Cloud souverain : pourquoi la France appuie l’expansion d’OVHcloud
L’hébergeur tricolore a inauguré un nouveau bâtiment de serveurs pour remplacer celui détruit par les flammes en 2021. Le gouvernement a saisi l’occasion pour rappeler ses ambitions en termes de souveraineté numérique.
Un an et demi après l’incendie qui a détruit deux de ses data centers, OVHcloud a inauguré cette semaine à Strasbourg un nouveau bâtiment SB5 de 1 700 m2, sur fond de cloud souverain. Destiné à remettre en production la même quantité de serveurs que celle disparue dans les flammes – mais pas encore à étendre la flotte au-delà –, ce datacenter se veut le nec plus ultra en matière de sécurité et d’économie d’énergie.
Surtout marquée par la présence des ministres Bruno Le Maire (économie & finances) et Jean-Noël Barrot (transition numérique), ainsi que du commissaire européen Thierry Breton (marché intérieur), cette inauguration marque symboliquement une nouvelle étape politique dans la stratégie de souveraineté numérique en Europe. À cette occasion, Michel Paulin – le directeur général d’OVHcloud – a d’ailleurs été officiellement nommé président d’un nouveau comité stratégique de filière (CSF) « Numérique de confiance » censé encourager l’offre française face aux solutions américaines aujourd’hui largement dominantes.
« Nous ne sommes pas protectionnistes, mais nous voulons protéger un certain nombre de données qui sont sensibles. »
Bruno Le MaireMinistre de l’Économie et des Finances
« Nous ne sommes pas protectionnistes, mais nous voulons protéger un certain nombre de données qui sont sensibles (…) Je ne vois pas au nom de quoi, au nom de qui, nous accepterions que la justice américaine puisse se saisir de données qui sont essentielles pour notre souveraineté et pour notre indépendance », a expliqué dans son discours le ministre de l’Économie, en référence au CLOUD Act américain.
Un contexte de souveraineté numérique
Cette loi extraterritoriale du CLOUD Act donne le droit à n’importe qui aux USA de faire une demande en justice pour lire les données – en général de ses concurrents – qui sont hébergées par des entreprises américaines. En l’occurrence par les géants du cloud public Amazon AWS, Microsoft Azure et Google GCP. Et, ce, quel que soit l’endroit dans le monde où ces données sont hébergées. Faire héberger ces données chez leurs concurrents français OVHcloud, Scaleway, ou encore 3DS Outscale, permettrait d’éviter cet écueil.
La volonté de la France est d’autant plus marquée dans ce contexte que les trois hébergeurs français font partie des plus importants fournisseurs européens de cloud public. Eux mis à part, les hébergeurs de l’UE privilégient dans l’ensemble des offres de cloud privé. Celles-ci sont beaucoup plus chères, car elles reposent sur des machines physiques dédiées à un client et sécurisées pour lui seul. La thèse qui domine en Europe est que, dès lors qu’il y a besoin de mettre à l’abri des données critiques, il suffit de passer par des clouds privés européens pour se protéger des lois extraterritoriales américaines.
Pour autant, cette solution ne fonctionne pas techniquement. Les entreprises ayant un mix de données critiques et non critiques ont besoin de cloud hybride. Or, le cloud hybride n’est possible que si la partie privée et la partie publique partagent la même technologie. Les trois hébergeurs français proposent les deux types de clouds. Les offres privées d’OVHcloud et de 3DS Outscale ont même reçu du gouvernement le double label SecNumCloud/Cloud de confiance, ce qui les valide, par extension, comme des fournisseurs de cloud hybride pour les entreprises les plus critiques (OIV, administrations…).
« On a vu naître en France, sous l’impulsion des Américains Azure et de GCP, les projets Bleu et S3nse. Ils consistent à prendre la technologie de la partie publique et à la confier à un hébergeur local pour qu’il en fasse un cloud privé, de droit français, mais compatible avec un cloud américain. Cependant, ce ne sont que des projets. En attendant qu’ils voient le jour – s’ils voient le jour –, c’est un message qu’envoient Azure et GCP aux entreprises pour leur dire d’aller chez eux dès aujourd’hui », commente Quentin Adam, président de l’association Open Internet Project qui milite pour utiliser des technologies locales.
« En passant par un cloud américain, vous mettrez vos données critiques, personnelles et industrielles sous la tutelle de tel moteur d’IA ou de tel traitement décisionnel de droit américain. »
Quentin AdamPrésident de l'association Open Internet Project
« L’argumentaire des clouds américains est qu’ils auraient plus de fonctions logicielles à offrir. Voilà où est le piège : il faut arrêter de voir le cloud sous le seul prisme de l’infrastructure et de la nationalité de son propriétaire. La réalité est que le cloud est in fine juste un nouveau moyen de vendre des logiciels. Et en passant par un cloud américain, vous mettrez vos données critiques, personnelles et industrielles sous la tutelle de tel moteur d’IA ou de tel traitement décisionnel de droit américain », ajoute-t-il, en affirmant que, paradoxalement, nombre de technologies du numérique ont été développées par des Français pour les Américains.
« Il ne faut pas laisser croire que les fonctions logicielles les plus intéressantes sont seulement chez les Américains. Chez OVHcloud, nous avons plus de 80 services, qui vont de la virtualisation au Machine Learning, en passant par les containers et les bases de données décisionnelles. L’offre locale est pleinement satisfaisante et nous l’améliorons sans cesse », enchérit Michel Paulin. L’idée sous-jacente d’OVHcloud est qu’il héberge des éditeurs de logiciels européens.
Reste à convaincre le reste de l’UE qu’il faudrait privilégier des acteurs comme OVHcloud au détriment d’AWS, Azure et GCP. En Allemagne, par exemple, le label C5, équivalent local du label SecNumCloud français, se satisfait d’un data center implanté sur le sol européen, qu’importe si l’hébergeur qui le possède est américain.
« Il faut juste savoir ce que l’Europe veut devenir. Est-ce qu’elle veut être un continent souverain ou pas ? », s’agace Bruno Le Maire.
« Il n’est pas question que la justice américaine puisse, au nom du droit américain, récupérer des données qui nous appartiennent sur le sol européen. C’est la position de la France, c’est la position d’un certain nombre de partenaires européens. D’autres sont plus conciliants avec ce principe de souveraineté. Mais je crois que, depuis quelques mois, notamment à la faveur de la crise que nous connaissons actuellement énergétique et économique, chacun est en train de prendre conscience en Europe, en Allemagne et ailleurs, de l’importance du principe de souveraineté », dit le ministre de l’Économie.
« Nous avons eu ces mêmes discussions en amont du DSA et du DMA [Digital Service Act et Digital Market Act, respectivement lois européennes sur les services et les marchés numériques, N.D.R.]. Et finalement, à l’unanimité des États membres, nous avons fini par trancher. Donc, j’ai bon espoir que ce que nous avons fait pour l’espace informationnel, et notamment en ce qui concerne nos données personnelles, nous le fassions évidemment pour les données industrielles », ajoute Thierry Breton.
Un datacenter qui se veut exemplaire
Deux des six salles du nouveau bâtiment SB5 sont pour l’heure occupées, soit un tiers des 16 000 serveurs physiques qui seront à terme en production. Après l’incendie qui avait, en une nuit, effacé d’Internet les sites commerciaux de plusieurs milliers d’entreprises, OVHcloud s’est efforcé de déployer cette fois un site qu’il qualifie à la fois « d’hyper-résilience » et d’excessivement conservateur en termes de développement durable. Le principe architectural et technique du nouveau bâtiment SB5 devrait être décliné au cours des prochains mois sur les autres sites de l’hébergeur, dans le nord de la France.
« Concernant la consommation énergétique, le point le plus saillant de SB5 est qu’il n’y a plus de climatisation dans les salles ! À la place, nous avons installé des systèmes de refroidissement par eau sur chacun des processeurs et des GPU de nos serveurs. Ces tuyaux d’eau froide permettent de capturer 80 % de la chaleur émise par les serveurs. Les 20 % restants sont évacués des salles par de simples ventilateurs », explique ainsi Georges de Gaulmyn (en photo au début de l’article), le directeur industriel d’OVHcloud.
Des serveurs OVHcloud refroidis par eau sur leurs puces.
Selon lui, ce système permettrait à SB5 d’obtenir un score PUE de 1,1 à 1,2, contre une moyenne de 1,57 pour le reste des data centers en France. Dans le PUE, tout ce qui se trouve après la virgule correspond aux dépenses énergétiques supplémentaires, celles qui ne servent pas à alimenter les serveurs. Et qui servent en général à les refroidir. « En moyenne, nous consommons 35 % d’électricité en moins que nos concurrents », se félicite-t-il.
Fait notable, les serveurs sont des cartes mères rangées les unes au-dessus des autres, sans aucun boîtier autour. Il s’agit manifestement de la condition pour faire entrer et sortir les tuyaux d’eau par un côté des machines, sans augmenter leur épaisseur. Ces serveurs n’ont pas non plus de ventilateurs. Les 20 % de chaleur restants sont simplement dilués dans l’air ambiant.
« Nous utilisons entre 0,17 et 0,2 litre par kilowattheure. C’est-à-dire un verre d’eau pour dix heures de fonctionnement d’un serveur. »
Georges de GaulmynDirecteur industriel, OVHcloud.
Le circuit d’eau est double. Le premier, celui qui capture la chaleur dans les serveurs, échange ses calories avec un second, dont la température est refroidie par l’air extérieur, via un échangeur thermique. Les deux circuits sont étanches.
« Nous utilisons entre 0,17 et 0,2 litre par kilowattheure. C’est-à-dire un verre d’eau pour dix heures de fonctionnement d’un serveur. C’est huit à neuf fois moins que nos concurrents », assure Georges de Gaulmyn. Il reconnaît que l’air de la salle est aussi rafraîchi par projection de minuscules gouttelettes d’eau environ 50 jours par an, lorsque la température estivale est trop élevée. Le système, dit adiabatique, est du même type que celui mis en œuvre depuis plusieurs années chez le concurrent Scaleway.
Des sauvegardes désormais offertes
Contre les risques d’incendie, on dénombre : des salles serveurs et réseau plus petites avec un nombre de racks limité à 200, des salles dédiées aux batteries et aux onduleurs, véritablement séparées et situées à l’extérieur du bâtiment, des murs en béton qui résistent deux heures au feu autour de chaque installation, des accès pompiers tout autour, des détecteurs de fumée un peu partout en double exemplaire et des extincteurs automatiques par propulsion de gaz inerte.
Mais le plus important est ailleurs. Dorénavant, chaque client d’OVHcloud se verra offrir un service de sauvegarde de ses données dans un autre data center, situé à au moins 200 kilomètres. « Oui, ce service est compris dans le prix. Mais nous ne l’activons que si les clients en font la demande. Nous ne pouvons pas prendre la liberté de copier les données de nos clients sans leur accord », précise Georges de Gaulmyn.
D’après les informations que LeMagIT a pu obtenir, ce service de sauvegarde gratuit sera disponible d’ici à novembre. Il s’agira plus vraisemblablement d’un archivage – comprendre des données restaurables en entier, après un incident, et conservées sur des systèmes dits de stockage longue durée. A priori, les clients d’OVHcloud ne pourront pas s’en servir pour restaurer au quotidien des données perdues par erreur (e-mails et fichiers effacés un peu trop vite par les collaborateurs, etc.). La sauvegarde d’appoint restera vraisemblablement un service commercialisé en option.
Toujours pas d’analyse officielle de l’incendie de 2021
Lors de l’incendie de 2021, nombre de clients d’OVHcloud n’ont compris que trop tard que la sauvegarde de leurs données à des fins de reprise d’activité n’était pas automatique. Il s’agissait d’un service auquel ils auraient dû souscrire en option. Cette approche commerciale n’était pas propre à OVHcloud : encore de nos jours, aucun cloud public n’effectue de sauvegarde gratuite pour le compte de ses clients.
L’analyse post-mortem de l’incendie de 2021 n’a toujours pas été officiellement publiée. Les éléments connus sont que, quelques heures après une intervention sur un onduleur, celui-ci aurait explosé et aurait enflammé des batteries remplies de carburant ; les experts se demandent pourquoi elles étaient entreposées à côté.
Le feu aurait ensuite été amplifié au-delà des scénarios classiques à cause de l’impossibilité de couper l’électricité. À l’époque, la résilience chez OVHcloud, et dans de nombreux autres datacenters, revenait à dire qu’il ne fallait jamais que les machines s’éteignent. Pouvoir couper le courant au général n’était pas encore une bonne pratique.
Après que le feu a suffisamment gagné en énergie pour faire tomber les portes coupe-feu – et malgré des systèmes d’extinction réglementaires, mais totalement dépassés par la violence des flammes –, l’incendie se serait propagé dans les salles serveurs situées à tous les étages du bâtiment, à la faveur de la circulation de l’air. Conçu avec une louable ambition écologique, le bâtiment SB3 refroidissait en effet ses salles par une ventilation naturelle dont l’efficacité reposait sur une cour intérieure à ciel ouvert. Cette cour aurait servi de cheminée.
À date, les accusations de construction au rabais, à l’époque formulées par les concurrents d’OVHcloud, ne semblent pas fondées. Y compris celles qui concernaient le plancher en bois, puisqu’il s’agit de l’un des seuls éléments qui ne se soient pas écroulés. L’architecture du bâtiment correspondait a priori aux standards du moment, avant que son incendie ne révèle à tout le secteur les failles du modèle.
