Dans le cadre de notre dossier sur la nouvelle doctrine cloud de l'état, nous avons interrogé de nombreux acteurs, notamment dans le domaine du Plaform-as-a-Service (PaaS). Scalingo a accepté de nous répondre en détail. Si la startup souhaite bienvenue à Bleu, elle comprend mal certains choix et attitudes.
Avec sa conférence du 17 mai, le gouvernement voulait créer une aura positive autour de ses nouvelles règles en matière de Cloud. Annonçant le financement de projets, le recours plus systématique à de telles solutions par les services de l'État, voulant favoriser des acteurs « souverains » pour la protection et la sécurité des données.
La souveraineté à la française, sauce américaine
Le tout, en laissant le secteur « émulsionner » autour de cette initiative, pour ne pas reproduire les erreurs du cloud souverain de 2012. Il était donc cette fois plutôt question d'un label « Cloud de confiance » construit autour de la qualification SecNumCloud de l'ANSSI. Mais malgré les applaudissements d'OVHcloud ou du MEDEF, certains se sont montrés critiques de l'image d'Épinal présentée, pointant les implications et incohérences du plan.
D'autres ont mis un peu plus de temps à comprendre. Pourtant, Bruno Le Maire avait été clair : il faut garantir « l'accès aux meilleurs services mondiaux » à travers cette nouvelle doctrine. « Nous avons donc décidé que ces meilleures entreprises de services américaines, je pense en particulier à Microsoft ou Google, pourraient licencier tout ou partie de leur technologie à des entreprises françaises » qui serviront donc d'« isolant » au Cloud Act.
Pourquoi ces deux sociétés là en particulier ? Parce que Google a déjà signé un accord avec OVHcloud, seul acteur français cité lors de la conférence... pour le féliciter de cette opération. Et Microsoft qui, en plus d'être un partenaire très présent de l'administration, préparait l'annonce de Bleu avec Orange et Capgemini.
Officialisée dix jours plus tard, la nouvelle a été une douche froide pour beaucoup, tant en raison de la force de frappe de ces acteurs que de la position particulière de Capgemini dans la commande publique. De quoi inciter certains à réagir, notamment dans le secteur du PaaS, qui pourrait être touché de plein fouet.
La gronde des acteurs du PaaS
D'autant que, sous l'impulsion de l'ANSSI et du secteur public, plusieurs cherchent à se faire qualifier SecNumCloud, en complément d'autres certifications déjà obtenues ou en cours. C'est le cas de Scalingo, startup d'origine strasbourgeoise créée en 2015. Présente à Paris et Lille, elle est partenaire de 3DS Outscale.
Nous avons pu nous entretenir avec son patron et co-fondateur, Yann Klis, qui a longtemps œuvré au sein de l'association Alsace Digitale puis de La French Tech Strasbourg. Il est aussi « CTO à temps partagé sur la Startup d'État "E-recrutement / Civils de la Défense" plateforme de recrutement pour le Ministère des Armées, l'ANSSI, etc ».
Scalingo est d'ailleurs déjà utilisé par de nombreux services de l'État. Il comprend d'autant moins la position de Capgemini au sein de Bleu ou la multiplication des félicitations par Cédric O et Bruno Le Maire.
- Cloud de confiance : derrière le vernis souverain, le pied dans la porte des Américains
- Cloud de confiance : le jour d'après
Un savoir-faire français
L'entreprise se présente comme un éditeur de logiciel, « nous produisons un Platform-as-a-Service (PaaS) et un Database-as-a-Service (DBaaS) » nous explique Klis. Comprendre que Scalingo ne permet pas de louer des serveurs physiques ou des instances virtuelles, il n'y a pas à s'occuper des considérations matérielles, les clients peuvent se « focaliser sur leur création de valeur » comme il est de coutume de le dire dans le domaine du PaaS.
Une fois son application créée, le développeur l'envoie à la plateforme qui se charge de la déployer, de l'héberger et de gérer les montées en charge. La promesse est de passer de « 1 à 100 conteneurs en l'espace de quelques secondes, pour gérer un pic de trafic ou votre croissance habituelle, grâce à des processus automatisés de bout en bout ». Le tout avec une bonne intégration aux processus de développement et plateformes comme GitHub, Slack, etc. L'ensemble est gérable aussi bien via une interface en ligne qu'une API ou la ligne de commandes (CLI).
« On a démarré la société pour faciliter la vie des développeurs et ainsi accélérer la transition numérique, mais aussi construire une alternative européenne aux mastodontes américains » nous confie Klis. « On est utilisé par de nombreuses organisations publiques et parapubliques : Ile-De-France Mobilités, Pix, le Ministère de l'Intérieur, Beta Gouv, le Ministère des Armées, l'ANSSI, etc. » ajoute-t-il, précisant que la société est ainsi déjà « au service de l'État ». Et donc de la stratégie « Cloud au centre » telle qu'elle a été vantée lors des annonces du 17 mai.
Scalingo n'est pas le seul acteur du secteur, où plusieurs français se sont fait remarquer, chez nous comme à l'international. On peut également citer Clever Cloud ou encore Platform.sh qui vient d'annoncer l'acquisition d'une autre stratup basée à Paris : Blackfire.io. Des pépites locales qui vivent mal leur mise à l'écart.
Crédits : Red Hat
« Notre valeur ajoutée, c'est le logiciel »
Chacune a une stratégie et une approche différente. Clever Cloud a par exemple misé sur la construction de sa propre infrastructure, aussi bien pour des raisons techniques que financières, plutôt que de se reposer sur un acteur de l'IaaS existant. Scalingo, s'est de son côté reposé sur l'offre de 3DS Outscale, filiale de Dassault.
« En théorie notre relation avec Outscale est de type client/fournisseur. En pratique cela va un peu plus loin parce que nos deux sociétés ont la volonté de bâtir une offre souveraine de cloud dont la valeur est créée en France. On a certaines valeurs en commun avec Outscale et notamment l'excellence opérationnelle. Être souverain est nécessaire mais pas suffisant ». La jeune société propose ainsi deux régions, dont une est qualifiée SecNumCloud.
Mais elle est également en train de passer différents processus de certification. Un choix qui fait suite aux besoins exprimés par l'État et le secteur privé de disposer de solutions techniques efficaces, assurant la protection et la sécurité des données, en France et en Europe. Les certifications ISO 27001 et hébergeur de données de santé (HDS) sont attendues pour la rentrée 2021. Ensuite viendra SecNumCloud « qu'on espère obtenir en 2022 ».
Le partenariat avec 3DS Outscale lui permet de se « concentrer sur notre valeur ajoutée, la couche logicielle magique qui facilite la vie des développeurs afin qu'ils puissent facilement déployer et scaler leurs projets sans avoir à gérer de serveurs ou à avoir des connaissances en administration système » ajoute Yann Klis.
Le cœur de l'entreprise est ainsi, son orchestrateur entièrement développé en interne. « Notre proposition de valeur c'est le logiciel et l'expérience de faire tourner ce logiciel et de le confronter à la vraie vie. Cela prend du temps, de la sueur et des larmes (parfois) ». « Si le mouvement DevOps nous a appris quelque chose c'est que toute la valeur est dans "You build it, you run it" » ajoute le co-fondateur de Scalingo.
Il rejoint en cela Quentin Adam, patron de Clever Cloud et co-Président de l'Open Internet Project (OIP) qui nous disait avoir « l'impression que ces décisions sont prises sans tenir compte de ce qu'est réellement le Cloud, comment il fonctionne [...] pour établir cette doctrine, on ne s'est pas demandé où était la valeur, comment elle se répartissait. Elle est principalement dans la couche logicielle. Celle que l'on semble décidé à céder via les licences ».
De son côté, Yann Klis semble d'autant plus mal comprendre cette stratégie autour du label « Cloud de confiance » qu'elle repose sur le fait de favoriser les solutions logicielles des géants américains en leur donnant une dimension souveraine sous prétexte qu'ils seraient associés à des hébergeurs français.
Le marché C3 de l'Ugap « doit être réattribué »
Surtout avec Capgemini impliqué dans Bleu. « Je souhaite simplement la bienvenue à ce nouvel acteur. Qui fera donc tourner un logiciel dont la propriété intellectuelle ne lui appartient pas et où toute la valeur reste créée aux US », assène-t-il. « Il faut espérer, pour nos emplois et notre autonomie stratégique, que les acheteurs publics et privés sauront faire la différence avec les acteurs comme Scalingo qui maîtrisent leur plateforme de bout en bout ».
Car le français Capgemini a remporté en mai 2020 le marché public de l'Union des Groupements d'Achats Publics (UGAP) pour les services d’informatique en nuage (cloud externe, C3). La multinationale y est présentée comme le prestataire exclusif lorsqu'il s'agit de passer commande auprès des fournisseurs de service Cloud.
On y retrouve tous les grands du secteur, dont Microsoft et Orange. Ce dernier est son associé au capital de Bleu, mais aussi d'une autre entreprise créée en janvier dernier avec Sanofi et Generali « dont l’ambition est d’accélérer le développement de solutions concrètes en matière de santé et leurs mises à disposition sur le marché au bénéfice des patients ». Capgemini est aussi intervenu comme conseil dans le cadre du projet Orange Bank.
« Cela pose un énorme problème en ce qui concerne le marché Cloud C3 de l'Ugap dont Capgemini est l'attributaire. Le marché nous semble caduc et doit être réattribué à un acteur qui soit neutre, qui ne fournit pas lui-même des services susceptibles d'être vendu via ce marché », tranche Klis. Pour rappel, nous avons contacté l'Ugap à ce propos, l'Union devant nous répondre sur les suites qui seront données dans les jours à venir.
Scalingo est pour sa part référencé à l'Ugap, mais dans le marché « Multi-éditeurs ». Son dirigeant nous dit ne pas avoir « été consulté pour C3 », ajoutant que « nos contacts chez Capgemini ont un peu fait trainer notre demande pour rentrer dans C3. Les critères d'entrée dans C3 ne sont pas très clairs pour nous et maintenant que Bleu est annoncé, cela pose question sur les échanges que nous avons eu avec Cap jusque-là... ».
Une situation également rencontrée par Clever Cloud qui nous dit être en discussion « depuis des mois » avec Capgemini pour une intégration au marché C3, « mais on nous répond que rien n'est possible avant 2022 ».
Cloud de confiance : entre « aveu de faiblesse » et « pied de nez »
Pour lui, l'annonce de Bleu et ce qui découle de l'annonce du label « Cloud de confiance » via les licences accordées aux acteurs américains « c'est un pied de nez à l'État lui-même : il fait mine de mettre des règles en place, dans l'exemple du Health Data Hub par exemple, Microsoft est raccompagnée à la porte mais revient par la fenêtre ».
Pour rappel, le HDH est actuellement hébergé par Microsoft Azure, un choix contesté de toutes parts. Anticor a d'ailleurs saisi le Parquet National et Financier (PNF) dans cette affaire. Il a depuis été annoncé qu'un changement d'hébergeur devrait intervenir d'ici 2022, chez un prestataire labellisé « Cloud de confiance ».
« Dans quelques mois, nous devrions voir arriver ces solutions labellisées Cloud de confiance et dans les 12 mois qui suivront au maximum, le Health Data Hub, comme d'autres solutions aujourd'hui hébergées dans le cloud, auront à migrer vers ces solutions » précisait Amélie de Montchalin lors des annonces du 17 mai.
Beaucoup voient dans la séquence de ces deux dernières semaines et la création de Bleu, une manière de permettre à Microsoft de rester au centre du dispositif, servant de pare-feu juridique.
« Je ne comprends pas très bien pourquoi Cédric O ou Bruno Le Maire se félicitent de la création de Bleu [...] ils sont censés être neutres par rapport aux entreprises privées », s'interroge Yann Klis suite au communiqué publié la semaine dernière juste après l'annonce de Capgemini, Orange et Microsoft. Surtout lorsque l'on sait que les administrations ont en général pour consigne de ne pas promouvoir des services IaaS/PaaS qu'elles utilisent.
Il voit enfin dans ce regroupement « un énorme aveu de faiblesse d'Orange qui avoue donc que leur propre cloud n'est pas au niveau ! ». Il dit surtout « d'un point de vue plus personnel, [être] triste que les grandes Entreprises de Services du Numérique [ESN, nldr] françaises continuent de se voir comme de « simples » intégrateurs alors qu'elles pourraient être de vrais constructeurs de technologies... ».
Commentaires (7)
#1
Tout est résumé ici en fait :
“Il voit enfin dans ce regroupement « un énorme aveu de faiblesse d’Orange qui avoue donc que leur propre cloud n’est pas au niveau ! »”
que ce soit Orange ou Capgemini, après avoir tenté de miser sur leurs propres infra/cloud, leur orientation business leur a fait prendre la direction “big cloud first” donc le tryptique AWS/Azure/GCP.
Développer ses compétences et entrer en concurrence, c’est beaucoup d’énergie et de risques.
or Capge et Orange sont des sociétés de services, peu importe le service vendu.
Avec cette notification, et les sociétés construites, Capgemini & Orange s’assurent de rester les leaders et les sociétés directement consultées et sélectionnées pour les plus gros projets de l’état (qui est une vache à lait pour ces boites, ne l’oublions pas).
A côté, les 3 boites qui pèsent à peine qqs M€ de CA, c’est une goutte d’eau.
#2
Depuis très longtemps les politiciens & les élus locaux ont en horreur la “préférence nationale” , symbole de protectionnisme et “d’industrie” , un vilain mot car nous on fait “de l’intellectuel”.
Pendant ce temps, d’autres pays ont récupéré l’activité et l’expertise.
Seulement depuis quelques années on commence à s’apercevoir de ce déséquilibre et des problèmes que cela pose - la santé n’est qu’un exemple.
L’exemple de cet article est parlant.
L’UGAP est , pour cela , un vrai gros problème démocratique qui agit comme un frein auprès des collectivités. D’autant que ce que j’ai pu en voir , les prix sur l’informatique sont vraiment important et le choix est anémique. Sur le PC je sais pas :(
#2.1
on a vraiment deux choses qui font mal en même temps ici.
Comme tu le dis, cette incapacité à faire de la “préférence nationale” alors que les plus gros pays le font (Chine, Allemagne, USA dans un moindre niveau).
Et cette “centrale d’achat” qui est une plaie.
Sous couvert de facilité/rapidité, ils font des référencements, et une fois référencé, c’est la vache à lait pour les sociétés référencées.
#3
Si j’ai bien compris, Microsoft ou Google vont fournir leurs logiciels de gestion cloud à Orange ou OVH qui vont le faire tourner.
Donc on a le logiciel “standard ou américain” tournant avec une équipe Française.
Il faut juste s’assurer qu’il n’y a pas d’envoi “furtif” vers des serveurs aux US, mais sinon cela me parait être un compromis qui ne soit pas si mauvais.
#4
Cet envoi furtif est difficile à détecter. Et il ne faut pas oublier l’habitude des USA de considérer ses propres lois comme extra-territoriales à leur propre profit exclusif - dans ce cas même pas de furtivité.
D’autre part, il y a la perte d’expertise sur les softs. Lorsque tu utilises VMWare et Veem au lieu de proxmox ou xen, dès que tu as un souci, dès que tu as une fonctionnalité manquante, tu es tributaire d’une société américaine , donc de ses choix stratégiques et de celles de leur gouvernement. Bien sur, ça recoupe aussi les éléments liés à l’exploitation des données, ne serait-ce que en volumétrie.
J’avoue que je ne comprends pas ce type de méthode, qui m’a tout l’air d’une sorte de mafia légalisé. Autant je comprends la nécessité de contrôle comptable des coll.terr pour éviter que l’argent public soit siphoné par le beau-frère du vice-président comme on a pu le voir à une époque, autant centraliser tout à la mode jacobine dans une structure administrative unique et forcément limitative , c’est un nivellement par le bas qui à mon sens est également du gaspillage d’argent public , avec un changement de poches et du boulot administratif en plus - qui sert de preuve de lourdeur / lenteur de l’administration et de justification au dégraissage.
#4.1
Oui c’est sur que l’on préferrerait une solution logiciel 100% opensource
#5
Le “cloud” ça recouvre des tas de techno très différentes.
De ce que j’en ai vu , sur la partie haut niveau (monitoring, database,…) certaines OpenSource sont très matures avec un ecosystème essentiellement basé sur le service. Je pense ici à tout ce qui est postgresql, grafana,…
Par contre quand on commence à attaquer les couches basse, il y a des choses qui peuvent répondre à des tas de besoins (Proxmox + PBS, Xen / Orchestra, minio) , mais c’est clair qu’un produit comme VMWare , Veem (pour le on-premise) ou S3/EC2 et azure sont au dessus en terme de fonctionnalités & scalabilité ou encore intégration d’autres outils.
Dans l’idéal j’aimerais bcp que tout cet argent public qui sera jeté vers ces services serve plutôt à alimenter du dev (via des bounty, ou autres) sur une amélioration des outils opensource qui serviront à tous. En plus l’expertise des gens dans l’opensource et les process de dev associés seraient largement valorisable ensuite et servirais à tout le monde.
Donc il est normal que le gouvernement fasse exactement l’inverse.