La Duck Conf 2023 – Compte rendu du talk de Benjamin Bayart – « Sous le capot du cloud souverain »
Benjamin Bayart à La Duck Conf 2023
Cloud souverain : de quoi parlons-nous ?
Le terme cloud souverain a été introduit en 2012 par Nicolas Sarkozy, l’ambition était de permettre à la police d’intervenir sur les réseaux sociaux. L’état a alors investi massivement dans certains acteurs qui n’avaient pas d’expertise sur ce sujet-là. Avoir des résultats prend du temps, le projet a alors progressivement disparu.
Le terme cloud souverain est revenu plusieurs années plus tard, en 2020, avec l’arrêt Schrems 2 rendu par la Cour de Justice de l’Union Européenne (CJUE). Une rapide histoire des traités internationaux sur l’échange de données personnelles entre les USA et l’UE devient ici nécessaire.
En 1999, l’UE et les USA signent le Safe Harbor Act qui dit que le niveau des protections des données personnelles est similaire entre les deux régions. Et que donc les données personnelles peuvent librement circuler entre les USA et l’UE.
En 2001, suite aux attentats du 11 septembre, les USA ont mis en place un certain nombre de textes dont le Patriot Act qui permet une surveillance massive des données personnelles côté américain, l’équivalence de protection des données devient alors incertaine.
Un des points de divergence fondamental est que les USA considèrent la problématique des données personnelles comme relevant du droit des affaires, les Européens comme relevant du droit de la personne. Benjamin Bayart en parle largement dans sa conférence à l’USI.
En 2014, dans le cadre d’une procédure déjà ancienne de Maximilian Schrems contre Facebook devant différentes cours au sujet de la protection de ses données personnelles, il fait remonter son affaire devant la CJUE. La CJUE lui donne raison en octobre 2015 et, fait extrêmement rare, casse un traité international : le Safe Harbor Act.
Un nouveau traité est négocié en vitesse et est signé le 12 juillet 2016 : le Privacy Shield.
Ce traité est immédiatement attaqué par M. Schrems et est cassé par la CJUE le 16 juillet 2020. En synthèse, “le droit américain et le droit européen sont incompatibles sur les sujets de protection des données personnelles.”
Avec cette histoire politique et juridique, nous pouvons proposer une première définition du cloud souverain : “Cloud sur lequel le régime juridique européen s’applique, et pas le droit américain”.
Derrière cela peuvent se cacher des notions régaliennes (souhaite-t-on mettre le fichier de l’état civil sur des serveurs aux USA ?) et de protectionnisme économique. Si une entreprise européenne utilise un cloud américain, la valeur ajoutée du cloud est produite aux USA. Si cette même entreprise utilise un cloud européen, la valeur ajoutée est produite en Europe, cela participe à augmenter les impôts perçus, améliorer le développement économique de la zone, et créer des emplois.
Benjamin Bayart propose de voir le cloud souverain comme du cloud sous contraintes.
Les contraintes peuvent être juridiques (ex : les décisions de la CJUE), réglementaires (pour les Opérateurs d’Importance Vitale, le secret des affaires, le secret défense, etc.), politiques ou stratégiques (pour les grands groupes, les ministères, le secteur public).
Est-ce que le cloud sous contrainte existe ?
Le problème ayant été reformulé sous forme de cloud sous contraintes, il existe différentes solutions :
Le No-Go : au vu de toutes les contraintes, décider qu’il n’est pas possible de passer ce système-là sur le cloud.
Le cloud privé : le cloud est fabriqué sur l’infrastructure on-premise existante. Cela en utilisant des technologies comme OpenShift, OpenStack, VMWare, etc.
Le cloud français : le cloud en s’appuyant sur les fournisseurs en France comme par exemple OVHcloud, Scaleway, Clever Cloud, Cloud Temple, Scalingo, etc.
Le cloud US sous licence : les solutions américaines opérées par un acteur français. Ex : Google et S3ns, Microsoft et Bleu. Cependant, ces solutions sont, aujourd’hui, plus au niveau de promesse sur slides que de réalités techniques disponibles.
Illustration des solutions existantes pour répondre au cloud sous contrainte.
Il existe donc de nombreuses solutions ! Pour choisir, il faut comprendre les contraintes. Benjamin Bayart nous invite à ne pas nous prendre pour Netflix. La perte de données chez Netflix est bien moins grave que pour un système de paiement d’une banque, par exemple.
Cette reformulation permet aux informaticiens de comprendre la contrainte. Cela ne retire pas les douleurs, mais leur donne un sens. Cela permet d’éviter les discussions stériles pour demander à aller sur des clouds US (impossible), et de les réorienter vers des demandes d’améliorations. Ou de comprendre pourquoi les différentes contraintes imposées par la sécurité au moment du move-to-cloud ont fait échouer les projets passés (en comprenant, nous éviterons peut-être de partir sur des solutions inadaptées aux contraintes la prochaine fois).
Du point de vue des architectes, le cloud sous contrainte pousse à la créativité, tout comme Georges Perec a dû être créatif en écrivant La disparition sans utiliser la lettre “e”. Il faut comprendre les contraintes, appréhender que le cloud, même US, ne scale pas à l’infini pour de vrai. L’architecte doit alors chercher un optimum sous contrainte et non plus un idéal.
Syndrome de l’imposteur
Les Européens, les Français font trop souvent preuve de syndrome de l’imposteur vis-a-vis de l’informatique. Nous croyons à tort qu'en informatique les Américains ont des années d’avances alors que cela est faux :
Linux a été développé par un Finlandais, de nombreux Européens en sont core-commiteurs ;
En termes de réseau, l’Europe a des années d’avance, les prix des abonnements internets sont 2 à 3 fois plus chers aux USA ;
La librairie scikit learn (principale librairie en Machine Learning) a été fondée par l’INRIA ;
Nous avons de nombreuses licornes.
Nous savons faire de très belles choses en informatique, par contre, nous sommes peut-être moins bons en marketing. Benjamin Bayart nous invite à dissocier budget marketing et travail techniquement innovant.
Il nous reste cependant du travail :
Nos opérateurs clouds sont encore trop petits,
Certains services manquent,
Tous les services de tous les acteurs ne sont pas disponibles avec toutes les certifications.
Les opérateurs de cloud français ne pourraient sans doute pas absorber le move-to-cloud de tout le CAC40 en 2 ans. Mais comme ces projets prennent plusieurs années, ils auront le temps de passer à l’échelle.
Pour finir
Benjamin Bayart nous invite à initier le cercle vertueux : utilisons les opérateurs Européens, investissons pour les améliorer, partageons en open source ce qui n’est pas le cœur business de notre entreprise, ayons conscience de nos compétences, cassons le principe de Peter en laissant les développeurs faire des carrières de développeurs plutôt que les promouvoir chefs de projets. Tout cela permettra d’améliorer nos technologies, les rendre plus utilisables, plus attrayantes.
En question-réponse à la fin de ce talk, Benjamin Bayart est interrogé sur Gaia-X, selon lui les bases étaient les bonnes, mais au fur et à mesure cela a tourné au vinaigre : l’ambition était de définir un contrat d’interface entre tous les fournisseurs de cloud européen pour faciliter l’intégration. Mais le pilotage de ce projet a été rapidement noyauté par les hyperscaler américain, puis la volonté de normalisation s’est transformée en “chaque fournisseur peut avoir sa norme”. Le résultat risque donc de ne pas être au rendez-vous.
Take away
Ne parlons pas de cloud souverain, mais de cloud sous contrainte.
Une des contraintes est juridique : les lois européennes et américaines sont incompatibles en termes de protection des données personnelles.
Il existe de nombreuses solutions, pas de cloud, cloud on-premise, cloud français, cloud sous licence.
Quittons notre syndrome de l’imposteur en informatique, l’Europe est le berceau de nombreuses innovations et compétences informatiques.
Remerciements : Merci à Benjamin Bayart pour son talk, à Guillaume Rolland, Thomas Pesneau, Emmanuel Soler pour leurs relectures.
Pour tout savoir sur les enjeux Cloud, DevOps et Plateformes, cliquez ici.