La localisation géographique des données numériques et la nationalité des prestataires cloud deviennent de plus en plus des enjeux de souveraineté nationale et de compétitivité économique des entreprises.
Le projet français de « cloud souverain »
Dès 2009, avant-même les révélations d’Edward Snowden sur l’espionnage massif de la NSA américaine, le gouvernement Fillon lance l’idée d’un partenariat public-privé autour d’un programme de « cloud souverain ». L’objectif est de créer des entreprises françaises de cloud dont les centres de données sont localisés sur le territoire national et pouvant garantir non seulement la sécurité des données mais aussi que l’accès aux données ne peut se faire en dehors de France, notamment pour éviter l’espionnage économique et la fuite du patrimoine informationnel des entreprises. Ces conditions de sécurité semblent indispensables pour mettre dans le nuage les données des Opérateurs d’Importance Vitale (défense, énergie, télécoms, santé …), des entreprises de haute technologie, ainsi que des administrations publiques. Le projet, initialement baptisé Andromède, ne veut pas uniquement restaurer la souveraineté numérique de la France mais également soutenir le développement d’une filière industrielle dans un domaine porteur où les nord-américains ont un grand temps d’avance.
C’est dans ce contexte que Numergy et Cloudwatt sont créés en 2012, avec la participation financière de l’État à travers la Caisse des Dépôts, à hauteur d’un tiers : 75 millions d’euro chacun. Ces deux consortiums comptent comme autres actionnaires des opérateurs télécoms (Orange pour Cloudwatt et SFR pour Numergy) et des industriels axés sur la sécurité (Thalès pour Cloudwatt et Bull pour Numergy). Cette création est toutefois vue d’un mauvais œil par les acteurs français historiques du cloud, qui dénoncent une concurrence déloyale financée par l’argent du contribuable.
Mais au fait, pourquoi deux initiatives ? Le gouvernement veut en effet soutenir deux projets cloud de taille critique pour partager le risque financier sur deux entreprises et pour privilégier l’émulation entre ces deux nouveaux venus de l’écosystème français du cloud. Cette option duelle fait encore débat aujourd’hui, et Axelle Lemaire, secrétaire d’État en charge du Numérique, milite toujours pour un rapprochement de Numergy et Cloudwatt, même si cette opération est aujourd’hui compliquée en raison de la concurrence commerciale entre Orange Business Services (Cloudwatt) et Atos (qui possède Bull, actionnaire de Numergy).
Deux ans après leur création, le bilan commercial de ces deux entreprises est décevant : en 2014, Cloudwatt, qui emploie environ 90 personnes, aurait réalisé 2 millions d’euros de chiffre d’affaires, contre 6 millions pour Numergy, ce qui se situe très loin des ambitions initiales (objectif de 200 millions de chiffres d’affaires chacun en 2017). En parallèle, de nombreux « clouds français » continuent de grossir sans soutien financier de l’État : OVH, Gandi ou encore Ikoula.
Le 13 janvier 2015, Thalès et l’État annoncent vouloir céder leurs participations dans Cloudwatt à Orange, qui en prend donc contrôle à 100%. et tentera de devenir un champion du cloud français.
Cet échec illustré par le retrait de l’État de ce cloud souverain peut s’expliquer par l’importance des économies d’échelle dans le secteur du cloud et de la difficulté d’atteindre suffisamment rapidement la « taille critique », facteur clé de succès sur ce segment d’activité où les économies d’échelle sont très importantes. Selon Alban Schmutz, vice-président en charge du développement d’OVH, les frais de fonctionnement sont amortis lorsque l’on a environ 170 000 machines en production et 700 000 clients. La guerre du cloud Iaas (Infrastructure as a service) est féroce, et il est difficile de concurrencer des grands groupes internationaux profitant de leurs infrastructures existantes. L’argument de la souveraineté ne suffit visiblement pas à construire un business model, et Cloudwatt et Numergy doivent encore démontrer leur capacité à offrir des services à plus forte valeur ajoutée dans leurs solutions de mobilité cloud. Selon un classement comparatif réalisé par Cloudscreener, Numergy et Cloudwatt seraient les 3e et 4e offres les plus rentables.
La menace du Patriot Act (qui autorise le gouvernement américain à accéder sous motif de sécurité nationale aux données de tout individu dont les données ont été stockées sur des clouds américains), ainsi que les révélations sur le programme Prism de surveillance de masse de l’agence américaine de renseignement NSA ont accru la demande de localisation des données en France, mais il semble que cette dernière ait été captée par les acteurs français historiques, qui ne bénéficient pas d’un partenariat public-privé.
Ainsi, on peut se demander si le premier problème des clouds souverains était qu’ils existaient déjà, au travers d’entreprises comme OVH, qui possède le 3e parc de serveurs au monde (150 000 serveurs en juillet 2013, derrière Facebook et Microsoft), et est le 1er hébergeur européen. Peut-être aurait-il fallu entretenir un écosystème pré-existant et non vouloir décréter des pratiques et créer des avatars publics. Encourager la transformation numérique des entreprises hexagonales peut également permettre d’augmenter la taille du marché du cloud en France, qui reste proportionnellement limitée par rapport aux États-Unis, très en avance sur la question.
Des replis cybernationalistes
Le concept de « cloud souverain » émerge également dans d’autres pays ayant pris conscience des luttes d’influence dans l’espace numérique. Les américains mettent ainsi en place des clouds souverains sur leur territoire. Depuis août 2011, la filiale de cloud d’Amazon, Amazon Web Services (AWS), propose aux agences gouvernementales une solution spécifique de stockage de leurs données en cloud. Cette business line, soutenue par le gouvernement américain, s’appelle GovCloud. Cette « région » du cloud d’Amazon s’est pliée à la myriade de régulations fédérales que les agences étatiques doivent respecter lorsqu’elles déploient des systèmes de gestion de données en cloud. Techniquement, GovCloud reproduit les offres classiques d’AWS, mais les utilisateurs de GovCloud ont l’assurance que leurs données ne peuvent pas être accessibles en dehors du territoire américain.
GovCloud compte aujourd’hui plus de 800 organisations clientes, dont la marine et l’armée de l’air américaines, ou encore la NASA, et a permis aux administrations fédérales de réduire de manière significative leurs coûts informatiques.
Mettant en avant sa législation très protectrice de la confidentialité des données (appliquée dans le domaine bancaire notamment), la Suisse fait également prospérer son industrie des data centers. L’opérateur de téléphonie Swisscom a ainsi entamé la construction d’une infrastructure propre pour le stockage de ses données et applications, sur le territoire suisse.
La Russie a elle aussi fait le choix de développer des solutions de stockages de données implantées sur son territoire national, en Sibérie, où l’électricité d’origine hydroélectrique et les terrains sont peu chers. De plus, une loi impulsée par le président Vladimir Poutine et votée le 4 juillet 2014 obligera, à partir de septembre 2015, les entreprises à stocker les données numériques des citoyens russes dans des fermes de données situées sur le territoire de la Fédération de Russie. Les compagnies occidentales, comme Facebook ou Twitter, devront repenser leur stratégie internationale de stockages des données de leurs utilisateurs, et louer des milliers de serveurs russes additionnels afin de se conformer à cette loi, ce qui va nourrir la croissante déjà forte du secteur du cloud en Russie (+20% en 2014).
L’Allemagne, pour sa part, a lancé dans le cadre de sa stratégie TIC « Allemagne Numérique 2015 », le programme « Trusted Cloud« . L’objectif est d’accélérer l’adoption du cloud computing par tous les acteurs de l’économie, avec un ciblage particulier envers les PME et les entreprises de taille intermédiaire (ETI), et de mettre en avant les solutions cloud qui sont sécurisées. Le programme, lancé en 2010 pour courir jusqu’en 2015, est doté de 50 millions d’euros par le Ministère fédéral de l’économie (BMWi).
L’Allemagne est donc loin de la doctrine française du « cloud souverain », et se concentre davantage sur l’établissement de normes de sécurité claires et communes, et sur les cadres législatifs, que sur la territorialité ou la nationalité des services cloud. Ainsi, le BMWi a commandé en 2012 au Centre de recherche allemand pour l’informatique (FZI) et à l’entreprises BITKOM une étude sur l’état d’avancement de la normalisation / standardisation des technologies du cloud computing au niveau européen.
L’établissement de standards de sécurité communs au niveau de l’Union européenne permettrait en effet de mieux contrôler et protéger le marché européen du cloud, et d’offrir aux entreprises européennes une clientèle suffisamment large pour mettre en place les économies d’échelle tant convoitées et atteindre une taille critique.