[INTERVIEW] Le cloud souverain et la stratégie géopolitique française : 3 questions à Clotilde Bômont

par Pierre Noro

Pourquoi le cloud pose-t-il aujourd’hui un enjeu de souveraineté ?

Si le cloud pose des enjeux de souveraineté, c’est parce les acteurs qu’il implique dépendent souvent d’États et de juridictions différentes. Revenons sur son organisation et son fonctionnement. 

Le cloud permet à ses utilisateurs de confier la gestion de leurs données et de leurs systèmes d’information à un tiers. Ce tiers est un fournisseur de services qui, sur un principe de location, met à la disposition de ses clients ses capacités hardwares et/ou softwares. Il se charge notamment d’assurer la sécurité et le bon fonctionnement des ressources informatiques qu’il héberge. C’est ce qu’on appelle l’infogérance. 

Les données hébergées par un prestataire sont stockées au sein de centres de données, ou datacenters. L’utilisateur y accède alors grâce au réseau Internet (ou à un intranet dans le cas de clouds particuliers). Aujourd’hui, compte tenu de la vitesse de circulation des données sur les réseaux, les datacenters ne doivent plus impérativement se situer à proximité des utilisateurs. Ils peuvent être implantés de l’autre côté du globe sans que cela n’entrave le fonctionnement d’un cloud. Datacenters, utilisateurs et prestataires peuvent alors dépendre d’États différents. Et c’est là que le bât blesse. 

Un prestataire se doit de garantir la confidentialité des données hébergées sur son cloud. Certains gouvernements disposent toutefois d’une législation leur permettant d’accéder aux données. Cette accessibilité devient un enjeu de souveraineté lorsque les données en question émanent de citoyens ou d’organisations d’un autre État. L’autorité de ce dernier sur ses propres données n’est effectivement pas reconnue, du moins n’est pas respectée. En outre, en accédant aux données d’un État tiers, un gouvernement accède à des ressources qui ne lui appartiennent pas et dont l’exploitation présente une grande valeur stratégique et économique.

Les États-Unis sont un cas d’école en la matière. Ils disposent de lois, telles que le Patriot Act voté en 2001 ou le CLOUD Act adopté en 2018, qui obligent les entreprises du numérique basées aux États-Unis à fournir, sur demande du gouvernement, toute donnée jugée utile, que celle-ci soit hébergée sur le sol américain ou en territoire étranger. La portée de ces lois est cruciale dans la compréhension des enjeux qui nous préoccupent. D’abord pour leur dimension extraterritoriale, puisqu’elles s’appliquent à l’ensemble des données gérées par un prestataire américain, sans même que celles-ci aient à transiter sur le territoire des États-Unis. Ensuite, parce que les principaux fournisseurs de services cloud sont étatsuniens et sont donc soumis à la législation des États-Unis. Les entreprises américaines dominent très largement le marché mondial, aussi bien dans le domaine du cloud d’infrastructure (IaaS et PaaS) que dans celui des applicatifs (SaaS). Amazon et Microsoft détiennent respectivement plus de 30 % et environ 20 % des parts de marché du cloud d’infrastructure, suivis par Google, IBM et Alibaba. Le marché des applicatifs se répartit essentiellement entre Microsoft, Salesforce, Adobe, Google, Cisco et SAP. Dans ces listes, seuls Alibaba et SAP ne sont pas américains. 

Du fait de cet oligopole, les entreprises étatsuniennes interviennent presque systématiquement dans l’architecture des solutions cloud. Une grande partie des données européennes sont ainsi vulnérables aux indiscrétions du gouvernement américain (ce qui va d’ailleurs à l’encontre des intérêts des entreprises américaines). Des protections techniques, comme le chiffrement, ou des mesures juridiques, comme le RGPD (Règlement européen sur la protection des données), peuvent néanmoins être envisagées. 

Bien sûr, cette réflexion sur la souveraineté et sur la confidentialité des données s’applique également aux alternatives chinoises qui apparaissent pour l’instant comme les seuls concurrents sérieux des géants américains (Alibaba, Tencent, Baidu, Huawei…).

La mise en place de dispositifs de cloud souverain fait-elle donc désormais partie d’une stratégie géopolitique à l’échelle nationale ou européenne ?

Le développement de solutions cloud dites « de confiance » est en tout cas énoncé dans les discours politiques comme une priorité stratégique, tant au niveau national qu’européen. En pratique, il s’agit de développer des capacités cloud, si ce n’est françaises, au moins européennes afin de limiter la dépendance aux acteurs américains. En somme, il s’agit de retrouver une autonomie stratégique dans le secteur numérique. 

En France comme en Europe, le cloud a d’abord été perçu comme une opportunité économique. Si cela a eu l’avantage de permettre le déclenchement de travaux autour du cloud, cette dimension économique a occulté des enjeux stratégiques pourtant essentiels. Cette compréhension incomplète du problème a conduit à des tâtonnements politiques qui ont finalement ralentit l’innovation. 

Cela s’est traduit, côté français, par le lancement en 2011 du projet Andromède de cloud souverain, projet ensuite scindé en deux initiatives -Cloudwatt et Numergy. Ces deux initiatives, soutenues financièrement par l’État français, étaient portées par des consortiums industriels concurrents. Elles se sont malheureusement soldées par un échec, en partie dû à une mauvaise gouvernance, à une méconnaissance de la technologie et de l’environnement industriel, et à une identification approximative du marché et de sa maturité. Côté européen, le cloud a suscité une certaine agitation entre 2012 et 2016. Il a notamment fait l’objet de deux stratégies propres et a été intégré dans la Stratégie pour un marché unique numérique en Europe. La Commission Européenne a également initié divers travaux, par exemple au sujet d’un code de conduite dans le cloud ou autour d’un projet de cloud à destination de la communauté scientifique européenne. Toutes ces initiatives n’ont cependant pas donné de résultats probants. 

C’est à partir de 2018 que les choses s’accélèrent, avec l’entrée en vigueur du Règlement européen sur la protection des données (RGPD), et avec la présentation de la doctrine française d’utilisation de l’informatique en nuage par l’État. Cette doctrine ne s’adresse qu’à l’administration publique mais incite vivement les services de l’État à intégrer de façon significative des solutions cloud dans leurs systèmes d’information. En tant que doctrine, elle avance des propositions concrètes pour l’organisation des différentes solutions de cloud. Toutefois, son calendrier reste flou. 

Enfin, le récent lancement du projet de cloud européen Gaia-X confirme la détermination des décideurs politiques à avancer sur le sujet du cloud. Gaia-X n’est cependant pas sans rappeler le projet de cloud souverain et ses déboires. Comme en 2011, il semble compliqué de faire monter en puissance de nouveaux acteurs alors que le marché est quasiment saturé par les fournisseurs américains, du moins pour ce qui est du cloud d’infrastructure. Les possibilités de coopération des 22 entreprises impliquées et parfois concurrentes est un autre point d’attention. Mais l’idée de faire de Gaia-X une place de marché décrivant de façon transparente les solutions cloud et mettant en avant les offres respectueuses des valeurs européennes est intéressante, et permettra peut-être de pallier ces inquiétudes. Des principes essentiels, comme la réversibilité et la portabilité des données, qui permettent à un utilisateur de résilier un service ou de changer de prestataire tout en gardant la main sur ses données, ou la transparence, notamment quant à la localisation des données et aux régimes juridiques auxquels elles sont soumises, sont également défendus dans le projet, ce qui est une très bonne chose.

Cette accélération des initiatives politiques, législatives et institutionnelles démontre le renforcement des velléités politiques et une prise de conscience des enjeux stratégiques liés au cloud. Il est toutefois difficile d’anticiper l’issue de cette nouvelle prise de positions. Il faudra pour cela en attendre les résultats concrets.

Quel rôle joue le ministère des Armées vis-à-vis de l’élaboration et de la mise en œuvre de cette stratégie ?

Le ministère des Armées est un acteur majeur du numérique en France, tant par son rôle dans la construction de la stratégie numérique française que par les moyens humains et financiers qu’il met en œuvre pour développer une cyberdéfense solide et cohérente. On peut donc raisonnablement prévoir qu’il tiendra une place importante dans l’élaboration et la mise en œuvre d’une stratégie cloud nationale. Mais pour l’heure, aucune stratégie nationale globale n’a été arrêtée. Seule la doctrine d’utilisation de l’informatique en nuage de l’État évoquée dans la question précédente propose une approche harmonisée de l’intégration du cloud et avance un plan d’action. Il s’agit d’une démarche interministérielle.

Cette doctrine doit se décliner dans l’ensemble des services étatiques. Elle concerne donc naturellement le ministère des Armées. La doctrine prévoit la création d’une offre cloud divisée en trois catégories de solutions, appelées « cercles ». Chacun des cercles sera amené à héberger des données de sensibilité différente, le cercle 1 étant destiné aux données les plus sensibles et le cercle 3, aux données peu sensibles. La gestion interne et les modalités d’externalisation des deux cercles les plus sensibles (dits « cloud interne » et « cloud dédié ») sont, pour l’instant, à la discrétion de chacun des ministères. Comme les autres ministères, le ministère des Armées (MinArm) est donc amené à proposer une stratégie industrielle et à mettre en place une feuille de route d’intégration du cloud dans ses services.

La mise en œuvre de la doctrine au sein du MinArm a finalement mis en exergue la complexité du sujet pour le Ministère, une complexité notamment due au haut niveau de sensibilité de certaines de ses données et à la particularité militaire du combat.

La technologie ne fait pas l’unanimité parmi les personnels du MinArm. Parce qu’elle consiste en l’externalisation de la gestion des SI, certains lui reprochent de ne pas être suffisamment sécurisée. La confidentialité des données, leur authenticité et leur disponibilité doivent effectivement être infaillibles. Sur un théâtre d’opérations, une information falsifiée, incomplète ou indisponible peut avoir des conséquences tragiques. Ces craintes sont à nuancer, ou du moins peut-on imaginer que les solutions adoptées sauront y répondre et traiteront les questions d’accessibilité aux données et de résilience. Différents degrés d’externalisation sont d’ores et déjà envisagés et il est prévu que certaines infrastructures restent « sur site » (on premise), au sein d’enceintes militaires. 

L’usage du cloud en combat est, lui aussi, envisagé ; le projet SCAF (Système de Combat Aérien Futur), par exemple, prévoit d’intégrer des senseurs reliés à un cloud tactique (aussi appelé « cloud de théâtre » ou « cloud de combat »). Ce cloud s’apparenterait d’ailleurs davantage à du edge computing. Mais le cloud tactique pose encore de nombreux défis, en particulier sécuritaires et d’interopérabilité. C’est donc probablement au sein du réseau d’entreprise, c’est-à-dire du parc informatique fixe, que le cloud sera dans un premier temps utilisé.

Pierre Noro coordonne la Chaire Digital, Gouvernance et Souveraineté de l’École d’Affaires Publiques de Sciences Po Paris, où il enseigne également sur la Blockchain et l’innovation sociale.

Clotilde Bômont est chercheure en géographie politique et doctorante à l’Université Panthéon-Sorbonne. Ses recherches portent actuellement sur l’intégration du cloud computing dans les systèmes d’information militaires et sur la souveraineté numérique. Elle est chercheure associée au Centre de recherche des Ecoles de Saint-Cyr Coëtquidan (CREC) et au centre de recherche et de formation GEODE – Géopolitique de la Datasphère. Allocataire de la DGRIS (Ministère des Armées), Clotilde est également rattachée à l’Institut de recherche stratégique de l’Ecole militaire (IRSEM). Vous pouvez retrouver les travaux de Clotilde Bômont sur ses comptes Twitter et LinkedIn.