Dans la bataille du cloud dit "souverain", chacun tente de tirer son épingle du jeu. A mesure que la masse de données jugées sensibles augmente, les entreprises voient dans ce marché une nouvelle opportunité, en particulier pour accéder aux marchés publics comme l'hébergement du Health Data Hub. Certains choisissent de se rassembler, à l'image de Thales et Google qui ont lancé S3NS et espèrent désormais obtenir le visa de sécurité "SecNumCloud" délivré par l'Agence nationale de la sécurité des systèmes d'information (Anssi). Orange et Capgemini ont pris cette voie en lançant "Bleu" en mai 2021 pour proposer les solutions de Microsoft au sein d'un "cloud de confiance". L'Usine Digitale a pu échanger avec son CEO, Jean Coumaros.
L'Usine Digitale : Pourriez-vous présenter Bleu en quelques mots ?
Jean Coumaros, CEO de Bleu : C'est un nouvel acteur du cloud qui a été fondé et est détenu par deux actionnaires, leaders français du numérique, Orange et Capgemini, à égalité. Il développe un cloud de confiance qui vise la qualification SecNumCloud 3.2 [la dernière version du visa de sécurité, ndlr]. Son autre particularité est qu'il rendra disponibles dans un environnement de confiance les solutions de Microsoft et d'autres ; mais Microsoft en priorité. Il s'agit de Microsoft Azure, le cloud applicatif de Microsoft, et de Microsoft 365, la suite collaborative et de productivité.
L'Usine Digitale : Bleu est donc le nom de la co-entreprise et des offres. Pensez-vous renommer ces dernières dans un souci de clarté ?
Jean Coumaros : En effet, Bleu désigne l'entreprise et la plateforme. Je ne pense pas que nous allons renommer les produits Microsoft. Aujourd'hui, nous disons : Bleu Azure pour le cloud et Bleu 365 pour la suite logicielle. Mais il faudra trouver un moyen d'être plus clair sur le fait que c'est un environnement Bleu.
A quels clients s'adressent Bleu ?
Il y a beaucoup de clients cibles : toute la sphère de l'Etat (les ministères, l'Administration), toutes les collectivités territoriales (les mairies, les départements, les régions) et le monde de la santé (CHU, ARS, établissements de santé). Ce qui représente des milliers d'acteurs. Côté privé, nous visons les 300 OIV [opérateurs d'importance vitale, ndlr] et les 800 OSE [opérateurs de services essentiels, ndlr].
Quels ont été les retours de ces cibles pour le moment ?
Nous n'avons pas parlé avec tous ces gens mais avec beaucoup d'entre eux. Je dirais que l'intérêt est fort. Il y a ceux qui sont intéressés au point qu'ils commencent à se préparer à migrer, ce qui représente une dizaine d'entités avec des grosses entreprises de CAC 40, quelques collectivités territoriales et des ministères. Il y a ceux qui ont exprimé un intérêt mais qui sont encore au stade de la curiosité, cela représente une cinquantaine d'entités. Puis, il y en a une centaine qui a exprimé un intérêt sans passer le cap.
Vous parlez de la sphère étatique. Etes-vous intéressés par l'hébergement du Health Data Hub ? Pensez-vous que le gouvernement pourrait choisir Bleu ou préférerait-il écarter les solutions de Microsoft étant donné la polémique autour du stockage de cette base de données de santé ?
D'abord, la décision ne m'appartient pas. Dieu merci. Si le Health Data Hub choisissait tout ou en partie des solutions Bleu, l'avantage serait de recourir à des technologies familières. Mais Microsoft serait bien sorti de la boucle. En effet, il paraît impossible que la base reste sur le cloud public de Microsoft. C'est déjà un miracle qu'il y soit resté aussi longtemps à vrai dire.
Mais concrètement, candidatez-vous à la succession de l'entreprise américaine sur ce dossier ?
Nous n'avons pas été consultés pour l'instant. Si nous le sommes, nous le ferons évidemment dès que nous estimerons que nous sommes capables de répondre aux demandes. Moi, de ce que j'ai compris de l'affaire EMC2[entrepôt de données opéré par le Health Data Hub à la demande de l'Agence européenne des médicaments dont l'hébergement a été attribué à Microsoft Azure, ndlr], c'est que la commission ministérielle était arrivée à la conclusion qu'aucune des offres alternatives ne répondaient ni techniquement ni fonctionnellement aux besoins du Health Data Hub. Si d'ici-là, des gens se mettent à niveau et deviennent des candidats crédibles...
Aujourd'hui, de combien de personnes se compose Bleu ?
Aujourd'hui, ils sont 50 répartis de la façon suivante : une dizaine dans le support (administratif, finance, RH), une dizaine dans le commercial et le marketing et le gros des troupes travaille dans la technologie et les opérations. Ce sont des personnes qui ont vocation à être mis à niveau par Microsoft pour gérer la plateforme de manière autonome. L'idée est que nous soyons plus de 100 à la fin de l'année, donc nous avons un énorme plan de recrutement. Au moment où nous deviendrons autonomes de Microsoft pour opérer la plateforme, nous serons plutôt entre 120 et 140.
Si je comprends bien, Microsoft n'a aucun lien juridique avec Bleu ?
Si vous voulez dire capitalistiquement, non il n'y a aucun lien. Microsoft ne joue aucun rôle dans la gouvernance de Bleu. Ils ne sont pas au conseil d'administration. En fait, il y a un contrat de partenariat entre Bleu et Microsoft. Dans ses 150 pages, il décrit précisément les droits et les devoirs de chacun des deux partenaires.
Pourquoi ne pas avoir intégré Microsoft au capital ?
Soyons clairs, nous ne voulions surtout pas que Microsoft soit actionnaire de la structure parce que nous pensons que cela créerait une confusion pour les clients. Si vous dites que vous êtes avec Microsoft mais de manière étanche et autonome de Microsoft et qu'en même temps, ils siègent au conseil d'administration, c'est peut-être plus difficile de convaincre les clients. Il n'en reste pas moins que c'est un partenaire stratégique très important.
Pour rappel, ce que prévoit SecNumCloud, c'est qu'il est possible d'avoir un actionnaire non européen jusqu'à 24% du capital. Quelque part, nous avons sur-transposé ces exigences. Bien sûr, S3NS [co-entreprise entre Google et Thales] est parfaitement conforme aux exigences SecNumCloud. Mais nous, nous n'avons pas souhaité faire une co-entreprise avec Microsoft pour des raisons de clarté.
Microsoft s'en contente ?
Pour tout vous dire, je n'ai pas fait partie de ces discussions. Donc je ne peux vous dire. Je pense que Microsoft a bien compris que cela aurait brouillé le message s'il avait été au capital.
Vous avez donc pour objectif d'être qualifié SecNumCloud qui, pour rappel, est un label délivré par l'Anssi qui atteste du plus haut niveau de sécurisation et de robustesse dans l'hébergement des données. Il est destiné aux données particulièrement sensibles. La procédure se compose de plusieurs étapes, dont le jalon préalable, le "J0", qui désigne la validation du dossier de candidature. Où en êtes-vous exactement dans ce processus ?
Nous n'avons pas encore déposé le dossier auprès de l'Anssi. Nous visons le quatrième trimestre 2024. Pour l'obtention de la qualification, nous visons le deuxième semestre 2025, si possible au début. Nous sommes en échange quasi permanent avec l'Anssi depuis maintenant 18 mois. Il n'y a rien que nous concevons ou développons sans leur avoir montré avant. Nous leur montrons notre copie, ils font des remarques, et en fonction nous revoyons notre copie. Une fois qu'ils nous disent que cela semble tenir la rampe, nous avançons. Une fois que vous êtes au J0, ce que je viens de vous dire là, vous ne pouvez plus le faire. Nous essayons donc de tirer un maximum de bénéfices de cette interaction libre avec l'Anssi.
Entre-temps, est-ce que Bleu propose une offre "transitoire" comme S3NS avec "Contrôles locaux" ?
L'objectif est d'avoir les premiers services qui arrivent fin 2024 qui ne seront donc pas SecNumCloud. Il serait impossible d'être qualifié à ce moment là car l'Anssi veut voir les services en mode production avec les vrais workloads de clients. Les services s'enrichissent sur tout le premier semestre 2025 et nous avons la complétude de nos services de lancement mi-2025. Durant cette période, nous commençons à offrir ces services en mode "non SecNumCloud", c'est-à-dire qu'il ne faut pas que nos clients y mettent des données sensibles. Ainsi, l'Anssi pourra faire son audit sur pièces. Le moment venu, on l'espère, ils nous octroient la qualification.
Est-ce que les services de Microsoft distribués par Bleu vont coûter plus chers que lorsque Microsoft les distribue lui-même ?
Oui. Je vous fais une réponse un peu générale. L'idée est que l'on soit 10% à 15% plus cher que les services équivalents offerts par Microsoft dans son cloud. C'est un ordre de grandeur. Cela dépendra des offres, des situations, des remises commerciales...
Comment sera rémunéré Microsoft ?
C'est Bleu qui contracte avec les clients, qui fixe le tarif et encaisse l'agent. Autrement dit, si vous êtes clients, vous ne parlez qu'à Bleu. Nous payons des royalties à Microsoft qui se calculent en pourcentage du revenu fait avec nos clients. Ils varient en fonction des produits et du temps.
En pratique, que doit faire Microsoft pour que ses services puissent être proposés dans un cloud qualifié ?
Ils ont un énorme boulot car leurs solutions Azure et 365 ont été conçues pour tourner sur leur cloud, opérées par leurs équipes, dans leurs régions... Ils ont un gros travail d'engineering en amont à faire pour rendre ces solutions opérables par un tiers de confiance de manière autonome et étanche de leur stack technologique. Ainsi, il faut qu'ils les détricotent chacun de leurs services et micro-services. Ce travail est en cours.
Est-ce la première fois que Microsoft effectue ce travail ?
Oui et non. Ils l'ont fait une première fois pour l'Etat fédéral américain, en particulier le Department of Defense [ministère des Armées, ndlr] qui voulait bénéficier des solutions de Microsoft mais à sa main, dans un environnement complètement déconnecté. Avec une petite différence : cela tournait en cercle fermé, en intranet. Là, c'est un peu le même travail de détricotage mais nous sommes dans le monde ouvert d'Internet.
Une fois l'offre disponible, où seront hébergées les données des clients de Bleu ?
Nous commençons avec deux data centers : un en région parisienne et un dans le sud de la France, qui viennent se compléter de deux autres data centers qui seront en région parisienne. Les deux premiers existent déjà. Nous avons déjà posé 10 000 serveurs dessus. Ce qui reste à faire est de poser les services, la couche logicielle.
Distribuer des solutions américaines par le biais d'un acteur souverain soulève de nombreuses problématiques. Par exemple, si un client de Bleu rencontre un problème auquel Bleu ne sait pas répondre, comment faire appel à Microsoft sans qu'il ne puisse accéder aux données des clients ?
D'abord, nous allons essayer de faire en sorte que cela se produise aussi rarement que possible. Le service client de niveau 1 et de niveau 2 est censé être traité totalement par Bleu de manière autonome. Ensuite, nous avons prévu le cas des situations de service client de niveau 3 qui ont trait généralement à la plateforme elle-même où les équipes de Bleu ne sont pas en capacité de résoudre le problème seules.
Il y a un protocole assez précis qui a été décrit et qui devra être visé par l'Anssi. Il prévoit que les équipes de Bleu puissent faire appel à des équipes de Microsoft pour se faire appuyer dans la résolution des problèmes. Voici ce qui fait que cela reste néanmoins SecNumCloud : ceci se fait sous escorte physique ou virtuelle permanente de quelqu'un de Bleu, chaque geste est enregistré, tracé et suivi. Jamais une personne de Microsoft ne peut avoir accès aux données des clients qui sont anonymisées et cryptées.
Quelle(s) technologie(s) de chiffrement est utilisée et qui détient la clé ?
C'est crypté par différentes technologies auxquelles Microsoft n'a évidemment pas accès.
Concernant votre calendrier, vous êtes en retard vis-à-vis de S3NS qui prévoit de recevoir le visa de sécurité au quatrième trimestre 2024. Si l'Anssi accepte de qualifier cette première offre hybride, serait-ce un signal positif pour vous ?
A vrai dire, je n'ai pas tellement de doute sur le fait que l'Anssi qualifiera des offres hybrides dès lors qu'elles répondent aux exigences. Donc, si S3NS est qualifié, oui vous avez raison, ça sera plutôt quand même une réassurance mais cela voudra quand même dire qu'ils sont avant nous. Cependant, quelques mois d'écarts ne seront pas catastrophiques.
Certaines entreprises françaises disposant ou candidatant au visa de sécurité critiquent les offres dites hybrides. Que leur répondez-vous ?
Je pense qu'il y a de la place pour toute une palette d'offres sur le marché avec des services différents, des pricings différents... Je suis favorable à la concurrence. Je pense que le client, le marché, l'Etat, la French Tech... tout le monde gagne à cette sorte d'émulation concurrentielle qui est en train de se créer. Je pense que si j'étais l'un des acteurs que vous citez, je passerais plus de temps à travailler sur mon offre et ma technologie plutôt que de me poser la question de ce que font les autres.
Autre sujet de discorde : le schéma européen de certification cloud (European Certification Scheme for Cloud Services, EUCS). La France fait cavalière seule en souhaitant aligner l'EUCS sur le visa SecNumCloud avec des critères d'immunité aux lois extra-territoriales. Qu'en pensez-vous ?
Je préférerais que le schéma EUCS final ressemble à SecNumCloud 3.2, à savoir qu'il intègre des critères d'immunité aux lois non européennes à portée extraterritoriale et pas uniquement des critères de cybersécurité. Pourquoi ? Parce que je pense qu'il est vital pour l'Europe de se prémunir contre les lois extraterritoriales. Mais quand bien même l'EUCS n'intégrerait pas de critère d'immunité, je pense que c'est un sujet bien trop important pour la France pour qu'elle ne trouve pas un moyen au niveau local d'appliquer des critères, non pas contraires, mais complémentaires à l'EUCS.
Ce qui provoquerait donc une fragmentation du marché européen...
Oui, c'est vrai. C'est d'ailleurs l'un des arguments de la France : si vous excluez l'immunité, chacun va devoir légiférer localement sur l'immunité. Il y a même un recours juridique qui a été déposé sur ce sujet. C'est donc à l'étude. De mon côté, les clients auxquels j'ai parlé, publics comme privés, estiment que l'immunité est importante.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
