Cloud souverain : « l’exception française » fait débat chez Oracle

Après avoir annoncé en juin dernier l’ouverture en Allemagne et en Espagne de versions « souveraines » de son cloud OCI, Oracle poursuit l’expansion de cette offre en Europe. Il y aura désormais des instances souveraines d’OCI en République tchèque, en Irlande et en Roumanie.

Ces versions souveraines, désormais baptisées OSC (Oracle Soreveign Cloud) sont hébergées dans des datacenters en colocation locaux (appartenant à Equinix, Digital Reality…) et sont exploitées par des entreprises de droit local : OSC Germany Gmbh, OSC Spain SRL, OSC Ireland Ltd, OSC Romania SRL...

[Mise à jour du 21 septembre 2023] : pour l’heure, les entreprises OSC en République tchèque, en Irlande et en Roumanie n’opèrent pas – encore ? – leur propre infrastructure. Leur mission consiste à ce stade à accompagner les projets souverains des entreprises de leur zone géographique et, en attendant mieux, à faire héberger ces projets par les clouds OSC allemands ou espagnols.

Les clouds OSC sont étanches aux instances publiques OCI, ce qui les protège en théorie de toute aspiration des données vers une entité américaine soumise au Cloud Act. Oracle assure que les clouds OSC respectent ainsi tous les critères de souveraineté exigés par les États européens dans lesquels ils sont implantés.

Pour autant, ces entreprises locales restent des filiales de l’Américain Oracle. En ce sens, les clouds OSC ne répondent pas aux exigences de la norme SecNumCloud française. De fait, cette norme exclut aujourd’hui qu’un cloud OSC puisse être déployé en France. Du moins, jusqu’à ce qu’Oracle trouve un arrangement avec un hyperscaler français (on pense à OVHcloud, OBS, Scaleway, 3DS Outscale…).

Pour y voir un peu plus clair dans le concept « d’exception française », qui aura fait grand bruit dans les allées du salon Oracle CloudWorld, qui se tient actuellement à Las Vegas, LeMagIT a rencontré Agnieszka Bruyère (en photo ci-dessus), aujourd’hui directrice « Croissance du cloud & secteurs publics » chez Oracle pour la zone EMEA. Interview.

LeMagIT : Pourriez-vous nous expliquer en quoi consiste exactement votre mission en Europe et comment elle se décline en France ?

Agnieszka Bruyère : je suis responsable de la stratégie d’investissement d’Oracle dans la zone EU. Même si nous avons déjà 17 datacenters en Europe, nous continuons à investir dans le développement de cette activité, car le fait d’avoir des instances locales de notre cloud reste un sujet qui compte pour beaucoup d’entreprises et de gouvernements européens.

Je précise qu’il s’agit bien d’une question de territorialité, car, en Europe, le maillage réseau est l’un des meilleurs au monde. Sa vitesse est exceptionnelle, il n’y a aucun problème de latence. Où que vous soyez en France, par exemple, vous ne souffrirez d’aucun ralentissement en vous connectant aux instances OCI de Marseille, Paris, ou Francfort. Et l’on retrouve la même situation partout dans l’UE.

Le sujet de la présence des datacenters Oracle dans l’UE est aujourd’hui celui de la souveraineté, celui du respect des réglementations, que ce soit au niveau local ou au niveau de l’UE.

Mon autre mission, qui va de pair, est celle des relations d’Oracle avec le secteur public. Les administrations veulent investir, étendre leurs infrastructures IT. Et je vous confirme qu’Oracle travaille toujours avec l’Administration française. Concernant le fait que certaines administrations françaises devront basculer à terme dans un cloud SecNumCloud, ce sont pour l’instant des échéances à quelques années dans le futur.

LeMagIT : Que pouvez-vous nous dire de vos discussions avec le gouvernement français quant au cloud souverain ?

Agnieszka Bruyère : En France, la situation est particulière, car c’est le pays qui a le niveau d’exigence le plus élevé. Dans les critères français, une infrastructure souveraine, c’est-à-dire SecNumCloud, est une infrastructure qui ne doit pas être détenue à plus de 27 % par des fournisseurs américains. Donc cela exclut de fait un cloud OSC en France.

Mon sentiment est que l’ambition de la France va au-delà de la cyber-résilience ou des questions d’extraterritorialité qui font débat partout ailleurs. Il s’agit plutôt de souveraineté économique, de la volonté d’avoir des champions nationaux. Le problème de cette stratégie – et nous l’avons éprouvé par le passé avec les banques – est que si vous voulez tout faire vous-mêmes, vous développez ce qu’on appelle une dette technique. C’est-à-dire que vous n’êtes jamais à jour avec les dernières innovations.

À l’heure actuelle, par exemple, les hyperscalers français n’ont pas toutes les technologies qu’attendent les entreprises. Par exemple, dans le cloud Oracle vous avez toute l’offre PaaS, sur l’analytique, sur le Machine learning, vous avez des infrastructures GPUs. Et encore, je ne vous parle ici que de services technologiques. Mais il y a aussi dans notre cloud quantité d’applications SaaS qui n’ont pas d’équivalent chez les hyperscalers français.

Après, attention, je comprends tout à fait qu’il y a des sujets de souveraineté qui sont proprement régaliens, ou qui sont extrêmement sensibles. Mais ces cas d’usage là n’iront de toute façon pas dans le cloud.

Mais il y a aussi des cas d’usage qui concernent plus simplement les services fournis aux citoyens. Et le fait que nous ne puissions pas travailler dessus, c’est un vrai sujet.

LeMagIT : Par conséquent, quel compromis envisagez-vous avec le gouvernement français pour proposer un jour du cloud Oracle souverain en France ?

Agnieszka Bruyère : Le compromis serait de fournir notre technologie à un partenaire français. Mais cela prend beaucoup de temps. Ne serait-ce que pour la certification. La situation actuelle est qu’il y a en France des acteurs du cloud qui sont SecNumCloud. Mais si vous regardez bien, ce qui est SecNumCloud chez eux ne concerne qu’une toute petite partie de leurs services.

C’est-à-dire que nous aurions dans un premier une quantité très limitée de services qui seraient SecNumCloud chez un partenaire français. Et cela prendrait ensuite encore beaucoup de temps pour proposer des services supplémentaires. C’est ce que vivent actuellement d’autres hyperscalers internationaux qui s’engagent dans la même stratégie en France.

Après, attention. Je suis d’accord pour dire qu’une entreprise n’utilise jamais les 450 services que lui propose un hyperscaler international. Mais vous avez tout de même des services qui sont vitaux, typiquement la base de données. Mais même sur ce sujet, c’est actuellement très compliqué, très long à mettre en œuvre..

[N.D.R. : Oracle dispose d’une offre baptisée Alloy qui consiste à vendre l’infrastructure d’OCI et ses services à des hébergeurs locaux et dont la commercialisation démarre justement en ce moment. Pour autant, un hébergeur français ne peut pas automatiquement se prévaloir de fournir un cloud souverain ; il doit toujours passer la certification SecNumCloud et rien ne dit à ce stade qu’il l’obtiendrait facilement sur une infrastructure qui dépend du fournisseur américain Oracle]

LeMagIT : Pourriez-vous nous donner un calendrier plus précis ?

Agnieszka Bruyère : Vous savez, ces questions de souveraineté, ce sont des doctrines. Des doctrines qui sont politiques. C’est-à-dire potentiellement décidées ou uniformisées à Bruxelles. Donc nous y verrons plus clair après les élections européennes.

Par exemple, est-ce que la certification souveraine allemande, avec laquelle notre offre est compatible, pourrait devenir la norme en Europe ? Nous n’en savons rien à ce stade. Il y a un flou pour l’instant parce que, par exemple, la Pologne, qui veut à tout prix bénéficier d’un cloud souverain solide, dernier cri, car elle est voisine du conflit en Ukraine, n’a absolument pas les mêmes exigences que la France dont l’objectif est d’abord de créer des champions nationaux.

LeMagIT : La semaine dernière, vous annonciez de nouvelles interconnexions entre OCI et Azure. Comment ces interconnexions fonctionnent-elles avec les clouds OSC ?

« Si une entreprise veut interconnecter un cloud OSC avec un autre cloud, alors cette interconnexion aura lieu dans le système d’information de cette entreprise, pas chez nous. »

Agnieszka Bruyère : De fait, elles ne fonctionnent pas ! Pour que ce soit clair : il n’y a aucune connexion entre un cloud OSC et un cloud OCI ou le cloud de n’importe quel autre fournisseur. Si une entreprise veut interconnecter un cloud OSC avec un autre cloud, alors cette interconnexion aura lieu dans le système d’information de cette entreprise, pas chez nous.

Pour être encore plus précise : vous retrouvez dans un cloud OSC tous les services d’OCI. Mais, si vous êtes client des deux, vous aurez deux facturations, deux contrats, deux gestions des identités différentes. Si nous ne le faisions pas, il y aurait une brèche.

LeMagIT : Mais concrètement, est-ce qu’un cloud OSC est étanche aux investigations permises par le Cloud Act ?

Agnieszka Bruyère : Ce que je peux vous dire, c’est qu’une loi européenne, baptisée e-evidence, entre en vigueur en 2026 et précisera les obligations des entités européennes lorsqu’un organisme extraterritorial leur demande l’accès aux données. Et c’est intéressant, parce que toute entité opérant dans l’UE, en Allemagne comme en France, va devoir se soumettre à cette loi.

[N.D.R. : en l’occurrence, la loi e-evidence, en projet depuis 2018 à la commission européenne, n’implique pas à ce stade que les demandes d’accès formulées par les autorités américaines soient systématiquement soumises à une validation préalable par des autorités européennes, seule condition pour protéger les entreprises européennes d’un éventuel espionnage économique américain. Néanmoins, elle pose les bases d’un futur droit global, commun aux USA et à l’UE, de l’accès transfrontière aux preuves électroniques, ce qui suggère une collaboration entre les autorités de part et d’autre de l’Atlantique. Surtout, la loi e-evidence doit permettre aux autorités européennes de savoir quand une demande d’accès extraterritoriale a été formulée]

Mais en l’occurrence, tous les pays de l’UE ont déjà l’autorité pour exiger des fournisseurs de cloud un accès aux données qu’ils hébergent. Et c’est très bien que leur justice ait les moyens de mener des investigations pour comprendre ce qu’il se passe.

LeMagIT : En attendant, le fait que vous ne puissiez pas déployer de cloud OSC en France signifie-t-il qu’à terme vous allez avoir significativement moins de clients en France qu’en Allemagne, qu’en Espagne ou ailleurs en Europe ?

Agnieszka Bruyère : Pas vraiment. Nos clients français continuent de nous faire confiance. Bien entendu, il y a actuellement une frustration de ne pas pouvoir accompagner nos clients du secteur public français dans leur transformation vers un cloud souverain.

Après, je n’ai pas de chiffre exact, mais mon intuition me dit que le cloud souverain ne dépassera pas 20 % de notre CA en Europe. Je dis cela, car nous avons énormément de nos clients qui opèrent à l’international, qui ont besoin d’interconnexions entre les clouds et pour lesquels les garde-fous que nous avons mis en place par rapport à la territorialité – le fait de cantonner des données à un pays – sont largement suffisants.

Et puis, nous nous plions aux réglementations. Nos datacenters seront audités par un tiers comme le veut la réglementation DORA, nous suivons les exigences de NIS 2 quant aux risques de concentration, etc.

Ce que je veux dire c’est que la France est à l’initiative de nombreuses réglementations européennes qui sont même adoptées aujourd’hui par des États non européens et auxquels doivent donc se plier les clouds publics. Nous répondons de fait avec OCI à de nombreuses exigences réglementaires des entreprises françaises.