Face à Amazon et Google, faut-il relocaliser le cloud ?

Vers le site usbeketrica.com 

 


Face à Amazon et Google, faut-il relocaliser le cloud ?
Image d'illustration © Damien Pollet / Flickr

Face aux leaders américains du secteur du cloud que sont Amazon et Google, l’Europe ambitionne d’offrir ses propres alternatives. Pour des raisons commerciales mais aussi juridiques.

- 29 October 2020

« Un véritable raz-de-marée. » Voilà comment le média spécialisé Le Journal du Net décrit, le 30 mars dernier, l’explosion de la « demande en services cloud » de Microsoft. En pleine période de confinement, la société américaine indique alors faire face à une augmentation « de 775 % » de ses requêtes dans les régions les plus touchées par le coronavirus. Amazon Web Services et Google Cloud, autres poids lourds du secteur, ne sont pas en reste. Face à la sollicitation croissante du réseau Internet indirectement provoquée par la pandémie, les sociétés d’informatique « en nuage » (cloud computing) aménagent à la hâte des plans de continuité de leurs activités. Objectif : éviter à tout prix un quelconque dysfonctionnement qui pourrait mettre en danger les données qu’elles hébergent. Les semaines passent, la demande se stabilise… et l’inondation n’a heureusement pas lieu.

Un marché en pleine expansion

Il faut dire que l’expansion de ces « nuages d’ordinateurs » qui stockent précieusement les données en ligne de millions d’utilisateurs aux quatre coins du monde connaît depuis quelques années une accélération inédite - chez les entreprises comme chez les particuliers. À la différence des autres formes d’externalisation informatique, rappelons que le cloud computing permet notamment au fournisseur de déplacer si nécessaire les données d’un serveur à un autre afin d’en optimiser les coûts. Mails, vidéo à la demande, logiciels… Quasiment tous les outils numériques sont concernés. Et même si l’impact environnemental d’un tel dispositif fait de plus en plus réagir, d’après des projections relayées par Le Monde, le marché mondial du cloud public devrait représenter à lui seul 354,6 milliards de dollars en 2022, contre 266,4 milliards de dollars aujourd’hui (et « seulement » 196,7 milliards de dollars en 2018).

Un cloud européen...

« J’en suis convaincu, la période actuelle a renforcé une tendance à l’œuvre depuis plusieurs années déjà », estime Jean Larroumets, co-fondateur de l’entreprise de gestion des « risques cyber » EGERIE. « Le recours au cloud a été renforcé par le confinement et va être très vraisemblablement accéléré avec la deuxième vague que nous sommes en train de vivre, confirme Paul-Olivier Gibert, président de l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP). On est en train d’assister à une pérennisation du recours à ces outils. » Or, comme souvent en matière de numérique, l’enjeu est aussi très politique.
En janvier 2020, la toute première tentative de « cloud souverain » français s’est soldée par un échec

En janvier 2020, la toute première tentative de « cloud souverain » français s’est ainsi soldée par un échec, Orange fermant officiellement les portes de sa filiale Cloudwatt. Promise à un avenir radieux, elle avait été lancée en 2012 par le géant des télécoms mais aussi le groupe Thales, formant avec sa concurrente Numergy (créée la même année par SFR et Bull) les hypothétiques « alternatives nationales » aux géants américains Amazon, Microsoft ou encore IBM. L’État s’était lui-même investi dans l’affaire en finançant 75 des 225 millions d’euros de chacun de ces deux projets.

Mais comme le raconte dans une note d’analyse Pierre Noro, coordinateur de la Chaire « Digital, Gouvernance et Souveraineté » de l’École d’Affaires Publiques de Sciences Po, les deux jeunes pousses ont peiné, au fil du temps, « à atteindre leurs objectifs » : « Elles [étaient] issues d’entreprises non-spécialistes du cloud, elles ne [bénéficiaient] pas des économies d’échelle qu’aurait permises une mutualisation de leurs ressources, et elles [développaient] toutes les deux des produits (...) ayant un avantage concurrentiel limité. »

Dépendances vis-à-vis de la Chine et des États-Unis

Résultat : quelques années plus tard, le constat est sans appel. Selon des chiffres publiés au troisième trimestre 2019, Amazon Web Services continue d’écraser la concurrence en matière de cloud. Avec 39 % de part du marché mondial, il devance ses compatriotes Microsoft Azure (19 %) et Google Cloud (9 %), mais aussi ses rivaux chinois comme Alibaba Cloud (5 %).

Autre symbole de cet échec, la réussite (pourtant beaucoup plus modeste) des entreprises françaises est souvent elle-même dépendante d’autres acteurs internationaux. Exemple particulièrement révélateur : le 16 mars dernier, Scaleway (hébergeur Internet français fondé par Xavier Niel) alerte sur une rupture potentielle de la chaîne d'approvisionnement des ses serveurs. En cause : la Chine, numéro un mondial de la fabrication de composants électroniques, est alors touchée de plein fouet par l'épidémie de Covid-19, juste avant l’Europe. Elle doit donc freiner en urgence sa production de matériel informatique, paradoxalement essentiel au bon fonctionnement d’une partie du cloud européen.

Cet exemple est-il la preuve d’une nécessaire « relocalisation » du cloud ? Pour les spécialistes du secteur, cet épisode révèle en tout cas combien la localité du cloud n’est pas qu’une affaire de chauvinisme. « À l’image des masques chirurgicaux et de leur pénurie au début de l’année, la pandémie a dévoilé certaines dépendances, analyse Paul-Olivier Gibert. Beaucoup de composants utilisés par le cloud sont effectivement fabriqués en Chine, et beaucoup des services de cloud que nous utilisons directement sont américains. » 

« Je reste circonspect sur l’expression “relocalisation du cloud”, nuance Jean Larroumets. Par définition, le cloud correspond avant tout à des services dématérialisés qui passent par des infrastructures dont on maîtrise plus ou moins bien les localisations. Les questions à se poser sont plutôt celle de l’accessibilité de ses propres données à tout moment et celle de leur confidentialité. »

Au-delà des enjeux économiques, la dimension juridique du sujet semble en effet être celle qui préoccupe le plus les experts de la cybersécurité. Et pour cause : lorsque des données sont stockées dans le cloud, la protection de celles-ci est théoriquement soumise à la législation du pays dans lequel le fournisseur du service réside. Or chaque pays a évidemment ses spécificités légales, notamment en matière d’accès aux données. Le « Cloud Act » américain en vigueur depuis 2018 permet ainsi aux agences de renseignement d'obtenir la saisie « légale et confidentielle » de toutes les données localisées dans les data centers appartenant à des entreprises américaines, que ces données soient situées aux États-Unis ou à l’étranger.

« Les opportunités européennes sont d’autant plus grandes qu’on peut penser que les GAFA ont désormais atteint une forme d’apogée »
Paul-Olivier Gibert, président de l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP)

« Nos données transitent parfois par des prestataires américains sans qu’on le sache, nous détaille Matthieu Bourgeois, avocat spécialiste du droit du numérique au sein du cabinet KGA Avocats. Quand vous envoyez un mail à quelqu’un, même si ce mail est censé passer par un cloud français comme OVH, il est possible qu’il passe aussi par les États-Unis, parce que le chemin de la donnée n’est pas le plus court géographiquement mais le plus court électroniquement. » Autrement dit ? « S’il y a un embouteillage de données entre Paris et Roubaix, les routeurs aiguillent votre donnée vers des chemins internationaux plus rapides. Dans des situations comme celle-là, où la donnée transite malgré tout vers les États-Unis, elle se retrouve temporairement sous une juridiction américaine qui n’est pas conforme au RGPD [Règlement général sur la protection des données, ndlr]. Cela pose évidemment question en termes d’indépendance et de souveraineté. »

Gaia-X, futur « méta-cloud » européen

« Souveraineté », « indépendance », « autonomie » : le choix des mots en matière d’informatique « infonuagique » n’est d’ailleurs pas anodin, et c’est plutôt pour un « cloud de confiance » que plaide depuis octobre 2019 le ministre de l’Économie et des Finances Bruno le Maire. Au niveau européen, ce dernier a notamment participé au lancement en grande pompe, l’été dernier, d’une offensive conjointe de la France et de l’Allemagne baptisée Gaia-X. Parfois abusivement présenté comme une « réponse » aux GAFAM, le projet consiste plutôt en une « infrastructure européenne des données ». Comprendre : non pas un géant capable d'offrir les mêmes services que ses concurrents américains, mais une entité de gouvernance formulant quelques grands principes « de sécurité, d'interopérabilité et de portabilité des données ». Une sorte de « cadre » au sein duquel pourront ensuite évoluer plusieurs entreprises jugées « Gaia-X-compatibles ».

 Voir la Vidéo GAIA-X un moteur de recherche de cloud europeen

Parmi les membres fondateurs de cette initiative, citons Orange, OVH ou encore EDF côté français, et Siemens ou Bosch côté allemand. Mais, paradoxe du projet, les partenaires de cet écosystème n’auront pas l’obligation formelle d’être eux-mêmes européens, puisque la réglementation de l’UE interdit toute discrimination fondée sur l’origine de l’entreprise. Une société américaine comme Microsoft respectant « les futurs standards » de Gaia-X pourrait donc tout à fait être éligible.

« Il ne s’agit pas d’un cloud mais d’un “méta-cloud”, rappelle Paul-Olivier Gibert. On reste à un niveau conceptuel et, selon moi, pas assez pratique. Que ce projet existe est une très bonne chose mais il n’a pas encore d’impact concret. Il faudra sans doute lui laisser du temps. » « C’est une très bonne initiative, mais il faut encore que l’ensemble des pays européens se reconnaissent dans cette démarche, juge de son côté Jean Larroumets. Pourquoi Airbus est-il devenu un leader mondial dans son secteur ? Parce qu’il a d’abord bénéficié de grandes commandes qui venaient d'Europe. C’est la même chose avec le cloud : il faut une volonté de l’ensemble du marché européen de faire confiance à ses sociétés locales. »

Et pour la suite ? « Le succès de Gaia-X dépendra de sa capacité à favoriser des acteurs européens comme OVH qui ont des compétences techniques et qui sont en mesure de réussir à développer des offres alternatives, poursuit Paul-Olivier Gibert. Les opportunités sont d’autant plus grandes qu’on peut penser que les GAFAM ont désormais atteint une forme d’apogée. » Même son de cloche du côté de Matthieu Bourgeois, qui y croit dur comme fer, sous réserve « d'investissements publics forts » et « à condition d'inscrire ce projet dans une mentalité de “bâtisseur” plutôt que de consommateur qui chercherait à tout prix à faire du “moins cher” ». Et de conclure d'un ton ambitieux : « On avait lancé l’Europe sur les bases du charbon et de l’acier, on pourrait peut-être la relancer sur celles du numérique. »

- 29 October 2020