Orange et Capgemini annoncent « le lancement des activités commerciales de Bleu », mais uniquement commerciales. Le « cloud de confiance » n’existe pas encore au niveau physique et n’est donc pas certifié SecNumCloud par l’ANSSI. Il s’agit donc d’occuper le terrain en donnant quelques détails.
En mai 2021, Orange et Capgemini s’associaient avec Microsoft – présenté comme un partenaire technologique – pour annoncer Bleu, leur version du « cloud de confiance », c’est-à-dire une offre labellisée SecNumCloud par l’ANSSI. Le but : proposer « la suite de collaboration et de productivité Microsoft 365 et des services Microsoft Azure, dans un "cloud de confiance" ».
Pour le moment, Cloud Temple, Oodrive, Outscale, OVHcloud et Worldline ont obtenu le précieux sésame. La liste des prétendants en cours de qualification est bien plus longue : Cegedim, Free Pro, Cloud Solutions, Index Education, Orange Business, SFR Business et Whaller. Impossible pour le moment de dire si les entreprises seront certifiées, le processus est en cours.
Bleu appartient à 100 % à Capgemini et Orange
Pour en revenir à Bleu, cette entreprise est « fondée et détenue à 100 % par Capgemini et Orange ». Une alternative à S3ns, une offre conjointe de Thales et Google cette fois-ci. Depuis plus de deux ans, c’était le calme plat autour de Bleu, ou presque.
En juin dernier, la Commission européenne avait conclu que ce rapprochement « ne poserait pas de problème de concurrence » et avait donc donné son feu vert. Nous avions bien tenté d’en parler avec les partenaires lors des Assises de la cybersécurité à Monaco en octobre dernier, mais on nous avait simplement répondu qu’il fallait attendre le lancement de l’offre.
C’est désormais le cas si l’on en croit le communiqué d’Orange et Capgemini. Ils annoncent en effet « le lancement des activités commerciales de Bleu, leur future plateforme de "cloud de confiance" ». Il faut comprendre qu’il ne s’agit que d’un « paper launch » pour le moment. S3ns ne propose aussi que son offre « Contrôles locaux avec S3NS » pour l’instant, le cloud de confiance (qui vise la certification SecNumCloud) n’est pas encore disponible.
Dirigeants de Bleu : trois anciens de Capgemini, trois d’Orange
La nouvelle entreprise Bleu se contente pour le moment de travailler « avec des entreprises et des organismes publics français intéressés, pour s’assurer qu’ils soient prêts à migrer lorsque les premiers services seront disponibles sur la plateforme à partir de fin 2024 ». Une manière d’entrer dans la course sans être prêt, ni certifié par l’ANSSI.
Un site officiel est disponible et on connait donc l’équipe dirigeante. Trois viennent de chez Capgemini : Jean Coumaros (président de Bleu), Papa Ibrahima Ndao (directeur technologie et services) et Siham Benayad (directrice ressources humaines). Ils cumulent plus de 30 ans d’anciennetés à eux trois chez Capgemini.
Trois autres proviennent de chez Orange : Laurent Lemaire (directeur commercial et marketing), Mélanie Pasquier (directrice communication et marketing opérationnel) et Dominique Le Beuz (directeur opérations et systèmes d’information). Ils approchent les 60 ans d’ancienneté cumulée à eux trois… Autant dire que Bleu est dirigé par des fidèles des deux partenaires. Une campagne de recrutement est lancée.
La promesse et les cibles de Bleu
La promesse de Bleu est de proposer « la suite de collaboration et de productivité Microsoft 365, ainsi que les services Microsoft Azure, dans un cloud français sécurisé, ayant vocation à obtenir la qualification SecNumCloud 3.2 de l’ANSSI ». Bleu vise aussi la certification des Hébergeurs de Données de Santé (HDS). Reste maintenant à les avoir.
Bleu proposera des solutions pour les « besoins spécifiques de l'État, des collectivités territoriales, des hôpitaux et établissements de santé, des entités publiques et privées reconnues comme Opérateurs d’Importance Vitale (OIV) et Opérateurs de Services Essentiels (OSE) ». Des domaines que les deux partenaires connaissent bien.
Orange est par exemple un opérateur d’importance vitale. De son côté, Capgemini assure la liaison entre services publics et les fournisseurs de cloud via la centrale d’achat UGAP (Union des groupements d'achats publics) : « Capgemini assure en toute transparence et impartialité un rôle de facilitateur dans la mise en relation entre les bénéficiaires et les fournisseurs de Cloud, avec la mise à disposition de différents outils (Portail de souscription, parcours de choix, etc.) ». Bleu sera-t-il traité avec la même « transparence et impartialité » que les autres services ?
Quid de la sécurité ? Faites confiance…
Passons maintenant au cœur du sujet : les « principes de sécurité et de confiance ». Bleu fait plusieurs promesses. Tout d’abord, ses datacenters sont « localisés exclusivement en France, dans deux régions distantes de plus de 300 km », sans plus de détails (nous ne savons pas si c’est de la colocation par exemple).
De plus : « les opérations seront gérées depuis le territoire national, par nos équipes, qui proposeront un support en français ». Le siège social aussi se trouve en France et « nous contractualisons avec nos clients en droit français », ajoute Bleu.
Pour la sécurité des données, « des mécanismes de chiffrement avancés pour toutes vos données stockées et en transit seront proposés, avec la possibilité d’utiliser et d’héberger vos propres clés »… heureusement d’ailleurs !
La certification SecNumCloud 3.2 est visée, mais c’est l’ANSSI qui décide ou non de la donner, après un long processus de vérification. OVHcloud dispose pour rappel de trois datacenters certifiés SecNumCloud (Gravelines, Roubaix et Strasbourg) formant ainsi une région. L’hébergeur compte passer une large partie de ses services sous la certification SecNumCloud au cours des deux prochaines années.
Pour ce qui est de l’étanchéité entre Microsoft et Bleu, c’est plus flou… mais promis, c'est « by design » : « Nous conjuguons le meilleur de la sécurité du cloud Microsoft à des mécanismes de cloisonnement physique et virtuel mis en place par les équipes de Bleu à tous les niveaux de l’infrastructure cloud, dans une approche "security by design" ».
Mises à jour de la discorde…
Concernant les mises à jour de Microsoft Azure et 365, « un principe de quasi-parité » est mis en avant : « Les mises à jour quotidiennes seront contrôlées et déployées par les équipes techniques de Bleu ». Est-ce que le code source de toutes les mises à jour sera contrôlé avant mise en ligne ? Ce n’est pas précisé…
Il y a quelques mois, Michel Paulin (directeur général d’OVHcloud) expliquait que les mises à jour de Google et de Microsoft… pouvaient atteindre une cadence infernale de « 50 000 modifications par jour ». Il expliquait aussi que « T-Systems avait un partenariat avec Microsoft sur lequel ils avaient mis en place justement le même type de stratégie que nous voyons aujourd'hui […] Ça n'a pas marché parce que d'abord techniquement, c'est d’une complexité incroyable. Deuxièmement, ils avaient un problème de coût ». Résultat des courses, une solution « plus chère et en retard par rapport aux releases de Microsoft », affirmait le directeur général d’OVHcloud.
S3ns aussi navigue entre deux eaux sur la question des mises à jour, et reconnait que toutes les vérifier (chez Google) est impossible. En effet, Thales prône « la vérification systématique de toutes les mises à jour qui sont fournies par GCP… et il y en a beaucoup », via un « système de bac à sable pour les tester », expliquait Éric Brier (directeur de la stratégie cyberdéfense solutions chez Thales et directeur technique de Sens). Mais à la question de savoir si Thales vérifiera le code source de toutes les mises à jour, la réponse d’Ivan Maximoff (responsable de la sécurité des systèmes d'information chez Thales) était sans appel : « Non, on ne vérifie pas l’ensemble du code ».
Des modalités de réversibilité « clairement définies »… mais non précisées
Bleu affirme que « des modalités techniques de réversibilité clairement définies vous permettront de récupérer l’intégralité de vos données et applications en conformité avec les exigences réglementaires et les standards de l’industrie ». Bref, une phrase pour ne pas dire grand-chose des conditions exactes, si ce n’est qu’elles respecteront la loi, encore heureux !
En plus des services Microsoft, Bleu proposera une place de marché avec « des solutions provenant d’éditeurs de logiciels tiers (ISV, Independent Software Vendor) ». Celles-ci seront pensées pour un déploiement rapide sur… « les services Azure proposés par Bleu ». La boucle est bouclée.
Programme Départ Lancé à défaut d’un vrai départ
À défaut d’une offre commerciale disponible, Bleu propose un « Programme Départ Lancé » pour permettre aux entreprises et institutions intéressées d’anticiper leurs besoins (définir une stratégie de migration), préparer leurs migrations et enfin sauter le pas lorsque les services seront disponibles, vers la fin de l’année. Pour chacune des étapes, Bleu affirme qu’un « écosystème de partenaires » sera proposé.
Commentaires (55)
#1
On rigolera bien quand le cadre d'échange des données entre UE et USA tombera à nouveau.
#1.1
Il y a ici une étanchéité a priori complète entre Bleu et Microsoft.
L'objectif de ce montage est de se protéger de tout effet d'une loi US en ayant une société française qui gère tout en France.
L'ANSSI vérifiera bien évidement cette étanchéité.
#1.2
Ah bon ? Tu es sûr de toi ? Parce que la géolocalisation des serveurs n'a aucune importance. Un transfert de données peut parfaitement se faire avec des serveurs localisés à Château neuf du Pape (ou n'importe où ailleurs !) Les serveurs Azure vont être la propriété de Cap Gemini ? Avec aucun accès pour Microsoft ?Les codes sources de la solution Azure sont elles disponibles en totalité ? De notre 6ème puissance mondiale, il n'en reste vraiment plus grand chose ! Et pour son AI ? Enfin le Microsoft va faire comment si elle n'a pas accès à toutes les données de tous ses clients ? Enfin quid de la solidité du nouveau Data Privacy Act qui remplace le Privacy Shield qui remplace les Safe Harbour. Perso, si j'étais le conseil d'une entreprise française, je ne pourrais que déconseiller de choisir Blue !
#1.3
Ça tombe bien, l'essentiel des entreprises françaises ne sont pas la cible de Bleu. Seules les OIV ou OSE le sont, il n'y a qu'à lire l'article pour le savoir.
Néanmoins, vu le niveau de sécurité visé, si elles pouvaient être clientes et si elles voulaient ce niveau de sécurité, ce serait idiot de leur déconseiller Bleu, la seule alternative pour avoir de la technologie Azure étant Microsoft et que ça pose au moins des problèmes de juridiction US.
Quant à tes autres questions, comme je l'ai dit, ça sera l'ANSSI qui jugera de la pertinence de la solution et je leur fais bien plus confiance qu'à toi ou moi. Dans l'absolu, contrôler ce qui rentre ou sort d'un Cloud que tu gères, ce n'est pas très difficile quand tu as l'expérience d'Orange dans les réseaux.
Oui, les serveurs seront la propriété de Bleu (et pas de Cap Gemini ni d'Orange qui eux sont propriétaires de Bleu).
Quant au Data Privacy Act, il n'a rien à voir avec la choucroute. Celui-ci est ne protège que les données personnelles qui sont envoyées depuis l'UE aux USA. Encore une fois, ce n'est pas l'objet de cette offre. Celle-ci est là pour protéger des données potentiellement plus importantes que des données personnelles.
Ce n'est pas parce que l'article est écrit sur un ton suspicieux que l'offre n'est pas sérieuse. Ce n'est pas sur un site plus vitrine qu'autre chose aujourd'hui que les solutions techniques sont expliquées. J'espère que le rédacteur le sait.
#1.4
#2
#2.1
Où est le scandale ?
Qui sont pris pour des idiots ?
Qu'est-ce qui est gros ?
#3
#3.1
#4
#4.1
#4.2
#4.3
#5
Tant de défiance pour un communiqué de presse grand public, là où cette offre est entourée d'embargo/NDA ...
Mention spéciale pour ce point :
C'est un avantage ? Un incovénient ? Un problème ?
Heureusement qu'une solution développée sur Azure sera disponible rapidement sur Bleu, c'est la promesse de base de l'offre ...
#6
Je n'en vois pas l’intérêt, et ne pense que l'on gagnera en confidentialité vis à vis des US.
#6.1
#6.2
C’est juste une manière de mieux faire passer la pilule Azure.
Mais vu qu'au finale, il n'y a aucune garantie de confidentialité, je ne voie pas l’intérêt de rajouter une surcouche. Autant passer directement sur Azure.
#6.3
C'est justement conçu pour que juridiquement, le Cloud Act soit inopérant. Microsoft n'a aucun contrôle sur les serveurs et ne peut donc pas appliquer le Cloud Act si les USA lui demandent.
#6.4
Je prends le cas Huawei - Google, l'administration américain à dit on bannie Huawei, TOUT le monde à du suivre.
On bien la techno. ARM qui appartient à la base à une entrprise anglaise, on bien n'importe quel entreprise qui utilise des dollars US, doivent suivre Sarbanes-Oxley....
Je pense que l'on peut raisonnablement exclure la parano. et avoir une méfiance légitime.
#6.5
Remarque pour ARM, c'était parce qu'il y avait des techno US qu'ils ont voulu l'interdire.
#6.6
Et la collecte massive des données qui lui a été interdite ne concerne que les données des citoyens étasuniens...
Ca me rappelle en un ancien article de NEXT
https://next.ink/1669/cybersecurite-chercheurs-qui-ne-manquent-pas-dair/
#6.7
#6.8
CapGemini : Française ?
Je suis aller voir : https://investors.capgemini.com/fr/structure-de-lactionnariat/
Ce qui compose les 84,3% d'investisseurs institutionnels sont 68,3% d'investisseurs internationaux (Sans plus de détails).
Cependant la sté Blackrock Inc et FMR LLC détiennent (5,18% et 5,05%) du capital et ou des droits de votes.
Donc même si ce sont des sté d'investissements + 1/10eme du captal est détenu par des capitaux étasuniens.
(Par ailleurs Pour Orange qui est aussi coté au NYSE, Black rock était aussi monté au capital à la même periode :
https://alloforfait.fr/business/news/112466-orange-blackrock-franchi-5-pc-capital-redescendu.html)
et reste juste audessous de 5%
Donc, le gouvernement américain, pourrait encore faire de l'extra-terriotalité, à mon avis (qui n'a de valeur que celle d'un avis
PS : La seul différence est qu'Orange est encore détenu pour une bonne part par l'état Français. Ce qui n'est pas le cas de CapGemini. )
#6.9
#6.10
Mais si, par hasard, tu as des infos là-dessus, je suis preneur. Par avance merci
#6.12
Il y est dit entre autre par un avocat français :
Je suis assez d'accord avec lui pour un employé qui aurait assez d'accès pour récupérer des informations. Pour un client américain, de toute façon, ce n'est pas la cible et je ne vois pas pourquoi il y en aurait ; je ne vois pas très bien non plus pourquoi ce serait un problème juridique, mais moi, je ne suis pas avocat.
Dans cet article, j'ai l'impression qu'il y avait aussi un certain nombre de fantasmes.
#6.13
Pour les clients, je suis d'accord, ce n'est pas du tout la cible.
Mais pour les employés, cela peut être compliqué. Par exemple, avec la double nationalité (et c'est déjà le cas dans d'autres domaines, comme le domaine fiscal où des personnes nés aux Etats-Unis mais vivant en France (des "américains accidentels") se retrouvent quand même à devoir payer des impôts là-bas, alors qu'ils n'y ont jamais mis les pieds (sauf lors de leur naissance).
Maintenant, il faudrait voir de quel moyen de pression les Etats-Unis pourraient faire usage sur les employés américains en cas de "non respects de leurs obligations".
Quand j'ai lu la brève, c'est ce que je me suis dit. C'est tellement gros que c'est pas possible. Mais comme tout est possible, je voulais quand même approfondir le sujet...
[edit] J'ai failli oublié, impoli que je suis :
#6.14
Une mesure technique de protection trop facile à contourner n'en est pas une légalement, donc tant pis pour ceux qui pensent que le JS permet de bloquer l'accès.
Remarque : pour les personnes à double nationalité, il serait de toute façon de bon ton de ne pas les embaucher dans des sociétés de ce type qui sont chargées de protéger les données de l'État. Il y a tout un tas de cas (liés au secteur de la défense où on y fait attention). La pression des USA sur leurs ressortissants, c'est facile, ils risquent probablement la prison s'ils n’obéissent pas aux demandes. S'ils comptent revenir aux USA, c'est assez fort comme pression.
#6.11
#7
Je trouve cela triste que nous n'ayons pas réussi à trouver une entreprise.
Est-ce lié au lobby, bien présent à Bruxelles avec les dépenses faramineuses qui ont fait pencher la balance ?
Nous ne le serons jamais, mais à mon avis en partie au moins. Cette décision ne va pas aider à créer une concurrence en Europe.
Cette décision pour Microsoft est une aubaine, tout comme Google pour continuer à se développer, et inversement que la concurrence ne s'y développe pas par manque de financement, manque de client, manque de visibilité.
#7.1
T'es capable de citer une suite équivalente à MS365 Française ?
#7.2
#7.4
- Quid du stockage en ligne (OneDrive, Sharepoint)
- Quid des outils de sécurité / identité
- Quid des outils de compliance
- Quid de la licence Windows Enterprise
- Quid de la partie Phone System
- Quid de la partie BI
- Quid de la partie Employee Experience
Etc etc
Il ne faut vraiment pas connaître M365 pour penser que c'est juste la messagerie et le client lourd ...
#7.16
Et pour la confidentialité, c'est régulièrement contourné, en agrégé, comme cela a été le cas avec Doctolib qui revendait les données de recherche.
#7.5
Sans parler que rien n'est équivalent à MS365 en terme d'intégration/unification des différents produits de la suite.
Faut pas confondre ses désires et la réalité du marché et des attentes des entreprises
#7.17
Je vis au quotidien les drames outlook - sauvegarde (dont les pst) et Onedrive.
Outlook(enfin Exchange) pour lui même est très bien ; Onedrive en tant que stockage en ligne utile mais le mélange des deux est une horreur, sans parler de l'imbroglio de Note dedans.
#7.3
Les annonces ont été faites, les développements sont en cours, comme pour Bleu.
Je ne vois pas ce qui te permet d'affirmer maintenant qu'aucune alternative n'existera.
#7.6
#7.7
C'est même l'objet de ton commentaire.
Sans parler que rien n'est équivalent à MS365 en terme d'intégration/unification des différents produits de la suite.
C'est aussi faux: qu'un produit n'ait pas un part de marché suffisante ne signifie pas qu'il ne sont pas équivalent en termes de fonctionnalité.
As-tu seulement essayé un de ces produits pour répondre avec tant de certitudes ?
#7.8
Pour rappel, M365 c'est ces fonctionnalités : https://go.microsoft.com/fwlink/?linkid=2139145
J'ai hâte de voir ce que tu vas proposer en "produit" qui couvrirait donc à périmèttre égal Collab+Phone+Securité+BI+OS+Identité+Employee Experience+Stockage en ligne+Management+ ...
#7.9
Petit rappel: personne ne force personne à utiliser tel ou tel produit. Si tu préfères utiliser Microsoft libre à toi. Mais ici on parle de solutions sécurisées utilisées par des organismes d'état dits sensibles.
Or toutes les solutions à base de services GAFAM ne sont pas maitrisées de bout en bout par les sociétés les intégrant dans leurs offres. Donc par définition ce n'est pas sécurisé.
#7.10
Ne renversons pas la charge de la preuve, je te laisse étayer tes dires.
#7.12
Exemple pour la suite collaborative.
Pour le Cloud 3DS Outscale a déjà eu le sésame
Et il y en a d'autres. Bref...
#7.14
On est loin d'un "équivalent en terme de fonctionnalités" de la plateforme M365; d'autant que, sur la page de l'annonce il est précisé :
https://www.oodrive.com/fr/actualites/oodrive-olvid-tixeo-unissent-pour-creer-suite-collaborative-securisee-souveraine/
Pour la seconde offre, c'est un lien vers une offre de CSP type IaaS. Quel rapport versus une plateforme SaaS de collaboration ?
Bref...
#7.11
L'ANSSI te remercie d'avoir fait le travail pour elle ! Ils vont pouvoir aller à la piscine au lieu de faire des études complexes.
#7.13
#7.15
Mais le cloud de confiance est là avant tout pour se protéger du Cloud Act américain, pas pour assurer un niveau de sécurité absolu garantissant qu'il n'y a pas de porte dérobée pouvant récupérer les données. Microsoft (ici) n'a aucun intérêt de mettre une porte dérobée pour contrôler le cloud de confiance, bien au contraire. Microsoft est emmerdé d'avoir à se plier au Cloud Act parce que ça lui fait perdre des clients, en particulier les services des états non US. Cette solution d'étanchéité à la fois juridique (ils ne contrôlent pas du tout l'entité Bleu), opérationnel (ils n'ont pas accès aux serveurs et ce n'est pas eux qui les gèrent) et technique (il y a les pare-feux nécessaires en entrée du cloud afin que Microsoft (ou d'autres) n'ait pas accès aux serveurs.
Et l'ANSSI a pour mission de valider ces 3 aspects avant de certifier l'offre du cloud.
Je te trouve bien présomptueux d'avoir un avis aussi tranché sur une solution qui a dû être étudiée par pas mal de monde avant de la monter
#7.18
Peut importe le bord politique, "AMERICA (United Stats of) FIRST est une réalité, pas une croyance de complotiste.
A nous européens de savoir (re) créer une indépendance sur le sujet.
#8
Mais pour moi la question la plus importante concernant la certification est la gestion des mises à jour.
Si chez Bleu ils peuvent affirmer ce qu'ils veulent sur le sujet, le retour d'expérience de S3ns montre qu'il y a un problème:
Comment peut-on proposer cette solution aux OIV alors que le code source du système n'est pas maitrisé ?
#9
#9.1
(La Terre est bleue comme une orange)
#9.2
Mais le nom de Bleu est plutôt lié au fait que azur est un synonyme de bleu.
#10
Après lecture en diagonale, pour moi il ne manque que la messagerie pure et dure, mais votre avis est le bienvenu.
Merci !
#10.1
#10.2