Semaines après semaines, le projet de Métacloud Européen Gaia-X prend forme. Alban Schmutz, Vice-President, Strategic Development & Public Affairs d’OVHcloud, revient sur la raison d’être de cette initiative, sur comment elle va se concrétiser techniquement et sur sa roadmap.

À l’heure où les pouvoirs publics ne parlent plus que de souveraineté numérique, où l’hébergement du Health Data Hub anime tant de débats, où les DSI sont de plus en plus contraints de tenir compte des contraintes locales, où cybercriminels et organisations d’états mènent des campagnes de cyberattaques sur nos données, et où l’Europe veut garder sa liberté de penser face aux IA américaines et chinoises, le projet Gaïa-X paraît chaque jour un peu plus indispensable. Initié par les ministres de l’Économie, français et allemands, en juin dernier, le métacloud européen avance à grands pas. Pour faire un point sur sa raison d’être, sur son avancement et sur ses défis opérationnels et techniques, nous avons rencontré l’actuel CTO adjoint intérimaire de Gaia-X, Alban Schmutz, Vice-President, Strategic Development & Public Affairs d’OVHcloud et chairman du CISPE.

Beaucoup ne voient en Gaia-X qu’un catalogue de services de fournisseurs cloud européen. Mais le projet semble bien plus ambitieux. Qu’en est-il exactement ?

Gaia-X est effectivement bien plus qu’un catalogue européen de services cloud permettant de retrouver ceux que l’on recherche à partir de différents critères.
Il faut bien comprendre que Gaia-X cherche d’abord à adresser simultanément  deux grandes idées :
D’une part, répondre aux besoins de créer de la valeur et de faciliter les échanges autour des espaces de données sectoriels européens partagés tel qu’ils sont portés par la Commission européenne sur l’énergie, la santé, le manufacturing, etc.
D’autre part, la mise en œuvre d’infrastructures sous-jacentes qui permettent de délivrer ces espaces de données en partant de l’idée que pour créer de la valeur il va falloir avoir un marché du cloud en Europe qui fonctionne le mieux possible. Pour qu’il fonctionne, il doit porter haut et fort les notions d’ouverture, le fait de ne pas avoir de Locking et la possibilité de permettre de passer d’un fournisseur A à un fournisseur B sans couture.
Pour concrétiser cela, nous sommes en train de développer les spécifications que devra implémenter chacun des services cloud en matière notamment de gestion d’identité et d’accès, d’autodescription des services, de sécurité, de conformité, de catalogue de services… Nous sommes en train d’implémenter ces « Core Services » au sein de Gaia-X, de normaliser les API et de développer des implémentations de référence.

Au-delà des éléments techniques, quelles autres règles régiront l’univers Gaia-X ?

On essaye d’insuffler à cet ensemble des valeurs européennes en matière d’ouverture, de sécurité, de protection des données, de réversibilité, de transparence.
Bien sûr, tout service proposé via Gaïa-X devra explicitement exposer les technologies qu’il utilise, le niveau de qualité de service, etc.
Mais on a aussi développé tout un ensemble de règles – que l’on appelle les Policy Rules (document rendu public le 4 juin) – qui ne sont pas techniques mais sur lesquels les opérateurs qui veulent figurer dans Gaia-X doivent s’engager en toute transparence. Typiquement chaque service devra indiquer les labels de sécurité appliqués et les régulations extra territoriales non européennes qui s’y appliquent.  Au-delà, lorsqu’un service est exposé par Gaia-X, il devra préciser les technologies utilisées, le niveau de qualité de service, etc.

Où en est aujourd’hui ce projet ? Quelle en est la roadmap et quand verrons-nous ses premiers cas d’usage ?

Une étape administrative essentielle a été franchie le 15 septembre dernier avec le dépôt des statuts de l’association internationale à but non lucratif « Gaia AISBL ». Nous sommes dans l’attente d’un décret signé par le roi belge pour disposer d’une pleine personnalité juridique et commencer à recruter les équipes opérationnelles permanentes.
Gaia-X est déjà une énorme machine. Au-delà des 22 membres fondateurs annoncés en juin, 130 entreprises et organisations ont envoyé leur lettre d’intention de rejoindre Gaia-X, sachant qu’il nous est impossible d’accepter officiellement des memberships tant que la personnalité juridique n’est pas officialisée.
Dans la réalité des faits, plus de 150 entités travaillent déjà au sein de différents groupes de travail à concrétiser Gaia-X. Les travaux techniques préparatoires ont débuté bien avant le dépôt des statuts.
Bien sûr cela prend du temps de mettre d’accord sur des spécifications techniques communes autant d’entités alors que nombre d’entre elles sont concurrentes et n’ont pas fait les mêmes choix techniques internes.
Le prochain grand rendez-vous sera le Gaia-X Summit qui se tiendra les 18 et 19 novembre avec des interventions ministérielles, des entreprises qui vont présenter leurs cas d’usage, et la présentation de la roadmap technique.
L’objectif, c’est d’avoir les premiers « use-cases » disponibles pour le mois de juin 2021.

Parmi les 130 organisations qui ont déjà postulé, y a-t-il des entreprises non européennes ? Typiquement Gaia-X sera-t-il ouvert aux acteurs américains ?

Gaia-X est ouvert à tous ceux qui acceptent les principes définis par les Policy Rules, y compris les acteurs américains. Ils peuvent alors entrer dans les groupes techniques, participer à l’architecture et proposer des services.
En revanche, ne peuvent être élues au Board que des organisations ayant leur siège social mondial en Europe. Parce que la raison d’être de Gaia-X est bien de porter les valeurs européennes ! Il est logique dès lors que ce soient uniquement des organisations européennes qui décident ce que sont ces valeurs. Ainsi, même s’il y a un groupe de travail international qui planche sur les Policy Rules et sur leurs évolutions, c’est bien le Board de Gaia-X qui les valide et en contrôle l’évolution. Sur les groupes techniques, lorsqu’un consensus n’émerge pas, le Board est l’instance de dernier ressort qui tranche les débats.
Il ne faut pas oublier que Gaia-X n’est pas uniquement un projet de fournisseurs cloud européens. C’est aussi un projet d’utilisateurs européens qui utilisent déjà différents clouds et veulent disposer d’offres satisfaisant les contraintes nationales et européennes sans pour autant forcément abandonner ce qu’ils ont déjà mis en œuvre sur les hyperscalers américains par exemple, s’ils bénéficient d’assurance en matière de transparence et réversibilité.

OVHcloud a récemment officialisé un partenariat avec T-System. S’inscrit-il dans le projet Gaia-X ?

Deutsche Telekom et T-System sont membres fondateurs de Gaia-X. On essaye de porter ensemble une vision ouverte de l’implémentation des clouds en Europe. Ce partenariat permet à T-System d’intégrer dans ses datacenters les équipements et infrastructures d’OVHcloud avec notre façon de les déployer et nos technologies. T-System assurera la promotion de ces services en Europe. L’objectif est d’adresser ensemble des marchés publics en Europe mais aussi le secteur privé. L’ensemble des développements mis en œuvre dans Gaia-X seront implémentés dans nos produits chez OVHcloud, dans nos datacenters comme dans ceux de T-System. Ce partenariat va ainsi servir à démontrer la valeur de Gaia-X.

Quels sont les risques qui pourraient aujourd’hui faire capoter l’initiative Gaia-X ?

Le principal risque à mes yeux reste la complexité du projet. Il y a beaucoup d’acteurs impliqués qu’il faut coordonner et mettre en cohérence. Le risque de voir des gens, au bout d’un moment, ne plus vouloir avancer est non nul. Chacun doit se sentir engagé et ne pas attendre que les autres fassent le boulot.
Le deuxième risque, c’est que tout ce qui est défini dans Gaia-X ne soit pas mis en œuvre par les fournisseurs.
Ceci dit, si ce projet-là est né et a une telle emprise aujourd’hui, si Ursula von der Leyenen (présidente de la Commission Européenne) en a longuement parlé dans son discours sur l’état de l’union à la rentrée, c’est parce que l’Europe a vraiment besoin d’une telle solution pour que le marché cloud en Europe fonctionne.
Par ailleurs, pour avoir participé à de nombreux gros projets européens, je suis très positivement surpris de voir la vitesse à laquelle ce projet avance et par la cohérence qui existe au sein des groupes de travail.
Enfin, ne perdez pas de vue que de nombreuses entreprises clientes sont présentes au sein de Gaia-X avec des cas d’usage bien identifiés et elles poussent pour que les choses se concrétisent et rapidement.

Vous parlez de « Lock-in », mais il n’y a pas réellement de verrous technologiques, plutôt des pratiques commerciales douteuses. Le véritable « Lock-in » est plutôt la conséquence de contraintes opérationnelles qui amènent les acteurs à n’utiliser qu’un cloud pour des raisons de cohérences technologiques, de sécurité des données, de performances… Gaia-X peut-il vraiment changer ça ?

Sans pointer un acteur spécifique, il y a des choses sur le marché qui ne fonctionnent pas correctement, des comportements hérités de l’ancien monde de la licence logicielle qui révèlent d’une volonté de « Lock-in ».
Les Policy Rules de Gaia-X sont là pour mettre fin à de telles pratiques en prônant par exemple la portabilité des licences, la portabilité des données, la réversibilité des services.
Ceci dit, vous avez raison, il y a aussi des réalités opérationnelles. Dès lors que l’on développe un certain nombre de services internes sur la base de composants techniques externes qui sont plus ou moins fermés ou placés au même endroit, déplacer les workloads devient forcément plus compliquer. Ce qu’on essaye d’adresser avec Gaia-X, c’est de lever autant que possible ces verrous-là. Prenons l’exemple de la gestion des identités. Si tout le monde est capable de partager la gestion des identités de Gaia-X, on aura levé ce verrou.

OVHcloud s’apprête à ouvrir deux nouvelles régions certifiées « SecNumCloud » pour adresser les besoins de souveraineté nationale, de défense, etc. 3DS Outscale a lui aussi créé deux régions spéciales « SecNumCloud » pour adresser ces mêmes demandes qu’elles proviennent du secteur public ou de grandes entreprises privées. Ces approches ne sont-elles pas finalement antinomiques avec Gaia-X ou simplement dangereusement concurrentes au métacloud ?

Non au contraire. Il faut voir Gaia-X comme une plateforme de transparence avec de l’implémentation opérationnelle. Mais Gaia-X ne décide pas de ce qui est bien ou pas.
Une administration française qui a des considérations particulières en matière de sécurité ou d’éthique, par exemple, va trouver dans Gaia-X tout un choix de services potentiels mais en fonction de l’expression de ses besoins particuliers sa recherche de solutions débouchera sur un sous-ensemble de fournisseurs disposant en l’occurrence de la certification SecNumCloud. Ce n’est donc pas antinomique.
La valeur ajoutée de Gaia-X lui assurera par ailleurs de pouvoir passer aisément de OVHcloud à 3DS Outscale et inversement.