Lorsque l’on parle du cloud, les enjeux de souveraineté semblent constituer une préoccupation grandissante si l’on s’en tient aux discours officiels. Comment cela se traduit-il au sein de votre organisation ?

Il est clair que ces questions ont fortement animé le débat ces derniers mois, invitant les autorités ainsi que l’ensemble des acteurs socio-économiques à réfléchir sur les formes de cloud à proposer et à utiliser, mais aussi sur la définition d’un ensemble de cadres réglementaires liés à l’usage sécurisé du Cloud, de l’utilisation de la Donnée et de l’Intelligence Artificielle (EUCS, Data Act & Data Governance Act, AI Act, etc.).
Ces réflexions sont depuis longtemps au coeur des programmes mis en oeuvre à l’échelle du groupe, en tant qu’acteur de premier rang pour les services rendus aux citoyens et aux entreprises.
La construction d’un cloud souverain en réponse à la nécessité d’héberger les données sensibles et critiques de nos clients nous a menés à nous associer avec OVHcloud, acteur 100% européen, dans le cadre d’un partenariat stratégique. Au-delà d’une expérience de plus de 25 ans dans le cloud, la direction générale d’OVHcloud partage comme nous la même vision de la souveraineté européenne.

Ces questions de souveraineté ont largement occupé l’espace médiatique. Sont-elles critiques à ce point ? Se traduisent-elles au niveau du marché, dans les organisations ?

Vis-à-vis de ces aspects, il est en effet important d’apporter des clarifications. Avant tout, il est important d’éviter d’opposer les modèles de cloud. Il appartient à chaque organisation d’opter en confiance et en conscience pour le meilleur cloud en fonction de ses besoins, de la criticité de ses systèmes informatiques ou encore de la nature de ses données. Les solutions à mettre en œuvre s’appuient de plus en plus sur une approche multicloud, entre cloud public, cloud
privé ou encore cloud souverain, en fonction des cas d’usage et du secteur d’activité de l’entreprise.

Quels sont les éléments à considérer au moment d’opérer des choix ?

Il faut d’abord considérer les besoins du métier. Le cloud public, avec sa grande élasticité et l’accès à des technologies avancées, peut répondre à ces enjeux clés. Mais il faut aussi tenir compte de la réglementation applicable au secteur d’activité, à la nature des données, aux exigences de continuité, de résilience. Dans certains cas, il faut aussi veiller à une indépendance technologique pour éviter tout lock-in. Dans le contexte géopolitique actuel, certains risques doivent être bien évalués si on s’appuie sur des technologies non européennes. On peut alors s’intéresser à l’adoption d’un cloud souverain, qui doit répondre à des critères stricts en termes de résidence et de traitement de la donnée, de juridiction applicable, mais également de contrôle et de transparence sur les technologies utilisées, en privilégiant notamment un stack logiciel open-source.

Mais peut-on aujourd’hui se passer des technologies américaines ?

S’il est vrai que les hyperscalers sont aujourd’hui essentiellement américains, il existe aussi des alternatives européennes intéressantes et une offre qui s’enrichit. Si l’on pense à l’intelligence artificielle, en France, Mistral développe des modèles de plus en plus performants. OVHcloud investit également massivement dans son offre de clouds public et privé, mais propose également déjà l’accès à de l’informatique quantique européenne. A nouveau, il me semble primordial de ne pas opposer les continents et les solutions.
C’est au niveau de chaque entreprise, qu’il est important de mener des réflexions en termes d’usage du cloud pour ses métiers et de ce que l’on veut en faire. Si l’on considère la nécessité de voir ses données sensibles hébergées dans un cloud souverain, il est aussi possible de mettre en place des mécanismes permettant l’accès à des modèles d’IA d’un cloud public sans pour autant y exposer des informations sensibles, en recourant par exemple à des données de synthèse.

Pour quels besoins une solution de cloud souverain s’impose-t-elle ?

Dans les secteurs qui revêtent un caractère régalien, il est nécessaire de prendre des mesures renforcées de sécurisation et de préservation de la confidentialité des données. Je pense aux domaines de la défense, de la santé, aux services étatiques. Mais cela vaut également dans le secteur privé : le traitement de données critiques peut exiger de recourir à des solutions de confiance pour protéger une propriété industrielle par exemple.

Quelle est la solution souveraine la plus appropriée ?

Il est vrai qu’en la matière, chaque acteur a sa propre définition du cloud souverain. Si cela tend à se clarifier, il n’existe pas, au Luxembourg de norme de référence définissant ce à quoi doit répondre un cloud souverain ou de confiance. On trouve dans certains pays des initiatives à l’image du référentiel SecNumCloud élaboré par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en France, ou la norme C5 en Allemagne.
Il nous semblerait intéressant d’aller vers une harmonisation européenne et de définir un cadre de référentiel commun, surtout dans le contexte actuel.
En ce qui nous concerne, notre cloud souverain est coconstruit avec OVHcloud sur base de la plateforme OPCP. Cette solution de cloud déconnectée sera opérée par nos équipes et bien sûr hébergée dans nos trois datacenters luxembourgeois. Notre cloud souverain permettra à nos clients de bénéficier d’un large éventail de ressources (Iaas, PaaS, SaaS) et notamment de capacités GPUpour entraîner des modèles d’Intelligence Artificielle.

Comment bien accompagner la transformation des acteurs vers le cloud ?

Le paysage des solutions disponibles et leur complexité ne cessent de se renforcer. Pour mettre en place l’environnement le plus approprié, il faut en premier lieu partir des besoins du métier souvent reflet d’un secteur d’activité réglementée, et de la catégorisation des données à héberger et exploiter. Sur base de cette analyse, on peut effectuer un Cloud Assessment rigoureux et évaluer correctement les différentes approches technologiques à retenir.

Comment s’exprime la proposition de valeur de DEEP en regard de ces enjeux ?

Notre proposition de valeur est le fruit de notre organisation matricielle qui mixe une approche sectorielle du marché et les expertises de nos différentes Business Lines. Il est en effet primordial de bien comprendre les tendances et besoins des différents secteurs d’activité (Finance, Secteur Public, Santé, etc.) pour définir grâce à nos experts technologiques les services et solutions les plus innovantes et pertinentes. Nous nous positionnons dans les phases amont des réflexions technologiques de nos clients en tant que conseiller et veillons à adopter une démarche la plus agnostique possible. Ainsi, nous pouvons aborder de façon différenciée certains secteurs tout en nous appuyant sur nos savoir-faire en termes de Cloud, Cybersecurity et Data & AI.

Quels sont les défis et ambitions pour les mois à venir ?

Notre ambition est d’être un référent des services numériques innovants et responsables à Luxembourg. Aux côtés de nos clients, nous souhaitons grâce à notre approche multicloud les aider à adresser leurs nombreux défis qu’ils doivent relever : business, réglementaires, financiers, continuité, etc.