Cloud souverain : Bleu démarre officiellement (ses prospections)
Avec un léger retard sur le calendrier initial, la déclinaison d’Azure en cloud souverain par Orange et Capgemini lance ses démarches commerciales. Mais le cloud de confiance ne sera pas disponible avant 2025 et son marché est paradoxalement déjà bien occupé.
Bleu, la version franco-française du cloud public Microsoft Azure par Orange et Capgemini, a officiellement débuté sa commercialisation. Ou plus exactement sa campagne de prospection. Dans les faits, ses services en ligne ne seront pas disponibles avant la fin de cette année. Par ailleurs, ce cloud public porte l’enjeu de proposer une déclinaison souveraine des services en ligne de Microsoft, mais le label « Cloud de confiance 3.2 » nécessaire à l’adhésion des entreprises qui ont véritablement besoin d’un cloud souverain ne devrait pas lui être attribué avant 2025.
« Nous travaillons dès aujourd’hui avec des entreprises et des organismes publics français pour qu’ils soient prêts à migrer lorsque les premiers services seront disponibles sur la plateforme », explique ainsi un communiqué conjoint d’Orange et Capgemini. Le calendrier accuse un retard modeste : les deux acteurs annonçaient en 2022 que ce travail, qui consiste surtout à convaincre leurs clients actuels de migrer vers Bleu, débuterait dès 2023.
« Capgemini et Orange ont lancé le projet Bleu en partenariat stratégique avec Microsoft, dans le but de répondre aux besoins cloud spécifiques de l’État, des collectivités territoriales, des hôpitaux et des entités publiques ou privées reconnues comme Opérateurs d’Importance Vitale (OIV) ou Opérateurs de Services Essentiels (OSE). Bleu leur permettra d’utiliser les services Microsoft 365 et Microsoft Azure », énumère le communiqué.
Née en 2021, à la suite d’un discours fondateur du ministre de l’Économie Bruno Lemaire sur le concept de « Cloud de confiance », l’idée de Bleu consistait dès le départ à proposer, comme OVHcloud, Scaleway et OutScale, un cloud local libéré des tutelles extraterritoriales, mais sans toutefois partir d’une page blanche. Entre une première expérience malheureuse avec Cloudwatt dans les années 2010 et l’intérêt grandissant, en pleine pandémie, d’utiliser les logiciels de Microsoft en version cloud, Orange et son partenaire Capgemini ont été les premiers à imaginer copier-coller l’infrastructure d’Azure.
Azure et les autres hyperscalers américains contraints de s’adapter à la souveraineté
Une décision qui, officiellement, aurait immédiatement ravi Microsoft : « nous sommes fiers de notre partenariat avec Bleu qui permettra de déployer nos solutions de collaboration Microsoft 365 et nos services Microsoft Azure dans leur future plateforme de cloud de confiance », déclare encore aujourd’hui Judson Althoff, le patron des clients grand compte chez Microsoft.
Et pour cause : les observateurs anticipent que Bleu coûtera plus cher qu’un hyperscaler américain, que ses clients hébergeront donc ailleurs les données et les applications qui n’ont rien à craindre des lois extraterritoriales et qu’ils se tourneront vers Azure plutôt que son concurrent AWS pour des raisons de simplicité. En partageant sa technique, Microsoft s’assure d’imposer son format à tous les clients de Bleu.
Bleu semble une si bonne idée, que d’autres hyperscalers américains ont encouragé de grands prestataires français de services informatiques à répliquer le modèle sur la base de leurs technologies. Quelques mois après l’annonce de Bleu, Google s’associait à Thalès pour décliner son cloud public GCP en une version franco-française baptisée S3NS. Oracle, de son côté, proposait dès 2022, au travers de son nouveau programme Alloy, de revendre à quiconque en voudrait une version en marque blanche de l’infrastructure de son cloud OCI.
Mais il ne semble pas si simple de convaincre les acteurs locaux de construire à leurs frais des datacenters GPC ou OCI. La société S3NS a fini par sortir de terre au début de l’année 2023, mais elle n’a toujours rien d’un cloud de confiance. À commencer par son absence d’immobilier en propre. Son activité consiste à exploiter une partie des data centers de GCP en France (soumise au droit américain, donc) et à chiffrer ses contenus avec des clés détenues par Thalès.
Quant à Alloy, si aucun contrat n’a encore été signé avec un grand hébergeur local, Oracle a réussi malgré tout à répliquer le modèle actuel de S3NS : depuis septembre, il est devenu possible de souscrire à certains services chez OCI en faisant chiffrer les données qui y sont traitées avec des clés détenues par une entreprise française. Faute d’alternative, c’est là aussi Thalès qui incarne le propriétaire des clés.
Pour Oracle et les autres hyperscalers américains, la France avec sa réglementation ultra souveraine SecNumCloud 3.2 serait une exception en Europe. Partout ailleurs sur le continent, les fournisseurs américains ont trouvé une parade pour se plier à des réglementations protectionnistes moins sévères : ils commercialisent des services cloud basés sur leurs technologies via des filiales de droit européen, occupées par des salariés uniquement européens. Et comme il s’agit de leurs propres datacenters, les tarifs de leurs clouds souverains ne sont pas nécessairement beaucoup plus élevés que ceux de leurs clouds non souverains.
Les data centers qui hébergent ces services américains, peinturlurés à l’envi de contrats européens, sont appelés des « landing zones souveraines ». Les filiales qui les exploitent s’appellent Microsoft Cloud for Sovereignty chez Azure, European Sovereign Cloud chez AWS, Oracle Sovereign Cloud chez OCI.
Google semble à la traîne dans la construction de landing zones souveraines en Europe. En revanche, il a bel et bien réussi à répliquer le modèle de Bleu en Allemagne, où T-Systems a construit et exploite un GCP « souverain ». Plus cher que l’original, bien entendu.
Les vrais rivaux de Bleu : les Français OVHcloud, 3DS OutScale et Iliad
De fait, les vrais concurrents de Bleu en France sont exclusivement les acteurs locaux du cloud. En tête, OVHcloud avait obtenu les premières qualifications SecNumCloud pour des offres de cloud privé dès 2021. Ces jours-ci, il vient d’obtenir la certification SecNumCloud 3.2 pour un troisième datacenter, sur son site de Gravelines. Les deux autres sont situés sur ses sites de Roubaix et de Strasbourg.
Au cœur de ces clouds de confiance, ici systématiquement privés, on trouve des infrastructures qu’OVHcloud a lui-même mises au point, mais qui sont bien plus modulaires que celles des hyperscalers américains. OVHcloud peut les configurer avec les couches de virtualisation de VMware, de Nutanix, de NetApp ; comme les entreprises utilisaient déjà les mêmes dans leurs data centers, la question de se plier à un nouveau format propriétaire ne se pose même pas.
Et puis, OVHcloud a déjà réussi à faire venir sur ses infrastructures des champions historiques du logiciel : SAP, ServiceNow, Veeam. La quarantaine de services PaaS qu’il propose en cloud public pourrait par ailleurs être certifiée SecNumCloud 3.2 avant la fin de l’année.
Face à OVHcloud, son concurrent historique Iliad (qui regroupe les hébergeurs de cloud public Scaleway et privé Free Pro) compte désormais peser plus que jamais dans les infrastructures souveraines, pas seulement en France, mais dans toute l’Europe. Après avoir lourdement investi dans la puissance de calcul de Scaleway pour garantir des traitements d’IA qui ne sortiront jamais du territoire, le groupe a mis ces derniers jours FreePro sur les rails de la certification SecNumCloud. Un peu tard toutefois : il y a peu de chances que FreePro soit qualifié avant Bleu.
En revanche, on sait déjà que l’offre reposera sur les mêmes recettes que celles d’OVHcloud : on y trouvera des services déclinés depuis des logiciels qui existent déjà dans les data centers des grandes entreprises, ce qui facilitera d’autant plus les migrations, comparativement aux plateformes propriétaires des hyperscalers américains.
Troisième hébergeur de cloud français d’envergure internationale, 3DS Outscale fut le tout premier à obtenir la qualification SecNumCloud en 2019. Historiquement plus orienté sur des services en rapport avec les clients industriels de sa maison mère, Dassault Systèmes, 3DS OutScale peut se targuer d’être le seul des trois acteurs français à avoir obtenu, en décembre, la certification SecNumCloud 3.2 pour l’ensemble de ses services d’infrastructure de cloud public. Et cela comprend sa flotte de GPUs, lesquels lui donnent une avance certaine sur les projets d’IA. Projets d’IA dont les entreprises françaises seraient, selon une étude de Dell, les plus friandes au monde courant 2024.
La problématique du cloud souverain en France : l’embarras du choix
Mais la plus grande force actuelle de 3DS OutScale est sans doute de faire partie du consortium NumSpot. Cocréée avec Docaposte (dont le directeur-adjoint est Guillaume Poupard, l’ex-patron de l’ANSSI, l’autorité qui délivre les certifications SecNumCloud), Bouygues Telecom et la Banque des Territoires, NumSpot a pour mission d’aller vendre le cloud de confiance de 3DS Outscale aux banques, à l’État et aux établissements de santé.
Et l’offre française en matière de cloud de confiance ne s’arrête pas là. Né en 2017, le petit hébergeur Cloud Temple a obtenu la qualification SecNumCloud sur son offre IaaS en 2022. Comptant depuis décembre un nouveau directeur stratégique en la personne de l’ex-fonctionnaire Nicolas Dufour (jusqu’ici l’un des principaux architectes de la transformation digitale de l’État), il se donne désormais comme objectif d’héberger sous son label Cloud de confiance l’essentiel des applications SaaS qu’utilise l’administration française. Pour y parvenir, il lui reste à faire valider dès ce trimestre le socle technique de toutes ces solutions : le système OpenShift de Red Hat.
Comment l’offre de Bleu s’articulera-t-elle avec tous ces autres clouds de confiance ? À vrai dire, peu d’éléments permettent de le prédire.
Orange commercialisait déjà son cloud franco-français, Flexible Engine, avec, comme OVHcloud, une partie privée qui repose sur les logiciels de VMware, Cloud Avenue. Pour autant, OBS, sa filiale dédiée aux services numériques, n’a jamais autant communiqué qu’OVHcloud sur sa supposée volonté de peser dans le cloud de confiance, présentant même Flexible Engine et Cloud Avenue – qui n’ont à date pas de certification SecNumCloud – comme une antichambre des hyperscalers américains.
Capgemini, qui a placé à la tête de Bleu son ancien directeur de la transformation, Jean Coumaros, est quant à lui associé à OVHcloud depuis 2019, pour commercialiser son cloud auprès des administrations.
Tout porte à croire que les entreprises françaises, publiques comme privées, qui ont besoin d’un cloud de confiance, sont actuellement plus concernées par l’embarras du choix que par la nécessité d’attendre encore un an l’arrivée de Bleu.