Face à la dépendance aux géants américains, le gouvernement relance le chantier du "cloud souverain"

Le constat est posé d'emblée : "La France, comme l’Europe, sont aujourd’hui dépendantes (...) de fournisseurs de cloud qui captent 70 à 80% du marché européen", a alerté Clara Chappaz, ministre déléguée chargée de l'intelligence artificielle et du numérique, à l'occasion d'une soirée dédiée à la souveraineté technologique. Un thème relancé par les dernières décisions de l'administration Trump en matière de droits de douane. 

Les hyperscales largement en tête 

Amazon Web Services (AWS), suivi par Google Cloud Platform (GCP), puis Microsoft Azure, captent l'essentiel du marché européen. Les fournisseurs tricolores sont très loin derrière et n'arrivent pas, pour l'instant, à rattraper ce retard. Or, ce retard a de véritables conséquences pour les industriels, à en croire Patrick Pouyanné, PDG de Total, qui expliquait être confronté à un dilemme forcé entre hyperscalers américains, au point d'héberger les données sensibles on-premise. 

Face à ce constat et pour tenter à nouveau de relancer une dynamique, le gouvernement a décidé de relancer le chantier du "cloud souverain" par le biais de trois mesures. La première est le lancement d'un énième appel à projets, dans le cadre du plan d'investissement France 2030, visant à soutenir l'émergence de solutions européennes compétitives. Son montant n'a pas été annoncé. 

La deuxième mesure est le lancement d’une mission de préfiguration d’un Observatoire de la souveraineté numérique, confiée au Conseil général de l’Économie, avec l’objectif de cartographier les dépendances technologiques de la France. Enfin, la troisième est la mobilisation du Comité stratégique de filière (CSF) "Logiciels et Solutions Numériques de confiance" pour développer le recours aux solutions françaises et européennes. Le CSF devrait officiellement être lancé le 22 avril prochain, d'après nos informations. Il devra notamment se pencher sur la définition des données considérées comme étant "sensibles". 

Des stratégies qui se suivent et se ressemblent

Il reste à voir si cette stratégie sera plus efficace que les précédentes. En mai 2021, Bruno Le Maire, ministre de l'économie, avait annoncé la création d'un label "cloud de confiance" pour que les entités du secteur public et privé, ainsi que les particuliers, puissent bénéficier "des meilleurs services cloud mondiaux". Il reposait sur le visa de sécurité "SecNumCloud", délivré par l'Agence nationale de la sécurité des systèmes d'information (Anssi), qui atteste d'une offre d'hébergement remplissant les plus hauts standards en matière de sécurisation des données. Or, ce label n'avait jamais réellement vu le jour. 

En mars 2024, Marina Ferrari, l'ancienne secrétaire d'Etat au Numérique, avait présenté une nouvelle stratégie avec la sélection de 29 nouveaux lauréats de l'accompagnement "SecNumCloud". Il s'agit d'un dispositif d'accompagnement pour les petites et moyennes entreprises (PME) qui souhaitent commercialiser une offre "SecNumCloud" sous deux ans ciblant un marché pour les clients qui ont besoin de recourir à des offres qualifiées.

Stimuler la demande d'offres sécurisées

Développer des offres sécurisées, c'est bien. Mais encore faut-il qu'il y ait de la demande. C'était l'objectif de la doctrine "Cloud au centre" dont les principales mesures ont été intégrées dans la loi visant à sécuriser et réguler l'espace numérique (SREN). Lorsqu'il s'agit de données sensibles, les entités publiques doivent obligatoirement faire appel à une offre d'hébergement respectant certains critères de localisation et de sécurisation (le visa SecNumCloud n'est jamais cité directement). Un texte d'application doit encore les préciser. 

En revanche, du côté du secteur privé, le gouvernement se refuse à obliger les entreprises françaises à choisir des solutions uniquement françaises ou européennes. "Il ne sera jamais question de forcer", avait indiqué Clara Chappaz, lors du Forum InCyber de Lille. "En France, pour protéger les données de nos citoyens, nous soutenons cette idée de créer un marché où une partie des offres propose un haut niveau de protection", avait-elle ajouté, révélant que les fournisseurs de cloud reçoivent eux-mêmes de plus en plus de demandes pour des offres ultra-sécurisées.

Au-delà des enjeux purement économiques, rappelons qu'en recourant à un fournisseur américain, les entreprises prennent le risque que leurs données soient analysées par les autorités de surveillance américaines. En effet, le CLOUD Act leur permet, sous certaines conditions, d'exiger une telle mesure et ce, quelle que soit la localisation du serveur. C'est ce mécanisme qui avait justifié la fin du Privacy Shield, le texte facilitant les flux de données entre l'Union européenne et les Etats-Unis, remplacé depuis par le Data Privacy Framework. 

La course à la qualification SecNumCloud : qui sera le grand gagnant ?

Pour se différencier des hyperscalers américains, une grande partie des acteurs français s'est lancée dans la qualification SecNumCloud. Cette dernière ouvre la voie à un petit marché qui grandit à mesure que les données stratégiques prennent de l'importance. Ne voulant pas passer à côté de cette opportunité, Google et Microsoft ont tissé des partenariats, l'un avec Thales et l'autre avec Orange et Capgemini, pour proposer des offres qualifiées. Il reste à voir si les acteurs français réussiront à pleinement capitaliser sur cette opportunité avant que les alliances des hyperscalers n’en captent toute la valeur.