Technology

Tribune : les technologies libres ou européennes de cloud sont-elles exclues des marchés publics en France?

 

Image Pixabay

Jean-Paul Smets est le fondateur de Nexedi (edge computing) il y a 12 ans, puis de Rapid.Space, “un fournisseur européen de cloud ‘Hyper Open’, une façon de faire du cloud qui applique aux activités de service des principes de transparence similaires à ceux du libre dans le logiciel”.

Bientôt une initiative des industriels européens du cloud

Il dénonce “l’exclusion quasi systématique des industriels européens du cloud dans Gaia-X ou dans la stratégie “cloud au centre” du gouvernement au profit des technologies US, ce qui tend à nous rendre encore plus dépéndants des GAFAM. Il relève que “à ce jour, presque toutes les technologies du cloud ont été inventées en Europe. Il existe en Europe une offre complète de services de cloud fondés sur des technologies européennes qui garantissent souveraineté et indépendance, contrairement à l’approche de licence de technologies US poussée par le gouvernement français ou par Gaia-X.

L’AG de Gaia-X est en cours: une fois de plus, ce sont les entreprises qui utilisent ou distribuent des technologies américaines de cloud qui sont mises en avant (Atos, Orange, OVHCloud, etc.). Les industriels européens de technologies de cloud sont largement ignorés et exclus.”

“Nous sommes de plus en plus nombreux à le penser”, indique Jean-Paul Smets, qui annonce que “les industriels européens du cloud vont donc bientôt créer une nouvelle initiative: Euclidia (European Cloud Industrial Alliance).”

Il expose en détail son point de vue dans cet article en anglais. A ma demande, il a eu l’amabilité de le traduire en français. (T.N.)

TRIBUNE. Les technologies libres ou européennes de cloud sont-elles exclues des marchés publics en France?

Par Jean-Paul Smets

Le gouvernement français a annoncé le 17 mai sa stratégie en matière de cloud computing, dont l’essence consiste à “adopter Google, Microsoft afin de protéger les données sensibles” (Reuters).

Cette stratégie favorise l’utilisation des services de cloud d’OVHCloud, Orange et Capgemini, fondés sur des technologies de cloud sous licence de Google et Microsoft. Elle introduit de nouvelles contraintes de labellisation qui tendent à exclure la plupart des technologies cloud françaises et européennes de la plupart des marchés publics. Elle introduit un nouveau principe de “cloud par défaut” qui tend à exclure les projets d’intégration de logiciels libres des marchés publics au profit de solutions cloud. Globalement, la stratégie du gouvernement français en matière de cloud crée une distorsion de concurrence en faveur des technologies américaines de cloud au lieu d’accélérer les logiciels libres ou les technologies européennes de cloud existantes, pourtant nombreuses et compétitives.

Le tableau ci-dessous présente un résumé et une analyse des principales annonces.

 

Analyse du texte

Les ministres du gouvernement français ont présenté comme des “Clouds de Confiance” les futurs services de cloud fondés sur les technologies Google ou Microsoft et qui sont en cours de préparation par OVHCloud, Orange et Capgemini, bien qu’aucun d’entre eux n’ait obtenu la qualification SecNumCloud.

Les ministres du gouvernement français n’ont pas fait la promotion en tant que “Cloud de Confiance” d’un seul service de cloud fondé sur les technologies européennes de cloud (Cédric O a fait la publicité de startups qui ne sont pas des fournisseurs de cloud et a mentionné OVHCloud, dont l’offre SecNumCloud est basée sur la technologie américaine VMware).

Seules quatre marques de cloud ont été mentionnées le 17 mai par les ministres du gouvernement français : Amazon, Google, Microsoft et OVHCloud.

Guillaume Poupard, qui est un haut fonctionnaire et non un ministre, a fourni des informations précises sur SecNumCloud et a mentionné les noms de deux marques de cloud françaises non mentionnées par les ministres: Outscale et Oodrive.

Distorsion de concurrence

En substance, le gouvernement français a annoncé au marché: “Sentez-vous libre d’utiliser les technologies américaines de cloud computing et suivez le chemin du Health Data Hub qui est fondé sur le PaaS d’Azure. D’ici 12 mois, vous pourrez utiliser la même technologie via les clouds de confiance d’OVHCloud, Orange ou Capgemini.”

Dans le même temps, la seule définition de “cloud de confiance” qui apparaît dans cette stratégie est “SecNumCloud”. Et le gouvernement français annonce que tous les projets informatiques gouvernementaux doivent migrer vers le cloud de confiance dans les 12 mois (à partir d’aujourd’hui? à partir de l’existence d’offres labellisées “Cloud de Confiance”?).

Combinées, les annonces du gouvernement français créent une puissante distorsion de concurrence:

  • les projets fondés sur les technologies de cloud computing de Google ou Microsoft (comme le Health Data Hub) sont présentées par les ministres comme étant “à l’épreuve du futur” et fondées sur les “meilleures technologies”;
  • les projets fondés sur Outscale sont “à l’épreuve du futur” mais ne sont pas présentés comme utilisant les “meilleures technologies”;
  • les projets fondés sur d’autres technologies de cloud doivent être abandonnés à moins que leurs fournisseurs de services de cloud n’obtiennent la qualification SecNumCloud (dans les 12 mois?);
  • tous les nouveaux projets doivent être fondés sur du cloud (IaaS? PaaS? SaaS?).

Cette distorsion de concurrence crée un avantage injuste en faveur des clouds fondés sur les technologies de Google ou Microsoft, car dans un marché averse au risque, peu d’acheteurs prendront le risque d’utiliser des technologies européennes de cloud ou des logiciels libres qui pourraient ne pas obtenir à temps la qualification SecNumCloud et ne sont pas présentés comme les “meilleures technologies” de confiance par les ministres.

Cette distorsion du marché a un impact qui va au-delà des marchés publics. Nous observons déjà que des entreprises privées ou des collectivités réclament l’utilisation des technologies cloud de Google ou Microsoft, ou de services qualifiés SecNumCloud, au nom de la confiance ou de la souveraineté.

Exclusion du marché

La stratégie du gouvernement français crée également une exclusion de facto de la plupart des technologies de cloud européennes des marchés publics et au-delà.

Bien entendu, cette exclusion n’est pas explicite. Tout fournisseur de cloud est libre d’entamer un processus de qualification SecNumCloud.

Mais d’après les retours d’expérience actuels, il faut environ 12 mois pour obtenir la qualification SecNumCloud pour du IaaS et environ 24 mois pour du PaaS. SecNumCloud n’est pas une qualification “par entreprise”. Chaque nouveau service doit passer par le processus de qualification SecNumCloud. Le processus de qualification est assez lourd puisqu’il couvre toutes sortes d’aspects de la gestion d’une entreprise de cloud computing. SecNumCloud est un exemple utile pour concevoir la politique de sécurité d’une entreprise de cloud et pourrait être utile dans des cas très spécifiques. Toutefois, il est tellement détaillé qu’il impose des réorganisations inutiles aux entreprises de cloud existantes et freine leur innovation en raison du coût supplémentaire de la qualification de chaque nouveau service. Le coût de SecNumCloud est donc trop élevé en termes de trésorerie ou de ralentissement de l’innovation pour être rentable pour la plupart des fournisseurs européens de cloud.

À ce jour, il n’existe pas de PaaS SecNumCloud. Pourtant, le gouvernement français annonce que le Health Data Hub, développé autour de la technologie PaaS de Microsoft, est compatible avec sa stratégie de “cloud de confiance”. Qui va alors prendre le risque d’attendre 24 mois que les PaaS de Bunnyshell, Clever cloud, Outscale, Platform.sh, Rapid.Space, Scalingo, etc. soient qualifiés SecNumCloud?

En exigeant SecNumCloud sur un périmètre trop large ou flou, l’Etat se coupe de pratiquement toutes les offres de cloud fondées sur des technologies européennes. C’est ainsi que la stratégie du gouvernement français exclut implicitement les technologies européennes de cloud des marchés publics et au-delà.

Actions possibles pour les technologies de cloud libres ou européennes

Action 1. Les entreprises qui fournissent des PaaS, SaaS ou des logiciels libres peuvent déployer leurs services sur les clouds de confiance (Microsoft, Google) annoncés par le gouvernement français ou sur des IaaS qualifiés SecNumCloud (Outscale). Ils peuvent prétendre que cela suffit pour répondre à des “exigences de confiance” encore floues. C’est l’approche choisie par Scalingo.

Cette approche présente plusieurs risques:

  • le PaaS ou SaaS lui-même n’est pas qualifié SecNumCloud;
  • le logiciel libre peut ne pas être “cloud par défaut” s’il est déployé et maintenu par des administrateurs système (par opposition à un véritable PaaS ou SaaS);
  • les clouds de confiance annoncés par le gouvernement français peuvent être trop chers et capter trop de valeur;
  • l’approche ne s’applique pas aux IaaS.

Action 2. Les entreprises qui fournissent des IaaS peuvent vendre leur technologie pour qu’elle soit hébergée on premise par le gouvernement. Les clouds on premise n’ont pas tous besoin d’être qualifiés SecNumCloud.

Action 3. D’autres actions possibles consistent à tirer un trait sur les marchés publics, le marché français du cloud, ou encore à inventer de nouvelles approches du cloud qui font que les “clouds de confiance” actuels perdent leurs avantages compétitifs.

Action 4. Travailler à l’émergence et à la promotion d’un équivalent européen de SecNumCloud qui puisse être amorti sur l’ensemble du marché européen. Demander au gouvernement que la labellisation “cloud de confiance” soit simplifiée pour les entreprises de cloud ayant des valeurs européennes: SecNumCloud ne serait alors qu’un moyen parmi d’autres de devenir un “cloud de confiance”.

Action 5. Etudier si l’utilisation de la qualification​​​​​​​ SecNumCloud pour créer une exclusion générale du marché est compatible avec le droit européen de la concurrence et, le cas échéant, ouvrir des contentieux.

Action 6. Tous les partis politiques de l’UE et tous les gouvernements de l’UE ne sont pas d’accord avec l’approche du gouvernement français qui consiste à promouvoir des technologies américaines et à exclure de facto les technologies européennes de sa stratégie en matière de cloud computing. Cela ouvre la porte à des tactiques politiques nationales, bilatérales ou communautaires, soutenues par une alliance européenne d’ONG.

Exemples de services européens de cloud

Le tableau ci-dessous fournit quelques exemples de services de cloud dans l’UE et l’origine de leur technologie. N’hésitez pas à suggérer d’autres entrées.

La notion d’origine technologique est évidemment discutable puisque tout fournisseur utilise une combinaison de technologies d’origines diverses. Il serait également déraisonnable d’exclure une technologie en raison de son origine. Cependant, s’assurer qu’il n’y a pas de forte dépendance à une technologie étrangère difficile à remplacer par une autre est quelque chose qui a du sens pour des applications telles que le gouvernement ou les industries sensibles. Les exemples d’espionnage des alliés européens par la NSA montrent l’importance de l’utilisation des technologies européennes dans le contexte de la FISA. Les menaces de blocage des ventes à l’export par la réglementation ITAR sont un autre exemple qui justifie la nécessité de pouvoir, si besoin, ne pas dépendre de technologies américaines.

Concernant la technologie libre utilisée, nous considérons que son origine est définie par la nationalité de l’organisation éditrice (société ou fondation), par la nationalité du plus grand groupe de sponsors ou par la nationalité du plus grand groupe de contributeurs. Cette catégorisation est discutable mais renvoie à l’idée d’indépendance. Les logiciels libres développés ou contrôlés en dehors de l’UE n’apportent pas toujours d’indépendance car ils sont parfois soumis à des restrictions d’exportation comme on a pu l’observer récemment avec la Chine et pourraient entrer dans le périmètre du “US Content” des pays soumis à  sanctions par les Etats-Unis.

La colonne “Hyper Open” fait référence aux entreprises qui soutiennent l’initiative Hyper Open du Fonds de Dotation du Libre (FDL) visant à promouvoir les services de cloud fondés sur du logiciel libre, du matériel libre et un service ouvert fondé sur la transparence et la réversibilité opposables.

Nous avons ajouté des chiffres concernant les emplois à temps plein (ETP) et le chiffre d’affaires en 2020 des fournisseurs cités. Certains fournisseurs de cloud ont une composant forte dans le domaine du data center et le matériel (“DC EN PROPRE”), et ont donc un chiffre d’affaires élevé, tandis que d’autres ont une composante forte dans le logiciel et s’appuient sur une infrastructure tierce. Ces deux types de fournisseurs de cloud agissent souvent comme des partenaires entre eux.

 

Jean-Paul Smets

Lire aussi

Cloud de confiance: à qui profite le label? – 1er juin 2021

Vidéo: la réinvention du centre de données – 31 mai 2021

Gaia-X : Le hub français invite les volontaires à rejoindre ses rangs – 25 janvier 2021

Back to top button