Uit de wolk, geen redding? “Zonder de cloud is er geen zelfrijdende auto, geen geautomatiseerde productielijnen, geen robots in operatiekamers…” De strategie van de regering over dit onderwerp, die afgelopen november werd uitgewerkt, geeft prioriteit aan gedecentraliseerde computing en is gebaseerd op “cloud of trust”. Over welke kwesties van concurrentie en soevereiniteit gaat deze uitdrukking? Dit idee veroorzaakt al controverse toen minister van Economie Bruno Le Maire op maandag 12 september de oprichting aankondigde van een “sectoraal strategisch comité voor ‘vertrouwde digitale'” om een ”concurrerend Frans aanbod” op dit gebied te ontwikkelen.
Om het te begrijpen, moet je de film terugsturen. In 2013 onthulde de Prism-zaak dat Amerikaanse diensten vrolijk naar Amazon-, Google- en Microsoft-servers keken. Datasoevereiniteit verslechtert in het publieke debat. Als reactie daarop besloot Frankrijk twee soevereine cloud computing-projecten te steunen, medegefinancierd door de fabrikanten, Thales en Orange voor de ene, en Bull en SFR voor de andere. Helaas waren de twee pogingen binnen twee jaar slecht. In 2019 volgde een Frans-Duits initiatief genaamd Gaia-X. Maar Airbus AI verandert in een catalogus van normen. Vervolgens hebben de diensten van Bruno Le Maire bij het Ministerie van Economie en Cédric O bij het Staatssecretariaat voor Digitale Zaken geleid tot de oprichting van de Cloud of Trust. De uitdrukking “Sovereign Cloud” verschijnt pas tijdens een presidentiële campagne in het programma van Valérie Pécresse. Haar zwanenzang.
Lees ookOvereenkomst Thalès-Google: Bercy verlaat soevereine cloud om GAFAM tevreden te stellen
Sticker 250 normen
Als de definitie van een soevereine cloud vaag is, dan is de definitie van een vertrouwde cloud solide: deze wordt ondersteund door het SecNumCloud-label, een certificering uitgegeven door het National Agency for Information Systems Security. Om het te verkrijgen, moeten leveranciers voldoen aan ongeveer 250 technische en managementcriteria: locatie, bestuur, enz. Elk niveau van de “cloud” wordt afzonderlijk beoordeeld: de infrastructuur, het platform waarmee het kan worden uitgevoerd en tot slot de software waaraan het wordt toegevoegd. Al deze waarborgen dienen een tweeledig doel: het waarborgen van gegevensbeveiliging – in een tijd waarin cyberrisico’s nog nooit zo groot zijn geweest – en het voorkomen van inmenging door buitenlandse mogendheden.
“Met de volgende richtlijnen over cybersecurity zal het aantal organisaties van vitaal belang, die onderworpen zijn aan strenge veiligheidseisen, toenemen”, bevestigt de gedeputeerde van het Ministerie van Defensie, Philippe Latumbi.
Gelicentieerde projecten
Daarom is dit label geen merk gemaakt in Frankrijk. verre van. Het credo van het land werd nauwelijks onthuld, Microsoft en Google, twee van de drie Amerikaanse reuzen met de bijnaam de marktsupersterren, kwamen in de dans. Ze garanderen de druk van CAC 40-spelers die zich niet kunnen voorstellen om zonder hun diensten te werken. Cédric O speelt de nuttige idioten, terwijl hij een industrieel decodeert, “die er persoonlijk van overtuigd is dat de cloud alleen in de Amerikaanse versie bestaat.”
De truc die de handschoen vond? Een Franse industriële partner inhuren als Trojaans paard om het beroemde merk te winnen. Eind mei 2021 richtte Microsoft samen met Orange en Capgemini de joint venture Bleu op. “In een haast geïnstalleerd, om Health Data Hub te redden”, gezondheidsdataplatform, gedecodeerd door Philip Latumbe. Een tweede joint venture, S3ns genaamd, verenigt Google en Thales. In deze gelicentieerde projecten zijn de Franse spelers slechts distributeurs. Geen twijfel over technologieoverdracht.
“Het is een Amerikaanse auto die blauw, wit en rood is geverfd en geparkeerd staat op een Franse parkeerplaats”, zegt Michel Paulin, algemeen directeur van het Franse bedrijf OVHcloud. “Was de Soeverein!” Squeaky Yan Lichel, CEO van Scaleway, een dochteronderneming van Iliad. Deze shows zijn luid gepromoot, deze shows zijn momenteel alleen op papier. Onder voorbehoud van goedkeuring, zal het niet vóór 2024 beschikbaar zijn.
“Vanuit het oogpunt van onze Franse klanten is dit een stap voorwaarts. Als we niets doen, gaan ze rechtstreeks naar Gafam, zonder garantie van hun gegevens”, verdedigt Marc Darmon, adjunct-directeur-generaal van Thales, verantwoordelijk voor systemen. Informatie en beveiligde communicatie. Onze concurrenten zijn geen Franse spelers, maar Amerikaanse reuzen”. Hij herinnert zich dat Thales zijn meest gevoelige klanten een “geheime verdediging”-aanbieding aanbiedt.
Tot nu toe is het SecNumCloud-label alleen toegekend aan Franse serviceproviders: 3DS Outscale, een dochteronderneming van Dassault, in december 2019; Toen OVH, in januari 2021. Inspanningen die niet echt vruchten afwierpen: verre van het helpen van de driekleurensector, werd het gediend door de Cloud of Trust-doctrine. “De dag dat de regering het aankondigde, stonden we op het punt te tekenen met twee grote groepen, waaronder de EDF”, zegt Thomas Fury, oprichter van Whaller, de software-uitgever die op zoek was naar het SecNumCloud-label. Onze interviewers maakten een einde aan de discussies die ons uitlegden dat ze op Microsoft Project zaten te wachten.
Onder hen waren nuances (alias AWS Amazon, Google Cloud en Microsoft Azure) goed voor 80% van de marktgroei, of € 400 miljoen aan nieuwe business, in de eerste helft, volgens Markess.
juridische dubbelzinnigheid
Erger nog, de verwrongen Frans-Amerikaanse regeling heeft zijn ware doel gemist: het blijft een onvolmaakte dekmantel tegen aanvallen aan de territoriale grens. “We blijven in juridische onzekerheid die niemand wil zien. Shrimus II uitspraak [une décision de la Cour de Justice de l’Union européenne qui invalide les transferts de données] Nog steeds nauw verwant”, zegt Philip Latumbe. De locatie van de servers in Europa en de wettelijke regeling van de structuren beperken zeker de risico’s, verzekert Brunessen Bertrand, hoogleraar aan de Universiteit van Rennes 1. Maar dat zal afhangen van de evaluatierechters in de Verenigde Staten. Ook bestaat het risico van onderschepping door buitenlandse inlichtingendiensten. “De Franse spelers eisen daarom dat de SecNumCloud-standaard wordt versterkt door wettelijke vereisten, met name naleving van de Algemene Verordening Gegevensbescherming (AVG).
Kan vertrouwen in wezen worden gescheiden van industriële soevereiniteit? Zullen overheidsopdrachten eindelijk nationale spelers ondersteunen? Ze willen het geloven. Ze vertrouwen ook op de arm van justitie om op gelijke voet te spelen met de cultivatiebeoefenaars die als bulldozers oprukken. Autorité de la concurrence onderzoekt een reeks oneerlijke praktijken: gratis kredieten voor start-ups, pooling en exorbitante kosten bij een wijziging. genoeg om tastbaar vertrouwen van de kant van hun klanten te verzekeren.
Amazon onderscheidt zich. In tegenstelling tot Google en Microsoft heeft AWS, een dochteronderneming van Amazon, niet getekend met een Franse maker om zijn technologie te franchisen en zijn aanbod in een “vertrouwde” versie aan te bieden. Met 46% van het marktaandeel in Frankrijk behaalde de Amerikaanse gigant een overweldigende dominantie, gevolgd door Microsoft (17%) en Google (8%). De gigant uit Seattle heeft de markt van vitale operators en Franse overheden dus niet nodig om zich in een duurzaam tempo te blijven ontwikkelen: zijn omzet steeg in 2021 met 37%. Tot ieders verbazing vertrouwde de SNCF hem al zijn gegevens toe in december 2021 zag zijn concurrenten als een kans om er marktaandeel van te stelen. Bovendien werkt AWS een beetje zoals Apple, legt een branche-expert uit. Hij is niet gewend om partnerships aan te gaan en geeft er de voorkeur aan om volledige controle over zijn technologie te hebben. Waarom beperkingen opleggen terwijl de markt gigantisch blijft?