D’abord réticent à spécialiser ses solutions pour le cloud souverain, SAP semble avoir pris la mesure de cet enjeu et affirme y répondre de différentes manières, suivant les exigences des autorités nationales. Les hyperscalers américains ne sont jamais très loin.
En novembre, SAP a annoncé la disponibilité générale d’une offre de cloud « souverain » au Royaume-Uni. Celle-ci a été financée dans le cadre d’un investissement de 250 millions d’euros dans le pays entamé en 2021.
« Dans l’environnement mondial complexe d’aujourd’hui, il est vital pour nos clients de comprendre que leurs données, ainsi que nos solutions et services, sont sécurisées », avance Leila Romane, directrice régionale, SAP UK & Ireland, dans un communiqué de presse. « Ceux-ci sont gérés par du personnel ayant reçu une habilitation de sécurité dans des installations locales dédiées et sécurisés ».
Dans le détail, SAP fournit SAP S/4HANA Private Cloud Edition, SAP SuccessFactors HCM, SAP Business Technology Platform (BTP), SAP Analytics Cloud, Fieldglass et Digital Supply Chain, « y compris IBP » aux administrations britanniques. D’autres services seront prochainement disponibles.
SAP entend ainsi répondre à la stratégie de services partagés du gouvernement du Royaume-Uni. Celle-ci consiste à passer de 286 systèmes silotés à 5 solutions ERP pour cinq clusters – Defence, Overseas, Synergy, Matrix et Unity – rassemblant 18 départements.
Le cloud souverain britannique de SAP cible plus particulièrement les besoins du ministère britannique, membre du cluster « Defence », ainsi que ceux du gouvernement central, des entreprises du secteur de l’aérospatial et de la défense ou des fournisseurs d’énergies.
Sans contextualisation, SAP a annoncé en parallèle que les départements du cluster Unity déploieront Ariba, Successfactors et la BTP dans le cadre du programme RISE With SAP. C’est Deloitte qui est responsable du projet pour le compte du département des Recettes et Douanes de Sa Majesté (HRMC), des transports, ainsi que celui du logement, des communautés et du gouvernement local. Une partie des systèmes interagiront avec les applications Microsoft 365.
De fait, les trois départements convertiront une grande partie de leurs systèmes ECC6 vers un ERP S/4HANA commun pour la gestion des finances, des achats, des RH et de la paie des fonctionnaires. Un projet devant s’étaler jusqu’en 2027 et qui devrait coûter 366 millions de livres (environ 442 millions d’euros), en comptant l’intervention de Deloitte avec le soutien d’ArvatoConnect.
La majeure partie des éléments déployés pour les autorités britanniques du cluster Unity le seront sur des instances cloud hébergées et gérées au Royaume-Uni. En début d’année, le gouvernement a signé de gros contrats avec AWS, selon ComputerWeekly, une publication sœur du MagIT. En 2021, Capgemini rapportait que le HRMC avait migré sa plateforme SAP vers Azure (plus de 500 VMs) avec son aide.
Trois degrés de souveraineté… compatibles avec les hyperscalers
Hormis la volonté de couvrir toutes les facettes des stratégies cloud gouvernementales, SAP distingue trois aspects de la souveraineté, à savoir la souveraineté des données, opérationnelle et technologique.
Les offres sous l’appellation SAP Sovereign Cloud doivent assurer l’hébergement localisé des données (dont la télémétrie), l’appel au personnel de support accrédité vivant dans le pays et travaillant depuis des bureaux sécurisés, ainsi que la mise en place d’un control plane local et des logiciels « durcis » respectant la norme de cybersécurité NIST 800-53. C’est une offre proposée aux États-Unis (via SAP NS2), au Royaume-Uni, en Australie, en Nouvelle-Zélande et au Canada.
En 2021, l’éditeur allemand souhaitait profiter des services d’AWS, de GCP et de Microsoft Azure pour ses offres « souveraines ». Il ne précise pas dans ses derniers communiqués s’il s’appuie sur ces plateformes, mais les offres d’emploi actuellement ouvertes semblent indiquer que, pour propulser ses offres souveraines, SAP exploite au Royaume-Uni des technologies des hyperscalers. Il faut parcourir un document dédié à l’offre australienne pour comprendre que l’éditeur propose à ses clients d’externaliser le chiffrement de données et place la gestion du plan de contrôle réseau dans les mains de ses équipes, tandis que les clients peuvent utiliser des liens privés vers les services d’AWS, de GCP ou d’Azure.
Tant que le control plane est localisé, comme avec une offre de type GovCloud, ce n’est normalement pas un problème pour les alliés les plus proches des États-Unis de s’appuyer sur les solutions des hyperscalers américains. D’autant que l’éditeur allemand peut proposer des déploiements privés ou hybrides, pour les usages les plus critiques.
Par exemple, le ministère de la défense britannique a déjà accès à MODCloud, une solution permettant de déployer des services IaaS d’AWS et d’Azure. Ces instances hébergent des données classées « officielles », c’est-à-dire des données rendues publiques.
Souveraineté : SAP investira 2 milliards d’euros en Allemagne
Du fait de l’exposition potentielle à la législation américaine (CLOUD et FISA Act), cette option n’est pas compatible avec l’ensemble des politiques de certains des membres de l’Union européenne, notamment de l’Allemagne. Là, SAP a annoncé en septembre 2024 y investir deux milliards d’euros sur dix ans, soit huit fois plus qu’au Royaume-Uni.
SAP avait déjà un partenariat avec Arvato Systems de Bertelsmann pour proposer une infrastructure cloud souveraine, au sens français du terme. Cet investissement supplémentaire implique à la fois le renforcement du partenariat avec Arvato, mais aussi des capacités de Delos Cloud, une filiale de SAP mise sur pied pour répondre aux exigences des services publics. Ces deux initiatives impliquent un troisième partenaire : Microsoft. Celui-ci fournit la pile logicielle, Azure Local (ex-azure Stack HCI), ainsi que Microsoft 365.
Ici, les données et la télémétrie doivent rester sur le sol allemand, les infrastructures sont « physiquement séparées » de Microsoft et Delos avec l’aide d’Arvato qui peut opérer les infrastructures en « autosuffisance » (en cas de crise) et en indépendance de Microsoft.
Delos Cloud applique les mêmes mesures prises par les fournisseurs d’offres qualifiées SecNumCloud. Il s’agit d’une personne morale allemande respectant le droit local et rendant des comptes en matière de cybersécurité au BSI, l’équivalent de l’ANSSI en France.
Selon Beterlsmann, la première moitié de l’année 2025 sera consacrée au déploiement des briques Azure Local, puis les services PaaS ainsi que Microsoft 365 seront progressivement déployés lors de la deuxième moitié de l’année 2025.
« Notre objectif est de fournir au gouvernement fédéral, aux États et aux collectivités locales le premier cloud hyperscale souverain à partir de 2025, qui répondra pleinement aux exigences en matière de plateforme cloud de l’Office fédéral allemand pour la sécurité de l’information (BSI) », Nikolaus Hagl, PDG désigné de Delos Cloud, dans un communiqué de presse.
« Conscients que les exigences en matière de souveraineté diffèrent et nécessitent des solutions sur mesure, nous avons élargi notre portefeuille pour défendre la souveraineté numérique en Allemagne. »
Martin MerzPrésident des services de cloud souverain, SAP
Une deuxième offre, directement opérée par SAP, doit remplir des accréditations nécessaires pour gérer les informations classifiées VS-NfD du gouvernement allemand. Ce sont des données non publiques, mais accessibles à l’ensemble des employés gouvernementaux. « L’infrastructure cloud est fournie dans des centres de données allemands et exploitée localement par SAP de sorte que toutes les données restent en Allemagne », indique l’éditeur. Un premier niveau de service est accessible depuis le début du mois de décembre 2024, tandis qu’il a déjà prévu de prendre en charge d’autres services d’ici à 2026.
« Conscients que les exigences en matière de souveraineté diffèrent et nécessitent des solutions sur mesure, nous avons élargi notre portefeuille pour défendre la souveraineté numérique en Allemagne », avance Martin Merz, président des services de cloud souverain chez SAP, dans un post sur LinkedIn. Le responsable a été nommé en octobre 2024. Il y a un mois, SAP ouvrait un bureau dédié aux offres sécurisées à Dubai, ville phare des Émirats arabes unis, un pays à cheval sur la notion de souveraineté.
SAP à la recherche d’un responsable de l’alliance avec Bleu
En France, SAP mise sur Bleu. De fait, la joint-venture entre Orange, Capgemini et Microsoft s’appuient sur les mêmes fondations que l’offre construite avec Arvato Systems : Azure Local, toujours. Après un événement peu mis en avant en septembre 2024, Olivier Nollent, directeur général de SAP France, avait confirmé cette « intention » lors de la convention des utilisateurs francophones de SAP (USF), le 10 octobre dernier.
Le 4 décembre 2024, SAP a partagé une offre d’emploi confirmant qu’il est à la recherche d’un responsable des alliances et du programme souverain « Bleu/France », supervisé par son entité Sovereign Services & Delivery.
Peu importe la nuance choisie, l’indépendance technologique reste toute relative. C’est une crainte exprimée en France par Philippe Latombe, député de la première circonscription de Vendée, mais aussi par des responsables politiques allemands. La confiance en Delos Cloud, qualifié par certains d’un « cloud Microsoft dans un manteau Delos », est loin d’être acquise, selon les médias allemands Netzpolitik.org et Computerwoche.
Enfin, précisons que d’autres offres tierces à velléité souveraine sont disponibles. Par exemple, T-Systems propose une solution estampillée Rise With SAP hébergée sur son cloud privé installé en Allemagne. OVHcloud, lui, peut accueillir SAP HANA en BYOL installé par Sopra Steria sur des machines bare-metal estampillées SecNumCloud.
