En un an, le projet européen de création d’un environnement de Cloud de confiance s’est fortement développé. Où en est-il concrètement ? Quelles sont ses ambitions et ses chances de réussite ? Lors des CLOUD DAYS 2021, une table ronde faisait le point. Compte-rendu.
C’était il y a un an. Le 4 juin 2020, Bruno Le Maire, ministre de l’Économie et des Finances, et son homologue allemand Peter Altmaier lançaient officiellement GAIA-X, un programme visant à construire « une infrastructure de données fiable et sécurisée pour l’Europe. » En fédérant les fournisseurs d’infrastructures existants et en garantissant l’interopérabilité de leurs services autour de standards communs, le projet visait à proposer aux entreprises et administrations européennes une alternative aux hyperscalers américains et chinois.
22 membres fondateurs, dont la moitié sont français, ont présidé à la création de GAIA-X. Parmi eux, on trouve des fournisseurs de Cloud dont 3DS OUTSCALE et de grandes entreprises utilisatrices telles qu’EDF, Amadeus, Safran, BMW, Bosch ou Siemens. Depuis, le nombre de membres s’est nettement étoffé pour atteindre 212 organisations fin mars.
Si 92 % des nouveaux membres sont européens, l’arrivée d’acteurs étrangers comme Microsoft, Google, Salesforce, Oracle, Palantir, Alibaba ou encore Huawei a intrigué et a remis en question la pertinence du projet. GAIA-X est-il toujours un rempart aux GAFAM et autres BATX ? De même, la question de la redondance entre GAIA-X et la récente stratégie nationale pour le Cloud, qui prévoit la création d’un label « Cloud de confiance » , s’est posée.
CLOUD DAYS, l’occasion de faire le point
À l’occasion des CLOUD DAYS 2021, organisés par 3DS OUTSCALE, une table ronde dédiée à GAIA-X a permis de répondre à ces questions. Henri D’Agrain, délégué général du Cigref, un club réunissant un peu plus de 150 DSI de grandes entreprises, a tout d’abord rappelé que l’ambition de GAIA-X était de créer « un espace de confiance répondant aux valeurs européennes afin de s’affranchir d’acteurs américains dont le marché est orienté au profit exclusif de leurs modèles d’affaires. La libre circulation des données s’ajoute aux trois autres libertés de circulation des biens, des personnes et des capitaux. »
En ce qui concerne la présence d’acteurs étrangers dans GAIA-X, Bernard Duverneuil, président du Cigref, a récemment répondu en cosignant une tribune dans Le Monde. Ces entreprises américaines et chinoises devront se plier aux règles de GAIA-X et ne pourront participer à la gouvernance de l’association réservée aux organismes dont le siège mondial est installé en UE.
Interopérabilité et réversibilité
En ce qui concerne GAIA-X, la doctrine gouvernementale dite du « Cloud au centre » et le label « Cloud de confiance », Vincent Coudrin, chargé de mission Cloud computing à la direction interministérielle du numérique (DINUM), ne voit pas d’opposition mais une complémentarité. Comme son nom l’indique, le « Cloud au centre » fait du Cloud « un prérequis pour tout nouveau projet numérique au sein de l’État » avec un hébergement sur le Cloud interne de l’État ou sur un Cloud industriel de confiance reposant sur la qualification SecNumCloud délivrée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
« Nous avions besoin de la qualification de l’ANSSI [dans un contexte de souveraineté plus exigeant dans le cas des administrations], auquel on ajoute la question du droit applicable. GAIA-X va créer un standard européen, doper la constitution d’un marché homogène européen du Cloud en apportant des gages d’interopérabilité, d’ouverture et de réversibilité, favoriser l’usage du Cloud par les administrations et alimenter l’offre européenne de qualité croissante. En revanche, GAIA-X ne couvre pas les questions de droit applicable » , estime-t-il. C’est là que le label Cloud de confiance prend le relais. « L’objectif est d’ailleurs que le label Cloud de confiance se dissolve dans le standard élevé du futur référentiel de l’ENISA, lui-même compatible avec les exigences de GAIA-X » , rappelle Vincent Coudrin. D’ailleurs, les administrations et les opérateurs concernés par les questions de souveraineté, notamment les OIVs (opérateurs d’importance vitale), « sont encouragés » à se tourner vers ces labels.
Pour apporter sa pierre à l’édifice et aller vers davantage d’harmonisation, le Cigref vient de publier un référentiel Cloud de confiance. Libre de droit et soumis à commentaires jusqu’au 15 juin, il répertorie plus de 450 exigences émanant de référentiels existants, à la fois français et européens (SWIPO, SecNumCloud, GAIA-X, EU Cloud CoC, etc.).
« À la question “Quels sont les facteurs de confiance ?”, interroge Henri D’Agrain, les utilisateurs avancent la sécurité, l’immunité de la solution aux juridictions extra-européennes, la maîtrise vis-à-vis du fournisseur, la transparence, la portabilité, l’auditabilité, la réversibilité et l’interopérabilité. »
La réversibilité est également un élément particulièrement important pour les entreprises clientes de CS Group, comme l’évoque Sylvain D’Hoine, vice-président exécutif – Space de CS Group.
Pour Vincent Coudrin, les entreprises et les administrations ne doivent pas être confrontées à des choix douloureux entre la modernisation et la souveraineté. Il fait observer que GAIA-X n’est pas un Cloud mais une fédération de Clouds qui a donc, par définition, une approche multi-Cloud. « Le passage d’un Cloud à un autre est un élément essentiel de souveraineté. Si on ne peut pas sortir, on n’est pas libre. »
Vincent Coudrin rappelle, par ailleurs, que « le troisième pilier de la stratégie nationale vise à financer les initiatives permettant de monter en gamme et notamment de soutenir les offres “brandées” GAIA-X, dans le Cloud de confiance, de dimension européenne, sinon mondiale. » D’ailleurs, le chargé de mission Cloud computing à la DINUM révèle que certains dossiers reçus dans le cadre de l’appel à manifestation d’intérêt lancé par BPI France sont des projets européens qui associent des petites entreprises, des startups et des grands industriels. La qualité du consortium et son ambition sont alors deux facteurs importants pour la qualification du projet.
Plus de 600 membres au French GAIA-X Hub
Pour constituer cet écosystème, le Cigref anime le French GAIA-X Hub qui réunit plus de 600 personnes venant de 300 organisations différentes (des entreprises utilisatrices, des fournisseurs, mais aussi des académiques ou des associations). Cet écosystème est organisé en 12 « data spaces » correspondants à autant de secteurs d’activité tels que la finance, l’énergie, l’agriculture, l’industrie, le maritime, la santé et bien d’autres, y compris un data space « administration publique » , initié à la demande de la Commission européenne.
Dans le domaine de l’industrie spatiale, une alliance digitale de GAIA-X dédiée au domaine spatial réunit 3DS OUTSCALE, CS Group, EBRC et le groupe RHEA. Pour Sylvain D’Hoine et CS Group, ce projet qui vise à garantir une infrastructure sécurisée et de confiance au niveau européen est un enjeu clé de souveraineté.
« La multiplication des engins spatiaux, voire des constellations de satellites, génère toujours plus de données spatiales [à forte valeur ajoutée] et exige une importante puissance de calcul et aussi le Cloud réparti au niveau mondial. » Aujourd’hui, le programme Copernicus et ses téraoctets (To) de données par jour fait appel à des Clouds publics américains. Cependant, CS Groupe valorise la capacité de GAIA-X à apporter de la confiance à ses utilisateurs, qui cherchent à assurer la protection de leurs données. Il s’agit donc de créer une alternative sur des Clouds français puis européens afin de répondre à ce besoin de puissance de calcul.
Et si, pour Sylvain D’Hoine, l’accès aux technologies américaines au sein d’un Cloud européen est plutôt une bonne nouvelle pour les utilisateurs, ces derniers ne doivent pas se retrouver verrouillés à certaines technologies. « En tant qu’intégrateur de systèmes pour de grands donneurs d’ordre (spatial, défense, etc.), CS Group défend les principes de réversibilité et de portabilité pour éviter les risques d’enfermement propriétaire (lock-in). »
Le mot de la fin de la table ronde est revenu à Henri D’Agrain. « Le Cloud n’est pas un des sous-domaines du numérique, c’est lui qui supporte tous les autres. Dans dix ans, toute notre économie reposera sur les fondations du Cloud. On n’a pas d’autre option que GAIA-X pour recouvrer la souveraineté de nos données. »
Visionnez le replay de la table ronde sur outscale.tv pour écouter en détail les interventions de nos invités et comprendre l’ensemble des enjeux liés au projet GAIA-X.
CLOUD DAYS 2021 – Table ronde dédiée au projet européen GAIA-X
