Intervention de Servane Augier

3DS OUTSCALE est le cloud provider de Dassault Systèmes. Notre entreprise a 10 ans. Elle regroupe 160 collaborateurs. C'est la filiale d'un très grand groupe, puisque Dassault Systèmes vient d'annoncer un chiffre d'affaires de plus de 4,5 milliards d'euros pour 2020. Nous sommes éditeurs de notre propre solution d'orchestration de cloud, ce qui est important par rapport aux différents sujets que nous aborderons et par rapport à la maîtrise que l'on peut avoir de son avenir dans le cloud. Nous sommes particulièrement positionnés sur le domaine de la confiance, voire de l'hyper-confiance, avec des solutions très industrialisées depuis le départ. Nous sommes un acteur du BtoB.

Nous avons, dès le départ, fait le choix d'avoir une activité complètement programmatique, accessible par API (pour Application Programming Interface dans le jargon de notre secteur d'activité), très processée et industrielle, avec l'ensemble de nos offres au périmètre Iso 27 001 depuis 2014. Nous avons également très tôt fait le pari du plus haut niveau de certification. Cela nous paraît le meilleur moyen pour gagner la confiance des clients et faire en sorte qu'ils fassent le pas de migrer vers le cloud (à la fois les clients privés et les administrations). Nous avons eu le plaisir d'être les premiers fournisseurs d'infrastructures réseau service à obtenir la qualification SecNumCloud, qui correspond au référentiel de l'agence nationale de la sécurité des systèmes d'information (ANSSI). Nous avons été récemment rejoints par nos amis d'OVH. Nous avons passé la certification « hébergeur de données de santé » qui permet de nous tourner vers le secteur de la donnée de santé qui pèse lourd dans le registre des données sensibles.

S'agissant de la définition de la souveraineté du cloud et du retour du terme de souveraineté par rapport aux activités numériques, nous le vivons avec beaucoup d'intérêt et de satisfaction. En effet, nous sommes sur ce créneau depuis le départ. J'ai oublié de préciser que nous sommes également présents aux États-Unis et en Asie, au Japon notamment, en mode multi-local. C'est-à-dire que, quelle que soit la région où nous sommes présents, nous garantissons à nos clients la souveraineté de leur relation avec nous.

Pour nous, la souveraineté du cloud est la garantie que les données seront stockées en France pour la souveraineté française, qu'elles seront également opérées en France, et qu'il n'y aura pas d'aller-retour de la donnée vers des serveurs sans que nous sachions où et à quel moment. Il s'agit d'un contrat signé avec les entreprises en droit français, ce qui est très important pour la vie de la relation contractuelle avec nos clients, avec un support de proximité 24/7 qui est opéré en anglais et en français. La relation de proximité est assurée par des équipes basées en France. Dans le contexte réglementaire actuel, la souveraineté s'entend du fait de n'être absolument pas soumis à des réglementations extra-européennes. J'entends par là que l'on ne peut pas prétendre être souverain si l'on est soumis au Cloud Act.

Aujourd'hui, après avoir été pas mal galvaudé, voire un peu tabou pendant quelques temps, le mot revient fortement. Après la promulgation du Cloud Act en 2018 et après que le confinement a révélé que la France et l'Europe étaient dépendantes de beaucoup de continents sur de nombreux sujets, dont le numérique, il est très important et très agréable, pour nous qui apportons des solutions souveraines, de voir que le sujet revient sur le devant de la scène et que les entreprises et les administrations se mobilisent pour essayer de faire en sorte que les offres souveraines existent et perdurent.

Nous travaillons, notamment avec M. Michel Paulin, au sein du Comité stratégique de filière, pour pousser ces notions de souveraineté et pour faire en sorte que la filière puisse avancer. Dans le cadre de ce Comité stratégique de filière, nous avons signé un contrat avec les ministères. Nous attendons des engagements forts de l'État sur le fait de réglementer la nécessité d'utiliser un cloud de confiance pour les données sensibles pour les administrations et les opérateurs d'importance vitale (OIV). Il est nécessaire d'impulser un mouvement fort pour les administrations et les grandes entreprises d'importance vitale en France. Il y a deux volets. Le premier est le fait de réglementer les choses. La bonne nouvelle est que le Cigref a réalisé une étude récemment. Les membres du Cigref sont prêts à accepter une réglementation supplémentaire parce que les enjeux leur paraissent primordiaux. Le deuxième volet concerne la mise en place d'un label permettant de définir ce qu'est un cloud de confiance. Aujourd'hui, le référentiel SecNumCloud porte essentiellement sur les critères techniques. Il en va de même pour le référentiel HDS pour l'hébergement de données de santé. Ces référentiels, labels, ou qualifications n'emportent jamais cette logique que son détenteur n'est pas soumis à des lois extra-européennes. Cela manque dans le paysage. Il faudra y travailler rapidement. Il faut pouvoir dire : « Nous, qui répondons aux critères que je vous ai donnés tout à l'heure, nous pouvons l'exposer publiquement, parce qu'une entité publique nous donne le droit de le faire ». Il sera également très important, dans le cadre de Gaia-X, qui créera des standards à l'échelle européenne, de faire ressortir, au sein des offres qui vont adopter des standards techniques, celles qui sont de confiance au sens où elles garantissent la souveraineté.