Vincent Coudrin (DINUM) : « le cloud rend soutenable la transformation numérique »

En quoi consiste la stratégie « Cloud au Centre » de l’État ?

La stratégie « Cloud au Centre » a été définie par deux circulaires du Premier Ministre, celle du 4 juillet 2021 (Jean Castex) et, à droit constant mais en apportant quelques précisions, celle du 31 mai 2023 (Elisabeth Borne). Il s’agit en fait d’une doctrine d’emploi dans une stratégie nationale définie en 2021.

Notre stratégie a trois piliers.

D’abord, nous avons défini juridiquement le « Cloud de Confiance », en l’occurrence comme qualifié SecNumCloud selon les spécifications de l’ANSSI qui comprennent des critères d’isolation juridique vis-à-vis de législations étrangères à effets extraterritoriaux.

Ensuite, il y a la doctrine d’emploi « Cloud First » à la Française. Il s’agit de moderniser l’État en orientant la commande publique. Il ne doit pas y avoir d’investissement massif en dehors du Cloud. Actuellement, il y a en moyenne un projet par jour qui bascule dans le Cloud. Ce pilier est un soutien à la demande sur le marché.

Enfin, le troisième pilier est un soutien à l’offre.

C’est l’équilibre entre trois acteurs qui permet d’avancer en bon ordre et de manière efficace : l’ANSSI veille à la sécurité, la DGE (Direction Générale des Entreprises, Ministère de l’Economie) coordonne la politique de soutien à l’offre notamment en s’appuyant sur le Comité Stratégique de Filière et, enfin, la DINUM pilote la stratégie d’évolution du SI de l’État et soutient donc la demande via la commande publique.

Nous avons un périmètre très large qui va, opérationnellement, de la consolidation des datacenters de l’État à, sur le plan stratégique, la définition de la doctrine d’emploi et à la collaboration européenne. Notre champ d’action comprend donc l’animation des marchés publics pour y accroître la part des achats Cloud, les guichets de financement de la transformation Cloud, les offres de formation au Cloud dans le cadre du Campus du Numérique (y compris des MOOC), la mobilisation de la Brigade d’Intervention de la DINUM pour aider les ministères dans leurs projets Cloud (une dizaine d’experts intervenus sur une quarantaine de projets à date, environ dix ou quinze à la fois), l’animation de la « communauté Cloud » (450 agents dans toutes les administrations), l’organisation d’événements toute l’année (retours d’expérience, points techniques, points juridiques avec la CNIL…), etc. Notre positionnement nous permet de travailler avec tous les ministères et les opérateurs.

Pousser à faire du Cloud, ce n’est pas compter le nombre de serveurs virtuels confiés à des prestataires mais plutôt le nombre d’agents publics travaillant effectivement sur le Cloud. Et, ne l’oublions pas, faire du Cloud, c’est aussi faire de l’agile.

Pourquoi le Cloud est-il jugé si important que cela pour l’État ?

Le Cloud, c’est l’hyperscalabilité. C’est ce qui permet de faire la messagerie instantanée Tchap avec une équipe de quatre personnes et de passer aisément de 3000 à 100 000 utilisateurs sans difficulté. Le passage à l’échelle s’effectue sans coût extraordinaire. De ce fait, le cloud rend soutenable la transformation numérique tant techniquement que financièrement. Il serait impossible d’avoir un datalab ou de faire de l’IA sans Cloud. Et nous avons aussi besoin du Cloud pour garantir notre résilience.

Je dois rappeler que, durant la Crise Sanitaire Covid-19, la grande majorité des services numériques qui ont permis de continuer à travailler et échanger étaient dans le Cloud, tant pour les entreprises, les administrations que pour les particuliers. La webconférence de l’État a pu passer à 200 000 utilisateurs le lendemain de la validation du produit. Si vous n’êtes pas dans le Cloud, c’est impossible.

Mais il y a évidemment des enjeux de souveraineté. D’où la nécessité de soutenir l’offre. Nous voulons sortir de la crise sanitaire par le haut, en tirant toutes les leçons pour préparer une éventuelle autre crise.

De nombreux ministères utilisent des solutions Microsoft Office mais la DINUM a interdit Microsoft Office 365. Comment allez-vous remplacer cette solution ?

Office 365 est dans le Cloud Azure, c’est cela qui pose problème. Le recours à cette solution est interdit pour la protection des données. La réponse de Microsoft a été d’accepter la règle en créant un cloud comme Azure, Bleu, avec Capgemini et Orange. Nous n’avons rien à reprocher à cette solution si elle n’est pas connectée à un Cloud américain.

Nous n’avons pas vocation à développer des outils mais nous travaillons sur le volet Cloud de la bureautique collaborative avec nos partenaires allemands. La création d’une suite bureautique collaborative fait partie des ambitions franco-allemandes. Il faut un marché de taille critique et la commande publique française est insuffisante à elle seule.

Adrien Laroche, coordinateur de la stratégie cloud France 2030 à la Direction Générale des Entreprises (DGE, Ministère de l’Economie), a regretté la perte de parts de marché et donc le déclassement progressif des acteurs français et européens du Cloud. Comment relancer l’offre française et européenne ?

La DGE a en effet pris acte de l’évolution du marché. L’État ne consommait pas de Cloud et, désormais, nous le faisons. Il en est de même des collectivités locales (notamment via le SaaS). Les entreprises privées aussi doivent recourir à des offres SecNumCloud (le Cigref travaille sur le sujet). Certaines banques ont mis 400 millions d’euros sur la table pour créer leur Cloud interne. Quand vous arrivez sur le marché, votre offre SecNumCloud doit donc être compétitive.

Pour l’instant, SecNumCloud est une qualification française. Mais il nous faut une définition européenne du Cloud de Confiance.

Quand des ministères mettent des produits significatifs dans le cloud, cela donne du volume. Vous ne créez pas un écosystème avec des cahiers des charges. Le financement public de démonstrateurs de technologies demandées par les administrations correspond à des services qui seront consommés. L’État n’est pas un prescripteur mais un client de fournisseurs qui bénéficient grâce à lui d’un volume d’activité. La consommation est clé : c’est la réalité de cette consommation qui prouve si ça marche ou pas.

Soutenir l’offre par la demande réelle, c’est bien. Mais, dans ce cas, pourquoi le Health Datahub est-il hébergé chez Microsoft ?

A l’époque du choix (2019), les offres françaises n’étaient pas qualifiées. Il y a deux sortes d’enjeux qui n’avancent pas forcément à la même vitesse : les enjeux de transformation et les enjeux de souveraineté. Lorsqu’il y a un décalage, il faut arbitrer : doit-on renoncer à la transformation ? En l’occurrence, il n’existait nulle part ailleurs la capacité de créer des bulles sécurisées alimentées en temps réel. Sur les autres offres, il manquait toujours des briques. Cela dit, nous n’utilisons aucune technologie propriétaire exclusive et nous pourrons changer aisément d’hébergeur si une offre satisfaisante se présente.

Mais nous voulons éviter qu’une telle situation ne se reproduise en soutenant les nouveaux investissements.

Cela dit, pour refaire une offre identique à celle des hyperscalers, il faudrait investir 300 milliards d’euros. C’est un peu beaucoup… Notre approche est donc non pas de refaire à l’identique tout ce qui est proposé par les hyperscalers mais d’investir en fonction de nos besoins réels et en se basant sur la qualification SecNumCloud.

Il existe deux clouds ministériels : Pi (Ministère de l’Intérieur) et Nubo (DGFiP). Pourquoi pas un seul géré par un opérateur interministériel ?

Il pourrait aussi bien y avoir une douzaine de clouds ministériels ! Pi et Nubo sont les deux clouds de l’Etat à vocation interministérielle : l’un est habilité diffusion restreinte, l’autre non. Utiliser un cloud « diffusion restreinte » implique des contraintes de sécurité particulières difficiles à imposer à tous (et sans intérêt dans la plupart des cas).

A quoi servirait de créer un opérateur unique ? La question des transferts budgétaires pour payer les hébergements assurés par un autre ministère est déjà réglée. Changer les équipes, le rattachement, le management… tout cela créerait des risques sans, au final, de réels bénéfices. Vous connaissez le principe numéro un en informatique : « ça marche ? N’y touchez pas ! ». Beaucoup de travaux sont menés sur des questions comme la résilience, les conteneurs, etc. Plus ces clouds grossiront, meilleurs ils seront. Il faut se focaliser sur l’amélioration des produits.

Certaines infrastructures Cloud de l’État utilisent-elles les solutions VMware et quel est l’impact du rachat par Broadcom ?

Non, les clouds de l’État, Pi et Nubo, utilisent uniquement OpenStack, de la conteneurisation avec OpenShift ou Ranger, de l’orchestration avec Kubernetes…

Cela dit, nous regardons l’empreinte VMware sur les autres infrastructures pour calculer un éventuel impact du changement de politique de l’éditeur lors d’un renouvellement de contrats. Le Cloud sera en fait une alternative en cas de besoin.

Quels vont être les prochaines étapes et les défis de 2024 ?

Le grand sujet de 2024, ça sera sans aucun doute la succession de défis adressés aux fournisseurs pour réaliser un démonstrateur d’un cloud de confiance à la hauteur de nos besoins. Il s’agit de faire progresser l’offre SecNumCloud. Les fournisseurs français se sont offusqués que nous recourions à Microsoft mais il faut qu’ils apprennent à être au niveau requis. Depuis un an et demi, d’ailleurs, leur attitude a changé et ils investissent sur une vraie feuille de route.

Pour dépasser un SecNumCloud franco-français, nous espérons achever la bataille de l’EUCS cette année et ainsi disposer d’une définition européenne du cloud de confiance.

Nous sommes également en train de cartographier les contributeurs à OpenStack, qui est un logiciel libre, pour aider les contributeurs européens. La Commission Européenne anime d’ailleurs un club des CTO. En général, quand Français et Allemands sont d’accord, l’Union Européenne suit.

Côté administrations, des plans de migration cloud sont en cours d’écriture dans la plupart des ministères. Une fois que la bascule a été faite, il n’y a pas de retour arrière. Mais, pour débuter, il faut toujours bien comprendre tout ce que le Cloud change en termes d’architecture, de conception, de sécurité…

Enfin, le Comité Stratégique de Filière animé par la DGE amènera sans aucun doute de grands changements sur le marché.