La France aura un nouvel hébergeur de cloud indépendant du CLOUD Act américain : Bleu. Co-créé par Orange et Capgemini, il clonera les services d’Azure. Reste à savoir quand il sera opérationnel.
Orange et Cap Gemini créeront d’ici à cet été une filiale commune, Bleu, qui se chargera d’héberger les services du cloud Azure sur des infrastructures françaises. Cette annonce fait suite à la récente présentation par Bruno Le Maire d’un nouveau label « cloud de confiance » qui désignera les hébergeurs 100 % indépendants d’une législation étrangère et, plus particulièrement, du CLOUD Act américain.
« Bleu a pour vocation de servir les besoins des entités de l’État, des Opérateurs d’Importance Vitale (OIV : énergie, santé, transports…) et des Opérateurs de Services Essentiels (télécommunications, finance…). Les services habituels d’Azure fonctionneront depuis des datacenters français, opérés par un acteur de droit français, avec la certification SecNumCloud de l’ANSSI qui garantira que la sécurité des données sera assurée à la hauteur de leur criticité », déclare au MagIt un porte-parole d’Orange.
Sous des allures de loi censée permettre à Washington de lutter contre le terrorisme et le crime international, le CLOUD Act pose un risque de guerre économique. Il donne le droit à toute agence américaine de consulter des données potentiellement sensibles, à partir du moment où elles sont hébergées par des entreprises de droit américain.
En clair, il concerne les trois grands fournisseurs de clouds publics – AWS, Azure, Google GCP – dont les offres en ligne attirent des entreprises du monde entier. Leurs services clés en main présentent une richesse fonctionnelle et des avantages tarifaires qui séduisent toutes les organisations soucieuses d’externaliser leurs datacenters, même dans le cas des applications qui n’ont pas vocation à être publiées sur Internet.
« L’ambition est de pouvoir bénéficier des meilleures technologies opérées par des acteurs de confiance exclusivement soumis au droit européen, sans concessions en termes de sécurité. »
Guillaume PoupardDirecteur général de l’ANSSI
« Conformément à la stratégie nationale pour le cloud, détaillée le 17 mai par le gouvernement, un haut niveau de performance, mais également de confiance dans les offres, est indispensable. La sécurité tant technique et opérationnelle que juridique doit impérativement être attestée, ce à quoi l’ANSSI s’emploie au travers de la qualification SecNumCloud. L’ambition est de pouvoir bénéficier des meilleures technologies opérées par des acteurs de confiance exclusivement soumis au droit européen, sans concessions en termes de sécurité » a pour sa part déclaré Guillaume Poupard, le directeur général de l’ANSSI, qui dit accueillir le projet « avec enthousiasme. »
À terme, Bleu a pour vocation de rejoindre l’initiative européenne Gaia-X, Orange et Capgemini en étant déjà membres.
Un cloud français, mais avec tous les services du cloud de Microsoft
Des alternatives françaises existent déjà : les hébergeurs OVHcloud et Outscale ont précédemment reçu le label SecNumCloud et sont légitimes pour candidater au label « cloud de confiance ». Pour autant, leurs services en ligne n’atteignent pas encore la richesse fonctionnelle de leurs concurrents américains. En particulier, Azure, le cloud de Microsoft, est celui qui héberge toutes les données générées par Office 365, une caractéristique qui le rend incontournable pour nombre d’entreprises.
« Le bénéfice de Bleu est qu’il sera à la fois adapté au degré de sensibilité des données des entreprises françaises et à leurs charges de travail. Il proposera ainsi à ses clients les solutions sécurisées cloud de Microsoft, en l’occurrence les suites de collaboration et de productivité Microsoft 365 ainsi que l’ensemble des services de la plateforme cloud Microsoft Azure, dans un environnement indépendant, afin de leur permettre d’accéder à la gamme la plus complète d’innovations technologiques de pointe », détaille le porte-parole d’Orange.
« En tant que partenaire stratégique, Capgemini s’attache à créer des services adaptés aux besoins de ses clients, en s’appuyant sur les technologies de pointe les plus performantes, dans le respect des normes les plus strictes », enchérit Aiman Ezzat, directeur général de Capgemini. « C’est aujourd’hui le bon moment pour lancer ce projet qui bénéficie d’une forte volonté politique et de technologies innovantes. »
Du côté de Microsoft, on se félicite que les technologies maison traversent ainsi la barrière du cloud souverain. « Cette annonce, bénéfique à tout l’écosystème national des acteurs du numérique, favorisera la croissance économique de la France et facilitera sa réussite sur le long terme », déclare Jean-Philippe Courtois, en charge des ventes monde chez Microsoft.
Si le fournisseur perd la possibilité de commercialiser son propre hébergement, il sauve en revanche l’opportunité de vendre des licences de ses services aux plus grandes entreprises françaises. On notera que, contrairement à AWS et Google, le métier premier de Microsoft est l’édition de logiciels. Azure ne venant finalement qu’en support de cette activité.
Deux questions en suspens : quand et comment
« La société Bleu sera créée d’ici à cet été. [...] Nous ne commercialiserons pas l’offre avant qu’elle ait été certifiée. »
Porte parole d'Orange
Reste à savoir quand et comment. Orange se refuse à confirmer une disponibilité de l’offre d’ici à la fin de 2022, date évoquée par certaines sources, mais manifestement un peu trop optimiste. « La société Bleu sera créée d’ici à cet été. Ensuite il faudra faire le design de l’infrastructure qui supportera les services d’Azure, la mettre en place quelque part dans un datacenter, procéder à un transfert de compétences par les équipes de Microsoft, puis obtenir la certification SecNumCloud de l’ANSSI. Nous commercialiserons l’offre quand elle sera certifiée », assure le porte-parole.
Selon les informations du MagIT, les étapes de la certification SecNumCloud ont duré un an pour les hébergeurs Outscale et OVHcloud. Orange laisse entendre que la commercialisation pourrait avoir lieu dès que le processus de certification sera assez avancé.
Si Orange n’a pas encore décidé quel type d’infrastructure servira à exécuter les services d’Azure, l’opérateur assure néanmoins qu’il ne s’agira pas de machines Azure Stack, à savoir des infrastructures hyperconvergées construites par Microsoft et louées aux entreprises pour héberger des fonctions cloud dans leurs propres datacenters. Ces machines restant la propriété de Microsoft, elles sont potentiellement soumises à l’autorité du CLOUD Act.
Il ne devrait pas non plus s’agir des serveurs et baies de stockage Huawei qu’OBS, la société de service B2B d’Orange, utilise à l’heure actuelle pour fournir son propre cloud IaaS, Flexible Engine. On ignore si la marque chinoise peut être considérée comme un frein pour obtenir la certification de l’ANSSI.
« En tant qu’offre de cloud IaaS d’OBS, Flexible Engine répond déjà aux besoins des entreprises de ne pas être soumises au CLOUD Act. Bleu offfrira les plus hautes garanties de sécurité des données, pour les entreprises qui souhaitent bénéficier d’une souveraineté française telle que définie par l’État », précise le porte-parole.
Se pose enfin la question du lieu. Orange dispose d’une flotte de plusieurs centres de données hébergés dans des bâtiments en colocation, ainsi que de trois grands datacenters en propre, deux dans le Val de Loire et un à Chartres. En toute logique, c’est depuis l’un de ces trois-là que Bleu devrait fonctionner, SecNumCloud ne couvrant a priori pas une offre hébergée à côté d’autres.
Pour approfondir sur Administration et supervision du Cloud
