« Tous les cloud ne se valent pas », a rappelé Vincent Strubel, directeur général de l’Anssi lors de la seconde journée du FIC (rebaptisé depuis hier Forum Incyber). Un écho à la thématique choisie par l’organisation, « Cloud : et si le ciel nous tombait sur la tête ? ». Loin d’être un irréductible village gaulois, le dirigeant le reconnait, « nous ne sommes pas d’accord avec beaucoup de monde sur le sujet du cloud ». Et de préciser, « il y a ceux qui pensent qu’il n’y a pas de problème. Si il y en a et cela dépasse le cadre de l’Etat, car cela touche aussi les entreprises ». « Il y a les gens qui pensent qu’il n’y a pas de solutions et certains qu’il y a des solutions, mais qu’il faut repartir de zéro », poursuit-il.
Au final, « nous avons tous besoin de lutter contre cette idée que le cloud est une solution sécurisée », observe Vincent Strubel. Pour lui, la démarche de migration dans le cloud doit être « réfléchie » et enjoint les responsables présents dans la salle à « bien lire les petites lignes des contrats ». En termes de confiance, le patron de l’Anssi met bien évidemment en avant la qualification SecNumCloud et rappelle le haut niveau d’exigences imposés. « C’est dur, ce n’est pas simple, mais c’est justifié face à la menace », glisse-t-il.
Un accompagnement pour SecNumCloud et des suites bureautiques souveraines
De plus en plus d’acteurs sollicitent cette qualification sans avoir les moyens humains et financiers. Sur ce dernier point, Jean-Noël Barrot, ministre délégué chargé de la Transition numérique et des télécommunications, a annoncé (lors d’une vidéo préenregistrée) les lauréats du dispositif d’accompagnement pour obtenir la qualification SecNumCloud. 21 sociétés (sur un total de 40 prétendants) ont été sélectionnées pour une enveloppe de 3,5 M€ issus du plan France 2030. Parmi les entreprises lauréates, on retrouve notamment Dawex, plateforme d’échange de données, Clever Cloud, Qarnot Computing, e-Attestation (logiciel de conformité), etc. Devant le succès de cette première vague, le gouvernement lance un second appel à candidatures, les sociétés intéressées ont jusqu’au 19 juillet 2023 pour soumissionner.
En parallèle, le ministre a annoncé les lauréats de l’appel à projets sur « les suites bureautiques collaboratives cloud ». Il s’agit de Wimi, Jamespot et Interstis, qui s’appuient sur une vingtaine de partenaires, dont Linagora, Bluemind, CleverCloud ou 3DS Outscale (disposant de la qualification SecNumCloud). Le budget alloué à ces initiatives est de 23 millions d’euros. Elles s’inscrivent dans un contexte où l’Etat et en particulier le ministère de l’Education nationale a rappelé l’interdiction d’utiliser les suites Microsoft 365 et Google Workpsace au sein des établissements.
Un écosystème national encore en construction
Du côté des utilisateurs, cette question du cloud de confiance se heurte à des réalités pragmatiques. Jean-Claude Laroche, président du Cigref, constate qu’entre « 70 à 75 % des contrats cloud sont avec AWS, Microsoft et Google. C’est préjudiciable à deux niveaux : la dépendance financière et la protection des données ». Il voit donc d’un bon œil le développement d’offres de cloud de confiance et renvoie au référentiel publié par le Cigref sur ce sujet.
Réalisme aussi pour Jean-Noël de Galzain, patron de Wallix et président de l'association Hexatrust qui rebondit sur les propos du ministre, « il faut une adéquation entre les offreurs et la commande publique sur le cloud ». Et d’appeler les plateformes qualifiées SecNumCloud « à ouvrir largement leur marketplace aux éditeurs ». Il s’agit bien là de créer un écosystème. Dans les prochaines semaines, Jean-Noël Barrot doit lancer un CSF (comité stratégique de filière) dédié au « numérique de confiance », dont le projet a été porté par Michel Paulin, directeur général d’OVHCloud.