Y aurait-il du gravier dans le moteur? Malgré les annonces réalisées fin novembre 2023, le Cloud 100% souverain NumSpot (créé par la Banque des Territoires/Caisse des Dépôts, Docaposte, Dassault Systèmes et Bouygues Telecom) prévoit un retard de quelques semaines dans les livraisons de ses nouvelles offres.
Si l’offre IaaS (infrastructure as a Service), s’appuyant sur l’infrastructure d’Outscale, propose déjà plusieurs services, certains sont annoncés, mais pas encore disponibles comme les très attendus Kubernetes hébergé ou OpenShift hébergé. Bien qu’annoncées pour mai 2024, ces solutions seront progressivement disponibles pendant le mois de juin et durant l’été. Quant aux solutions destinées au secteur de la santé, elles devraient arriver au cours de l’automne, après une phase en beta.
Alors que la Commission Européenne aura (normalement) rendu son avis définitif sur l’EUCS (European Union Cybersecurity Certification Scheme for Cloud Services), la certification européenne pour les services cloud se substituant aux certifications nationales, comme SecNumCloud en France, mais bien plus permissive… En outre, la loi SREN (Sécuriser et Réguler l’Espace Numérique) semble s’éloigner des missions que souhaite accomplir NumSpot sur le cloud.
Afin de faire le point sur ces retards, mais aussi sur les notions de cloud souverain ou d’extra-territorialité dans le contexte “d’adoption” de l’EUCS ou de la promulgation de la loi SREN, Place de l’IT a rencontré Alain Issarni, président exécutif de NumSpot.
Comment expliquez-vous le retard de disponibilités de vos offres? Pouvez-vous préciser les délais?
Parfois les choses s’avèrent un peu plus compliquées que ce que l’on avait imaginé ou planifié au départ. Néanmoins, NumSpot avance et les offres seront bientôt disponibles. Quoi qu’il en soit, nous menons ce développement tambour battant, et en un temps record.
Nos offres IaaS [Infrastructure as a Service] via Outscale sont déjà disponibles, avec le label SecNumCloud ou non, selon le souhait de nos clients (voir illustration).
Côté PaaS [Platform as a Service], nous allons mettre à disposition en mode bêta l’offre Openshift vers la fin du mois de juin, aussi bien pour les containers que pour les clusters en mode managé. Dans la foulée, suivra l’offre Kubernetes, également en mode managé.
NumSpot fait le choix d’une offre double pour les containers. Une offre commerciale Red Hat qui est très utilisée par le secteur public et une solution full open source.
Nous suivons donc une demande du marché. Il s’agit pour nous de maîtriser notre état de dépendance face à des éditeurs tiers pour éviter d’être prisonnier d’une technologie dont les évolutions seraient uniquement décidées par un acteur, souvent américain.
Par ailleurs, la liste de nos partenaires pour un cloud de confiance s’allonge, et nous proposons déjà des offres qualifiées et validées sur IaaS NumSpot pour des solutions en mode SaaS.
Et qu’en est-il de l’IA et de la Santé? Et où en est le projet de migration de CNP Assurances?
Concernant l’offre en intelligence artificielle, elle est toujours sur la table avec des partenaires qui hébergent l’offre chez nous pour en assurer la sécurité des données, pouvoir réaliser des entraînements avec ces données confidentielles, et pouvoir interagir en mode API en toute sécurité.
Docaposte, Open Value ou encore Aleia proposeront des solutions cloud destinées aux professionnels de santé. Des transactions et des échanges d’autant plus délicats qu’il s’agit souvent de patients ayant de lourds passés médicaux. Avec ces offres, il suffira de charger en toute sécurité les pièces du dossier informatique du patient sur l’infrastructure IA avant son rendez-vous. Une solution en cours de finalisation coté Open Value et Aleia, et qui devrait être disponible cet automne.
CNP Assurances a déjà initié la migration de sa plate-forme de données vers NumSpot. Tout fonctionne comme prévu à la grande satisfaction de cette entreprise.
Notre cloud de confiance se positionne toujours sur le même marché avec la même approche: un cloud souverain et de confiance permettant d’échapper aux lois extras territoriales.
Par ailleurs, nous continuons à offrir plus de solutions certifiées SecNumCloud aux clients exprimant ce besoin. Pour l’instant, les plus fortes demandes proviennent du secteur public (administrations, opérateurs, collectivités…), de la santé, de la bancassurance, ou encore des OIV (opérateurs d’importance vitale) et OSE (opérateurs de services essentiels).
La notion de Cloud Souverain devient un argument marketing, même pour les éditeurs américains…
Certes, chacun met ce qu’il entend dans “Souveraineté”.
Chez NumSpot, la souveraineté consiste avant tout à échapper aux lois extras territoriales. Nous souhaitons que nos offres soient conformes aux lois européennes. Nous sommes ainsi à l’abri de tout conflit législatif. Une infrastructure chinoise n’est en général pas retenue pour héberger des données sensibles, tandis que les hyperscalers américains -soumis au Cloud Act ou FISA- semblent plus acceptables aux yeux de certains. Chez NumSpot, nous estimons que confier ces données à l’infrastructure gérée par une entreprise de droit américain ou chinois revient à prendre un risque important. Notre actionnariat 100% européen nous protège.
La souveraineté doit également rimer avec indépendance technologique. Certes, les outils utilisés comme les serveurs ou les processeurs ne sont pas français. Néanmoins nous ne sommes pas extrémistes, mais plutôt réalistes. Par exemple, VMware agace les DSI, comme le confirment de nombreux acteurs comme le Cigref (Club Informatique des Grandes Entreprises Françaises) en dénonçant la pratique commerciale de Broadcom qui conduit à prélever indûment des milliards d’euros en Europe. Et, justement, nous voulons éviter de nous retrouver pieds et mains liées avec un éditeur qui pourrait nous imposer ses tarifs ou ses évolutions.
C’est pourquoi nous sommes contents du choix d’OutScale de ne pas avoir retenu VMware il y a quelques années (contrairement aux pratiques de l’époque). Ils ont préféré développer leur propre “cloud OS” baptisé TinaOS à partir d’outils open source, en production depuis 2011. Il est primordial de se préserver de la réalité d’un jour qui n‘est pas forcément celle du lendemain.
On nous demande parfois «Quels sont vos tarifs par rapport à ceux des hyperscalers?». Il est important de considérer ce sujet dans l’instant, mais aussi sur la durée. Ces derniers sont financés par la croissance. Mais que se passera-t-il quand leur croissance ralentira ? Seront-ils les VMware de demain? NumSpot est l’abri de ce genre de pratique. S’il devait y avoir une telle tentation, les actionnaires de confiance de NumSpot nous “rappelleraient à l’ordre”.
NumSpot veut-elle remplacer les hyperscalers américains? Ou concurrencer S3NS et Bleu?
L’objectif ne consiste pas à supprimer les Gafams, mais à proposer du choix pour les données sensibles et plus de maîtrise technologique. Et cela passe par le recours maximal aux logiciels libres.
Cependant, pour certains usages, il n’y aura pas forcément de logiciel open source. Alors, le choix d’une solution commerciale s’imposera. Dans ce cas, nous essaierions de diversifier pour limiter les dépendances.
Aujourd’hui, les 3 plus gros hyperscalers américains détiennent plus de 70% du marché. La diversification s’impose pour faire émerger des acteurs européens.
S3NS et Bleu ont un positionnement différent. NumSpot bâtit un cloud souverain, tandis que ces acteurs sécurisent les offres d’acteurs américains. Les utilisateurs d’Azure et de GCP souhaitent justement les rendre “plus acceptables” au niveau de la sécurité et de la “souveraineté”. Leur promesse: sécuriser les données pour ne pas les rendre accessibles à des tiers. Toutefois, ces offres présentent une très grande dépendance technologique aux hyperscalers.
NumSpot sécurise les données sensibles en préservant son indépendance technologique, avec un socle SecNumCloud.
Face aux évolutions de la loi SREN et de la certification européenne EUCS, comment se positionner en Cloud Souverain?
Les entreprises doivent rester attentives à la sécurité de leurs données et à la réelle souveraineté des infrastructures les hébergeant.
Côté EUCS, on sait déjà qu’en Europe, tous les états n’ont pas forcément la même vision. Ainsi, la France veut imposer une immunité aux lois extras territoriales pour les données sensibles tandis que d’autres ne considèrent même pas cet aspect.
C’est par exemple le cas dans les pays nordiques de l’Europe, même si, çà et là, des initiatives de certaines régions souhaitent sortir du “tout Microsoft” en adoptant du Linux/Libre Office. Au Danemark, l’utilisation d’outils numériques dans le système scolaire dès le plus jeune âge repose sur l’attribution massive de chromebooks. Or, la CNIL danoise est plutôt arcboutée vis-à-vis de cette pratique, tout comme certains parents.
La dernière version de l’EUCS (European Union Cybersecurity Certification Scheme for Cloud Services) a fait couler beaucoup d’encre. L’EUCS n’imposerait pas une immunité aux lois extra territoriales, malgré l’ouverture de cette possibilité dans l’ancien document. Et il faudra certainement attendre le résultat des élections européennes pour que le sujet soit remis sur la table. Néanmoins, nous constatons avec satisfaction une forme d’unanimité contre ce retrait en France. Avec l’exemple du Cigref par exemple avec cette lettre ouverte du Cigref .
La loi SREN (Sécuriser et Réguler l’Espace Numérique: arnaques, fraude, pornographie, cybersécurité, identité numérique…) a été adoptée en première lecture au Sénat (5 juillet 2023) puis au Parlement (17 octobre 2023). Soumis à une Commission mixte paritaire fin mars 2024 (7 députés et 7 sénateurs), son contenu a été modifié et adopté par l’Assemblée nationale le 10 avril 2024 [Il fait actuellement l’objet d’une saisine du Conseil l Constitutionnel]. Cette dernière introduit dans la loi les conditions d’une meilleure concurrence entre acteurs du Cloud (encadrement crédit cloud et frais de transfert…) ou la nécessité pour la sphère publique de veiller à la sécurisation des données en garantissant l’immunité aux lois extraterritoriales pour les données les plus sensibles. Le volet sur le cloud avait bien été voté par l’Assemblée nationale, puis amoindri en commission mixte paritaire.
Tags Alain Issarni Aleia bouygues telecom CNP Assurances Dassault Systèmes Docaposte EUCS l’EUCS la Banque des Territoires la Caisse des Dépôts loi SREN NumSpot Open Value Outscale SecNumCloud SREN TinaOS