Vous siégez au comex du syndicat professionnel Numeum, qui réunit 250 000 entreprises du numérique en France. Dans le contexte politique actuel, de nombreuses entreprises cherchent à sécuriser leurs données, en recourant notamment à un cloud souverain, opéré en France ou en Europe. Tout d’abord, qu’est-ce que le cloud souverain ?
En réalité, on parle beaucoup plus de "cloud de confiance" aujourd’hui. Car, autant il n’y a pas une définition officielle pour le cloud souverain, autant il existe une certification pour le cloud de confiance, avec "SecNumCloud". Cette qualification est proposée par l’Anssi, l’Agence nationale de la sécurité des systèmes d’information. Et ce cloud de confiance se trouve être aussi, par définition, souverain (SecNumCloud impose par exemple la localisation des données dans l’Union européenne, un prestataire européen, mais aussi des garanties de cybersécurité, ou encore qu’en cas de recours à des sous-traitants non européens ceux-ci n’ont aucun accès aux données des clients, NDLR).
"Ce qu’on qualifie de cloud souverain, n’est pas obligatoirement un cloud réalisé à 100 % dans un pays"
Personnellement, je vois le cloud souverain comme un premier niveau. Il est souverain car opéré par des sociétés, des équipes et avec des financements français… Par contre, il n’est pas obligatoirement cloud de confiance. Pour cela, il faut passer par l’Anssi.
Un cloud 100 % souverain, incluant les matériels et logiciels, est-il possible aujourd’hui à l’échelle française ou européenne ?
Le seul pays vraiment indépendant actuellement, c’est la Chine. Les Chinois sont capables d’opérer l’ensemble de la chaîne, de l’extraction du minerai jusqu’à la création du logiciel en passant par la fabrication des serveurs, des puces… C’est le résultat d’un projet lancé il y a cinq ans par l’État. En comparaison, je ne suis pas sûr que les États-Unis soient totalement indépendants. Notamment par manque de terres rares, et sans doute de certaines technologies liées aux puces également.
Cela dit, ce qu’on qualifie de cloud souverain, n’est pas obligatoirement un cloud réalisé à 100 % dans un pays. Il y a une dizaine d’années, des initiatives françaises comme Numergy et Cloudwatt (stoppées depuis, NDLR), opérées par des sociétés françaises avec du financement français, étaient considérées comme un cloud souverain, même si les serveurs notamment n’étaient pas made in France. Sachant qu’il n’existe pas de puces et de serveurs fabriqués en Europe.
"Il y a une prise de conscience très forte qu’on ne peut pas dépendre uniquement des États-Unis. Aujourd’hui les Américains contrôlent plus de 80 % du cloud que nous utilisons."
Je pense d’ailleurs que le 100 % souverain est un faux débat. En Europe, l’important reste l’analyse des risques de sécurité et de la dépendance. Avoir un cloud souverain avec des serveurs et des logiciels américains, il n’y a pas forcément de problème si vous avez une bonne analyse de risques de sécurité et que vous contrôlez toute de la chaîne du cloud.
Ressentez-vous une accélération de la demande en cloud souverain ?
Aujourd’hui, on voit beaucoup plus de demandes sur le cloud de confiance. C’est l’élément clé aujourd’hui. Je n’ai pas de chiffres, mais j’étais récemment au forum Incyber à Lille (une conférence de dimension européenne sur les questions de cybersécurité et de confiance numérique, NDLR), où l’on a beaucoup, mais beaucoup parlé cloud de confiance. Et d’autonomie numérique. L’autonomie numérique, c’est l’idée l’Europe ait ses propres technologies. Donc oui, il y a une prise de conscience très forte qu’on ne peut pas dépendre uniquement des Américains. En sachant qu’aujourd’hui les Américains contrôlent plus de 80 % du cloud que nous utilisons.
Cette dépendance aux spécialistes américains du cloud, comme Google, Microsoft ou Amazon, a aussi un coût économique…
La dépendance aux experts américains des logiciels et services cloud coûte chaque année quelque 265 milliards d’euros à l’Europe, d’après les chiffres du Cigref (une association réunissant des grandes entreprises et administrations françaises, NDLR). Ces achats de services de cloud et logiciels (à usage professionnel, précise l’étude) des entreprises européennes aux Américains, soutiennent 2 millions d’emplois directs et indirects outre-Atlantique. Si on relocalisait ne serait-ce que 10 % de ces achats, on récupérerait 26 milliards d’euros au profit de la Tech européenne.
Quels sont les risques qui invitent à s’orienter davantage vers un cloud souverain et de confiance ?
Le risque, c’est notamment la coupure. Qu’il s’agisse d’une cyberattaque, d’un "kill switch", c’est-à-dire une coupure brutale de services numériques (une coupure volontaire, NDLR), ou qu’il s’agisse d’un problème de mise à jour, comme en juillet 2024 lorsque des avions sont restés cloués au sol à Paris à cause d’une mise à jour de Microsoft qui s’était mal passée.
"Il faut diversifier nos sources d’approvisionnement en services numériques. Comme on l’a fait dans le domaine de l’énergie pour ne plus être aussi dépendant du gaz et pétrole russes"
Le risque le plus lourd de conséquence serait qu’un président américain dise par exemple : "Si la France ne nous autorise pas à survoler son territoire pour aller bombarder l’Iran, je vous coupe les accès aux solutions numériques américaines". Couper l’accès à tout un pays reste certes très peu probable. Mais une coupure de services envers une entreprise spécifique, comme Airbus, en guerre commerciale avec Boeing, ou encore Total qui travaille avec de nombreux pays, pas toujours amis des États-Unis, n’est pas aussi improbable, en revanche. C’est même pris au sérieux. Des directions d’entreprises sont d’ailleurs en train de mettre en place des plans de secours, appelés aussi plans de résilience – pour que la société puisse continuer à fonctionner, si jamais cela se produisait.
Qu’en est-il du risque de cyberattaque ?
Les risques de cyberattaques ne sont pas négligeables. Imaginez une attaque qui bloquerait une plateforme comme Git hub (un espace où les développeurs peuvent stocker et partager le code qu’ils créent). Des milliers d’entreprises ne pourraient plus fonctionner en Europe. Il faut donc doubler, diversifier, ses sources d’approvisionnement. Comme on l’a fait dans le domaine de l’énergie récemment, pour ne plus être aussi dépendant du gaz et pétrole russes.
"L’Europe a fait le choix de dépendre quasi intégralement des États-Unis pour ses services numériques. Nous avons eu tort."
C’est pareil pour le numérique. On s’est focalisé sur une seule source d’approvisionnement, en faisant le choix de dépendre quasi intégralement des États-Unis. Nous avons eu tort. L’Europe doit diversifier ses approvisionnements et faire émerger des entreprises du numérique fortes, essentielles à son économie.
Mon but n’est pas de dire qu’il faut arrêter de travailler avec les Américains. Le but du jeu, c’est d’avoir un rapport de force beaucoup plus équilibré.
Ici, on parle de plan B aussi bien en matière de data centers que de logiciels ?
Exactement. Un dernier point : la dépendance n’est pas que technologique, elle est aussi financière. Quand vous n’avez qu’un seul fournisseur, vous pouvez subir des hausses de prix très importantes.
On l’a vu avec Microsoft qui a augmenté ses prix de parfois 25 % pour 2026 (des hausses ont été annoncées pour les clients entreprises sur les abonnements à Microsoft 365 et Office 365 notamment, NDLR). Il faut absolument que cette pression financière soit la plus faible possible, car cela impacte la profitabilité de nos entreprises en France et en Europe.
Faut-il prendre au sérieux les menaces d’espionnage industriel ?
Aux États-Unis, des lois comme le Cloud act ou la loi FISA sont faites pour espionner. Ce sont des lois qui obligent les entreprises américaines, entre guillemets, à ouvrir leur code, leurs data centers et à faire en sorte que la NSA (l’Agence nationale de sécurité américaine, NDLR) par exemple, ou d’autres organismes, puissent surveiller ce qui se passe. Le lanceur d’alerte Edward Snowden l’avait déjà révélé il y a 10 ans, pour tout contrat commercial supérieur à 200 millions de dollars, il était possible de demander l’accès aux données. Trump a d’ailleurs redit récemment qu’il voulait avoir accès à ces données hébergées sur le cloud.
Quelles sont les entreprises les plus concernées par la sécurisation et la souveraineté des données ?
La défense, l’aéronautique, l’énergie, par exemple. Et en particulier, les entreprises classées "opérateurs d’importance vitale" par l’État, qui ont des obligations de cloud de confiance, et sont surveillées par l’Anssi. Parmi les entreprises les plus concernées par la sécurité et la confidentialité des données, on peut penser à des grands groupes comme Naval Group, qui fabrique des sous-marins, à Airbus, positionné à la fois sur l’aéronautique et la défense, ou à EDF qui gère des centrales nucléaires. Mais aussi aux banques.
"Toute entreprise doit aujourd’hui apporter une attention particulière aux plans de continuité"
Plus largement, j’ai envie de dire : l’ensemble des groupes mondiaux sont aujourd’hui en première ligne sur ces sujets. À noter que l’IA est aujourd’hui un véritable accélérateur pour passer aux infrastructures de confiance parce que si vous mettez l’IA partout sans la contrôler, l’ensemble de vos données vont être en même temps scrutées, analysées et rapatriées ailleurs dans le monde parce que l’IA a besoin de données pour travailler…
"Il y a quelques années toutes les entreprises mettaient leurs données dans les grands "cloud providers" : Microsoft Azure, Amazon Web Services… Désormais, elles font le tri entre ce qui peut être hébergé à l’extérieur de l’entreprise à l’échelle mondiale et ce qui doit être maintenu dans un cloud de confiance"
On parle des groupes, mais quid des PME concernées par ces enjeux ?
Dans cette catégorie, je pense notamment aux PME sous-traitants des groupes, qui les obligent à faire extrêmement attention. Mais au-delà des entreprises les plus exposées, toute entreprise doit aujourd’hui apporter une attention particulière aux plans de continuité.
Avez-vous de nombreux exemples d’entreprises ayant rapatrié leurs données de l’étranger vers la France ? Ou décidé de migrer leurs données stockées en interne vers un cloud souverain et de confiance ?
On sent clairement un mouvement. Il y a quelques années toutes les entreprises mettaient leurs données dans les grands "cloud providers" : Microsoft Azure, Amazon Web Services, OVH, Outscale… Désormais, elles font le tri entre ce qui peut être hébergé à l’extérieur de l’entreprise à l’échelle mondiale et ce qui doit être maintenu dans un cloud de confiance, voire en interne. C’est ce qu’on appelle le cloud hybride. Clairement, les entreprises ont fait évoluer leur stratégie en essayant de prendre le meilleur des deux mondes.
