A cause des réglementations contradictoires et des signaux divergents, il n’est pas toujours simple pour un éditeur français ou européen d’évoluer sereinement sur leurs marchés nationaux face aux géants américains. En exemple, celui de la Dinum (Direction interministérielle du numérique) qui annonce cet été sa solution collaborative baptisée Suite Numérique et basée sur divers outils en open source alors qu’il existe déjà sur le marché des solutions d’éditeurs français et européens comme celles que nous décrivons dans cette enquête. « La Dinum nous envoie un message pour le moins confus, quelques semaines seulement après le financement de projet (ndlr : programme inscrit dans le plan France Relance 2030), dont la finalité est d’accélérer le développement de plusieurs suites bureautiques et collaboratives. Plus généralement, l’écosystème se mobilise régulièrement pour appeler nos gouvernants à faire preuve de plus d’audace en fléchant, par exemple, une partie de sa commande publique vers son écosystème. C’est par sa commande que nos entreprises peuvent se développer durablement plus que par la subvention », alerte Philippe Pinault, co-fondateur et CEO de l’éditeur Talkspirit. Un avis que partage aussi Lionel Roux, directeur général de Wimi : « Certes, le plan France 2030 va dans la bonne direction mais l’annonce faite par la Dinum va, elle, à l’encontre de la doctrine de l’Etat et de l’Anssi. L’Etat va donc nous financer à plusieurs millions d’euros mais il nous ferme à la commande publique. De plus, la Dinum n’est pas un éditeur de logiciels, il ne suffit pas d’assembler des briques open source, la création de logiciels est un métier. »  

Rappelons que c’est au travers du plan France 2030 qu’ont été retenus trois projets de suite collaborative dont celles de Jamespot, Wimi et Intersis, ces trois acteurs ont bénéficié d’une enveloppe pour financer leur passage à l’échelle. Cette façon de faire de la DINUM n’est pas sans nous rappeler l’épisode des clouds souverains Numergy et Cloudwatt, ces derniers ont entre autres été lancés par des investissements massifs de l’Etat alors que sur le marché, des acteurs comme OVH, Ikoula ou Cheops Technology étaient déjà bien implantés.  

Ce signal divergent est aussi à mettre en parallèle à celui du match entre la loi française SREN face à la future certification européenne EUCS. D’un côté, l’article 10 Bis A de la loi SREN – votée par le Parlement français le 10 avril dernier – impose pour les administrations et les opérateurs de l’Etat d’héberger leurs données sensibles sur des solutions souveraines qualifiées SecNumCloud. De l’autre, la dernière version du projet du schéma européen de certification des services cloud (EUCS) écarterait le critère de sécurité juridique (soutenu par la France et son SecNumCloud 3.2) pour les données les plus sensibles. Dans ce contexte paradoxal, difficile donc d’y voir clair pour les entreprises pour le moment. Une chose est sûre, Guillaume Poupard, ancien dirigeant de l’ANSSI, est monté au créneau dans une tribune sur LinkedIn en demandant la réintégration du critère de sécurité juridique dans le schéma de l’EUCS pour limiter l’impact des lois extra-territoriales notamment le Cloud Act et le FISA américains, mais également la réglementation chinoise. Le Cigref et 18 sociétés œuvrant dans 13 pays européens ont fermement critiqué la dernière version d’EUCS supprimant le critère de sécurité juridique. In fine, le schéma final retenu d’EUCS aura-t-il le dernier mot sur l’article 10 BIS A de la loi SREN et qu’adviendra-t-il concrètement de SecNumCloud ?  

SecNumCloud, un processus long et coûteux 

Pour Sylvain Lefeuvre, responsable des ventes chez Oodrive, l’Anssi va rester maître des OIV (opérateurs d'importance vitale) et des OSE (opérateurs de services essentiels) en France, l’EUCS ne viendra pas les impacter. C’est d’autant plus vrai que les règlements NIS 2 ou encore DORA vont plutôt dans le sens de SecNumCloud. Ceci étant dit, la question mérite d’être posée au vu des investissements financiers et humains que représente SecNumCloud pour des entreprises comme Jamespot, Wimi ou Talkspirit pleinement engagées pour obtenir cette qualification même si, là aussi, des aides ont été mises en place par le gouvernement. Jamespot, Talkspirit ou Jalios bénéficient de ces aides mais elles ne couvrent pas tous les frais, une part d’autofinancement est nécessaire. « Le programme est évalué entre 800 000 et 1 000 000 d’euros de notre côté, il a démarré il y a deux ans et devrait nous permettre d’obtenir la qualification SecNumCloud à la fin de l’année 2025. Nous avons déjà investi depuis trois ans dans la sécurité et sommes aujourd’hui les seuls à avoir la certification ISO 27001 », indique Philippe Pinault. De son côté, Jamespot admet un investissement conséquent pour les deux certifications actuellement en cours ISO 27001 et SecNumCloud. « Pour ces certifications, nous disposons d’un RSSI à plein temps, d’un devops à mi-temps, d’un CTO à quart-temps, d’un alternant et moi-même. En externe, nous avons eu affaire à deux cabinets, le premier pour bâtir une V.1 d'ISO 27001 et le deuxième pour nous challenger et améliorer le socle. A cela, il faut ajouter les évolutions techniques. Au total, nous consacrons un budget conséquent de 330 000 € en année pleine sachant que nous réalisons un CA de 5 M€. Concernant SecNumCloud, nous nous engageons dès septembre 2024 dans les premiers audits et le processus prendra entre 18 à 36 mois… » Ce processus long et coûteux est aussi partagé par Jalios, l’éditeur, qui dispose d’un visa CSPN délivré par l’Anssi a entamé une double démarche, à savoir SecNumCloud et ISO 27001. En bénéficiant aussi d’une aide pour une future qualification SecNumCloud, NetExplorer a entamé son processus long et coûteux comme le rappelle Bertrand Servary, CEO de NetExplorer. Cela dit, le dirigeant se montre assez critique sur SecNumCloud de par ses exigences et le manque de sensibilisation notamment auprès des établissements publics, lesquels ont tendance à croire que cette qualification devient obligatoire. « Et cela fait même prendre un risque pour la souveraineté, car le SecNumCloud peut être vu comme la seule alternative à un outil GAFAM. Pendant ce temps, on se détourne des solutions intermédiaires non SecNumCloud alors qu'elles pourraient être une parfaite alternative, à la fois sécurisée et souveraine. C’est pour cela que je trouve au SecNumCloud un côté contre-productif car les commanditaires sont bien mal informés. » De son côté, cet investissement dans SecNumCloud se chiffre à environ 1,2 M€ chez Wimi. A ce titre, l’éditeur n’a pas bénéficié d’aides car son processus vers la qualification SecNumCloud était déjà très avancé ; d’après Lionel Roux, Wimi sera qualifié SecNumCloud d’ici à septembre prochain et deviendra ainsi le deuxième éditeur à en bénéficier après Oodrive.