Cloud de confiance : Scaleway note des avancées mais « l’État semble abdiquer toute ambition »
La confiance se gagne
Le 25 mai 2021 à 12h14
12 min
Internet
Internet
Yann Léchelle, patron de Scaleway, publie une lettre ouverte dans laquelle il revient sur les annonces du gouvernement que nous évoquions ce matin concernant la stratégie Cloud nationale en général, le cloud de confiance et ses licences américaines en particulier. Nous avons pu nous entretenir avec lui.
La semaine dernière, le gouvernement présentait sa nouvelle stratégie nationale pour le cloud, le plaçant « au centre » des choix de l'administration en matière de numérique, finançant divers projets pour 107 millions d'euros et demandant le respect de la qualification SecNumCloud pour l'hébergement de certains types de données.
L'un des objectifs était aussi de trouver une solution à la question des lois extraterritoriales, comme le Cloud Act américain. Et la solution trouvée n'a pas été du goût de tout le monde puisqu'elle consiste à favoriser l'émergence de solutions sous licence proposées par les géants étrangers, à travers des acteurs français.
La forme a aussi déplu, notamment parce que Bruno Le Maire a vanté Google et Microsoft dans son intervention, ajoutant qu'il s'agissait là de proposer « l'accès aux meilleurs services mondiaux [et que] les meilleures entreprises de services mondiaux aujourd'hui sont américaines ». Ce qui a fait réagir Yann Léchelle de Scaleway.
La société a décidé de prendre la parole publiquement au travers d'une lettre ouverte, évoquant ses interrogations face à certaines décisions, au-delà du « pas de géant pour la modernisation numérique de l'Etat ». Nous avons pu nous entretenir avec son patron, Yann Léchelle pour tenter de comprendre sa position.
Des propositions bien accueillies...
Il commence par poser le contexte, indiquant que l'annonce du gouvernement intervient « après plusieurs mois d’efforts et de concertations » et « que cette doctrine arrive à point nommé. Les considérations liées à la sécurité et à la souveraineté des données n’ont jamais été aussi prégnantes ».
Un problème, alors que « nous évoluons sur des marchés ultra-dominés par des acteurs américains et chinois : ces marchés sont en très forte croissance, synonyme d’importantes opportunités pour des challengers comme Scaleway ». Léchelle nous a d'ailleurs confirmé que 10 % de son chiffre d'affaires provenait des pouvoirs publics.
Il ajoute préférer « de loin » que le soutien de l'état se manifeste par « la commande publique [plutôt que les] financements publics. Néanmoins, nous participons à certains projets AMI si le consortium est pertinent ».
Et bien que le « Cloud » soit tout sauf une solution nouvelle, le gros du travail reste à faire : « on estime ainsi qu’en Europe, 80 % du tissu économique doit encore entamer son passage vers le cloud ». Un secteur où l'Europe peut avoir son rôle à jouer puisque, bien que moins importants que les géants américains et asiatiques, ses acteurs locaux sont parfois très développés localement et à l'international. Ce qui a poussé à la création de Gaia-X.
- Gaia-X : genèse et ambitions du projet européen
- Cloud : le projet européen Gaia-X « ne veut pas réinventer la roue »
Pour le patron de Scaleway, qui fait croitre son offre ces dernières années (25G, Mac M1, block storage, serverless) et vante régulièrement une approche dite « multi-cloud » (passant par différents prestataires), cela « permet collectivement de satisfaire l’écrasante majorité des besoins du marché. Dans ce contexte, le positionnement de l’Etat, à travers cette doctrine, aura un effet d’entraînement que nous ne sous-estimons pas, tant du côté du secteur privé qu’au niveau européen. C’est pourquoi nous en avons attendu la publication avec beaucoup d’intérêt ».
Évoquant son approche « full-stack », la société concevant ses propres datacenters, innovant notamment dans les systèmes de refroidissement comme avec son système adiabatique mis en place à DC5, développant sa propre couche logicielle, Léchelle semble à la fois apprécier certaines décisions mais être inquiet par d'autres aspects.
... mais avec quelques réserves
Pour lui, la doctrine annoncée « va dans le bon sens pour accélérer la transformation numérique de l’administration », notamment parce qu'elle systématise le recours au cloud, sans avoir cherché à créer de nouveaux acteurs comme cela avait pu être le cas en 2012 à la création du (dramatique) Cloud souverain.
Elle « promet de propulser la fonction publique vers l’état de l’art en matière d’informatique, permettant d’imaginer un service public à la pointe, avec plus de service et de vélocité [...] une petite révolution en soi » juge-t-il. Pour rappel, la filiale d'Iliad a annoncé récemment mettre à disposition 3 millions d'euros de crédits pour les 18 000 agents IT de l’État français, et leur faire découvrir ses services. Ils sont valables jusque fin 2022.
Sur le label « Cloud de confiance », l'entreprise semble plus réservée et juge qu'il s'agit là d'une « ambition louable encore entourée de flou ». Si elle dit soutenir l’approche du gouvernement, elle préfèrerait qu'elle soit organisée à l'échelle européenne « pour qu’elle ait un impact tangible » notamment à travers l'initiative similaire de l’ENISA.
Léchelle nous confiait en entretien que c'était aussi à cette échelle que devaient se traiter les questions de réciprocité selon lui. Il se veut néanmoins attentif à la façon dont le terme « confiance » sera utilisé :
« Au niveau du mécanisme, je me méfie de la notion de “confiance” qui indiquerait que toute solution ne répondant pas aux exigences ne serait pas de confiance, ce qui risque de discréditer tout le tissu FrenchTech n’ayant pas les moyens de se mettre en conformité rapidement (d'ici 12 mois). »
Il s'interroge également sur la mise en avant d'une éventuelle « immunité aux lois extraterritoriales, depuis la dimension physique jusqu’aux composants logiciels qui constituent le cloud » et qui ne lui parait pas acquise.
La question des licences
D'autant plus à travers la question des licences accordées à des acteurs américains par des fournisseurs de services Cloud (CSP) français, comme c'est le cas chez OVHcloud à travers Google Anthos.
Scaleway pourrait-il accepter un contrat similaire ? « Négatif. Proposer et mettre en avant une solution cloud complète sous forme de license serait un aveu d’échec au niveau de la couche logicielle à très forte valeur ajoutée. Hors chez Scaleway, plus de 200 Scalers s’affairent à développer cette couche en pleine propriété ».
« Encourager un tel positionnement nous paraît problématique et paradoxal, car cette solution ne fonde pas une voie pérenne dans le temps ou pourvoyeuse de certitude juridique » précise Yann Léchelle pour qui « les métadonnées intrinsèques aux solutions étrangères permettront toujours l’application de la loi étrangère (américaine) ainsi que des réquisitions judiciaires éventuelles sur les données sinon les métadonnées des clients concernés, via le FISA ou l’Executive Order 12333 ».
Comme nous l'évoquions dans notre précédent article, il se pose aussi la question de l'audit des solutions telles qu'elles seront mises en place. Leur code source ne sera sans doute pas accessible, craint le patron de Scaleway, ce qui, « par conséquent permettra soit des back-doors, soit fera remonter des informations sensibles sans qu’il soit facile d’analyser les flux sortants ; donc une opacité parfaite d’un point de vue cyber ».
Se pose aussi pour lui la question de l'évolution des relations politiques entre les pays, le passage de Trump à la maison Blanche ayant donné quelques indications sur ce qui peut arriver en la matière. Léchelle craint ainsi l'aspect fluctuant du « régime de contrôle des exportations aux États-Unis en matière de licences ». Ou comment pourrait évoluer le Cloud Act à l'avenir. L'assurance affichée par le gouvernement lui semble ainsi présomptueuse.
Il craint au passage l'écart qui pourrait se creuser entre ceux qui accepteront de jouer le jeu des acteurs étrangers dominants et les autres, comme on a pu le voir dans de nombreux secteurs par le passé :
« Loin de résoudre un problème de souveraineté, cette solution expose l’environnement numérique français à de nouveaux types de dépendances. Nous sommes plus spécifiquement préoccupés par les effets de bord indésirables que ce label, en l’état, pourrait causer sur le marché, en excluant du champ des offres de confiance un certain nombre d’acteurs français qui se différencient pourtant par leur crédo souverain au prix d’investissements conséquents »
Des constats partagés, une offre à promouvoir
Surtout qu'une bonne partie de la valeur se situe au niveau de la couche logicielle. Une analyse que Scaleway partage avec la DINUM, qui l'incite à penser que « la maîtrise de ce segment de la chaîne de valeur par un écosystème industriel local devrait naturellement constituer un objectif à part entière de toute politique industrielle pour le cloud » et qu'il y a « fort à faire » en la matière « pour favoriser un rattrapage par l'innovation des acteurs européens, mais pour valoriser ceux qui se positionnent déjà sur ce créneau ».
Interrogé sur le besoin exprimé par de grandes entreprise de pouvoir préserver leurs investissement dans l'écosystème existant des grandes plateformes américaines tout en étant en demande de solutions plus locales sur le stockage des données, il acquiesce : « un investissement conséquent a déjà été fait et la dépendance est réelle. Ce n’est pas aux DSI des grandes entreprises de favoriser une certaine souveraineté ; par conséquent, ils subissent toute doctrine, même si celle-ci ne s’applique qu’aux services publics ».
Mais il se hérisse lorsque l'on évoque l'argument de l'offre plus complète de ces acteurs par rapport à ce que proposent nos champions nationaux, dont Scaleway : « ils offrent sans doute le socle nécessaire pour mettre en oeuvre 80 % des cas d’usages. À nous de démontrer que ce périmètre fonctionnel tient la route, à eux d’avoir l’ouverture d’esprit d’étudier nos solutions. C’est l’heure du rendez-vous ».
Un État « qui semble abdiquer »
Car en face, se trouvent principalement des sociétés « américaines en position dominante – et enclines à des abus, bien documentés, du fait de cette position – pour la fourniture de solutions performantes ». Yann Léchelle trouve ainsi que « promouvoir si ostensiblement le recours à des solutions logicielles sous licence paraît par conséquent un choix difficilement compréhensible en termes de politique industrielle ».
Parce qu'elles seraient « meilleures » comme l'a dit Bruno Le Maire ? « En l’occurence, ces entreprises sont loin d’être les meilleures en terme de transfert de technologie, en terme d’impôts, en termes écologiques... Elles sont en revanche bien les meilleures en terme de valorisation en bourse, en lobbying, et capacité de fusion-acquisition… »
Pour le patron de Scaleway, on peut adopter deux positions face à ces constats : « l’une défaitiste qui consiste à dire que les dominants ont gagné, et l’autre qui consiste à ne pas accepter cette situation et au contraire se battre au quotidien pour faire valoir nos actifs, notre technologie, notre maitrise d’oeuvre, notre ingénierie et nos ingénieurs, notre mittelstand à nous. L’objectif n’est pas tant la souveraineté que notre capacité d’exporter notre propre cloud, notre capacité à participer à la conversation de demain, à créer les conditions pour que nos enfants aient des opportunités locales à la hauteur de leur potentiel et de leur intellect ».
Et d'en appeller à la responsabilité de l'État qui « semble abdiquer toute ambition pour le développement d’une filière cloud française compétitive et innovante sur le segment de la chaîne de valeur qui concentrera demain l’essentiel de la valeur [...]en se positionnant comme un acheteur privilégié pour ce type de solutions ».
Pour lui, « il est réducteur de penser qu’un CSP n’est qu’une proposition de valeur d’infrastructure ; c’est peut-être le choix de certains, mais pas tous. D’ailleurs, les CSP dits “meilleurs" ne possèdent pas leurs infrastructures et sous-traitent déjà quasi-systématiquement la partie hébergement (nous hébergeons d’ailleurs l’un d’entre eux !) ».
Il y voit « un signal très négatif envoyé à l’ensemble de l'écosystème » que le soutien financier affiché ne suffira pas à compenser. Notamment auprès des acteurs de la French Tech « qui n’ont de cesse de prendre des risques pour développer des solutions SaaS innovantes (avec recours au cloud sous-jacent soit IaaS et PaaS) ».
Scaleway se dit convaincu « qu’il existe une voie de passage pour que les industriels européens du cloud et du logiciel, aux côtés des porteurs de projets publics, écrivent ensemble, avec fierté, de nouvelles pages de notre histoire technologique ». Est-ce que le gouvernement saura l'entendre ? C'est une autre histoire.
Pour Léchelle, il « n’a pas encore compris l’intérêt de nous pousser à ce niveau là » mais espère que « les 18 000 agents de l’Etat auront la possibilité de leur dire bientôt comment et combien notre offre est la meilleure ».
Cloud de confiance : Scaleway note des avancées mais « l’État semble abdiquer toute ambition »
-
Des propositions bien accueillies...
-
... mais avec quelques réserves
-
La question des licences
-
Des constats partagés, une offre à promouvoir
-
Un État « qui semble abdiquer »
Commentaires (10)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 25/05/2021 à 17h23
Pour l’instant je mise tout sur Nextcloud
Tapis !
Le 25/05/2021 à 18h21
Merci pour le pti’ lien de DC5, j’ai scotché dessus :)
J’aimerai tellement que ça soit aussi bien câblé chez mes clients que sur les photos…
Le 25/05/2021 à 19h12
Oui enfin attention aux photos “de presse”, hein :-) Vivien a fait ce reportage lorsque le DC était encore récent… C’est la différence entre la chambre d’enfant sur le plateau d’ikea et celle de chez toi :-/
Moi aussi mais bon, je pense que les solutions dont il est question ici vont un peu plus loin :-)
A la lecture (passionnante) de cet article je me pose plein de question:
Déjà, le concept du “cloud” me parait être un brin régressif : Au début de l’informatique on a eu l’hyper-centralisation avec des “minitel” passif et du temps de CPU partagé.
La micro-informatique est venue pour décentraliser tout ça; ça a amélioré la résilience et baissé le coût unitaire, et (rapidement) augmenté la complexité et les possibilités.
Aujourd’hui on parle de tout re-centraliser, donc de recréer une dépendance à un ou des prestataires qui , sans même parler de drame comme chez OVH, place une entreprise à la merci de conflits commerciaux et/ou juridiques.
En parlant de juridique , justement: Cet article fait mention de la manière dont les USA utilisent leur droit national de manière extra-territorial pour acquérir des avantages concurrentiel quand ce n’est pas carrément de l’espionnage ou des opérations hostiles notamment juridique ou économique (Huawei, Alsthom).
En quoi la France, et l’EU, ne peuvent pas , à minima, déclarer la même chose ?
J’veux dire, OVH est allé s’implanter aux USA et donc oui, demain, les USA pourrait prétexter de cela pour demander à siphonner “légalement” toutes les données de tous les DC d’OVH partout dans le monde. Mais est-ce que ça serait pas réciproque ? Pourquoi on peux pas , du coup, comme OVH est aux USA, dire que notre droit français s’applique aussi la-bas, donc qu’on veux accéder à tout aussi selon nos propres termes ? Par extension, j’aimerais bien voir l’Iran demander la même chose, avec les mêmes raisons…
Aujourd’hui, je me dis que les milliers (millions?) de boites qui font reposer leur infra sur VMWare sont sous le coup d’un immense risque juridique qu’un beau matin un mail d’un obscur juriste américain leur demande d’envoyer une camionnette de disques durs aux USA avec toute leurs données , et qu’il n’y ait pas de recours légaux.
Enfin, j’aime bien la conclusion ( “L’objectif n’est pas tant la souveraineté que notre capacité d’exporter notre propre cloud, notre capacité à participer à la conversation de demain, à créer les conditions pour que nos enfants aient des opportunités locales à la hauteur de leur potentiel et de leur intellect “) , par contre selon moi ça souligne aussi que la tant vantée “mondialisation” ne marque que quand elle va dans le sens impérial, et que beaucoup commencent à s’en rendre compte (mais pas les membres du gouvernement, évidemment)
Le 25/05/2021 à 19h27
Attention, OVH US et FR sont séparés, notamment pour les raisons évoquées
Le 25/05/2021 à 19h39
Sans parler du coté tout prop’, c’est un peu tout ce qui fait fonctionner le datacenter qui est intéressant. Les cuves de fioul, les mur de béton qui sépare les groupes électrogène, les différent type d’onduleur, les batteries, le stockage de glace, le système de refroidissement spécifique de ce datacenter, …
Je découvre un peu tout ça. Je ne suis rentré dans un datacenter que pour suivre les directives d’un collègue jusque là :) Admin Sys nioubie !
Le 25/05/2021 à 19h41
Penses-tu réellement que ce simple fait pourrait faire tourner casaque aux américains ?
Le 26/05/2021 à 08h39
Humm si les entités sont juridiquement et physiquement non liées ils ne peuvent pas faire grand chose
Le 26/05/2021 à 11h50
J’ai beau relire l’article je ne vois pas où il mentionne ces faits. Merci de m’éclairer car là je sèche.
Le 26/05/2021 à 15h06
disclaimer: ce que je dis ci-dessous s’applique à l’informatique, domaine que je commence à connaître.
Pour le voir régulièrement, je vois plusieurs raisons à ça:
Au fil du temps, je me dis que le gros avantages des US, c’est que pour bouffer, il faut se sortir les doigts du cul. Le mauvais, tu fais ton carton => tu dégages. La où dans les grosses boites française, on entretient la médiocrité.
Ma vision est plutôt pessimiste mais se confirme malheureusement chaque jour. Il existe évidement des exceptions, mais bien trop rare.
Le 26/05/2021 à 21h59
C’est pas le contraire ? (les CSP américains qui octroient une licence aux CSP français pour leur permettre d’utiliser leurs solutions logicielles)
Demain la France ou un CSP français contrarie l’exécutif américain en poste et patatras “vous ne pouvez plus utiliser l’offre de services de Google” et comme entre temps cette dernière sera devenue prépondérante dans le chiffre d’affaires du CSP français… On va s’exposer encore à être vassalisé.