vis-à-vis des start-up. Nous proposons pourtant les mêmes services chez nous ou chez nos confrères. Mais encore faut-il faire l’effort d’aller vers ces prestataires français et européens.

 Pourquoi la France ou l’Europe n’a toujours pas réussi à proposer une offre concurrente ?

C’est le problème de l’œuf et de la poule… Si nous ne créons pas les conditions pour favoriser les acteurs européens et français, en protégeant un certain nombre de marchés, nous n’y arriverons pas. Les Français et Allemands ont beaucoup investi dans Airbus, à sa construction et passé leurs commandes chez cet avionneur. Ce “mécano industriel” a bien fonctionné et nous avons tout intérêt à faire rapidement pareil dans le domaine du cloud et de la gestion sécurisée de la donnée de santé.

Quel est aujourd’hui le principal enjeu pour les clouds européens ?

Aujourd’hui, Amazon, Microsoft et Google grignotent la couche basse, technique, du cloud, mais la “couche du dessus”, celle qui a la plus grande valeur, est la data. Avec les processus de machine learning, les trois géants américains travaillent activement sur ces sujets. A charge donc pour nous, gouvernements et industriels européens du secteur, d’être pragmatiques et de leur imposer d’opérer dans le respect des règles européennes.