Cloud souverain : la DINUM contextualise les exigences de la France
Lors d’une conférence organisée par l’ISACA AFAI, Vincent Coudrin, coordinateur des politiques de transformation numérique de l’État au sein de la DINUM, a précisé les enjeux du cloud souverain pour la France. Il a également clarifié les objectifs du Gouvernement en la matière et notamment, pourquoi il souhaite encourager la croissance de la filière européenne.
Avant 2021, la souveraineté numérique ne semblait pas être la priorité de l’État français. La notion a connu un véritable retour en grâce avec la présentation des doctrines cloud de confiance et cloud au centre.
Depuis, le sujet de la Souveraineté, avec un grand S, s’est imposé dans la sphère publique : elle est devenue un sujet d’actualité. D’abord, il y a eu la crise sanitaire et l’absence de contrôle sur la production des masques et des vaccins. D’un point de vue IT, « Nous avons manqué de ressources de cloud computing, qui permettaient de créer des espaces de convivialité, mais aussi d’organiser le travail à distance. Ça a été le premier point et nous avons vu dans l’opinion et dans nos propres réflexions émerger ces sujets », raconte Vincent Coudrin, Cloud Transformation Policy Officer à la Direction interministérielle du numérique (DINUM).
En sus de la question militaire, les conséquences de la guerre en Ukraine ont imposé les thèmes de la souveraineté alimentaire et énergétique. Et comme le numérique s’infiltre dans toutes les activités humaines, il faut désormais que le Gouvernement prouve ses engagements en la matière.
« Cela s’est finalement cristallisé dans l’ajout, pour le ministère de l’Économie et des Finances, de la notion de souveraineté industrielle et numérique. Donc là, vous l’avez compris, nous avons un cap : c’est celui de la souveraineté industrielle et numérique », indique Vincent Coudrin.
Pour l’État français, cette notion de souveraineté numérique s’articule autour de notions « d’autonomie stratégique » et d’indépendance.
« L’idée, c’est de conduire son destin sans se faire imposer une volonté. Cela a été cité au cours de la mission parlementaire “résilience nationale”, avec l’idée d’indépendance vis-à-vis de l’extérieur, d’un côté, et d’autonomie sur le plan intérieur, de l’autre », explique Vincent Coudrin. « Et puis, la loi du 7 octobre 2016 pour une République numérique dit également que les administrations veillent à préserver la maîtrise, la pérennité et l’indépendance de leurs systèmes d’information ».
Ces deux aspects sont inscrits dans le référentiel SecNumCloud de l’ANSSI, rappelle Vincent Coudrin. « C’est celui sur lequel nous adossons la notion de cloud de confiance dans la doctrine française. Nous associons des mesures techniques et organisationnelles, mais également […] la résolution d’un conflit potentiel de normes ».
Pour rappel, il s’agit d’utiliser des ressources IT « hors de portée des dispositions extraterritoriales d’un droit non européen. Dans la position française, il y a cette idée d’articuler le sécuritaire avec l’isolation juridique », poursuit le chargé de mission cloud.
Les exigences cloud de l’État
Aux enjeux d’autarcie et de cybersécurité s’ajoutent des enjeux de performance, de résilience, de transformation numérique, ou encore de contrôle de l’empreinte environnementale du numérique.
« Il faut que les offres soient résilientes. Si un service de stockage n’est disponible que dans un seul datacenter, vous ne serez pas souverain en l’utilisant », illustre Vincent Coudrin. « La notion d’élasticité, à savoir la croissance à coût marginal faible, doit faire partie intégrante des offres cloud. Vous ne mettez pas une étiquette cloud sur des VM petites, moyennes, grosses, cela ne marche pas. Il vous faut un petit peu plus », ajoute-t-il.
En matière de cybersécurité, il est évident que l’État veut se tourner vers les offres répondant « aux critères de la certification SecNumCloud ».
Dans tous les cas, dans « certains domaines stratégiques », même si la solution choisie respecte le référentiel SecNumCloud, il y a un « sujet d’autonomie ». « Êtes-vous capable de conduire les opérations vous-même, y compris à la place de votre fournisseur de services cloud, dans les cas extrêmes ? », s’interroge Vincent Coudrin. « Cela fait partie des enjeux de souveraineté. Nous l’identifions au moment d’établir nos schémas de mobilisation du cloud ».
Pour les usages les plus sensibles, l’État doit également sécuriser ses approvisionnements en matériel. « C’est un sujet vertigineux », juge le chargé de mission. « Le cloud computing, il ne faut surtout pas oublier que ce sont des équipements réseau, de refroidissement, des PCB, etc. »
Quand la technologie ou le logiciel utilisé par les autorités appartient à une entreprise française, ou européenne, et qu’elle est rachetée par une organisation non européenne se pose la question du transfert du contrôle.
« Nous sommes attachés à prévention des risques des transferts du contrôle. Il y a une cellule à Bercy qui s’occupe de ça », rappelle Vincent Coudrin. Par exemple, cette cellule avait été consultée lors de la reprise de Sigfox par le Singapourien Unabiz.
La question délicate de la commande publique
Or, les ministères et les services publics sont soumis au droit de la commande publique. Celui-ci doit garantir la transparence des procédures. Aussi, les « acheteurs et les autorités concédantes respectent le principe d’égalité de traitement des candidats à l’attribution d’un contrat de la commande publique [Article L3 du code de la commande publique, N.D.L.R.] ».
« Quand vous voulez utiliser des critères de souveraineté, en tout cas dans le cadre de la commande publique, il y a l’idée que vous devez avoir un motif légitime pour introduire une restriction à l’accès au marché. Pour rappel, nous avons volontairement signé des traités pour ouvrir nos marchés », signale Vincent Coudrin.
« Il faut que ces mesures [de restriction d’accès au marché public] soient proportionnées ».
Vincent CoudrinChargé de mission cloud, DINUM
« Il faut que ces mesures [de restriction d’accès au marché public] soient proportionnées. Il faut évaluer à la fois les risques concernant les potentielles violations, la confidentialité et l’intégrité des données, mais également la disponibilité des services. Cela revient à se poser à la question : est-il légitime de créer une distorsion, une entrave à l’accès au marché public [pour un besoin donné] ? », indique-t-il.
En clair, les autorités ne peuvent pas totalement écarter les réponses aux appels d’offres des fournisseurs et des éditeurs étrangers, même non européens. Cela crée de facto ce que Jean-Baptiste Courouble, DSI de l’Urssaf, appelle des « zones d’éligibilité », suivant la criticité d’un projet ou des données hébergées.
L’internalisation de la chaîne de livraison logicielle, une des clés de la réversibilité
Dans ce cas-là, il faut jouer sur la réversibilité technologique, juge l’intéressé.
« Si vous maîtrisez l’intégralité de chaîne de livraison de vos produits numériques (intégration, déploiement, manipulation des plateformes, etc.), vous n’allez pas envisager la réversibilité de la même manière que si c’est une clause dans un contrat que vous envisagez éventuellement tous les cinq ans d’exercer », considère Vincent Coudrin. « La meilleure garantie en matière de réversibilité et d’indépendance, c’est d’internaliser cette maîtrise ».
Cette maîtrise de la chaîne CI/CD, l’usage de standards technologiques et l’internalisation de certaines compétences permettraient de mieux comprendre le recours au cloud par les entreprises privées. « Je n’ai pas l’impression que le vendor lock-in ait effrayé grand monde au moment de se jeter sur les offres de cloud », évoque le chargé de mission.
Or le secteur public, tout comme dans le privé, est contraint par l’accès aux talents. « Nous avons un point sur les compétences, l’enseignement, l’innovation, qui est aussi un enjeu national », reconnaît Vincent Coudrin. « Nous avons besoin de dizaines de milliers d’experts formés par an, tant du point de vue de la formation initiale, que de la formation continue ».
Favoriser la compétitivité sur le marché cloud européen
L’autre condition de la souveraineté numérique serait que les offres de cloud souverain françaises et européennes soient suffisamment consistantes pour satisfaire les besoins des autorités, mais également des entreprises.
Le Gouvernement juge que c’est l’adoption d’un référentiel comme SecNumCloud qui assurera l’émergence d’un marché européen pérenne. « La France défend une position dans laquelle le niveau le plus élevé est associé à une isolation juridique stricte. C’est cela qui va permettre de créer un espace de marché pour que des champions européens puissent émerger », avance Vincent Coudrin.
Or ce n’est pas la position défendue actuellement par tous les états membres de l’Union européenne. La nomenclature EUCS formulée par l’ENISA ne porte pas en son sein la notion d’évitement du droit extraterritorial. Dans un même temps, les solutions juridiques trouvées par Microsoft, Capgemini et Orange (Bleu) ou Google et Thales (S3NS) sont susceptibles d’attirer les grands groupes qui travaillent déjà avec ces organisations.
« Nous soutenons l’offre, mais également la demande. La doctrine Cloud First crée maintenant l’obligation pour tout nouveau système d’information de l’État d’être hébergé sur le cloud. Nous avons de facto orienté la commande publique vers l’écosystème industriel ».
« La compétitivité est un meilleur argument de vente que la souveraineté ».
Vincent CoudrinCloud Transformation Policy Manager, DINUM
Là encore, Vincent Coudrin considère que des mesures d’encouragement similaire doivent être prises en Europe. « Nous travaillons avec nos collègues européens pour que des initiatives comparables soient suivies d’effet, et c’est déjà le cas. Aussi, nous œuvrons pour que le secteur privé puisse consommer des offres [cloud] de confiance leur permettant d’atteindre la taille critique et la qualité requises ».
« Nous sommes dans l’idée de créer un système extrêmement dynamique pour asseoir cette notion de souveraineté numérique avec un partenariat extrêmement fort avec la filière », continue-t-il.
Le Gouvernement a ainsi confié la direction du comité stratégique de filière « numérique de confiance » à Michel Paulin, directeur général d’OVHcloud.
« Est-ce que vous souhaitez être souverain à l’échelle d’un bac à sable ou est-ce que vous voulez continuer à rayonner sur le monde comme le phare que l’on a toujours souhaité être ? » justifie Vincent Coudrin.
« La compétitivité est un meilleur argument de vente que la souveraineté. C’est d’autant plus vrai quand l’on veut être présent sur la scène européenne et sur la scène mondiale », conclut-il.
Pour approfondir sur Réglementations et Souveraineté
