Le cloud souverain a encore du mal à faire son chemin
Le 5 mars 2024, la direction interministérielle du numérique a réuni l'écosystème français du cloud. Si les territoires faisaient figure de grands absents à cet événement, les préoccupations exprimées par les ministères sur l'informatique en nuage rejoignent largement celles des collectivités.
La seconde édition de "l'État dans le nuage" a fait salle comble le 5 mars 2024, signe que le cloud computing est en train de passer dans les mœurs des administrations. Cette dynamique se traduit en chiffres. "On compte plus d’un projet par jour", se félicite Vincent Coudrin, coordonnateur du cloud de l'État à la direction interministérielle du numérique (Dinum). Par ailleurs, le montant de commandes auprès de l'Union des groupements d'achats publics (Ugap), toutes catégories de cloud confondues, double tous les deux ans pour atteindre 76 millions d'euros en 2023. En 2024 cette tendance ne devrait pas s'arrêter avec un taux de croissance attendu de 80%.
Indissociable de la transformation publique
Une croissance qui ne doit rien au hasard car "l'informatique en nuage apparaît comme la pierre angulaire de notre stratégie numérique", a fait valoir Jérémie Vallet, le directeur adjoint de la Dinum. Le cloud favorise ainsi "la transformation numérique de l'administration" en donnant "de l'agilité" et en facilitant le "passage à l'échelle". C’est aussi une condition pour "attirer des talents" en proposant aux informaticiens un cadre de travail conforme à l'état de l'art. C'est ensuite un outil indispensable à "la valorisation et à la diffusion des données". C'est enfin un levier de "mutualisation" et un des leviers de la souveraineté numérique.
L'arrivée de l'intelligence artificielle générative – "dans la feuille de route de tout ministère", selon la Dinum - renforce encore un peu plus la nécessité de développer l'informatique en nuage. Aujourd’hui, l'heure est donc au déploiement. L'événement a ainsi été l'occasion de présenter les clouds interministériels Pi et Nubo, ceux du ministère de l'Éducation nationale, du ministère de la Culture ou encore du ministère de l'Intérieur. La possibilité pour les administrations de recourir aux offres mutualisées de l'Ugap facilite par ailleurs un déploiement massif conforme aux prescriptions de la circulaire "cloud au centre" modifiée en 2023 (voir notre article du 5 juin 2024).
Sept offres, dont trois au catalogue de l'Ugap, bénéficient désormais du label de l'Anssi "SecNumCloud". Un label obligatoire pour les administrations publiques voulant héberger des "données sensibles".
La dépendance à Microsoft
Toutes les interrogations sont encore loin d'être levées. Il a encore été beaucoup question de Microsoft dans l'auditoire. Car le label SecNumCloud ne règle pas la question des applications. Beaucoup d'administrations restent dépendantes de la suite bureautique Office 365 ou de l'outil collaboratif Teams, des solutions fonctionnant nativement avec le nuage de Microsoft. Par ailleurs, l'arrivée de consortiums industriels comme Bleu (Capgemini et Orange), prétendant au label de l'Anssi, semble problématique. Microsoft reste en effet un fournisseur de logiciels du consortium. Or une étude de 2022 du ministère de la Justice néerlandais estime que le simple fait de fournir un logiciel les soumet au Cloud Act. Pour mémoire, cette législation extraterritoriale permet au gouvernement des États-Unis d'accéder aux données gérées par les entreprises américaines partout dans le monde. En d’autres termes, les critères de localisation des serveurs et de contractualisation avec une entreprise européenne ne sont pas suffisants pour garantir un cloud souverain.
Développer l'offre souveraine
Par ailleurs, si des offres européennes émergent, elles manquent d'un standard international pour décoller. En attendant, le cloud européen a du mal à faire face aux géants américains sur ce marché en pleine croissance. La direction générale des entreprises (DGE) précise que l'offre européenne d'informatique en nuage répond "à peine à 13% de la demande en 2022", un chiffre qui aurait "peu bougé" depuis deux ans. La dépendance aux grandes entreprises américaines inquiète en France comme en Europe. Au niveau européen, la Commission a lancé en décembre 2023 un projet important d'intérêt européen commun (IPCEI) dédié au cloud souverain subventionné à hauteur de 1,2 milliard d'euros. Ce n'est cependant pas la première fois qu'une telle initiative est lancée. Le dernier projet date de 2021 et s'appelait Gaia-x, mais l'arrivée d'acteurs non européens dans le dispositif a largement atténué le caractère souverain du projet. Parallèlement, le cadre juridique européen se muscle. Le Digital Market Act (DMA) promet notamment d'imposer l'interopérabilité des solutions cloud pour favoriser le multicloud et le changement de prestataire. En France, c'est l'Arcep qui doit piloter le dossier mais il faut encore que la loi Sécuriser et réguler l'espace numérique (Sren) qui la missionne soit définitivement adoptée. L'État s'efforce par ailleurs depuis trois ans d'aider au développement du marché tricolore et d'offrir aux administrations des alternatives aux logiciels américains. Trois fournisseurs de solutions collaboratives souveraines, Jamespot, Wimi et Interstis, ont ainsi récemment reçu le soutien de l'État. Parallèlement, la Dinum planche sur une suite bureautique souveraine dédiée aux administrations.
Il reste que l’ensemble de ces initiatives mettrons "plusieurs années" pour produire leurs effets ont reconnu les représentants de l'Etat.
L'événement a été l'occasion de présenter la stratégie cloud allemande très proche de celle de la France en termes d'objectifs. Les deux pays ont signé tout récemment un partenariat stratégique sur la souveraineté numérique. L'Allemagne se distingue cependant par une approche très centralisée en matière d'informatique. L'État est doté d'un service informatique commun, l'ITZbund qui compte 4.000 collaborateurs s'occupant des applications et données de l'ensemble des ministères. Il gère d'ores et déjà trois centres de données. En matière de cloud, l'ITZbund souhaite remettre de l'ordre dans les pratiques des ministères et a défini des cercles de confiance avec trois niveaux de sécurité : plus la donnée est sensible, plus les exigences sur la souveraineté de l'hébergement et des technologies utilisées sont élevées. Se retrouvant dans les débats autour de la dépendance aux solutions américaines, Christine Serette de l'ITZBund a regretté que "l'Europe soit partie trop tard" sur le cloud. La haut-fonctionnaire aspire néanmoins à "des normes européennes" pour "éviter la dilution des niveaux de protection" et a aussi souhaité que l'usage de services non européens se fassent "dans un cadre légal". |