L'adoption du cloud en France progresse, mais la souveraineté des données reste cruciale face aux géants. Les défis : coûts et innovation.
État de l’Adoption du Cloud et enjeux de souveraineté
L'adoption du cloud, véritable levier de compétitivité, est de manière croissante associée à la question de la souveraineté des données. L’État, suite à la promulgation de la circulaire « Cloud au Centre » en 2021, a favorisé l’adoption entraînant une hausse des usages : une volumétrie d’achat via le marché UGAP qui double tous les ans depuis sa mise en place et une tendance aujourd'hui qui indique une croissance tout aussi dynamique, avec « un projet par jour dans le cloud pour l’État», comme le mentionnait la Direction Interministérielle du Numérique (DINUM), à l’occasion de la deuxième édition de la dernière conférence « l’Etat dans le nuage », tenue en début 2024.
Avec cette croissance du volume de projets dans le cloud, la question de souveraineté des données devient centrale et se retrouve d’autant plus renforcée dans un contexte où de multiples législations extraterritoriales sont à considérer. Parmi ces législations, figurent le Cloud Act américain, la FISA (Foreign Intelligence Surveillance Act), ou encore la DSLPRC (Data Security Law of the People's Republic of China).
Une part de marché encore modeste des acteurs européens
La part de marché des acteurs européens dans l’usage des services cloud en Europe diminue bien que le marché soit en croissance, et ce principalement à cause du retard technologique pris vis-à-vis des géants américains et chinois. Comme l’a souligné le coordinateur de la stratégie cloud France 2030 à la Direction Générale des Entreprises, « la part des acteurs européens dans le marché du cloud a connu une baisse constante depuis 2017, n’atteignant qu’environ 13% aujourd’hui », concluant « une perte de maîtrise technologique et de souveraineté ».
Initiatives stratégiques de l’État et de l’Europe
Garantir la souveraineté des données françaises et européennes est un enjeu stratégique pour la préservation de l’indépendance numérique. On assiste aujourd’hui à l’affirmation d’une stratégie nationale Cloud, issue du Plan France 2030. L’ambition est double : renforcer la souveraineté des données nationales et stimuler la compétitivité des acteurs français et européens dans le secteur. De ces ambitions, la stratégie s’articule depuis 2021 autour de trois piliers :
- L’introduction du visa de sécurité SecNumCloud, administré par l’Agence nationale de la sécurité des systèmes d'information (ANSSI), ayant pour objectif d’identifier et d’accroître la visibilité des services dits « cloud de confiance ». Le cloud de confiance qui, sous le référentiel SecNumCloud, stipule que les données traitées ne puissent être soumises à des lois non européennes ;
- La doctrine « Cloud au centre », promue par la Direction interministérielle du numérique (DINUM) qui vise à encourager l’usage du cloud par les différentes administrations ;
- Le soutien à l’innovation de la stratégie cloud française pour 2030, orchestré par la Direction générale des Entreprises (DGE), qui vise à favoriser le développement de l'écosystème français des fournisseurs de services cloud.
Des dispositifs de soutien créés dans le cadre du plan France 2030 ont facilité le lancement de premiers projets. En l’espace de trois ans, plusieurs initiatives ont été lancées :
- Un plan d’accompagnement de la transformation numérique, qui vise à mieux orienter les acheteurs publics et privés vers l’utilisation ou non d’offres qualifiées SecNumCloud 3.2.
- Un dispositif d’accompagnement des éditeurs cloud mis en place pour la sécurisation et l'obtention du SecNumCloud pour des startups et PME.
- L’appel à projets « renforcement de l’offre de services cloud » ayant pour objectif de soutenir le renforcement de l’offre française de services cloud IaaS/PaaS/SaaS, notamment en matière de cloud de confiance et de services cloud pour l’IA.
Au-delà du plan France 2030, l’Europe fait un pas significatif vers une collaboration européenne avec la mise en place du PIIEC (Projet Important d’Intérêt Européen Commun) Cloud, mené par la France et l’Allemagne, qui représente un effort concret pour renforcer l’industrie du cloud européen face à la concurrence internationale et aux défis réglementaires. Lancé en décembre 2023, le PIIEC vise à soutenir les fournisseurs européens de cloud en leur offrant des ressources et orientations pour développer des solutions conformes aux normes de sécurité telles que celles requises pour l'obtention du label SecNumCloud 3.2. Jusqu'à présent, 48 start-ups et PME ont rejoint le programme d’accompagnement, bénéficiant d’un soutien pour améliorer leur compétitivité et leur conformité réglementaire dans un marché du cloud de plus en plus exigeant.
Le projet européen de certification cloud (EUCS : European Cybersecurity Certification Scheme for Cloud Services) marque également une étape de collaboration.
Ce dernier, soumis à des négociations prolongées entre les décideurs européens, vise à créer une certification cloud à l’échelle européenne, permettant aux acteurs certifiés de garantir un niveau de souveraineté homogène sur tout le territoire de l’Union Européenne.
Une offre en pleine mutation ?
L’adoption du cloud de Confiance, soutenue par les initiatives gouvernementales françaises, redéfinit le marché des fournisseurs de services cloud. Des entreprises comme OVH, 3DS Outscale, Oodrive et Worldline se positionnent aujourd’hui avec des offres IaaS qualifiées SecNumCloud 3.2. Les fournisseurs étoffent progressivement leur portefeuille de services en intégrant des solutions PaaS. C’est le cas de Cloud Temple qui voit son offre PaaS qualifiée depuis le 24 mai dernier, deux ans après la qualification de son offre IaaS. Cet élargissement des offres qualifiées inclut notamment des services de conteneurs et d’identités managées. Un catalogue de service qui continue de se développer en direction de nouveaux services managés (KMS, HSM, IAM, stockage objet) avec le soutien de la DINUM pour leurs qualifications.
De nouveaux acteurs se positionnent sur ce marché en optant pour l’une des deux stratégies : développer des partenariats avec des acteurs technologiques majeurs, sous des entités de droit français, pour bénéficier de leur expertise et enrichir l'offre de services. C’est le cas de S3NS (issu de la collaboration entre Thales et Google) et Bleu, issu du partenariat entre Capgemini, Orange et Microsoft. Ces collaborations intégrant des solutions propriétaires américaines, devront néanmoins répondre aux critères stricts de qualification SecNumCloud 3.2. D’autres, comme NumSpot (issu d’un consortium comprenant Docaposte, Dassault Systèmes, la Banque des Territoires et Bouygues Télécom) notamment, s’appuient sur des technologies françaises ou open source pour se conformer aux exigences réglementaires en préservant une indépendance technologique.
De nouveaux défis pour les acteurs du cloud
Alors que le paysage cloud français et plus généralement européen est toujours fortement dominé par des géants américains, l’émergence de fournisseurs européens souverains soulève des interrogations sur l’avenir du marché cloud : les initiatives lancées par l’État pour soutenir l'écosystème français des fournisseurs réussiront-elles à rééquilibrer le marché ? La réponse à cette question met en évidence un ensemble de défis à relever :
- Continuellement enrichir les offres qualifiées avec des tendances technologiques comme l’IA générative, de nouvelles offres PaaS et SaaS, couplées au besoin d'interopérabilité des services ;
- Maîtriser les coûts de ces services qui sont généralement plus élevés et s’assurer que la valeur associée est bien identifiée.
Poursuivre la transformation culturelle des acteurs publics envers l'adoption du cloud.
Pour aller plus loin, vous pouvez contacter notre équipe d’experts chez EY - Toufik Hartani, Dimitri Paimparay et David Neftel, pour échanger sur l’intégration du cloud (de confiance) à l’échelle dans vote stratégie.