Cloud de confiance : pourquoi l’USF pousse-t-elle les options S3NS et Bleu auprès de SAP

Les offres SecNumCloud, encore peu satisfaisantes, d’après l’USF

En France, le référentiel SecNumCloud, presque dix ans d’âge, doit répondre aux exigences de l’ANSSI et du gouvernement en matière de sécurité, de confidentialité des données et de souveraineté.

L’arrivée des solutions cloud qualifiées SecNumCloud est saluée par certains des 50 adhérents de l’USF en provenance du secteur public.

« OVHcloud fait partie des acteurs les plus avancés dans le cadre de l’architecture SecNumCloud », illustre Frédéric Bernard, vice-président de la commission secteur public pour l’USF et responsable adjoint des applications de gestion au sein de l’Assemblée nationale.

D’autres acteurs dont 3DS Outscale l’ont obtenu pour leurs infrastructures IaaS ou de cloud privé. Pour autant, cette qualification ne « remonte » pas au niveau logiciel si l’éditeur ne la passe pas.

Quand OVHcloud annonce l’offre SAP HANA On Private Cloud, la déclinaison SecNumCloud concerne l’infrastructure hyperconvergée établie sur des serveurs animés par les middlewares VMware, mais pas la base de données in-memory et encore moins les logiciels SAP déployables en BYOL (Bring Your Own Licence).

Or, les membres de l’USF concernés déplorent le manque d’une offre SecNumCloud qui couvre l’ensemble des couches – IaaS, CaaS, PaaS, SaaS – sur lesquelles les logiciels SAP peuvent être déployés.

« Il y a un certain nombre d’outils, comme Ariba, SuccessFactors ou encore SAP Analytics Cloud qui ne sont disponibles que dans le cloud », indique Frédéric Bernard.

Une harmonisation des qualifications de cybersécurité est en cours au niveau européen autour de la norme EUCS (European Cybersecurity Certification Scheme for Cloud Services), même si la prise en compte des lois extraterritoriales fait encore débat.

L’USF soutient les candidats S3NS et Bleu

En attendant, l’entente entre l’USF et SAP semble davantage porter sur le soutien commun à Bleu, issu du partenariat entre Orange et Capgemini autour des technologies Azure, et S3NS (la structure montée par Thales avec Google sur la base des infrastructures GCP). Cette option semble plus aisément défendable auprès des dirigeants allemands et américains de SAP. Les adhérents appellent d’ailleurs de leurs vœux l’intégration de Bleu et de S3NS dans l’offre de facilitation de migration RISE with SAP.

« L’idée, c’est qu’au niveau de l’USF l’on porte un peu plus clairement le besoin de voir ces deux-là [S3NS et Bleu] accéder au monde RISE with SAP », lâche Gianmaria Perancin, président de l’USF et du SUGEN. Des discussions seraient prévues entre le SUGEN et les dirigeants de SAP, pour évoquer les possibilités concernant ces acteurs qui s’appuient sur les technologies de Google Cloud et d’Azure. Olivier Nollent, PDG de SAP France, se refuse à commenter les propos du président de l’USF, considérant que l’on touche « à des aspects confidentiels de la feuille de route » SAP.

« SAP souhaiterait avoir à se conformer à une seule norme européenne. C’est ce point qui décale notre choix de cloud souverain en France, comme c’est le cas pour certains de nos partenaires et concurrents ».

« SAP souhaiterait avoir à se conformer à une seule norme européenne. C’est ce point qui décale notre choix de cloud souverain en France, comme c’est le cas pour certains de nos partenaires et concurrents », préfère rappeler le PDG de SAP France. Il justifie cette décision par les coûts que représenterait le fait de passer les certifications de sécurité européennes pour l’ensemble de la pile logicielle SAP, dont les normes C5 en Allemagne, ENS (Esquema Nacional de Seguridad) en Espagne et SecNumCloud en France. « À chaque fois que nous devons valider de nouvelles solutions, il y a des coûts associés qui sont non négligeables », déclare Olivier Nollent.

À partir de 2020, SAP a passé 29 audits C5 pour plusieurs de ses produits, dont S/4HANA Cloud, SuccessFactors et Converged Cloud. L’accès aux rapports d’audits est soumis à la signature d’un accord de confidentialité. L’éditeur allemand liste également 3 certifications ENS, dont une de niveau moyen pour SuccessFactors et deux autres de niveau moyen et haut pour SAP Enterprise Cloud Services.

Pour l’heure, ce n’est pas SAP qui fait les efforts pour déployer ses middlewares et logiciels sur les clouds qualifiés SecNumCloud. C’est OVH et ses partenaires, dont Sopra Steria.

OVHcloud présente une option, pas la solution, selon SAP

Malgré les annonces, S3NS et Bleu n’ont pas encore obtenu la qualification SecNumCloud. S3NS propose pour l’instant les contrôles locaux de charge de travail et de données hébergées sur les data centers français et européens « opérés et sécurisés » par Google Cloud. La véritable offre « de confiance » est en cours de conception. « L’offre Cloud de confiance est attendue pour le second semestre 2024, nous avançons et sommes dans les temps, en contact de manière quasi hebdomadaire avec l’ANSSI », complète un porte-parole de S3NS. Quant à Bleu, la création de la coentreprise de Capgemini et d’Orange a été autorisée par la Commission européenne le 13 juin dernier. Aussi, Bleu vise d’abord à proposer une alternative souveraine à Microsoft 365.

Alors, pourquoi attendre Bleu et S3NS ? Pourquoi ne pas se tourner vers OVHcloud ?

« [SAP HANA On Private Cloud] est une offre partenaire. Le client utilise ses licences on premise chez OVHcloud. Cela fait partie sur le marché des solutions qui permettent de répondre à certaines exigences chez certains clients », précise Olivier Nollent.

En clair, SAP ne veut pas démultiplier les efforts plus qu’il ne l’a déjà fait.

« Il n’y a rien de dogmatique. OVHcloud pourrait être une option. Encore faut-il qu’elle soit viable économiquement », poursuit le PDG de SAP France.

« Il n’y a rien de dogmatique. OVHcloud pourrait être une option. Encore faut-il qu’elle soit viable économiquement ».

Aussi, OVHcloud n’aurait pas les moyens humains pour soutenir l’adaptation de l’écosystème SAP sur son infrastructure. Il ne peut donc, en l’état, rejoindre la feuille de route RISE with SAP, aux côtés d’AWS, de Microsoft Azure, GCP ou encore IBM Cloud.

« Nous sommes tombés sur un accord-désaccord sur ce potentiel qui n’était pas au rendez-vous », évoque Orlando Appell, directeur des opérations chez SAP France. « Si OVH était l’équivalent d’un Azure, d’un AWS ou d’un Google dans sa capacité de support de notre développement, la question se posait moins ».

SAP a déjà effectué ce travail en partenariat avec l’hébergeur allemand Arvato pour héberger les solutions SAP sur les technologies Azure dans des data centers de droit allemand certifiés C5. Ce « mouvement allemand a été engagé exclusivement pour le secteur public local », précise SAP France.

« Arvato valorise le fait que l’on utilise une infrastructure Azure validée mondialement, mais à des coûts de dizaine de millions d’euros de coût de certification. Nous certifions toute la couche applicative », assure Orlando Appell.

« C’est pour cela que nous parlons de Bleu et de S3NS. Cela nous semblait à l’USF plus logique de commencer avec ces deux-là. Nous savons qu’ils existent, nous connaissons les équipements sous-jacents, donc autant que l’on aille demander à SAP de les prendre en compte », renchérit Gianmaria Perancin. Les équipes de S3NS précisent sur le site Web qu’elles préparent déjà l’obtention d’autres certifications, sans préciser lesquelles.

Aussi, SAP porte plusieurs options d’hébergement au sein de RISE with SAP et en dehors. Dans l’offre RISE, il y a l’alternative Customer Data Center Option, s’appuyant sur les offres d’abonnement d’infrastructure sur site TruScale de Lenovo, GreenLake de HPE et Apex de Dell.

Le support de S/4HANA on premise est prévu au moins jusqu’en 2040. Reste que certaines solutions sont uniquement disponibles dans les clouds américains, comme le signale Frédéric Bernard.

« Nous pouvons appliquer du chiffrement avec des clés privées, nous avons déjà des solutions », signale Orlando Appell.

Une actualisation de la doctrine Cloud au Centre en faveur de l’EUCS

« Est-ce suffisant pour nous mettre en conformité vis-à-vis de la CNIL ? », s’interroge Gianmaria Perancin. « Même s’il y a des solutions de chiffrement sur lesquelles il faut qu’on travaille pour aller éclaircir d’un point de vue juridique et technique les limites de l’exercice, il y a tout de même le besoin, peut-être plus en France que dans d’autres pays, de disposer de solution de confiance en matière de cloud ».

En attendant cette uniformisation des normes de cybersécurité et de protection des données en Europe, la Première ministre Élisabeth Borne a publié une actualisation de la doctrine Cloud au centre, préalablement diffusée en 2021. Le document daté du 31 mai 2023 considère que la qualification SecNumCloud – « ou une qualification européenne garantissant un niveau au moins équivalent, notamment de cybersécurité » – devra être impérativement respectée dès lors que l’application ou le SI d’une administration « traite des données à caractère personnel ou non, d’une sensibilité particulière et dont la violation est susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé et à la vie des personnes à ou à la protection de la propriété intellectuelle ».

« Le gouvernement s’oriente pour maintenir et conserver son niveau d’exigence tout en tolérant et en acceptant le niveau d’harmonisation européen qui pourrait être un demi-cran en dessous, mais qui pourrait suffire sur un certain nombre de cas de figure », résume Frédéric Bernard. Une approche devrait simplifier la tâche pour SAP et les adhérents de l’USF.

Article mis à jour avec des précisions concernant la disponibilité de l’offre cloud de confiance de S3NS et l’exclusivité allemande de la solution proposée par Arvato.