L'Usine Digitale : Vous avez annoncé le lancement en juin 2023 de votre offre "EU Sovereign Cloud" (EUSC), une solution de cloud dit "souverain" qui opère de façon complètement indépendante de votre cloud public. Pourquoi Oracle s'intéresse-t-il à ce marché ?
Damien Rilliard, senior director au sein d'Oracle EMEA Sovereignty Lead : Nous avons commencé à travailler sur cette solution il y a 3-4 ans. Comme vous le savez, Oracle est le dernier hyperscaler arrivé sur le marché et nous avons aujourd'hui la capacité de déployer un cloud entier pour nos clients. C'est quelque chose qui n'existe chez personne. Bleu [Co-entreprise entre Orange, Microsoft et Capgemini, ndlr] et S3NS [Co-entreprise entre Thales et Google, ndlr] ne proposent pas de cloud public entier : ce sont des clouds qui vont fonctionner pour faire de la conteneurisation essentiellement sur un nombre très limité de services. Nous, quand nous déployons une région comme 'sovereign cloud', nous créons un nouveau cloud entier qui fonctionne sur des régions uniquement européennes tout en délivrant à nos clients la parité en matière de services et de coûts.
Nous avons donc fait un cloud souverain car nous en avions les capacités. En parallèle, nous avons très clairement vu monter en Europe une volonté de stocker les données sur le sol européen, en particulier depuis la guerre en Ukraine. De par nos capacités d'isolation, nous avons été capables de dédier un environnement à l'Union européenne.
L'Usine Digitale : Aujourd'hui, combien de régions sont actuellement ouvertes et où se situent-elles ?
Damien Rilliard : Nous avons deux régions EUSC situées à Madrid en Espagne et à Francfort en Allemagne. Ce sont de nouvelles régions qui n'ont rien à voir avec les 15 régions préexistantes d'Oracle situées en Europe. En effet, il n'y a aucune liaison entre ces régions. Autrement dit, les deux régions appartiendraient à une autre entreprise, cela serait pareil. C'est fondamental de comprendre notre approche qui est complètement différente de celles de nos chers amis néanmoins concurrents.
UD : Oracle promet qu'aucune donnée ne peut quitter le territoire de l'Union européenne, d'où l'idée du cloud "souverain". Comment tenez-vous cet engagement ?
DR : Nous avons mis en place des contrôles qui sont à la fois organisationnels, techniques et contractuels pour pouvoir tenir notre engagement envers nos clients sur le fait que les données qu'ils nous confient ne quitteront jamais le territoire de l'Union européenne. En pratique, nous avons créé cinq entités légales européennes. D'une part, Oracle Sovereign Cloud Germany GmBH pour la région à Francfort et Oracle Sovereign Cloud SRL pour la région madrilène. Ces deux filiales possèdent 100% des assets qui permettent de créer ces clouds. A noter que ce n'est pas du tout le cas chez tous les hyperscalers. D'autre part, il y a trois filiales - en Irlande, République Tchèque et Roumanie - qui emploient en direct 100% du personnel nécessaire à 100% des opérations d'EUSC. Cela signifie qu'il n'y a personne non employée par l'une de ces cinq entités qui peut avoir accès ou avoir une action quelconque sur EUSC.
Dans notre approche, nous avons non seulement créé des assets, des équipes d'opérations dédiées mais en plus nous avons dédié les outils. Par exemple, lorsqu'un client a recours à l'outil "My Oracle Support" (MOS), il va utiliser un autre outil qui est intégré au sein de son cloud EUSC et qui n'est accessible uniquement que par les cinq entités. C'est quelque chose d'extrêmement fort. Quand on n'a pas fait l'investissement extrêmement lourd que je viens de décrire, on ne peut pas dire qu'on a des opérations européennes complètes pour le cloud.
UD : En parlant d'investissement, quelle enveloppe a été réservée au développement et au déploiement de l'EUSC ? Combien d'employés cela représente-t-il ?
DR : Nous ne communiquons pas sur ces chiffres. Maintenant, je vous laisse imaginer : il y a un investissement légal pour créer ce montage avec toutes ces entreprises. Elles ont des directeurs et des employés. Vous comprenez bien qu'il y a une certaine notion de secret autour de tout cela car c'est un investissement très conséquent que nos concurrents n'ont pas su faire et qui nous met dans une position de challengeur extrêmement forte.
UD : Pourriez-vous nous en dire davantage sur les clients de cette offre ? Sont-ils nouveaux ou est-ce des clients historiques d'Oracle ?
DR : Nous ne communiquons pas sur un nombre de clients précis. La chose à savoir c'est que cette région a un succès énorme donc elle a vraiment beaucoup intéressé nos clients. Nous avons actuellement un très grand nombre de clients qui utilise cette solution et qui sont en production sur celle-ci. Nous travaillons actuellement avec eux pour communiquer dessus. Eindhoven University of Technology, une grande université aux Pays-Bas, a été le premier client à communiquer. Ce que je peux vous dire c'est que le prochain qui communiquera officiellement sera un client dans le domaine de la santé.
Sur la typologie de clients, nous avons tous les cas de figure : des clients qui avaient des workloads Oracle on-premise qui ne pouvaient pas migrer vers le cloud pour des questions de souveraineté et de protection contre les lois extraterritoriales, des clients qui étaient sur notre cloud public et ont décidé de migrer une partie de leurs workloads sensibles ainsi que des clients qui cherchaient un cloud souverain. Par ailleurs, les verticales les plus représentées sont sans grande surprise le secteur public et gouvernemental et le domaine de la santé.
UD : Vous dites que les données ne peuvent pas quitter le territoire de l'Union européenne. Mais étant une entreprise américaine, vous êtes soumis au CLOUD Act, et plus largement à la législation américaine, non ?
DR : Ce n'est pas notre opinion. Notre analyse est la suivante : tous les contrôles organisationnels - la création des entités légales, celles qui servent aux opérations, la manière dont sont embauchés nos employés... - permettent de s'assurer que les données ne peuvent pas quitter le territoire européen. Dans nos contrats, c'est écrit noir sur blanc : 'Le service EUSC met en œuvre tout un ensemble de contrôles organisationnels, contractuels et techniques qui sont désignés pour adresser le pré-requis que your content (n'importe quelle donnée que nos clients mettent dans le cloud, comprenant toutes les informations personnelles) ne quittera les data centers d'EUSC sélectionnés par le client sans leur autorisation ou instruction spécifique. Ces contrôles sont là pour mitiger le risque qu'une entité ou un individu qui ne ferait pas partie d'une organisation d'EUSC essaye d'avoir la possession ou le contrôle de your content'. Or, dans le Stored Communications Act (SCA), la loi au-dessus du CLOUD Act, il est noté que les organisations qui peuvent être concernées par une requête "Cloud Act" doivent être en position de possession ou de contrôle des données incriminées.
Dit autrement, est-ce que la donnée qu'un client met dans ce cloud peut quitter la région européenne ? La réponse est non. C'est là où c'est extrêmement différent : si vous me demandez si Oracle est soumis au CLOUD Act, la réponse est oui. Si vous me demandez si la donnée que mettent nos clients dans EUSC pourra sortir de ce cloud du fait d'une requête CLOUD Act soumise à Oracle US, la réponse est non.
UD : Et d'un point de vue technique, qu'avez-vous mis en place pour empêcher les autorités américaines d'accéder aux données de vos clients ?
DR : Tout d'abord, nous avons mis en place des contrôles. Un administrateur d'Oracle US n'a pas la capacité technique d'accéder au cloud d'un client d'EUSC. Croyez-moi cela génère beaucoup de problèmes. En effet, quand il y a un souci à résoudre, seuls les employés des filiales européennes peuvent le faire. Mais comme ils ne peuvent pas savoir tout faire, ils peuvent demander de l'aide à leurs collègues situés en dehors de l'Union européenne mais ceux-ci n'auront jamais accès au cloud. Si le problème concerne le tenant d'un client, ce dernier est appelé par Oracle afin qu'il consente à ce que des opérateurs hors de l'Union européenne puissent intervenir. S'il refuse, nous allons reproduire son problème dans le cloud public puis des opérateurs du cloud souverain pourront reproduire la résolution.
Aussi, les données sont obligatoirement chiffrées. Pour le stockage des clés, nous avons conclu un partenariat avec Thales. Le service 'External key management' permet que les clés maîtresse ne quittent jamais le HSM de Thales.
UD: Je vais revenir quelques mois en arrière. En octobre 2023, Oracle a annoncé que la Commission européenne avait choisi ses services provoquant des réactions assez vives sur le fait qu'une organisation gouvernementale choisissait un fournisseur américain. S'agit-il de l'offre EUSC ou du cloud public d'Oracle ?
DR : Le contrat datait en réalité de mai 2023 donc l'offre de cloud souverain n'existait pas encore. Depuis, nous avons présenté de très nombreuses fois notre offre à l'Union européenne qui l'intéresse énormément. Ce contrat a commencé à être utilisé par certaines institutions européennes. Nous sommes désormais en train de retravailler pour qu'elles puissent utiliser la région souveraine.
UD : Côté français, êtes-vous intéressés par le visa de sécurité SecNumCloud délivré par l'Agence nationale de la sécurité des systèmes d'information (Anssi) ?
DR : Je dirais que nous regardons les évolutions. Jusqu'à maintenant, SecNumCloud devait être à terme remplacé par l'EUCS [Schéma européen de certificat cloud, ndlr] en 2025. Bon, maintenant que nous connaissons le contenu de l'EUCS... [La dernière version ayant fuité du schéma européen a remplacé les exigences de localisation des données au sein de l'Union européenne pour le niveau élevé par des obligations de transparence beaucoup moins fortes, ndlr]. Ainsi, s'il devait se faire que SecNumCloud reste à part, bien entendu nous réévaluerions l'importance et l'intérêt de répondre à SecNumCloud directement.
UD : N'avez-vous pas peur d'être trop en retard par rapport à vos concurrents qui disent avoir déjà commencé les démarches de certification et donc de louper des opportunités en matière d'appels d'offres publics, comme le Health Data Hub ?
DR : Evidemment, cela pourrait être un risque. Mais aujourd'hui nous avons cette capacité unique de pouvoir déployer des régions extrêmement rapidement, sans commune mesure. Quand vous voyez les délais annoncés par certains de nos compétiteurs qui veulent obtenir le SecNumCloud, nos nouvelles régions seraient disponibles avec tous nos services avant eux. Si nous voyons tout de même que cela est trop pénalisant, nos dirigeants prendront les bonnes décisions. En tout cas, je l'espère.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
