Outscale en passe de devenir le cloud souverain que la France attendait
La filiale de Dassault Systèmes est sur le point d’obtenir la certification SecNumCloud. Elle pourrait dès lors garantir aux administrations et aux OIV l’exécution de leurs applications loin des lois américaines, ce que l’État espère depuis 2009.
L’hébergeur de cloud IaaS français Outscale a annoncé lors de ses récents Cloud Days à Paris qu’il était sur le point d’être labellisé SecNumCloud par l’Anssi. Ce certificat doit lui permettre de répondre aux appels d’offres des marchés publics.
« Obtenir cette certification va nous permettre d’être référencés comme fournisseur de cloud officiel dans les appels d’offres lancés par l’UGAP, la centrale d’achat de l’État. Elle va aussi nous permettre de travailler avec des fournisseurs du secteur public qui souhaitent aujourd’hui proposer aux administrations des applications en SaaS et qui ont besoin d’un partenaire ‘hébergeur de confiance’ qui respecte leurs engagements de souveraineté et de sécurité des données », explique au MagIT Laurent Seror, le PDG d’Outscale.
Filiale depuis 2017 de Dassault Systèmes – qui y voit le moyen technique de proposer aux industriels 3DExperience, une version en ligne de ses logiciels de modélisation – Outscale a ouvert dès 2018 un datacenter dédié au secteur public. Plusieurs de ses serveurs seraient déjà loués à des fournisseurs, à des fins de tests.
Les clients actuels sont très enthousiastes. « Nous travaillons déjà avec Outscale pour héberger notre logiciel SaaS. Il permet à des mairies et des industriels d’administrer de manière centrale des documents, des relevés IoT, des informations de maintenance pour leurs chantiers. Cette certification nous permettrait d’élargir notre activité à plus d’OIV et d’instances publiques », confie Jean-Marc Lazard, le président d’OpenDataSoft.
« L’obtention de cette certification publique par notre partenaire Outscale est certainement une chose que nous allons marqueter pour séduire de nouveaux clients », indique pour sa part Abdel Kander, le COO de ForePaas, l’éditeur d’une plateforme PaaS qui permet aux industriels de développer des services en ligne de relevés et de facturation.
L’enjeu de proposer un cloud souverain
« La question de la souveraineté n’est pas tellement liée à la nationalité du fournisseur, mais plutôt à la garantie de ne jamais être dépossédé de l’accès à ses données. »
Jean-Marc LazardPrésident d’OpenDataSoft
Surprise, parmi les prestataires qui testent cette partie d’Outscale réservée à l’administration française et aux OIV (Opérateurs d’Importance Vitale), on trouve aussi des acteurs américains, dont Symphony qui édite la messagerie sécurisée éponyme.
« La question de la souveraineté n’est pas tellement liée à la nationalité du fournisseur, mais plutôt à la garantie de ne jamais être dépossédé de l’accès à ses données. Le client doit avoir le contrôle technique et juridique de ses contenus. C’est pour cette raison que nous travaillons nous-mêmes avec des clients américains et que, dans ce cas, nous hébergeons notre SaaS sur des infrastructures de droit américain », commente Jean-Marc Lazard.
Précisons que Symphony a été fondé par un français, David Gurlé, et dispose d’un centre de développement à Sophia Antipolis. Néanmoins, son siège étant à Palo Alto, cette société est couverte par le Cloud Act. Cette loi américaine donne le droit à Washington de consulter tout document hébergé par un prestataire américain. Elle est surtout la motivation principale pour créer en France, et ailleurs en Europe, des clouds souverains.
« Dans le cloud souverain, il y a par exemple l’enjeu que les plans du prochain Airbus A321 XLR ne tombent pas dans les mains de Boeing à la faveur d’une enquête banale. Et ce n’est pas qu’un fantasme complotiste : aux USA, les juges sont élus », analyse Mathieu Poujol, en charge du pôle Security, Cloud & Infrastructure au sein du cabinet de conseil Teknowlogy Group. Selon lui, sans même parler d’un espionnage d’état, le risque que la justice américaine soit influencée par des ambitions électorales inquiète les industriels français.
Simultanément, le député Raphaël Gauvain remettait ce 26 juin un rapport intitulé « Rétablir la souveraineté de la France et de l'Europe et protéger nos entreprises des lois et mesures à portée extraterritoriale » et qui détaille, sur 102 pages, ces inquiétudes.
Un périple français
L’ambition d’un cloud souverain en France remonte à 2009, lorsque le président Nicolas Sarkozy avait décidé de débloquer des fonds publics à hauteur de 75 millions d’euros pour financer un tel projet. Selon Le Monde, l’idée serait déjà venue de Dassault Systèmes.
En 2012, et malgré l’existence de spécialistes de longue date sur le territoire - principalement OVH - Thalès et Orange reçoivent l’argent de la Caisse des dépôts pour lancer Cloudwatt à partir de rien. Dassault Systèmes n’étant plus intéressé par leur collaboration, l’État décide alors de signer un autre chèque de 75 millions d’euros à leurs concurrents, SFR et Bull, pour qu’ils créent le projet Numergy, également sans aucune expérience au préalable.
Les deux projets, largement décriés dès le départ par l’écosystème numérique français, ne décollent pas. Pire, leur modèle économique est suspect : les budgets de Cloudwatt sont dépensés en location de salles informatiques chez Orange et en achat de technologies chez Thalès. Numergy, de son côté, héberge en priorité les infrastructures de SFR. Trois ans plus tard, ils affichent une perte globale de 108 millions d’euros.
Officiellement, Cloudwatt existe toujours chez Orange et serait même candidat au label SecNumCloud. Néanmoins, l’opérateur préfère manifestement axer sa communication sur Flexible Engine, un cloud IaaS public bâti sur des infrastructures Huawei et qui concerne plus les activités commerciales internationales que les applications souveraines.
Numergy a de son côté été absorbé par SFR, lequel ne propose plus que du stockage en cloud public, ou de l’hébergement de datacenters privés.
La crédibilité de Dassault Systèmes et un OpenStack prêt à l’emploi
En somme, OVH, Orange et, dans une moindre mesure, Scaleway pourraient tout autant héberger des applications loin du Cloud Act. Néanmoins, alors que l’ANSSI évoque la certification SecNumCloud depuis 2016, aucun d’eux n’a jusque-là réussi à l’obtenir.
« Outscale présente plusieurs avantages sur ses concurrents français. Le premier est bien évidemment qu’il s’agit du cloud que Dassault Systèmes utilise pour que ses clients travaillent en ligne sur leurs secrets industriels, ce qui inspire une grande confiance », observe Mathieu Poujol.
« L’autre avantage est l’existence de Tina-On-Premise. Cela signifie que les entreprises ont la liberté de sélectionner très simplement, depuis la même interface, ce qui doit s’exécuter chez elles ou chez Outscale. »
Outscale permet d’installer dans le datacenter de ses clients une version réduite et totalement privée de son cloud public.
À l’instar de ce que AWS, Microsoft et Google proposent avec leurs offres respectives Outposts, Azure Stack, voire GKE On-Prem, Outscale permet en effet d’installer dans le datacenter de ses clients une version réduite et totalement privée de son cloud public. Cette offre s’appelle TOP, pour Tina-On-Premise. TinaOS est le nom de son système de cloud, une sorte d’OpenStack personnalisé pour être prêt à l’emploi. Dans TOP, Outscale livre chez ses clients un cluster de serveurs Cisco et de baies NetApp, avec un TinaOS préconfiguré qui présente les mêmes fonctions que le cloud public et qui peut s’interfacer avec lui.
« On ne trouve pas d’équivalent chez les autres acteurs français, y compris chez Orange qui a plutôt tendance à séparer totalement une activité de datacenters privés managés et une autre de cloud public présent à l’international», ajoute Mathieu Poujol.
Selon Laurent Seror, TOP représente 20 % du CA d’Outscale.
Un cloud entièrement pilotable par API, comme les américains
« Nous avons mené des tests comparatifs entre Outscale et ses alternatives françaises. Notre constat est qu’Outscale est entièrement pilotable par des API : grâce à cela, personne chez nous ne doit faire d’administration système. Notre solution est conçue pour être déployée en appuyant sur un bouton. Cela fonctionne avec les clouds publics américains, comme avec Outscale, mais pas avec OVH ou Orange », témoigne Jean-Marc Lazard.
« Selon nous, l’intérêt du cloud est dans la programmatique, pour automatiser avec des API la sécurité, les montées en charge, la gouvernance entre ressources locales et en ligne. En théorie, un hébergeur privé peut monter un cloud IaaS très sécurisé en installant sur site un cluster VMware. Cependant, il ne fonctionnera jamais aussi bien avec des API qu’un cloud public prévu pour », dit Laurent Seror.
« La seule solution technique qui permette de le faire est OpenStack. Mais un projet OpenStack mettra six mois à être intégré, même du côté client pour définir les API, car la technologie est très complexe. Avec TinaOS, les entreprises ont une offre sur étagère, qui est même déployable chez elles en trois semaines. », argumente-t-il.
« Il résulte de son fonctionnement tout en API, une très grande réactivité technique en cas d’incident. Et cela est essentiel car nous sommes concernés par les obligations de la CNIL et du RGPD: au moindre problème, nous sommes tenus d’en avertir immédiatement nos clients et, par conséquent, de le résoudre dans les plus brefs délais. Nous avons constaté que cela était possible avec Outscale », ajoute Jean-Marc Lazard.
Le besoin d’exister au-delà de Dassault Systèmes
Outscale sera le second acteur du cloud à obtenir la certification SecNumCloud, le premier étant Oodrive, mais sur le périmètre plus réduit du stockage en ligne.
De son côté, Outscale a une activité IaaS complète. Comme les américains AWS, Azure et GCP, il commercialise des machines virtuelles avec nombre d’options pour améliorer l’exécution des applications en ligne. Désormais, à la quantité de cœurs et de RAM, s’ajouteront le choix de prendre des processeurs Epyc d’AMD, insensibles aux risques de sécurité posés sur les architectures Intel, des GPU NVidia Volta V100 et du stockage NVMe.
« Sont également pris en compte notre manière de stocker les fichiers, notre SDN, notre SD-WAN... Ce sont des sujets nouveaux pour l’ANSSI aussi. Par exemple, il nous a fallu résoudre ensemble l’impossibilité d’installer une authentification à double facteur entre deux logiciels qui communiquent par API », dit Laurent Seror, pour expliquer pourquoi la certification SecNumCloud n’était toujours pas définitivement signée au moment des Cloud Days.
Outscale dispose de 14 datacenters, dont la moitié hors de France. « Les datacenters de New York, New Jersey, San José, Hong Kong et, désormais, Tokyo, servent principalement à l’activité internationale de Dassault Systèmes. Bien entendu, Outscale est tiré par la volonté de sa maison mère à remplacer les stations de travail par du cloud. Néanmoins, pour s’aligner sur sa croissance, l’hébergeur a le défi d’avoir une activité autonome », observe Mathieu Poujol.
« La certification SecNumCloud est importante, mais selon moi leurs leviers se trouvent ailleurs. Ils pourraient conquérir le marché allemand, où des clients de Dassault Systèmes comme BMW et Mercedes crédibilisent leur cloud IaaS. Ils pourraient aussi décliner TinaOS pour adresser le nouveau marché du Edge Computing », estime-t-il.
