Cloud
Clouds souverains français : vous allez être (juste) à côté de la plaque…
Par Thierry Derouet, publié le 18 juillet 2022
Après Azure et AWS, c’est au tour de Google d’installer sa région France et d’Oracle de déployer une « plaque » à Paris, en plus de celle de Marseille. Des investissements conséquents pour répondre aux enjeux de confiance liés à l’utilisation de leurs offres cloud et préparer des clouds souverains.
« Nous ne sommes pas là, pour couler du béton ni pour construire des datacenters ! ». Coiffant sur le poteau de quelques jours Google, Oracle a ainsi officialisé l’ouverture de sa seconde région France, une « région parisienne OCI » proposant un vaste portefeuille de services cloud avec sécurité intégrée, gestion de la reprise après sinistre et « un des meilleurs rapports prix/performance du secteur » (sic). Ainsi, que vous soyez à Francfort, Londres ou La Courneuve, Oracle Autonomous Database, Oracle Container Engine for Kubernetes et Oracle Cloud VMware Solution sont indifféremment proposés sur les deux régions « France » d’OCI : Marseille (ouverte fin 2021) et Paris (ouverte en juin 2022).
De son côté, Google a également ouvert sa région France fin juin. Répartie sur trois datacenters parisiens pour une totale résilience, elle propose la quasi-totalité des services IaaS, PaaS et SaaS de GCP.
Pas plus Google qu’Oracle n’entendent être les propriétaires sur le sol français de datacenters. Leurs infrastructures sont dans les deux cas hébergées dans les datacenters d’interconnexion réputés mais pas toujours divulgués.
Une conformité miroir aux alouettes ?
Pour les deux opérateurs, s’il s’agit d’abord d’offrir un taux de latence plus faible et davantage de proximité et d’options de résilience aux applications hébergées.
Mais, selon Oracle, l’opération vise aussi à « répondre aux exigences de conformité réglementaire, particulièrement critiques dans le secteur bancaire et le secteur public ». Sauf que, ce n’est pas exact, tout au moins pour les administrations, OIV (opérateurs d’importance vitale) et OSE (opérateurs de services essentiels) qui sont désormais tenus d’héberger « applications et données critiques » sur des « clouds de confiance » hermétiques au Cloud Act américain et autres lois extra-territoriales. Ce qui n’est ni le cas d’OCI, ni le cas de GCP, pas plus que des régions France d’AWS ou d’Azure.
En effet, toutes ces offres cloud « région France » ne sont, en l’état actuel, conformes aux exigences de la version 3.2 du 8 mars 2022 du référentiel d’exigences de l’ANSSI parce qu’elles dépendant d’entités américaines soumises au Cloud Act.
Ce n’est pas plus le cas des options « Trusted Cloud » des opérateurs que sont « Assured Workloads » chez GCP et « EU-Oracle Sovereign Cloud » chez OCI, options qui permettent de s’assurer que les Workloads et données ne quitteront des datacenters français administrés par des européens. Il ne s’agit pas d’un problème technique mais de contraintes juridiques.
Dans leurs discours « de confiance » autour de leurs régions européennes, Oracle et Google ne sont-ils donc pas à côté de la plaque ? La réponse est un peu plus complexe qu’elle n’en a l’air. Si l’on s’en tient à SecNumCloud 3.2, ils le sont sans aucun doute possible. Mais toutes les entreprises ne sont pas « contraintes » au « cloud de confiance à la française ». Et tous les OIV et OSE n’ont pas dans le cloud que des workloads et des data « critiques » nécessitant du SecNumCloud 3.2.
Dès lors, il existe un vrai espace d’utilisation de ces offres « régionales » qui permettent non seulement de disposer de temps de réponses optimaux mais aussi de rassurer les clients sur l’emplacement des données et services ainsi que sur le personnel qui en est en charge.
Pour l’heure, rappelons qu’en matière de véritable « cloud de confiance » tel que le conçoit le gouvernement français, des solutions existent bel et bien dès aujourd’hui à l’instar du « Cloud d’hyper-confiance » de 3DS Outscale et de l’offre HostedPrivate Cloud d’OVHcloud. Si Caroline Comet-Fraigneau d’OVHcloud se veut confiante, « nous sommes capables de couvrir 80 % des besoins », le sujet n’est toutefois pas, selon l’aveu même d’OVHcloud, que la certification. Il faut être en mesure de fournir une palette de services autant étendue que performante. Ainsi qu’une solution de gestion éprouvée de reprise après sinistre hébergée sur notre sol national.
La souveraineté ne ferait donc pas tout ?
Grandes manœuvres autour du cloud de confiance
Tout tient en quatre lettres. Après Orange et CapGemini qui ont précisé la roadmap de leur offre souveraine « Bleu » en technologies Microsoft, Thales et Google ont officialisé la création de l’entreprise « souveraine » S3NS (prononcez SENS) qui doit permettre de répondre aux exigences du cloud de confiance souverain « à la française » en appui sur les technologies de Google Cloud.
Au sein de S3NS, c’est Thales qui va veiller à la création, l’hébergement, l’exploitation et la commercialisation du « cloud de confiance » basé sur GCP. Cette réplique de la plaque française de Google, hébergée dans des datacenters isolés de ceux de Google Cloud « région France », compte proposer exactement les mêmes services IaaS, PaaS et SaaS de l’offre Google Cloud Platform à l’exception des outils répartis et internationaux comme la base de données Spanner et Google Workspace. Elle ne sera toutefois opérationnelle que dans deux ans (tout comme l’offre Bleu). En attendant, les premiers développements pourront être opérés dans les mêmes conditions avec les services de sécurité et de contrôle Thales via une offre « GCP Assured Workloads by Thales » pour assurer notamment la conformité RGPD. À des tarifs prétendus compétitifs, mais forcément supérieurs à l’offre GCP classique. La confiance a un prix…
