• l’année dernière
C’est un sujet d’actualité en Europe, et notamment en France avec le projet de loi SREN : comment mieux encadrer les fournisseurs de services de cloud ? Si le gouvernement a pour objectif de renforcer les dispositifs de régulation, l’enjeu est également d’ouvrir ce secteur à la concurrence tout en conservant une indépendance technologique. Sébastien Lescop, le PDG de Cloud Temple et le député Philippe Latombe, sont dans SMART TECH pour en parler.

Category

🗞
News
Transcription
00:00 L'encadrement du cloud, des fournisseurs de cloud et d'actualité en Europe et puis
00:08 aussi très concrètement en France avec le projet de loi SREN pour sécuriser et réguler
00:14 Internet et cette volonté de changer la donne dans ce secteur, d'ouvrir davantage ce secteur
00:22 à la concurrence, d'obtenir une certaine indépendance technologique.
00:26 Tout cela est dans ce texte ou pas, c'est justement ce dont on va débattre avec mes
00:30 invités.
00:31 Aujourd'hui Sébastien Lescope est en plateau, PDG de Cloud Temple, vous êtes un fournisseur
00:35 français de cloud, donc un acteur directement concerné par ce projet de loi qui a été
00:40 adopté récemment à l'Assemblée Nationale.
00:42 Ce fournisseur Cloud Temple est qualifié Secnum Cloud, ce qui est assez rare pour le signaler,
00:49 qualification qui est donnée par l'ANSI, l'Agence Nationale de Sécurité des Systèmes
00:53 d'Information.
00:54 Vous êtes également certifié HDS pour l'hébergement des données de santé.
00:59 Je signale enfin que vous êtes le copilote du groupe de travail consacré au cloud au
01:04 sein du comité stratégique de filière numérique de confiance.
01:07 Merci d'être avec nous pour ce débat.
01:08 Et puis à distance, connecté par Skype, Philippe Latombe, député politique très
01:15 engagé au fait de ces sujets.
01:17 Bien évidemment, vous êtes déjà venu régulièrement dans Smartech pour nous parler de ces sujets.
01:21 Vous êtes député modem de la première circonscription de Vendée, membre de la commission
01:24 des lois à l'Assemblée Nationale et membre de l'ACNIL.
01:27 J'ai envie de vous poser déjà une première question à tous les deux.
01:32 Je disais intention derrière les textes de réglementation autour du cloud, c'est de
01:37 gagner davantage en indépendance technologique, d'ouvrir à la concurrence.
01:41 Est-ce qu'il vous semble que ce texte va véritablement changer quelque chose ?
01:45 Peut-être, Monsieur le député, vous voulez commencer ?
01:48 Écoutez, on a vraiment franchi une belle étape avec le DMA sur le sujet du cloud.
01:55 Et SREN est venu en France appuyer sur les quelques angles morts qu'avait le DMA, notamment
02:02 sur tout ce qui était les crédits cloud, les fameux Y-fees, donc les frais de sortie,
02:07 la réversibilité et la transparence.
02:09 C'est l'ensemble des deux conjugués qui va permettre d'améliorer la situation du
02:15 marché et de permettre d'ouvrir la concurrence et notamment pour que des entreprises françaises
02:21 et européennes puissent challenger les hyperscalers américains.
02:23 Votre avis Sébastien ?
02:25 Pour compléter, en tant que directeur d'entreprise, il est vrai que d'avoir une concurrence saine,
02:30 et donc la loi SREN va en ce sens, est positive.
02:33 Ça permettra de se battre à armes égales.
02:34 Mais également, plus généralement, c'est un premier pas vers la régulation du cloud
02:38 où aujourd'hui on a très peu de lois qui s'appliquent, c'est un peu le far west.
02:42 Ça permet également d'engager à long terme la filière vers des objectifs de performance.
02:48 D'accord.
02:49 Donc vous dites, ça va dans le bon sens, mais est-ce que ça va changer la donne là
02:54 tout de suite ? Peut-être pas.
02:56 Vous êtes plutôt sur du moyen terme.
02:57 L'objectif derrière, c'est d'avoir au sein du gouvernement une stratégie industrielle
03:05 numérique et quand je dis industrielle, c'est une stratégie à long terme qui s'inscrit
03:09 sur les dix prochaines années.
03:10 On est sur un temps long aujourd'hui, le cloud c'est à peu près 12%.
03:15 12% des infrastructures sont externalisées vers des services de type cloud.
03:19 12%.
03:20 C'est-à-dire qu'il reste encore la majorité des infrastructures ne sont pas externalisées.
03:23 On est au début.
03:24 Donc il y a une opportunité de marché.
03:26 Il y a une opportunité de marché.
03:28 Importante.
03:29 Mais on n'est pas certain que ça aille vers, entre les mains en tout cas, d'opérateurs
03:34 européens.
03:35 Les opérateurs européens ont pris du retard.
03:37 Il y a en effet un effet de taille.
03:41 Le fait de réguler et ça permettra de favoriser la filière française et européenne pour
03:46 se battre à armes égales.
03:47 On parlait du Credit Cloud, des GraceFees qui sont aujourd'hui des leviers financiers
03:54 qui sont utilisés par les hyperscalers pour justement conserver leurs clients.
04:00 Mais le plus important c'est la politique stratégique, industrielle et donc à long
04:06 terme.
04:07 Il y a une urgence aujourd'hui.
04:08 Je fais partie du CSF.
04:09 Ça ne se règle pas par un texte de loi ça ?
04:11 Non.
04:12 Alors on va quand même rester sur ce texte pour essayer d'expliquer, parce que vous
04:14 avez évoqué là quelques mesures, mais ça peut rester quand même assez obscur pour
04:17 ceux qui n'ont pas une connaissance aussi pointue que vous de ce secteur du cloud.
04:22 Qu'est-ce qu'il dit ce projet SREN sur le cloud, Monsieur le député ?
04:28 Est-ce qu'il impose notamment certaines contraintes quant à l'hébergement de données sensibles ?
04:33 Parce que je sais que c'est un sujet que vous avez suivi de près.
04:35 Alors c'est un sujet qui a été… oui, il en contient.
04:40 Le Sénat a introduit une mesure qui était l'article 10 bis A qui disait que l'État
04:47 devait héberger ses données sensibles sur des clouds inunes aux règles extraterritoriales
04:51 non européennes.
04:52 En gros, que ce ne soit que des clouders européens qui puissent héberger ce type de données.
04:58 Ça a été supprimé à l'Assemblée, transformé, modifié par un nouvel article.
05:05 La vraie question… alors on est dans une période un peu bizarre sur le texte SREN
05:09 puisqu'il a été voté à l'Assemblée nationale, il a été voté au Sénat, mais
05:13 pour l'instant la commission mixte paritaire n'a pas été convoquée.
05:17 Et donc il y a encore des ajustements sur ce texte et très certainement que cette
05:21 partie-là d'hébergement des données sensibles fera partie des ajustements entre
05:25 l'Assemblée et le Sénat.
05:27 Et puis il y a une négociation européenne en cours, il ne faut pas négliger, qui s'appelle
05:32 EUCS, qui est en fait l'équivalent de CECNUM Cloud français mais au niveau européen
05:36 et pour lequel nous sommes en grande discussion avec nos partenaires, notamment allemands
05:40 et hollandais, qui eux ne veulent pas de règles d'immunité sur la partie extraterritoriale.
05:47 Alors que la France pousse pour que nous puissions avoir sur les données les plus sensibles
05:52 une obligation d'immunité à ces règles extraterritoriales.
05:55 Elles sont américaines, mais elles sont aussi chinoises, elles sont aussi d'autres pays,
06:00 ce n'est pas simplement visant les américains, même si ce sont eux qui ont l'immense majorité
06:04 du marché.
06:05 Et on voit bien que la commission est plutôt encline en ce moment à écouter les allemands
06:10 et les hollandais plutôt que nous, preuve en est avec les appels d'offres remportés
06:15 par Oracle et éventuellement par AWS sur la partie du cloud que la commission souhaiterait
06:23 voir hébergée par ces deux opérateurs.
06:25 Alors parce que pour l'instant ce qui est dit dans le texte c'est plutôt une incitation
06:29 à recourir à des clouds qui respectent un référentiel, enfin pas un référentiel justement,
06:34 mais la doctrine cloud au centre.
06:36 Qu'est-ce que ça veut dire ça exactement ?
06:38 Alors la doctrine cloud au centre c'est un référentiel qui a été mis en place par
06:43 la DINUM et qui concerne les administrations publiques, les administrations et les opérateurs
06:47 publics avec un objectif premier c'est de moderniser les systèmes d'information de
06:52 l'état et pour les données sensibles et uniquement les données sensibles de leur
06:55 imposer en fait un cloud qualifié secnum cloud ou un cloud de l'état en tout cas qui réduit
07:01 très fortement la surface d'adversité.
07:02 Alors c'est ça, pas forcément qualifié secnum cloud qui est une qualification très
07:06 difficile à obtenir.
07:07 Absolument, aujourd'hui nous ne sommes que cinq à l'avoir obtenu.
07:09 On peut comparer par exemple à la certification d'hébergeur de données de santé où il
07:13 y a aujourd'hui 200 sociétés qui sont hébergées, qui sont certifiées HDS et ce qui est intéressant,
07:22 vous parliez de données sensibles, on est tous conscients que la donnée de santé est
07:26 une donnée sensible et il y a un sujet d'ailleurs et le député Latombe pourra en parler sur
07:32 la convergence de la certification de l'hébergement de données de santé vers secnum cloud.
07:38 Alors pour comparer les deux, cloud temple quand ils ont passé la qualification, ça
07:45 a été un investissement de 7 millions d'euros, deux ans et demi de travail, une trentaine
07:50 de collaborateurs à temps plein.
07:52 Quand on a passé la certification HDS, c'était dix jours d'un consultant pour adapter le
07:58 référentiel ISO 27001 à HDS.
08:00 Alors ça, ça laisse un peu sans voix quand même, Philippe Latombe, d'entendre que finalement
08:06 sur les données de santé, on a un référentiel plutôt faible.
08:09 Il faut renforcer, il a le mérite d'exister, mais qu'il faut renforcer.
08:14 Aujourd'hui, il ne garantit pas un niveau minimal de sécurisation des données qui
08:19 y sont hébergées.
08:20 Monsieur Latombe, là-dessus, est-ce qu'on a quelque chose qui pourrait faire avancer
08:25 ce sujet dans le texte de loi en ce moment ?
08:27 Oui, il y a eu, j'ai déposé un amendement en commission qui avait été retenu, imposant
08:35 que les données de santé soient hébergées en SecNumCloud.
08:37 Le gouvernement a demandé à ce qu'on puisse le modifier en prenant l'engagement au
08:42 banc de faire faire une convergence entre la certification HDS et la certification
08:47 SecNumCloud avec des paliers.
08:49 Et donc, normalement, dès le début de l'année 2024, le référentiel HDS doit être modifié
08:55 et va intégrer des règles de protection à la fois en cyber et des protections juridiques
09:00 de type immunité aux règles extraterritoriales.
09:02 En gros, on a vraiment deux exemples, je ne vais pas les nommer, mais on a au moins
09:07 un exemple de l'État qui est le Health Data Hub, la plateforme des données de santé,
09:11 qui est aujourd'hui hébergée chez Microsoft.
09:14 Et elle détient l'intégralité des données de santé de nos concitoyens via le SNDS,
09:20 qui est la base de la CTM.
09:23 On voit bien que ces données-là, vu leur acuité et leur ampleur, nécessitent d'être
09:29 protégées et nos concitoyens, d'ailleurs, nous le demandent.
09:31 Est-ce que c'est réaliste, parce que ça c'est un argument qui a été opposé, d'imposer
09:36 cette labellisation donc très difficile à obtenir ? C'est que vous nous dites que c'est
09:40 plus de deux ans de préparation.
09:43 Est-ce que c'est réaliste de l'imposer d'ici au 1er juillet 2024 à tous ceux qui sont hébergeurs
09:48 de données de santé ?
09:49 Est-ce que c'est réaliste d'être ambitieux et de vouloir gagner notre autonomie stratégique ?
09:52 Je pense que oui.
09:53 Après, c'est une question de calendrier.
09:54 Est-ce que c'est réaliste de penser qu'on aura des acteurs français ou européens,
09:58 à minima ?
09:59 Je pense que c'est une question de calendrier.
10:00 Oui, aujourd'hui, la filière française qui fait partie du CSF est solide.
10:05 Cloud Temple est une société rentable.
10:07 L'urgence est relative.
10:09 Et comme je vous le disais, en fait, on est au début de la dynamique de Cloud.
10:13 Le sujet, c'est de s'inscrire dans la durée et de construire une filière forte qui propose
10:17 des solutions alternatives complètement aux hyperscalers.
10:21 Alors là, on a plutôt abordé ce sujet sous l'angle, sous le prisme de l'indépendance
10:26 technologique.
10:27 Donc, cet autre volet qui est celui de la compétition économique, de permettre davantage
10:34 de concurrence et aussi aux entreprises de passer d'un cloud à un autre de manière
10:39 plus facile.
10:41 Vous avez évoqué, Monsieur Latombe, les crédits de cloud qui sont finalement des
10:46 tarifs préférentiels que proposent les grands opérateurs de cloud pour garder le plus longtemps
10:51 possible leurs clients.
10:53 Là encore, le texte de loi n'est pas allé jusqu'au bout de ce que vous aviez recommandé
10:57 Monsieur Latombe.
10:58 Malheureusement, non, il n'est pas allé jusqu'au bout.
11:01 On limite l'utilisation des crédits cloud.
11:03 En fait, les crédits cloud, c'est un peu du cloud gratuit.
11:07 C'est du cloud gratuit d'ailleurs.
11:10 Le texte propose de le limiter à une durée d'un an.
11:14 Moi, je souhaitais et un certain nombre d'entre nous souhaitions que nous puissions le limiter
11:18 et en durée et en montant parce que 100 000 euros de crédit cloud pendant un an, ce n'est
11:22 pas tout à fait la même chose qu'un million d'euros de crédit cloud pendant un an.
11:25 On voit bien qu'il y a une question de longtemps.
11:27 Et aujourd'hui, les hyper scalers sont très forts sur les crédits cloud parce qu'ils
11:31 ont les moyens financiers de pouvoir en offrir beaucoup sur des montants importants.
11:36 Ils étaient sans limite en durée et en montant.
11:39 Là, il y a une limite en durée, il faut qu'on ait une limite en montant.
11:42 Je pense que là aussi, la commission mixte paritaire pourra avancer sur le sujet.
11:46 Oui, qu'est-ce qu'on a ? On est trop frileux en Europe sur ce sujet.
11:49 C'est une déception pour les acteurs du cloud français dont vous faites partie de
11:53 voir qu'on n'a pas réussi à aller jusqu'au bout des limitations des crédits cloud.
11:57 Moi, je suis très content en tout cas que le sujet soit dans le débat public.
12:00 Donc, je vois le sujet très positivement.
12:03 Et comme je vous le disais, l'urgence est relative et je reste encore très optimiste
12:07 sur le fait que dans les prochains mois, on soit capable d'avoir une compétition qui
12:12 est plus égale.
12:14 Donc, je reste très positif.
12:17 Je suis naturellement un peu déçu.
12:18 J'attends beaucoup de EICS, on en parlait tout à l'heure, qui est un vrai levier de
12:22 croissance des sociétés nationales européennes.
12:25 Aujourd'hui, la compétition avec la Chine, la compétition avec les Etats-Unis se joue
12:30 au niveau européen.
12:31 Elle se joue au niveau de la capacité d'innovation, donc de la surface de ces sociétés.
12:35 Et ça se jouera uniquement à l'Europe.
12:38 Donc, ce que vous, vous attendez, ce sont les décisions européennes plus que françaises
12:42 finalement ?
12:43 Les deux.
12:44 Il faut savoir que la loi SREN, c'est le Data Act, c'est une application des textes
12:48 de loi européens aux lois nationales.
12:50 Mais tu essayes d'aller plus loin.
12:51 La France essaie d'aller un peu plus loin.
12:54 Alors, sur le sujet de l'interopérabilité, je disais de passer d'un cloud à un autre,
12:58 est-ce qu'on avance un peu aussi sur ce sujet ?
12:59 Il commence à y avoir des référentiels, des standards.
13:03 Alors, il faut savoir qu'au sein du CSF, au sein du contrat, on a des chantiers autour
13:10 de la définition de standards d'interopérabilité.
13:12 Le but étant, on a aujourd'hui un écosystème français qui est très parsemé avec des
13:17 solutions qui sont solides, des usages qui sont très bons, mais on est encore beaucoup
13:24 chacun dans notre coin et l'objectif du CSF, c'est de créer un écosystème qui
13:28 collabore mieux ensemble et ça passe par une interopérabilité, des standards.
13:31 Voilà, donc c'est un sujet qui se renforce.
13:34 C'est aussi quelque chose qu'on peut imposer à travers une réglementation.
13:37 Philippe Latombe, cette interopérabilité, elle est nécessaire pour que le marché soit
13:42 plus fluide, plus ouvert ?
13:43 Alors oui, elle est souhaitable et d'ailleurs, le DMA et puis le SREN l'imposent, mais
13:52 la loi ou en tout cas la réglementation ne peut pas descendre jusqu'à la définition
13:56 de ce que sont les standards.
13:57 Là, ce sont vraiment les entreprises qui doivent se mettre d'accord entre elles,
14:01 qui doivent se rapprocher les unes des autres pour définir les normes.
14:06 Ensuite, que la loi le valide en disant nous avons besoin d'utiliser tel ou tel référentiel,
14:12 oui, mais c'est vraiment un travail que l'écosystème doit faire et là, c'est à mon tour, moi,
14:16 d'être content que l'écosystème ait envie de travailler ensemble pour définir
14:20 ces standards.
14:21 Le législateur ne peut pas imposer ces standards ex nilo sans ce travail préalable et le fait
14:27 que les entreprises le fassent, c'est un très bon signe.
14:29 C'est à saluer parce que régulièrement, l'Europe nous dit, vous les Français, vous
14:34 avez des grands principes mais vous ne travaillez pas dans les groupes de travail sur les standards,
14:38 les normes, vous ne mettez pas les doigts dans la technique.
14:41 Pour une fois, la France est en avance à la fois sur la transcription, la transposition
14:46 du Data Act et aussi sur la qualification des standards et leur définition.
14:51 C'est vraiment les deux qui vont le faire.
14:54 Il reste un troisième élément, c'est l'investissement parce que pour avoir une véritable indépendance
14:58 technologique, il faut qu'on investisse dans nos propres technologies aussi.
15:01 Vous voyez des signaux positifs ?
15:04 Il faut surtout des marchés.
15:06 On n'attend pas de l'aumône, même si les financements sont les bienvenus, mais on
15:11 attend surtout des marchés et du coup un fléchage des marchés.
15:15 Donc là, la doctrine de Cléode Centre va dans le bon sens avec l'immunité aux lois
15:22 extraterritoriales qui permet de favoriser les sociétés européennes.
15:26 Mais en effet, on attend un fléchage des marchés pour avoir une surface beaucoup plus importante.
15:34 Ça aussi, c'est un cheval de bataille, Philippe Latombe, le fléchage.
15:39 Il faut absolument que les marchés publics aujourd'hui soient ouverts vers les entreprises
15:45 européennes.
15:46 Je note par contre là un vrai mauvais signe donné par la Commission européenne, notamment
15:51 en attribuant des marchés à Oracle et à d'autres hyperscalers américains ou étrangers.
15:58 Je pense que vraiment, je l'avais mis dans mon rapport sur la souveraineté et ça fait
16:04 consensus, entre 1 euro de subvention et 1 euro de chiffre d'affaires, l'effet des
16:09 multiplicateurs est quasiment de 20 pour 8.
16:10 C'est-à-dire qu'un euro de chiffre d'affaires, c'est quasiment 8 euros de subvention.
16:14 Il y a vraiment là de l'argent public à économiser et une filière à encourager.
16:19 Merci beaucoup Philippe Latombe, député modem de la première circonscription de Vendée
16:23 et Sébastien Lescope, PDG de Clot Temple.
16:25 Merci pour vos éclairages.
16:26 On va se quitter avec le biomimétisme aujourd'hui.

Recommandations