Symposium Isaca-Afai : souveraineté et concurrence, enjeux phares du cloud en Europe
Le 16 février 2023, l'Isaca-Afai a organisé à La Défense son 8e symposium autour des enjeux liés à l'adoption du cloud par les entreprises et administrations françaises, avec un focus sur deux sujets stratégiques : la concurrence et la souveraineté.
PublicitéAprès une dernière édition (en 2020) consacrée à l'intelligence artificielle, en 2023 c'est le thème du cloud qu'a choisi d'aborder l'Isaca-Afai, la branche française de l'Isaca, avec en fil rouge la question « 100% cloud en 2030, mythe ou réalité ? ». Pour l'association, qui travaille sur la gouvernance et la sécurité des systèmes d'information, deux sujets méritent en particulier d'être abordés au niveau européen : la concurrence et la souveraineté dans le cloud. Lors de l'événement, organisé le 16 février 2023 à La Défense, les participants ont ainsi pu écouter Benoît Coeuré, président de l'Autorité de la concurrence, évoquer les enjeux actuels du marché européen du cloud, ainsi que Vincent Coudrin, chef de la mission cloud à la Direction interministérielle du numérique (Dinum), qui a détaillé les différentes facettes de la notion de souveraineté.
Benoît Coeuré a d'emblée établi le caractère stratégique du marché du cloud : « La structuration de ce marché, aujourd'hui dominé par un petit nombre d'hyperscalers américains, est au coeur de nos préoccupations, car le cloud est un instrument structurant pour des secteurs entiers ». Cet enjeu existe au niveau national, mais aussi à l'échelle européenne. Pour nourrir la réflexion et apporter des éléments de réponse, l'Autorité de la concurrence a lancé une étude en janvier 2022, en vue de rendre un avis qui devrait être publié dans les prochains mois. Et les sujets ne manquent pas : « Nous avons rencontré des questions sur la dynamique du secteur et sur le rôle des contraintes sectorielles (telles SecNumCloud ou l'hébergement de données de santé) sur l'organisation du marché », indique Benoît Coeuré. D'autres sujets concernent la répartition entre services de base du cloud. « Par exemple, IaaS, PaaS et SaaS sont-ils des marchés différents ? Et le cloud public / cloud privé ? », illustre le président de l'Autorité de la concurrence. Il s'agit également de voir qui sont les acteurs, normes techniques, structures contractuelles et de tarification, avec des sujets par exemple sur les coûts de sortie des données.
Différentes réglementations européennes, déjà en place ou en cours de discussion, vont avoir un impact important sur le marché, comme le Data Act ou le DMA. « À mon sens, ces sujets doivent être traités en priorité au niveau européen, mais pas uniquement », estime Benoît Coeuré. Face à des acteurs dominants avec une présence mondiale, les différents pays européens rencontrent, en effet, les mêmes enjeux, et doivent donc s'unir pour faire levier. La mise en place de réglementations à l'échelle du continent va également dans l'intérêt des fournisseurs de cloud français, qui veulent se développer en Europe et pas uniquement en France, a souligné le président de l'Autorité de la concurrence. « Au niveau français, il existe aussi des initiatives, comme SecNumCloud, qui peuvent inspirer d'autres pays. Les évolutions réglementaires européennes ne vont pas arriver tout de suite, alors même que le marché du cloud évolue très vite. Nous devons donc agir dès maintenant, tout en prévoyant la compatibilité future avec ces réglementations », conclut Benoît Coeuré.
PublicitéGarantir l'accès à un cloud performant
La souveraineté est un autre sujet récurrent lorsqu'on évoque le cloud. Cette notion est complexe, comme le rappelle Vincent Coudrin, et renvoie en premier lieu à la nation, raison pour laquelle plusieurs acteurs préfèrent aujourd'hui parler de cloud de confiance. Mais derrière, un certain nombre d'enjeux se rejoignent. « La souveraineté contient une idée de résilience et d'autonomie, mais aussi de maîtrise, de propriété et d'indépendance du système d'information. Cette définition est très domestique, dans une approche de forteresse, autarcique et sécuritaire, où l'on ne peut se faire imposer des contraintes externes. Mais cela soulève la question de la taille de la forteresse - simple bac à sable ou monde entier ? », explique Vincent Coudrin. Il pointe également un enjeu de leadership : afin de pouvoir développer leur écosystème, entreprises comme états ont en effet besoin de pouvoir accéder à des ressources sûres, pérennes et performantes. « La souveraineté garantit l'accès à de telles ressources mais la compétitivité est un meilleur argument de vente que la souveraineté en tant que telle », souligne Vincent Coudrin.
« Pour mettre en place de telles conditions, il faut jouer à la fois sur le marché, sur l'écosystème et sur la dimension juridique, afin d'articuler des offres à l'état de l'art et les exigences de sécurité ». De nombreux critères entrent en compte : des critères juridiques, comme l'absence de conflit de normes ou la disponibilité ; des critères techniques, comme la résilience, la cybersécurité, l'élasticité. Il faut également prévenir les risques de prises de contrôle et veiller à l'indépendance, avec une question clef selon Vincent Coudrin : est-ce que l'on pourrait sortir de telle ou telle offre, et qu'est-ce que cela implique, en termes de réversibilité, mais aussi de présence d'alternative ? Derrière, il pointe aussi un sujet « assez vertigineux » sur la sécurisation des approvisionnements en métaux, en composants, en énergie. Ainsi qu'un sujet d'autonomie : « peut-on conduire nous-même nos opérations ? Si l'on maîtrise toute la chaîne de delivery, on n'envisage pas la réversibilité de la même façon que si c'est une clause d'un contrat revu tous les cinq ans », soulève le chef de la mission cloud à la Dinum, pour qui la vraie réversibilité est d'internaliser cette maîtrise. Il existe enfin des enjeux sur les compétences, sur l'innovation, ainsi que des enjeux de marché, comme l'explique Vincent Coudrin : « faire du cloud, c'est compliqué, cela fonctionne si vous avez une certaine taille. »
Vincent Coudrin évoque également le projet européen de certification cloud, EUCS (European Cloud Services Scheme), porté par l'Enisa, agence européenne de cybersécurité. « Ce référentiel est assez unique, prévoyant le niveau le plus élevé de sécurité associé à une isolation juridique stricte. Il va permettre de créer les conditions de l'émergence de champions européens », estime le chef de la mission cloud. Sur ce dernier aspect, il rappelle également que la doctrine cloud first de l'État a aussi un rôle à jouer, « afin de soutenir non seulement l'offre, mais aussi la demande. »
Article rédigé par
Aurélie Chandeze, Rédactrice en chef adjointe de CIO
Suivez l'auteur sur Linked In,
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire