Incendie Global Switch : réflexions sur la résilience des Clouds Publics

 

XData Center Global Switch ClichyL’un des centres de calcul d’un grand hébergeur mondial, Global Switch, situé à Clichy en région parisienne, a été victime d’un incendie dans la semaine du 24 avril 2023. 

Ces incendies sont rares, mais ils se produisent de temps en temps et aucune entreprise n’est à l’abri d’un tel accident dans un centre de calcul, qu’il soit:

  • Géré directement par l’entreprise, “On Premise”.
  • Chez un hébergeur.
  • Sous la responsabilité d’un acteur du Cloud Public.

Cet incendie a immédiatement déclenché une polémique sur la qualité des services proposés par les géants du cloud public américain. Pourquoi? Le Cloud Public GCP de Google a été touché et des services proposés par une “Zone France Paris” ont été indisponibles pendant plusieurs heures.

Mon ami Alain Garnier, PDG de Jamespot, a immédiatement publié sur LinkedIn une vidéo pour commenter cet incident. Il m’a personnellement cité en me reprochant gentiment d'être un “suppôt” des géants du Cloud Public. 

Suppôt, non, mais grand fan, oui. Sur ce point, il a tout à fait raison et je ne m’en suis jamais caché, depuis plus de 15 ans.

Cette mise en cause et cet accident m’ont donné l’envie et l’occasion d’apporter des éclaircissements sur les différentes implantations géographiques des géants du Cloud Public.

C’est un sujet qui est rarement abordé et amène trop d’entreprises à faire des erreurs qu’elles pourraient éviter quand elles travaillent avec les grands acteurs du Cloud Public.

Ce que j'explique dans ce texte est valable pour tous les grands acteurs du Cloud Public, AWS d’Amazon, Azure de Microsoft et GCP de Google. 

 

L’incendie: les faits

XDeux sites touchés par incendieDans la nuit du 25 au 26 avril 2023, un incendie a éclaté dans un des centres de calcul de l’hébergeur Global Switch, situé à Clichy, en région parisienne. Cet incendie a entraîné l’arrêt de ce centre de calcul.

De nombreuses organisations qui hébergeaient leurs services numériques dans ce centre de calcul ont annoncé que ces services étaient indisponibles. Parmi les organisations importantes touchées, on peut citer le service Cybermalvaillance du gouvernement français et la ville de Lille.

C'est à chacune de ces entreprises qu’il incombe la responsabilité d’avoir préparé leur PRA, Plan de Reprise d’Activité. J’espère que c’était le cas pour la majorité d’entre elles.

Mais c’est bien évidemment le “client” Google-GCP de ce centre de calcul qui a retenu l’attention et fait couler le plus d’encre, ce qui est logique.

Un géant du Cloud Public, un “Hyperscaler” qui subit une panne, c’est suffisamment rare pour que la planète numérique française s’en émeuve.

XGoogle Cloud sous l'eau

J’ai un “scoop” pour les personnes qui sont ravies de pouvoir critiquer le supposé manque de résilience des géants du Cloud Public: des pannes, ils en ont en permanence, et j’y reviens longuement dans le prochain paragraphe.

Depuis des années, Google met à la disposition de ses clients un tableau de bord de l’état de fonctionnement de tous ses services, dans chaque région géographique. 

Il est mis à jour en temps réel. Voilà un instantané d’une partie de ce tableau, le 26 avril 2023: il indique clairement que tous les services dans la “Zone Europe-West9, Paris” sont indisponibles.

XPanne GCP France 26:4:2023

Cette zone de GCP est répartie chez quatre hébergeurs différents, comme le rappelle Google dans un communiqué: 

Google Cloud se reposant sur trois autres datacenters de la région parisienne (Interxion, Data4 et Telehouse), la firme a proposé à ses clients de « basculer » temporairement et d’éviter la zone affectée (europe-west9).”

La redondance, le PRA natif font partie des services standards de GCP.
Aucun client n’a perdu de données comme le rappelait Emmanuelle Olivié-Paul, utilisatrice de GCP dans cette zone, dans sa réponse au billet LinkedIn d’Alain Garnier que je cite au début de ce billet.

XPanne GCP France 29:4:2023

Ce deuxième instantané du tableau de disponibilité des services de GCP, pris le 29 avril 2023, montre que la situation est normalisée.

 

Les Clouds Publics, des pannes en permanence

Qui peut croire, ou tenter de faire croire que les infrastructures géantes des fournisseurs de Clouds Publics ne tombent jamais en panne?

Je n’ai jamais, je ne tiendrai jamais un tel discours, ce serait ridicule.

XCloud Downtime 2018 - AWS  GCP  AzureDans un billet de blog publié en 2019, il y a quatre ans, sur le thème “Clouds Publics, la confiance”, j’abordais une fois encore ce sujet. J’avais inséré ce graphique qui mettait en évidence les temps de panne de GCP, AWS et Azure pour l’année 2018.

Toute personne qui essaie de me faire dire le contraire, ou est de mauvaise foi, ou n’a jamais lu mes écrits.

Une étude très récente, publiée en mars 2023 par Parametrix, société spécialisée dans l’assurance des risques numériques, fait le point sur toutes les pannes qui se sont produites en 2022 chez AWS, GCP et Azure.

XParametrix report title Cloud Downtime 2023

J’ai extrait de ce rapport cette phrase qui résume bien la situation:

“In 2022, Parametrix identified a total of 1190 performance disruptions across this cloud landscape. Some 41.4% of these events, 492 in total, were classified by Parametrix as critical.” (C’est moi qui ai mis en gras quelques mots.)

Oui, vous avez bien lu, près de 1200 incidents en une année, plus de 3 par jour! Ils sont nuls, ces géants du Cloud Public!

XParametrix Main Cloud Outages causes 2022Ce graphique, présent dans ce rapport, indique les principales causes de ces incidents.

Les incidents matériels sur les infrastructures physiques, comme les incendies, sont de loin les… moins fréquents, à 8,33%, 3,5 fois moins que ceux causés par des erreurs humaines.

Ce que demandent les clients d’AWS, GCP ou Azure, ce n’est pas qu’ils leur garantissent qu’ils n’auront jamais de pannes, ce qui serait une demande idiote.

Ce que demandent ces clients, c’est qu’AWS, GCP ou Azure mettent en œuvre toutes les procédures et méthodes nécessaires pour les mettre à l’abri de ces pannes inévitables.

XClouds Publics protection des clients des pannes

Et cela, AWS, GCP et Azure le font, et le font très bien!

Ce n’est pas pour cela que les entreprises doivent basculer dans les Clouds Publics sans prendre des précautions importantes, au contraire.

L’une des premières décisions à prendre, et elle est essentielle, c’est de bien choisir la ou les zones géographiques dans lesquelles elles vont déployer leurs applications.

C’est ce que j’analyse dans le paragraphe qui suit.

 

Les différentes familles d’implantation des géants du Cloud Public

Les informations que j’utilise sont publiques; toutes les entreprises peuvent y accéder quand elles doivent choisir leurs fournisseurs d’infrastructures Cloud Public.

Je vais illustrer mon analyse par l’exemple de GCP de Google, qui a été mis en cause à la suite de cet incendie.

Comme je l’ai écrit plus haut, j’aurais pu faire la même démonstration pour AWS ou Azure.

Les fournisseurs de Cloud Public proposent trois grandes familles d’implantations:

  • Les centres de calcul dont ils sont propriétaires et qu’ils gèrent eux-mêmes.
  • Des centres de calcul qui appartiennent à des hébergeurs et où ils localisent une partie de leurs services IaaS.
  • Des points de présence: ce sont des petits sites qui ont pour fonction principale de proposer des accès par fibres optiques à des centres de calcul GCP. Ils sont utilisés pour réduire la latence.

Cette liste, disponible sur le site de GCP, identifie en toute transparence ces différentes familles d’implantations.

XFamilles de centres de calcul Google

Centres de calculs appartenant à GCP

Un grand centre de calcul, construit et géré par GCP, représente un investissement supérieur à 500 millions de dollars et peut atteindre 1 ou 2 milliards de dollars.

Cette carte du monde montre l’implantation des centres de calculs qui appartiennent à GCP.

XCarte Mondiale Centre de Calcul Google

Google dispose de centres de calcul en propre dans 36 régions, réparties sur 109 zones. Ils sont en priorité installés aux Etats-Unis et en Europe.

Centres de calculs “Edge”, hébergés

Pour assurer une présence dans le plus grand nombre possible de pays, Google GCP installe une partie de ses services chez des hébergeurs locaux, comme Global Switch en France.

Dans cette configuration, GCP n’est pas maître de la gestion des centres de calcul, qui est déléguée aux hébergeurs.

C’est ce qui permet à GCP d’annoncer une présence dans plus de 200 pays.

Ce sont souvent des installations “politiques”, réalisées pour répondre aux exigences de certains pays ou entreprises qui exigent que leurs données soient stockées sur leur territoire.

“Edge” ne veut pas dire une installation unique: pour des raisons évidentes de résilience, GCP répartit ses installations “Edge” chez des hébergeurs différents. Dans le cas de Paris, ils sont quatre.

On le voit sur cette carte, où sont aussi indiqués les centres de calcul en périphérie, nommés “Edge".

XGoogle Data Center with Edge ones

Il existe un moyen simple de vérifier si une zone géographique GCP est gérée par Google en direct ou hébergée: il suffit de compter le nombre de services disponibles. Ils sont beaucoup plus nombreux dans les zones gérées en direct par Google.

Cette carte met aussi en évidence un autre investissement majeur de Google, dans les fibres optiques sous-marines.

Points de présence

Sur cette autre carte Google, les principaux points de présence sont visualisés.

XGoogle network with 7500 access point

Google annonce qu’il dispose de 7 500 points de présence dans le monde. C’est une bonne nouvelle. Ceci permet à toute entreprise, où qu’elle soit située, de trouver un point de présence proche qui garantit un accès rapide, par fibre optique, à GCP.

Le cas de l’Europe

En analysant les données fournies par Google, j’ai pu construire ce tableau qui fait le point sur la situation actuelle des implantations de GCP en Europe. Ce n’est qu’une photographie à un instant donné, de nouveaux investissements étant réalisés en permanence.

XData Center Google Europe

Au moment où je publie ce texte, GCP est présent dans la majorité des grands pays européens, dans 35 villes:

  • 6 implantations de centres de calcul appartenant à Google. Ils sont tous situés dans des pays de l’Europe du Nord.
  • 29 implantations “Edge”, hébergés. 
  • C’est le cas de la France, où il n’y a pas de centres de calcul appartenant à Google, mais deux “Edge” à Paris et Marseille. 

Dans le paragraphe qui suit, je présente mes recommandations concernant les différentes options qui s’offrent à une entreprise, publique ou privée, quand elle doit choisir les zones géographiques où elle souhaite déployer ses usages numériques dans un Cloud Public.

 

Recommandations

L’immense majorité des entreprises publiques et privées ont le libre choix du pays où elles peuvent utiliser des services de Clouds Publics, et c’est une très bonne chose.

Il y a quelques exceptions, variables selon les pays.

Listes hébergeurs certifiés HDSEn France, la plus connue est celle liée aux données de Santé. Il est obligatoire d’obtenir une certification HDS, Hébergement de Données de Santé, pour proposer des services dans ce domaine. Comme le montre cette liste officielle, publiée par le ministère de la Santé et de la Prévention, plusieurs centaines d’organisations sont certifiées HDS.

AWS, GCP et Azure font partie de cette liste, et cela ne surprendra personne.

Conséquence: Google est obligé d’utiliser les zones hébergées en France pour les données de santé et ne peut pas les porter sur des centres de calcul qu’il gère en direct.

Pour toutes les autres entreprises, le choix est libre, même s’il y a souvent des pressions politiques pour que l’hébergement ait lieu en France.

Si votre entreprise décide ou préfère héberger ses applications et ses données en France, elle a le choix entre des grands acteurs du Cloud Public, tous présents en France, ou des acteurs français eux aussi présents en France.

Si je fais le choix de travailler avec GCP pour tout ou partie de mes usages numériques, j’ai plusieurs options:

  • Je choisis un “Edge” en France: si tous les services dont j’ai besoin sont disponibles dans cette zone, c’est une piste raisonnable.
  • Je choisis une zone gérée directement par Google, par exemple en Belgique ou aux Pays-Bas. Je suis certain d’accéder à tous les services disponibles et à des infrastructures uniquement dédiées à GCP.
  • Je choisis d’utiliser plusieurs zones pour mes usages. C’est une évidence pour les entreprises qui sont présentes à l’international.

Depuis peu, GCP propose aux entreprises un nouveau service: Cloud Region Picker.

Il permet de choisir la zone où elles peuvent exécuter leurs programmes en tenant compte du poids respectif que l’on donne à trois paramètres:

  • L’impact carbone.
  • Le coût.
  • La latence.

Les réponses varient toutes les 5 minutes, en fonction des conditions météos des différentes zones et des taux d’utilisation des ressources.

GCP Region Picker 2 optionsDans cet exemple, réalisé à Paris le 1er mai 2023 à 13h, j’ai regardé deux options. Dans les deux cas j’ai gardé une latence identique, à 50% d’importance:

  • Option du haut: prix,critère essentiel. Impact carbone, critère pas important.
  • Option du bas: prix, critère pas important. Impact carbone, critère essentiel.

Les résultats sont spectaculaires: GCP propose 4 zones pour chaque option, et ce sont au total 8 zones différentes qui sont proposées.

Je trouve cette initiative excellente et elle n’est disponible que chez les géants du Cloud Public, qui ont des installations dans le monde entier et peuvent faire profiter leurs clients de toutes les possibilités d’ensoleillement ou de vent.

C’est une excellente opportunité pour les entreprises de montrer concrètement qu’elles ont envie d’œuvrer pour une véritable frugalité numérique.

Reste une option que je n’ai pas encore abordée, le multi-cloud. Elle est recommandée par Alain Garnier dans la vidéo dont je parle au début.

Que faut-il en penser?

 

Multi Cloud et résilience

AWS Azure GCP logosUne démarche Multi Cloud consiste à utiliser plusieurs fournisseurs différents de services Cloud pour son entreprise.

C’est une idée vieille comme le monde, celle qui consiste à ne pas mettre “tous ses œufs dans un même panier”.

Est-ce une bonne idée d’utiliser une démarche Multi Cloud pour améliorer la résilience de son Système d’Information en cas d’accidents comme l’incendie de Global Switch?

La réponse est claire: non, non et non!

Pourquoi? Imaginez que vous utilisez GCP pour votre application de gestion commerciale et que le site qui l’héberge prend feu. Combien de temps vous faudrait-il pour trouver une version de cette application compatible avec un autre Cloud comme AWS et l’y déployer? Poser la question, c’est y répondre.

Si la réponse Multi Cloud n’est pas la bonne, quelle démarche faut-il privilégier? 

Elle est beaucoup plus simple, et je l’ai présentée dans ce billet: une démarche multi sites chez le même fournisseur de Cloud. Rien de plus simple! La réplication dans une autre zone géographique prendra instantanément le relais, sans aucun délai.

Ceci ne veut absolument pas dire que la démarche Multi Cloud n’a aucun intérêt, au contraire. La majorité des entreprises avec lesquelles je travaille ont choisi deux ou au maximum trois fournisseurs parmi AWS, GCP ou Azure.

Ce n’est jamais pour répondre à des problèmes de résilience.

Quelles sont les raisons qui militent pour le Multi Cloud?

  • Résilience? Non.
  • Services Clouds de base? Non. Tous les fournisseurs proposent des services de base en calcul, stockage, bases de données qui sont très proches les uns des autres.
  • Services avancés différents? Oui. C’est de loin la raison principale. Chaque grand acteur a des domaines spécialisés pour lesquels il propose des services meilleurs que ses concurrents. C’est le cas avec AWS pour l’informatique industrielle et IoT. C’est le cas pour GCP dans le domaine du Big Data et du décisionnel.
  • Faire jouer la concurrence entre les fournisseurs? C’est parfois le cas, mais moins souvent qu’on ne le croit.

 

Résumé

J’ai eu l’opportunité d’acquérir en France une formation d’ingénieur, qui m’a aidé à avoir des raisonnements scientifiques, rationnels et pragmatiques.

AdS DPC Résilience S 101375048Ce texte ne parle que de la meilleure manière de garantir la fiabilité et la résilience de ses infrastructures dans des Clouds Publics, de garantir une continuité de services quand des catastrophes comme un incendie ou une erreur humaine se produisent, incidents qui sont inévitables.

Traiter les sujets importants, un par un, c’est la seule manière rationnelle de progresser que je connaisse.

Rappel: Il y a de nombreux autres sujets “chauds” quand on aborde le thème des Clouds Publics. Ils ne sont pas traités dans ce texte.

J’ai écrit des dizaines de billets sur mon blog qui parlent de toutes les autres facettes du Cloud Public, et ce depuis 15 ans.

 


Le document le plus ridicule sur les usages numériques que j’ai lu depuis longtemps

 

Il y a longtemps que je n’avais pas lu un “chef d’œuvre” numérique aussi nul.

L’auteur de ce texte d’une rare bêtise, que je n’aurais même pas osé écrire en 1990:

Le ministère de l’Education Nationale et de la Jeunesse (MEN)

Recommandations MEN

 

Voici ce texte dans son intégralité, avec quelques commentaires personnels…

 

10 conseils pour adopter des gestes reponsables pour un usage partagé des outils numériques

Cela commence bien ! Il y a une faute d'orthographe dans le titre. C’est probablement pour se mettre au niveau des plus mauvais élèves de nos écoles et leur montrer que les fautes d’orthographe, ce n’est pas grave, même le ministère en fait.

 

  1. Sur mon poste de travail professionnel, je réserve mes consultations internet à un usage strictement professionnel. 

Tout le monde sait que les élèves sont super équipés en outils numériques et ont deux smartphones, deux PC portables, un pour les usages personnels, un autre pour les activités éducatives. 

C’est aussi leur donner d”’excellents” réflexes pour optimiser leur frugalité numérique. J’ai une information qui pourrait être utile pour le MEN: 

  • Pour un smartphone utilisé 3 ans, l’énergie nécessaire pour sa fabrication est trois fois plus grande que pour ses usages.
  • Pour un PC portable c’est 50% fabrication, 50% usages.
  • En utiliser deux, c’est la plus mauvaise solution pour la planète.

 

  1. Je limite le nombre de mes terminaux (ordinateur ou mobile) connectés en même temps aux services numériques du ministère.

Autre décision idiote: je ne vais pas faire la même activité deux fois sur deux terminaux différents et il est souvent utile de travailler en parallèle sur deux activités différentes.

A moins que… la bande passante des réseaux internes des établissements scolaires ne soit pas suffisante. 

N’oublions pas que le MEN n’a pas encore compris que gérer en interne, “On Premise”, des infrastructures numériques est une absurdité totale, une gabegie financière et une source de risques maximaux de cyberattaques.

 

  1. Lorsque c’est possible, je privilégie la connexion internet de mon domicile plutôt que le réseau de téléphonie mobile.

Sur ce point, je suis d’accord. Utiliser le WiFi à la place d’un réseau mobile quand c’est possible est une bonne recommandation.

Question? Pourquoi réserver cette recommandation à son domicile, et ne pas la promouvoir aussi dans les établissements scolaires? 

 

  1. Quand je peux gérer mes messages dans mon client mail, je n’utilise pas le webmail.

Utiliser un client lourd pour la messagerie? Oui, je le faisais avant l’arrivée des solutions natives Cloud comme Google Workspace en 2007.

Quelle belle préparation aux usages modernes du numérique en 2023 que de déconseiller le client Webmail, le plus universel, le plus performant.

Ah oui, j’oubliais! Il y a encore des établissements scolaires qui utilisent des messageries installées en interne comme Exchange de Microsoft…

 

  1. Pour les mails : je limite le nombre et la taille des pièces jointes, je supprime les images de ma signature. Je partage mes fichiers via les espaces partagés ou les sites collaboratifs.

J’avoue ne pas comprendre : faut-il continuer à envoyer des pièces jointes ou utiliser des espaces collaboratifs comme Google Drive qui… évitent d’envoyer des pièces jointes?

Dites-moi combien de pièces jointes vous envoyez par jour: j’en déduirai le niveau d’archaïsme de vos modes de travail.

 

  1. Pour bien préparer mes réunions, je partage les documents en amont afin de pouvoir étaler les téléchargements.

Encore une recommandation des années 1990. 

Tous les documents dont on a besoin pour une réunion sont disponibles dans un espace partagé, dans les Clouds Publics de Microsoft ou Google, les deux seules solutions opérationnelles en 2023.

On n’a pas besoin d’étaler les téléchargements, car… on ne télécharge plus rien!

Le mot téléchargement est rayé de mon vocabulaire, et depuis longtemps.

Autre avantage: ces solutions sont encore gratuites pour le monde éducatif.
 

  1. J’utilise des messageries instantanées comme Tchap pour garder le contact avec mes collègues.

Tchap? Vous connaissez ? Moi, non.

J’ose à peine imaginer la tête des élèves et des étudiants à qui on demanderait d’utiliser cet outil à diffusion confidentielle.

WhatsApp, Messenger, Google Chat… Quel scandale si on acceptait au MEN de recommander les outils que tout le monde connaît et utilise de manière permanente dans ses usages personnels.

 

  1. Pour aller plus vite, je n’hésite pas à envoyer des SMS.

Aller plus vite ? Plus vite par rapport à quoi ? Je ne comprends pas. 

Oui, il y a des moments ou l’usage d’un SMS fait sens, mais ce ne sera jamais un substitut à la messagerie électronique ou à une messagerie instantanée. Tous les outils de communications numériques ont une place dans la vie numérique d’une personne.

 

  1. Pour tenir une réunion à distance, je privilégie le téléphone ou l’audioconférence.

Une réunion téléphonique à plusieurs?

Une audioconférence?

Je ne savais pas que ces solutions techniques existaient encore en 2023.

L’efficacité d’une réunion téléphonique à distance avec 10 personnes, vous y croyez?

Moi, pas du tout!

 

  1. Lors d'une visioconférence, je n'utilise la fonction vidéo que si elle est nécessaire.

Il y a deux raisons principales pour couper la vidéo dans une visioconférence:

  • La bande passante disponible n’est pas suffisante. Cette situation ne se produit “jamais” dans les établissements scolaires : ils disposent tous d’une capacité exceptionnelle permettant à tout le monde de garder la vidéo active.
  • Ne pas souhaiter que les autres participants “voient” comment vous êtes habillés ou ce que vous faites en même temps… car cette réunion ne vous intéresse pas.

Dans la majorité des visioconférences, quand le nombre de participants est raisonnable, la convivialité des réunions est améliorée par l’usage de la vidéo.

 

J’arrête là ce jeu de massacre.

Que le MEN, le ministère français qui emploie le plus grand nombre de salariés, ose laisser publier en 2023 un document aussi désespérément nul, ce n’est pas un signal très encourageant sur la capacité des responsables politiques à promouvoir des usages numériques efficaces.

Quand peut-on espérer voir le MEN publier un document faisant la promotion d’usages numériques modernes?

  • En 2030
  • En 2050
  • Jamais.

Je vous laisse répondre à cette question.


Cyberrisques: vaccins ou traitements

XAdS DPC Vaccin COVID S 403488847La cyberattaque contre un hôpital de la région parisienne en août 2022, après les deux années de pandémie COVID-19, m’ont donné l’idée de rapprocher deux mondes que tout, en apparence, sépare le monde de la santé et celui des cyberattaques.

J’ai analysé cette attaque dans un texte sur LinkedIn.

Un nouveau article fait le point sur les conséquences de cette attaque et annonce une nouvelle attaque contre un EPHAD.

L'objectif prioritaire de ce nouveau billet est pédagogique. Cette analogie entre le monde de la santé et de la cybersécurité devrait aider les décideurs à mieux comprendre comment ils peuvent améliorer la protection de leurs entreprises face à des cyberattaques de plus en plus sophistiquées. Il est écrit en priorité pour des décideurs qui ne sont pas des spécialistes du sujet.

 

Rappel: les principaux cyberrisques

Sur le fond, j’ai abordé ce sujet dans ces deux billets récents sur mon blog:

Je reprends un schéma de l’un de ces billets pour résumer la problématique de ces cyber risques:

  • Une entreprise peut choisir de garder ses infrastructures en interne, “On Premise”, ou les migrer vers des Clouds Publics tels qu’AWS, GCP ou Azure.
  • L’entreprise doit pouvoir faire face à trois familles de cyberrisques:
    • Les attaques sur les infrastructures.
    • Les attaques sur les applications et les données.
    • Les attaques par des États, en priorité les États-Unis, qui s’appuient sur leurs lois extraterritoriales.

XRisques Cloud Public - On Premise copie

Les nombreux échanges qui se sont déroulés après la publication de ces deux textes m’ont montré à quel point il était difficile d’expliquer, simplement et rationnellement, pourquoi les positions que je défends sont celles qui répondent le mieux aux besoins des entreprises, toutes les entreprises, pour se protéger des cyberrisques.

 

Vaccin et traitements: deux démarches de défense dans la santé

Dans le monde de la médecine, il existe deux démarches principales pour se protéger d'une maladie:

  • La vaccination: une action réalisée avant que la maladie ne se déclenche.
  • Un traitement: action déclenchée après l’apparition de la maladie.

Le premier vaccin moderne a été inventé il y a un peu plus de 200 ans, en 1798, par Edward Jenner pour traiter la variole.

XAdS DPC HIV treatment S 296764863Depuis cette date, plus d’une vingtaine de maladies, souvent mortelles, ont été éradiquées par la mise au point de vaccins. C’est l’une des plus belles réussites de la médecine mondiale.

Hélas, il existe encore de nombreuses maladies comme le VIH pour lesquelles des vaccins ne sont pas encore disponibles. 

Quand une personne est touchée par une maladie, deux cas sont possibles:

  • Elle a été vaccinée: dans l’immense majorité des cas, elle développe une forme bénigne de la maladie. C’est le cas pour la grippe ou la COVID-19.
  • Elle n’a pas été vaccinée ou le vaccin n’existe pas: des formes graves de la maladie se développent et peuvent conduire à la mort. Pour certaines maladies comme le VIH, les progrès remarquables de la médecine ont permis de développer des traitements performants qui permettent de vivre avec cette maladie, mais sans en guérir.

XCovid Patient grave vs léger

Hélas, il existe encore trop de personnes allergiques à la science et qui refusent les vaccins, mettant en danger leur santé et celle des autres personnes. 

Vous avez compris que je n’ai aucun respect pour ces “antivax”.

 

Vaccin et traitements: deux démarches de défense contre les cyberrisques

Dans le monde de la cybersécurité, il existe deux démarches principales pour se protéger des cyberrisques:

  • La vaccination: une action réalisée avant que l’attaque ne se déclenche.
  • Un traitement: une action déclenchée après l’apparition de l’attaque.

Les premiers vaccins contre les cyberrisques sont nés au cours de ces 15 dernières années.

Dans mes récents billets sur ces sujets, j’ai mis en évidence les trois principaux vaccins contre les cyberrisques qui sont disponibles, aujourd’hui:

  • Vaccin 1: les Clouds Publics.
  • Vaccin 2: les solutions Zero Trust.
  • Vaccin 3: les outils de chiffrement.

XTrois vaccins cyberrisques

Les vaccins contre la COVID-19 n’éliminent pas le risque d’une attaque de la maladie, mais en réduisent très fortement les conséquences et la probabilité de décès.

Les vaccins contre les cyberrisques n’éliminent pas les risques d’une cyberattaque, mais en réduisent très fortement les impacts et la probabilité de cessation d’activité de l’entreprise.

Ces trois vaccins contre les cyberrisques existent et ont fait la preuve de leur efficacité. 

Toutes les entreprises, grandes ou petites, publiques ou privées, OIV (Opérateurs d’Importance Vitale) ou pas, ont en 2022 la possibilité de commencer une campagne de vaccination contre les cyberrisques. 

Les délais pour que la vaccination soit efficace ne sont hélas pas les mêmes pour la COVID-19 et les cyberrisques.

Les premiers effets positifs des vaccins contre la COVID-19 sont obtenus au bout de quelques jours. Il faudra plusieurs mois, souvent plusieurs années avant que les entreprises soient efficacement protégées par ces trois vaccins.

Raison de plus pour commencer, immédiatement, ces campagnes de vaccination.
Toute l’industrie du numérique, tous les politiques, tous les organismes chargés de la sécurité des Systèmes d’Information comme l’ANSSI doivent se mobiliser en 2022 pour faire de la vaccination contre les cyberrisques une grande cause nationale.

Université d'été de la Cybersécurité 6:9:2022Dans quelques jours, le mardi 6 septembre 2022, est organisée à Paris l’Université d’été de la cybersécurité. Des représentants de haut niveau des trois domaines dont j’ai parlé, l’industrie du numérique, les politiques et l’ANSSI y seront présents.

Ce serait le tremplin idéal pour lancer cette initiative!

Dans l’annonce de cette conférence, il y a une seule expression qui me gène beaucoup: c’est, vous l'avez deviné…”solutions souveraines”.

Oui, la France et l’Europe disposent de nombreux acteurs de grande qualité dans la lutte contre les cyberrisques, en particulier pour le vaccin 2, Zero Trust et le vaccin 3, chiffrement.

Par contre, croire une seconde que l’on peut se protéger en n’utilisant que des solutions souveraines, françaises ou même européennes, c’est une illusion très dangereuse, mortelle.

Les défis posés par les cybercriminels sont mondiaux, les solutions pour se protéger, aussi.

 

Science et rationalité vs obscurantisme et irrationalité, il faut choisir, vite

On le vit dans le domaine de la santé: des personnes, beaucoup trop nombreuses, mettent en danger leur vie, celle de leurs enfants et des personnes autour d’elles en ayant des raisonnements moyenâgeux et irrationnels, en refusant les vaccins qui ont fait depuis longtemps la preuve de leur efficacité.

On le vit aussi dans le domaine des cyberrisques: des dirigeants, des responsables du numérique et de sa sécurité mettent en danger l’avenir des entreprises où ils travaillent en ayant des raisonnements moyenâgeux et irrationnels, en refusant les vaccins contre les cyberrisques, qui ont fait depuis quelques années la preuve de leur efficacité.

AntiVax - Anti Cloud

Les antivax COVID mènent le même combat irrationnel que les antivax cyberrisques.

Il est urgent que le bon sens l’emporte et que le nombre des antivax cyberrisques se réduise très vite dans les entreprises en France et en Europe.

 


Après l’invasion de l’Ukraine par Poutine: les souverainetés européennes prioritaires

 

XThe economist cover UkraineJe ne connais pas la Russie.

Je ne connais pas l’Ukraine.

Je ne suis pas un spécialiste de la géopolitique mondiale.

Je suis par contre, comme l’immense majorité des Français, indigné par cette invasion d’un pays démocratique, l’Ukraine, invasion décidée par un dictateur et assassin, Vladimir Poutine.

Depuis quelques années, un grand débat a lieu en France sur la Souveraineté Numérique, et j’y prends une part active. Cette invasion de l’Ukraine m’a fait réfléchir sur le concept plus large de souverainetés européennes, et j’emploie le pluriel à dessein.

C’est le thème de ce billet.

 

Poutine n’est pas la Russie

Nous ne devons jamais parler de l’invasion de l’Ukraine par la Russie, mais de l’invasion de l’Ukraine par Poutine. C’est Poutine, et lui seul, qui a pris, seul, cette décision d’envahir un pays démocratique pour des raisons pseudohistoriques qui n’ont ni queue ni tête.

Une grande partie du peuple russe, ses élites, ses dirigeants, ses militaires n’ont jamais demandé à Poutine de déclarer cette guerre. Il ne faut cependant pas oublier qu’environ 50% des salariés russes travaillent pour le secteur public ou des entreprises appartenant à l’État, ce qui les rend très dépendants.

Comme tous les dictateurs, Poutine est un homme seul, qui vit dans la peur permanente d’un assassinat par les personnes qui l’entourent. Il n’écoute plus personne, ne fait plus confiance à personne, ce qu’ont confirmé de très nombreuses personnalités qui connaissent bien la Russie.

Hubert Seipel, un journaliste allemand, a été l’une des rares personnes non russes autorisée à passer de longs moments avec Poutine et en a tiré un film qui a été diffusé en Allemagne sur la chaîne publique ARD le 27 février 2022. Ce film confirme ce sentiment de solitude.

XPutin tables with macron and generalsLes photos ahurissantes des “micro-tables” de réunion utilisées par Poutine valent plus qu’un long discours. Elles transmettent des messages terribles de solitude et de défiance.

Honte aux hommes et femmes politiques français qui se sont moqués de notre Président Emmanuel Macron quand il a été reçu par Poutine avec cette petite “grande” table.

Si la longueur de la table est un signe de mépris et de défiance, alors le signal est clair:

Poutine a encore plus peur de ses collaborateurs et des Russes que de la France et de l’Europe.

C’est un très bon signe.

 

Quelles souverainetés nationales pour la Russie

J’ose espérer que Poutine s’est posé la question des dépendances de son pays avant de décider de se lancer dans une guerre atroce qui n’a aucune justification.

La Russie est une dictature et Poutine avait tous les moyens à sa disposition pour garantir les souverainetés nationales de ce pays. Il n’y est pas arrivé.

En 2022, aucun pays au monde ne peut vivre en autarcie ; la souveraineté nationale absolue est un mythe.

En quelques jours, la Russie a découvert qu’elle était dépendante du reste du monde, et dans de nombreux domaines.

J’ai choisi quelques exemples, non exhaustifs, mais en privilégiant ceux qui ont une dimension numérique:

XRussian analyst - Stock Market is deadLe système financier international, SWIFT et autres. Le rouble est devenu une devise non convertible et la bourse de Moscou est morte. Cet interview en direct, sur la télévision russe, d’un analyste financier qui porte un toast à la mort de la bourse russe est révélateur. La tête et la réaction de la journaliste devant cette annonce sont révélatrices de son effroi.

● Visa et Mastercard arrêtent leurs opérations en Russie. Les opérations avec des cartes émises par les banques russes sont bloquées, en Russie et à l’étranger. American Express fait de même.

XRussian queue in Moscow MetroLes fournisseurs de solutions de paiement par mobile. Apple et Google ont désactivé leurs outils de paiement en Russie. On voit sur cette photo des citoyens russes obligés de faire la queue pour acheter avec des roubles des billets dans le métro de Moscou.

XSabre AmadeusLes moyens de transport aériens. En plus de la fermeture des espaces européens aux avions russes, y compris les jets privés des oligarques, les deux grands systèmes de réservation de voyages, l’Américain Sabre et l'Européen Amadeus, ont bloqué les compagnies aériennes russes comme Aeroflot. Ceci interdit en pratique aux Russes de réserver des billets d’avion, y compris pour des vols intérieurs.

XIntel AMD TSMC RussiaLes approvisionnements en composants électroniques. Dès le début de l’invasion, des industriels importants comme Intel, AMD et TSMC ont annoncé qu’ils arrêtaient les livraisons de composants électroniques à la Russie. La Russie a développé ses propres circuits électroniques, sous la marque Baïkal. Problème: les microprocesseurs Baïkal sont fabriqués par TSMC à Taiwan. Taiwan est sous la menace d’une invasion par la Chine continentale, alliée de la Russie, au moins pour le moment. Cette menace d’invasion plane aussi sur l'Europe comme je l’ai écrit dans ce billet de blog.

De nombreux fournisseurs de solutions informatiques arrêtent leurs ventes en Russie: Apple, Microsoft, Google, Samsung... la liste s'allonge tous les jours.

 

Souveraineté énergétique : les énergies fossiles russes

XAdS DPC Fossil energy S 450449570Est-ce que les énergies fossiles russes, charbon, gaz et pétrole sont très utilisées en Europe en 2022? Réponse: oui.

Est-ce que les énergies fossiles russes, charbon, gaz et pétrole sont très utilisées aux États-Unis en 2022? Réponse: non.

Est-ce que l’économie russe est très dépendante de ses exportations d’énergies fossiles? Réponse: oui.

Dans ce domaine des énergies fossiles, qui dépend le plus de qui, la Russie ou l’Europe? La réponse n’est pas simple.

XMain exports from RussiaLa forte dépendance de l'économie russe aux trois énergies fossiles, charbon, gaz et pétrole est mise en évidence par ce tableau des principales exportations russes en 2019. Quatre des principales sources de revenus sont liées aux énergies fossiles. La cinquième “unspecified commodities” regroupe vraisemblablement les produits alimentaires.


XRussian links exports to EuropeJ’ai regroupé trois informations qui mettent en évidence les dépendances, l’inverse des souverainetés, entre la Russie et l’Europe:

● 50% des exportations de la Russie, 20% de son PIB, sont liées au gaz et au pétrole.

● La Russie est le troisième exportateur mondial de charbon; l’Europe importe 44% du charbon russe.

● L’Europe importe 60% du pétrole russe.

XOil companies leaving Russia  except TotalDes géants de l’énergie pétrolière ont réagi rapidement à cette invasion.

BP, Exxon, Shell, qui ne font pourtant pas partie des entreprises les plus “vertueuses” du monde, ont annoncé qu’elles quittaient la Russie.

Je constate avec tristesse que le Français TotalEnergies est le seul grand acteur occidental qui n’a pas encore, à l’heure où j’écris ces lignes, annoncé son retrait de Russie. Je reste optimiste et pense que la pression des politiques et des Français obligera TotalEnergies à annoncer son retrait de Russie avant la fin du mois de mars 2022.

 

Temps court, pour la Russie

À court terme, en 2022 et 2023, l’armée russe se maintiendra en Ukraine, quelles que soient les pertes humaines des deux côtés, tant que Vladimir Poutine restera Président. Il n’acceptera jamais un retrait, qui serait un échec militaire et politique que sa mégalomanie ne supporterait pas.

La seule manière de mettre rapidement fin à cette invasion est l’élimination physique de Vladimir Poutine. Sur cette vidéo officielle russe, les deux responsables militaires qui sont présents quand Poutine annonce la mise en alerte de l’arsenal nucléaire russe n’ont pas l’air très enthousiastes.

Il est difficile de trouver une image plus parlante pour illustrer le pouvoir absolu de Poutine que celle de cette réunion du “Conseil de Sécurité” pour leur “demander leur avis”.

XConseil de sécurité Poutine Russie

Ils sont nombreux, les dictateurs qui ont été éliminés par leurs proches.

(Cette vidéo, non essentielle, montre comment sont morts 25 dictateurs.)

 

Temps long, pour la Russie : une souveraineté nationale qui pourrait disparaître


XUkraine Waterloo de PoutineL’invasion de l’Ukraine par le dictateur Poutine aura, pour la Russie, les résultats inverses de ceux qu’il espérait. Frans Timmermans, Vice-Président de la Commission Européenne, parle du “Waterloo de Poutine”, et je partage ce point de vue.

Projetons-nous dans la décennie qui démarrera en 2030.

La Russie est une statue aux pieds d’argile, un géant militaire et un nain économique.

Le PIB de la Russie est le douzième du monde, entre la Corée du Sud et l’Espagne.

XRussia within main world economies

Dans le paragraphe précédent, j’ai montré que les exportations de la Russie étaient dominées par les énergies fossiles.

L’invasion de l’Ukraine par Poutine va accélérer la volonté de l’Europe de ne plus dépendre des énergies fossiles, et en priorité de celles de la Russie. Les investissements dans les énergies renouvelables s’accéléreront et le nucléaire reprendra des couleurs, y compris dans des pays comme l’Allemagne et la Belgique qui avaient décidé de s’en passer.

XPays européens dépendant gaz russeComme le montre ce graphique, les efforts demandés à de grands pays comme l’Allemagne ou l’Italie seront gigantesques: en 2020, ils dépendaient à près de 50% du gaz russe.

Dans les dix ans qui viennent, les importations par l’Europe de pétrole, charbon et pétrole en provenance de Russie vont s'effondrer.

Europe indépendante énergie russe 2030Ceci est confirmé par cet entretien dans le journal l'Opinion avec Margrethe Vestager, Vice Présidente de la communauté européenne, publié au moment où je mettais la dernière main à ce texte. Il annonce une possible indépendance énergétique de la Russie en 2030. 

Quelles sont, dans l’autre sens, les principales importations de la Russie?

XRussian imports by countries and products

La Russie à une économie de pays en voie de développement: exportation de matières premières à faible valeur ajoutée et importation de produits manufacturés.

Ce que montrent aussi ces graphiques, c’est que la Chine est déjà, de loin, le pays dont la Russie dépend le plus pour ses importations. Cet article de la Tribune confirme ce rapprochement commercial entre la Chine et la Russie. Tout est en marche pour que la Chine prenne la Russie dans ses filets...

D’ici à 2030, la Chine sera aussi devenue le premier acheteur des matières premières russes. La Chine tiendra alors l’économie russe à sa merci, autant par les importations que les exportations.

En 2030, la Russie sera un pays rejeté par les États-Unis et l’Europe. Reste une inconnue, la position de l’Inde qui est difficile à évaluer. En 2022, l’Inde essaye de tenir un équilibre complexe entre ses deux grands voisins, la Chine et la Russie. De quel côté aura basculé l’Inde en 2030?

Two fish - Xi jinping & Putin B

L’invasion de l’Ukraine par Poutine en 2022 aura les résultats inverses de ceux qu’il espérait: l’empire russe aura disparu et la Russie sera devenue un vassal de la Chine, un pays mineur dans un monde tripartite, Chine, États-Unis et Europe.

 

Mise à jour du 8 mars 2022

A la suite d'un commentaire publié ce matin, je me suis posé la question:

Existe-t-il une alternative à cette vassalisation de la Russie vers la Chine?

Réponse: oui.

Les Russes, le peuple, l'armée ou les oligarches éliminent Poutine avant la fin de l'année 2022, et c'est tout à fait possible, je dirai même probable.

Aussitôt, l'Europe propose une paix des nobles aux Russes en levant les sanctions et les aidant à rélancer leur économie vers l'Ouest, pour réduire leur dépendance à la Chine.
On retrouve une idée très ancienne, et plus pertinente que jamais du Général de Gaulle:

                "L'Europe, depuis l'Atlantique jusqu'à l'Oural"

Une Russie qui collabore avec l'ensemble des pays de l'Europe de l'Ouest, c'est encore possible si Poutine est éliminé rapidement.

L'équilibre du monde serait plus raisonnable, avec trois grandes forces:
- Etats Unis
- Chine
- Europe + Russie

Comment l'Europe peut aider les Russes à éliminer Vladimir Poutine, ce devrait être une priorité absolue des dirigeants européens.

 

Les souverainetés européennes en question

L’Europe sortira renforcée de cette guerre abominable menée par le dictateur Poutine contre l’Ukraine. C’est difficile à écrire, mais c’est la réalité.

En plus de la souveraineté numérique, que je traite dans un paragraphe spécifique, j’ai identifié quatre autres souverainetés dont l’importance est devenue encore plus stratégique après cette invasion de l’Ukraine. Je les aborde dans l’ordre alphabétique.

Souveraineté alimentaire

XExportations Russe & Ukraine mais & bléL’Ukraine et la Russie étaient deux exportateurs importants de produits alimentaires vers l’Europe, et en particulier pour le blé, le maïs et le tournesol.
En 2020, ces deux pays représentaient environ 20% des exportations mondiales de blé et de maïs.

Une grande partie de la chaîne alimentaire européenne sera impactée par la hausse des prix de ces matières premières, en particulier dans l’élevage.

Souveraineté énergétique

XRussia  first provider in Europe of coal oil & gasJ’ai déjà longuement évoqué les dépendances énergétiques de l’Europe vis-à-vis de la Russie.

Ces trois graphiques montrent que la Russie est le premier fournisseur de l’Europe pour…les trois énergies fossiles, charbon, pétrole et gaz. (Source Eurostat)

Des décisions courageuses ont déjà été prises, comme l’arrêt de la mise en service du gazoduc Nord Stream 2 par l’Allemagne. La société de droit suisse, Nord Stream 2 AG, filiale du groupe pétrolier russe Gazprom, a licencié en mars 2022 tous ses collaborateurs.

Quels peuvent être les autres pays producteurs de charbon, pétrole et gaz capables de fournir rapidement à l’Europe les quantités d’énergies fossiles dont elle aura encore besoin pendant quelques années?

Comment, à quelle vitesse, les énergies non carbonées, et en priorité l’éolien, le solaire et le nucléaire peuvent se substituer aux énergies fossiles?

L’Europe devra trouver rapidement des réponses concrètes à ces deux questions si elle souhaite accroître sa souveraineté énergétique. Facile à écrire, difficile à réaliser.

Souveraineté militaire

Une force européenne de défense? Le premier projet dans ce sens, la CED, Communauté Européenne de Défense, a été lancé en 1950. C’est la France qui a fait échouer ce projet en 1954 alors que les autres pays, Allemagne, Pays-Bas, Belgique et Luxembourg l’avaient accepté.

Entre 1954 et 2021, l’Europe de la Défense est restée une idée sans mise en œuvre pratique.

Avec l’invasion de l’Ukraine, Poutine a réussi un exploit que personne n’avait pu faire avant lui, amener l’Allemagne à investir massivement pour son armée!

Un premier budget de 100 milliards d’euros a été annoncé et l’Allemagne va rapidement monter son budget militaire à 2% de son PIB.

Entre 1990, année de la réunification, et 2021, l’Allemagne avait réduit ses effectifs militaires de 500 000 à 200 000 personnes.

XAllemagne annonce 100 Milliards dépenses militairesUne vidéo de six minutes sur cette annonce est accessible dans ce lien vers France24.

L’Allemagne a aussi, pour la première fois, accepté d’exporter en Ukraine des armes "létales", missiles sol-air et roquettes antichars.

C’est un changement radical de la politique militaire en Allemagne, que personne n’avait anticipé.

Ces décisions allemandes peuvent, rapidement, relancer l’idée d’une armée européenne, dont les responsables seront uniquement des Européens. Cela ne se fera pas en quelques jours…

Souveraineté politique

Souverainetés alimentaires, énergétiques et militaires, il sera difficile de les mettre en œuvre s’il n’y a pas un pouvoir politique plus fort au niveau européen.

Souveraineté EuropéenneDans ce domaine aussi, Poutine a réussi l’exploit de permettre que ce sujet redevienne d’actualité, comme le rappelle cet article du JDD.

En France, la majorité des hommes et femmes politiques “souverainistes”, anti-européens, étaient aussi de grands admirateurs de Poutine. Est-ce que leur grand embarras actuel permettra à la France de prendre une position plus positive sur un accroissement du pouvoir politique de l’Europe? Il est encore trop tôt pour le dire.

 

Souveraineté Numérique

En ce début 2022, EuroCloud, le CIGREF et d’autres organisations du monde numérique ont publié des documents à destination des candidats à la Présidence de la République Française pour leur faire des recommandations et proposer des plans d’action dans le numérique.

XLe Pitch numérique des candidats élection présidentielleMercredi 9 mars 2022, les candidats ou leurs représentants, invités par Convergences Numériques, qui regroupe 10 associations du numérique, auront 15 minutes pour “Pitcher” leur programme numérique. J’y serai.

Vous dire que j’attends beaucoup de cette soirée, ce serait mentir. Les discours des politiques en période électorale sont pleins de belles phrases, d’envolées lyriques, surtout dans des domaines comme le numérique que peu d’entre eux maîtrisent.

L’expression “souveraineté numérique” sera prononcée des centaines de fois pendant cette soirée.

J’ai publié à la fin 2021 un long billet sur mon blog mettant en lumière mes profondes inquiétudes sur l’avenir du numérique européen d’ici à 2030.

Est-ce que l’invasion de l’Ukraine par Vladimir Poutine va donner à ces candidats de nouvelles idées sur les moyens d’accroître la souveraineté numérique de l’Europe? J’en doute.

Est-ce que les discours classiques pour le “Cloud Souverain”, contre les méchants GAFAM et autres Cloud Act vont évoluer? J’en doute.

XUS Cloud Services Cut in Russia L’annonce d’une probable coupure par les acteurs américains du cloud public, AWS, Azure et GCP de l’accès à leurs services IaaS par les organisations russes peut même renforcer le discours des opposants au Cloud Public: “ On vous a prévenu, s’ils peuvent couper les services cloud aux Russes, ils pourront aussi les couper à l’Europe s’ils le souhaitent”.

Il y a de profondes différences entre la situation de la Russie et de l’Europe. Aucun des trois acteurs américains du cloud public, AWS, Azure et GCP, n’a d’implantation de centres de calcul en Russie alors qu’ils en ont des dizaines dans les pays européens.

Si je reviens sur la liste des sanctions prises contre la Russie dans le monde numérique, on s’aperçoit que certaines d’entre elles ne pourraient pas être imposées à l’Europe:

● SWIFT est une société basée en Belgique.

● Amadeus a son siège social à Madrid, ses équipes de développement en France et son centre de calcul historique en Allemagne.

Par contre Visa et Mastercard sont aujourd’hui des sociétés américaines. Il existait une association indépendante, Visa Europe, mais elle a été achetée par Visa inc., de droit américain, en 2015.

La position que j’ai défendue dans ce billet de blog, à savoir que l’Europe doit choisir les combats qu’elle souhaite mener dans les domaines du numérique, sort renforcée de la tragédie ukrainienne.

Comme on l’a vu précédemment, la souveraineté numérique n’est pas la seule dont doit se préoccuper l’Europe.

L’invasion de l’Ukraine par le dictateur Poutine va nous obliger, nous Européens, à choisir nos priorités en matière de souverainetés européennes.

 

Quelles souverainetés prioritaires pour l'Europe

J’ai préparé ce tableau avec les cinq souverainetés, classées par ordre alphabétique.

C’est une question que j’aimerais bien poser aux candidats à l’élection présidentielle en France: merci de classer de 1, la plus importante, à 5, la moins importante, les souverainetés européennes à privilégier dans les années qui viennent, en tenant compte de la situation nouvelle créée par l’invasion de l’Ukraine.

J’ai beaucoup parlé de l’Europe dans ce texte. Quel est la position spécifique de la France dans ce débat?

Dans l’Europe, la France est bien placée dans trois de ces souverainetés:

France souverainetés énergie agricole nucléaireÉnergétique: avec son parc nucléaire le plus important d’Europe, la France est moins dépendante des énergies fossiles russes que ses voisins.

Alimentaire: l’agriculture française subvient à la majorité des besoins alimentaires des français. SI nécessaire, la France peut rapidement devenir autosuffisante dans l’alimentaire, en rééquilibrant ses productions vers des besoins prioritaires.

Militaire: l’armée française est, de très loin, la plus forte et la mieux entraînée de toute l’Europe. C’est aussi, maintenant que le Royaume Uni ne fait plus partie de l’Union Européenne, le seul pays qui dispose de l’arme nucléaire.

Les réponses à la guerre déclenchée par le dictateur Poutine ne peuvent qu’être européennes. La France est bien placée pour y participer et sera l’un des pays européens qui aura le moins à souffrir des ajustements indispensables.

La réponse la plus fréquente sera probablement, langue de bois politique oblige, qu’elles sont toutes aussi importantes. Les obliger à choisir nous éclairerait sur leurs visions à moyen terme de l'Europe et du monde.

XCinq souverainetés européennesJe me suis livré à cet exercice et vous propose d’établir, à votre tour, votre classement.

Vous pouvez aussi le partager autour de vous, et comparer les réponses. Je suis persuadé que vous obtiendrez des réponses très différentes, qui pourraient vous surprendre.

Cela a été tout sauf facile, en tout cas pour moi.

Étant un homme du numérique, la tentation était forte de mettre cette souveraineté en première position. Elle n’arrive pourtant qu’en quatrième position dans mon classement.

 

Mise à jour du 9 mars 2022

J’ai eu un échange passionnant avec Matthieu Hug, multi entrepreneur du cloud et CEO de Tilkal, entreprise qui propose une solution de traçabilité blockchain. 

Il m’a proposé ce schéma qui met les cinq souverainetés en perspective et m’a autorisé à le publier, merci Matthieu.

Modèle Matthieu Hug 5 souverainetés

Les idées fortes:

  • La souveraineté numérique est la fondation indispensable des autres souverainetés.
  • La souveraineté politique est indispensable pour agir sur toutes les souverainetés.
  • Les trois souverainetés, alimentaires, énergétiques et militaires, ne peuvent se développer que si les deux autres deviennent une réalité.

 

L’invasion de l’Ukraine par le dictateur Poutine aura fait faire en quelques jours un pas de géant à l’Europe dans sa prise de conscience qu’elle doit assumer une présence beaucoup plus forte dans un monde complexe et dangereux.

Espérons que cette prise de conscience se traduira par des actes forts et pérennes.

Le jeudi 24 février 2022 pourrait alors devenir une date clé dans l’histoire de l’Europe:

● Célébration de l'héroïsme du peuple ukrainien et de son jeune Président de 44 ans, Volodymyr Zelensky.

● Date à laquelle l’Europe a pris conscience qu’elle devait et pouvait devenir une puissance mondiale forte. Elle sera considérée comme la deuxième date de naissance de l’Union Européenne, après les accords de Maastricht du 1er novembre 1993.

Malgré cette tragédie qui touche le peuple ukrainien, je reste optimiste sur l’avenir de l’Europe, une fois que le cauchemar Poutine aura disparu des radars.


Souveraineté Numérique Européenne et Clouds Publics

 

XAdS DPC Good news  bad newsJ’ai une excellente nouvelle pour les entreprises européennes clientes des Clouds Publics américains.

J’ai une très mauvaise nouvelle pour les pleurnicheurs européens qui attaquent les géants américains du Cloud Public sur les dangers qu’ils feraient poser à la Souveraineté Numérique Européenne.

C’est… la même nouvelle.

Tous les arguments éculés que l’on continuait à entendre sur les supposés risques posés par le Cloud Act et autres FISA 102 tombent, et définitivement.

En décembre 2021, Google a annoncé de nouvelles fonctionnalités exceptionnelles pour améliorer encore la confiance que les entreprises peuvent avoir dans ses services de Cloud Public.

XGoogle titre souveraineté Numérique européenne

 

Le point sur la situation, avant l’annonce de Google.

Pour clarifier le champ d’applications de mon billet, je vais préciser de quoi je parle:

● J’aborde exclusivement les activités professionnelles. Ces analyses ne s’appliquent pas aux usages grand public.

● Je ne vais pas m’intéresser aux GAFAM, qu’il faut maintenant nommer GAMAM après le changement de nom de Facebook en Meta. Mon analyse concerne un sous-ensemble, GAM, Google, Amazon et Microsoft. Ce sont les trois principaux fournisseurs occidentaux d’infrastructures IaaS et PaaS dans les Clouds Publics.

Il y a un peu moins d’un an, j’ai publié un billet sur la cybersécurité. Son contenu reste d’actualité, aujourd’hui.

Je ne vais pas répéter ici tout ce qu’il contient, mais en résumer l’essentiel.

Contrairement à beaucoup d’idées reçues, la sécurité numérique peut aujourd’hui atteindre un niveau exceptionnel. L’offre de solutions performantes est très en avance sur les usages.

XCybersécurité - Infrastructures usages avec réponsesCe schéma résume les deux grandes dimensions d’une approche moderne de la sécurité numérique :

● Des infrastructures Clouds Publics, qui garantissent une sécurité supérieure à tout ce que peut proposer une entreprise gérant ses propres centres de calcul.

● Une démarche “Zero Trust” pour les usages : c’est sous la seule responsabilité des entreprises que ces solutions “Zero Trust” doivent être mises en œuvre.

 

Chiffrer, pour protéger ses données

Encryption wheelLe chiffrement des contenus a depuis toujours été une arme efficace pour les protéger d’un accès par des personnes non autorisées.

Le chiffrement des données est natif pour 100% des données stockées par les trois grands acteurs de l’IaaS : AWS, GCP et Azure.

Vous avez le choix entre deux options :

● Clef de chiffrement gérée directement par les acteurs de l’IaaS. Avantages :

    ○ Le plus simple.

    ○ L’entreprise cliente n’a rien à faire.

    ○ Excellente solution pour 99% des données.

● Clef de chiffrement gérée par l’entreprise. Avantages :

    ○ Le fournisseur d’IaaS n’a pas accès à la clef de chiffrement.

    ○ Il ne peut pas, volontairement ou pas, donner la clef à un tiers ; il ne la connaît pas.

Question sur le chiffrement : quel est le pourcentage des données chiffrées dans vos centres de calcul privés ? Probablement plus proche de 0% que de 100%!

Quelle est la meilleure réponse pour la sécurité de vos données :

● Des données chiffrées à 100% dans des Clouds Publics qui proposent les infrastructures les mieux sécurisées au monde ?

● Des données pas ou peu chiffrées dans des centres de calcul privés qui sont des passoires en termes de sécurité ?

La réponse est évidente. MAIS, les anti-clouds adorent sortir l’argument massue : les grands méchants Américains peuvent demander l’accès aux données des clients d’AWS, GCP et Azure sans qu’ils puissent prévenir leurs clients.

Il y a quatre noms célèbres de lois ou d’organismes “dangereux” qui sont cités chaque fois que l’on aborde ce sujet :

● La NSA : National Security Agency. La mission de la NSA est claire et officielle : espionnage international.

FISA 702 : Foreign Intelligence Collection and Safeguards Accountability. Mis à jour en 2018, il concerne en priorité la surveillance des citoyens américains.

Patriot Act : publié après les attentats du 11 septembre 2001, il a pour principal objectif de s’attaquer au terrorisme international.

CLOUD Act : ce texte, qui n’a rien à voir avec le Cloud, est un acronyme malheureux pour: “ Clarifying Lawful Overseas Use of Data Act “.

Four Gangsters NSA Patriot FiSA CLoud

Chaque fois que je me risque à émettre l’hypothèse que les cas de piratages de données sensibles européennes par ces quatre grands méchants sont, ou inexistants ou très peu fréquents, on me rétorque que les acteurs américains du Cloud Public n’ont pas le droit de prévenir leurs clients de ces demandes.

C’est juridiquement exact, mais je suis persuadé que si une grande entreprise européenne avait été la cible de l’un de ces piratages et l’avait découvert, on en aurait entendu parlé, et beaucoup ! Il suffit de voir les vagues d’indignation que soulève la moindre entorse à la protection des données européennes.

Tout ceci explique pourquoi je n’ai pas mis la cybersécurité dans la liste des quatre risques majeurs numériques pour notre planète d’ici à 2030.

Les entreprises qui sont vraiment intéressées par la création d'un environnement numérique de confiance peuvent le faire aujourd’hui en s’appuyant sur des solutions d’une exceptionnelle qualité. Je constate hélas souvent que cette volonté s’arrête très vite dès qu’il faut ouvrir son portefeuille pour investir dans des solutions performantes.

XTintin étoile mystèrieuse la fin du mondeIl y a encore des responsables qui fantasment sur les dangers potentiels très élevés que feraient peser sur eux les actions criminelles des quatre bandits nommés ci-dessus. Ils me font penser aux personnes qui regardent le ciel avec frayeur en attendant la grosse météorite qui va tomber sur le toit de leur maison et qui n'investissent pas dans une serrure de sécurité pour leur porte d’entrée.

J’ai une très mauvaise nouvelle pour eux : les annonces récentes de Google anéantissent ces risques “potentiels”.

 

Les nouvelles garanties proposées par Google

Oui, je vais parler des innovations annoncées par Google Cloud il y a quelques jours.

Oui, je les considère comme majeures pour les entreprises.

Oui, je suis dans mon rôle de veille technologique en aidant les entreprises à découvrir des nouveautés qui peuvent les aider à accélérer leur Transformation Numérique en toute confiance.

Oui, je publierais le même texte si ces annonces avaient été réalisées par AWS ou Azure.

XDPC Satan
Oui, je suis convaincu qu’AWS et Azure auront des offres proches avant la fin de l’année 2022.

NON, je ne suis pas un grand suppôt de Satan, ayant vendu mon âme aux abominables diables du Cloud Public. Professionnellement, j’ai un objectif, une passion, aider les entreprises, toutes les entreprises, à réussir leur Transformation Numérique.

Baptisée "Assured Workloads for EU", cette nouvelle offre propose un ensemble de contrôles souverains pour simplifier et automatiser le déploiement et l'application sur GCP de fonctionnalités de sécurité et confidentialité renforcées.

Cette notion de “workloads”, d’applications est importante : elle permet aux entreprises de faire des choix différents pour des applications différentes.

En matière de sécurité et de confidentialité, c’est essentiel. Une entreprise peut choisir les solutions les plus protectrices pour les seules applications qui en ont vraiment besoin.

Comme on l’a vu plus haut, je considère que les conditions standards d’usages des clouds publics offrent des niveaux de sécurité et de confidentialité remarquables pour la grande majorité des applications.

L’annonce de Google comporte trois volets.

1 - Localisation des applications et des données

La première de ces annonces n’est pas vraiment une nouveauté : elle concerne la possibilité de garantir que les données resteront en Europe, dans l’une des cinq zones géographiques existantes.

XMap Régions Google 1:2022

Google confirme aussi l’ouverture de trois nouvelles zones, Italie, Espagne et France.

La zone française, opérationnelle avant la fin de l’année 2022 servira aussi pour recevoir le “Cloud de Confiance” géré par Thales.

2 - Contrôle des clefs d’accès aux données

C’est dans ce domaine que l’innovation est la plus importante, et de loin.

Le service KAJ, Key Access Justifications, permet aux entreprises d’interdire à Google d'accéder aux données chiffrées, quelle qu’en soit la raison. Les options proposées sont nombreuses et sont bien expliquées dans ce document.

Même les collaborateurs de Google responsables de la maintenance et des mises à  jour logicielles peuvent être interdits d’accès si l’entreprise le souhaite.

Ceci a bien sûr des conséquences sur les services d’assistance que Google peut proposer à ses clients, comme le montre cette liste “technique”.

XInconvénients potentiels de bloquer accès à Google

Il reste malgré tout encore un domaine où cette protection ne s’applique pas : lorsque les données sont en cours de traitement par une application. C’est un sujet très complexe pour lequel de premières solutions commencent à émerger.
Dans ce domaine, les applications qui s'exécutent dans les Clouds Publics et dans des centres de calcul privés sont logées à la même enseigne. Les données sont traitées en clair et sont donc vulnérables.

3 - Assistance en Europe, par des Européens

Cette troisième nouveauté, “Assured Support” sera progressivement déployée en Europe.

Ce seront des collaborateurs européens de Google, résidents en Europe, qui assureront l’assistance et le support technique.

C’est un domaine dans lequel mes compétences ne me permettent pas de déterminer avec précision quelle est la valeur de cette proposition pour accroître la protection des données, mais j’imagine qu’elle existe sinon cette option ne serait pas proposée.

4 - Collaboration avec des partenaires européens de confiance

Le niveau maximal de protection des données et des traitements est fourni par les partenaires de confiance choisis par Google. T-Systems en Allemagne et Thales en France sont les deux premiers partenaires sélectionnés par Google.

XGoogle trusted partner (Thales)Ce schéma résume bien la différence entre les deux approches possibles.

● Cloud GCP géré par Google : l’entreprise cliente s’appuie sur les nouveaux services “Assured Workloads” présentés dans ce billet.

● Cloud GCP géré par un partenaire de confiance : l’entreprise devient cliente d’une société européenne qui lui fournit les mêmes services techniques, matériels et logiciels de Google GCP, mais en y ajoutant des protections supplémentaires.

Pour les entreprises françaises qui utiliseront en 2022 les centres de calcul de Google installés en France, on peut même envisager que les deux modes de fonctionnement, directement par Google ou au travers de Thales, soient utilisés simultanément pour des applications ayant des niveaux différents de contraintes de sécurité et de confidentialité.

 

Résumé

L’année 2022 démarre avec d’excellentes nouvelles pour les organisations modernes, innovantes, raisonnables et soucieuses de la performance de leurs solutions numériques.

Il n’y a plus aucune raison objective liée à la sécurité et la confidentialité des données pour ne pas utiliser les solutions Clouds Publics proposées par les grands acteurs industriels Google GCP, AWS d’Amazon et Azure de Microsoft.

Pour le moment, Google a pris une longueur d’avance, mais je suis convaincu qu’AWS et Azure annonceront des propositions similaires d’ici la fin de l’année 2022.

XOeil qui pleurePour toutes les autres organisations, rétrogrades, frileuses, ignorantes de la réalité des solutions numériques et qui cherchaient désespérément des arguments pour ne pas basculer vers les Clouds Publics, il ne leur reste plus que… leurs beaux yeux pour pleurer leurs illusions perdues.


J’ai mal à mon Europe du Numérique

 

XAdS DPC European commission & Flag S 70568070Depuis plusieurs décennies, je suis un acteur du monde de l’informatique et du numérique. J’ai aussi essayé d’anticiper les grandes tendances et d’identifier les solutions numériques qui pouvaient apporter des ruptures fortes sur ces marchés.

Il m’est arrivé de me tromper : à la fin des années 1990, j'annonçais la mort des mainframes… et ils sont toujours là !

Dans l’ensemble, je n’ai pas trop à rougir de la qualité de mes prévisions.

Je suis aussi un Européen convaincu, comme je l’explique en préambule à ce billet d’avril 2021 où je proposais déjà des pistes d’action pour que l’Europe reste compétitive dans la compétition mondiale du numérique.

J’ai aussi vu avec inquiétude l’Europe du Numérique perdre progressivement des parts de marché dans de nombreux secteurs d’activité.

Depuis 5 ans, la croissance exponentielle des performances des technologies et du chiffre d’affaires des entreprises leaders a profondément changé le panorama concurrentiel dans les industries du numérique.

L’Europe numérique est en danger !

XEurope du Numérique car crashL’Europe peut, d’ici à 2030, devenir un acteur marginalisé dans les industries du numérique.

Je n’ai pas envie que cela se produise !

Les actions et décisions récentes m’inquiètent beaucoup et mènent l’Europe du Numérique tout droit dans le mur.

XEurope numérique slow vs fastIl faut agir, vite, autrement !

C’est le thème de ce billet, de cet appel à une prise de conscience de la gravité de la situation actuelle de l’Europe du numérique.

Ce sont aussi, et surtout, des propositions d’actions rapides, concrètes, qui pourraient permettre à l’Europe de garder une place raisonnable dans l’industrie mondiale du numérique.

Je considère que ce billet est l’un des plus importants que j’ai jamais écrits.

Il est long, mais ce thème est essentiel et je suis certain que vous le lirez dans son intégralité avec beaucoup d’intérêt.

 

Situation de l’industrie du numérique dans le monde, fin 2021

XAdS DPC China dragon vs eagle USA S 282450384Je ne vais pas faire un panorama complet de l’industrie mondiale du numérique, mais choisir quelques secteurs clefs pour mettre en lumière des tendances de fond.

Depuis une dizaine d’années, la montée en puissance de la Chine dans l’industrie du numérique a été spectaculaire. La Chine se pose de plus en plus en challenger des États-Unis. Les infrastructures cloud et surtout l’Intelligence Artificielle (IA) en sont deux exemples majeurs.

 

XMQ Gartner IaaS 2021Cloud : IaaS, Infrastructures as a Service, AWS, GCP de Google et Azure de Microsoft. Les Chinois Alibaba et Tencent montent en puissance pendant que les anciennes gloires de l’informatique historique, IBM et Oracle, sont reléguées dans la case “Niche Players”.

 

Est-ce que l’Europe peut encore prendre part à ce combat dans l’IaaS ? Non !

 

Plateformes pour l’Intelligence Artificielle (IA)

En 2017, j’ai écrit deux billets qui présentaient les potentiels et les défis de l’IA, ici et .

Les besoins en puissance de calcul et capacité de stockage de données sont tels en IA que les solutions IaaS Cloud Public sont indispensables pour utiliser les modèles d’IA, en particulier en Machine Learning et Deep Learning.

Le Cloud Public est un préalable à l’IA.

XForrester Wave AIAlternative au cadran magique du Gartner, ce graphique “Forrester Wave” analyse les infrastructures pour l’IA. Il donne comme leaders les trois géants du Cloud Public cités plus haut. Nvidia, dont les processeurs sont massivement utilisés par AWS, GCP et Azure complète la liste dans la zone des leaders.

Les acteurs chinois ne sont pas présents sur ce graphique : leurs solutions sont utilisées en grande majorité en Chine, mais les spécialistes s’accordent pour dire que la Chine devrait passer devant les États-Unis en 2025 dans le domaine de l’IA.

Dès 2019, j’avais alerté l’Europe sur l’urgence absolue d’investir massivement dans l’IA face à la montée en puissance de la Chine.

Cet autre graphique confirme que le duopole États-Unis et Chine en IA va s'accélérer. Il montre la forte croissance des investissements des VC (Venture Capitalists) dans les startups de l’IA entre 2012 et 2020. La Chine et les États-Unis représentent 80% des investissements et l’Europe est très loin, derrière.

XInvestissements startup dans AI USA et Chine

 

Est-ce que l’Europe peut encore prendre part à ce combat dans les plateformes pour l’IA ? Non !

 

À côté de cette montée en puissance de la Chine face aux États-Unis, il existe de nombreux autres domaines de l’industrie du numérique dans lesquels des positions dominantes sont établies et où l’Europe est absente. Je vais en citer quatre:

● Les Systèmes d’Exploitation pour smartphones.

● Les navigateurs Web.

● Les solutions bureautiques cloud de communication et de collaboration.

● Les fondeurs de semiconducteurs.

 

Systèmes d’Exploitation (OS) pour smartphones

XSmartphone DuopolyAujourd’hui, le duopole d’Apple avec iOS et de Google avec Android est absolu, comme le montre ce graphique qui compare 2010 et 2019.

Cela n’a pas toujours été le cas. Avec SymbianOS, l’Européen Nokia avait environ 40 % du marché des téléphones mobiles en 2010.

 

Est-ce que l’Europe peut encore prendre part à ce combat dans les OS pour smartphones ? Non !

 

Navigateurs Web

Ce graphique montre l’évolution des parts de marché des navigateurs Web entre 2009 et décembre 2021. La marginalisation d’Internet Explorer, la diminution de la présence de Firefox et la montée en puissance de Chrome sont claires.

Le seul européen, Opera, est à moins de 3% de part de marché.

XBrowser market share Worldwide 12:2021

 

Est-ce que l’Europe peut encore prendre part à ce combat dans les navigateurs Web ? Non !

 

Solutions bureautiques cloud de communication et de collaboration

XMarket share US Office 365 vs Google WorkspaceDans ce domaine aussi, il existe un duopole entre Microsoft Office 365 et Google Workspace. Il est difficile d’avoir des statistiques fiables au niveau mondial, mais ce graphique, pour les USA, confirme l’essentiel : ces deux outils sont archidominants.

Les chiffres sont différents en Europe, où Microsoft est devant Google, mais cela ne change pas le fait que les concurrents y sont aussi marginalisés, comme dans le reste du monde.

 

Est-ce que l’Europe peut encore prendre part à ce combat dans les solutions bureautiques cloud de communication et de collaboration ? Non !

 

Les fondeurs de semiconducteurs.

Les fondeurs sont les entreprises qui ont les usines qui fabriquent les circuits électroniques pour la quasi-totalité des constructeurs informatiques comme Apple, Dell, HP, GCP ou AWS.

XSemiconductors share by countriesDans ce domaine aussi, il y a un duopole, mais ce sont deux pays d’Asie qui dominent le marché, Taiwan et la Corée du Sud.

Dans un billet de blog récent, j’ai mis en évidence le danger majeur de cette situation face à une probable invasion de Taiwan par la Chine Continentale dans les 5 années qui viennent.

Je reprends ce graphique qui montre que 80% des semiconducteurs sont fabriqués par Taiwan et la Corée du Sud. Les États-Unis sont à moins de 10% et l’Europe quasi absente.

 

Est-ce que l’Europe peut encore prendre part à ce combat dans les fondeurs de semiconducteurs ? Non !

 

J’imagine qu' à ce stade de la lecture, vous êtes désespéré et pensez que l’Europe a définitivement perdu la bataille de l’industrie mondiale du numérique.

Rassurez-vous, dans la suite de ce billet :

● Je vais d’abord vous expliquer pourquoi les démarches récentes en Europe sont dangereuses et pourraient lui interdire de conserver un rôle significatif dans cette industrie du numérique.

● Je propose ensuite des pistes qui montrent qu’il n’est pas trop tard pour réagir, mais qu’il faut le faire très vite.

 

Europe : les très mauvaises réponses actuelles

Je ne mets en doute ni l’intelligence des décideurs européens qui travaillent dans les domaines du numérique ni le fait qu’ils ont compris que c’était un sujet essentiel pour l’avenir de l’Europe.

Ce que je critique, et fortement, ce sont les démarches utilisées pour essayer de répondre à ces défis urgents, et qui justifient le titre de ce billet.

XLogos CloudWatt NumergyLes mauvaises réponses ont commencé tôt, en France, dès 2011, avec le lancement des clouds souverains français, CloudWatt et Numergy.

Dès 2012, j’avais émis des doutes sérieux sur leurs probabilités de succès.

L’avenir m’a hélas donné raison : en 2015, après avoir “cramé” plusieurs centaines de millions d’euros financés en grande partie par la Caisse des Dépôts, en clair nos impôts, Numergy et CloudWatt ont cessé leurs activités sans avoir produit un seul euro sérieux de valeur ajoutée.

En juin 2020, l’Europe, mais en pratique représentée seulement par la France et l’Allemagne, a lancé en grande pompe le projet GAIA-X, pour lutter contre la domination des clouds américains.

J’ai immédiatement pris la plume pour annoncer que ce projet n’avait aucune chance de réussir.

Consciencieusement, j’ai assisté par vidéoconférence à toutes les réunions organisées par GAIA-X. À chaque fois, j’en ressortais catastrophé, ayant entendu des discours théoriques, généraux, très loin des préoccupations réelles des entreprises.

Plus le projet avançait, plus le nombre de membres augmentait. Il est passé de 22 au départ à plus de 300 organisations aujourd’hui. De grands “européens” comme Microsoft, Huawei, Salesforce, Amazon ou Palantir ont rejoint GAIA-X.

XMembres GAIA-X

Vous savez gérer efficacement une organisation de 300 membres, aux intérêts souvent opposés ? Moi, non !

Cette structure lourde, devenue bureaucratique, est incapable d’avancer à un rythme compatible avec la vitesse d’évolution des solutions numériques.

Le départ de membres fondateurs comme Scaleway est un signal clair : GAIA-X est entré en unité de soins palliatifs. La meilleure issue que je peux souhaiter à GAIA-X, c’est une mort douce et rapide, avec le moins de souffrances possible pour ses membres.

Jamais deux, sans trois !

XLogo European Alliance for IndustrialLe 14 décembre 2021, l’Europe vient de pondre une nouvelle association au nom ronflant :

European Alliance for Industrial Data, Edge and Cloud.

J’ai consulté la liste des membres fondateurs : il y a un grand “progrès” par rapport à GAIA-X : ils sont déjà 39 au lieu des 22 pour GAIA-X !

Cela ne surprendra personne : plus de 60% des membres de cette nouvelle association sont… aussi membres de GAIA-X.

J’ai aussi analysé le formulaire permettant de demander à en faire partie. J’y ai trouvé cette liste, me demandant quels étaient mes centres d’intérêt.

XEuropean Industrial Cloud objective with Industrial Asso

Quelques remarques sur cette liste :

● Celui que j’ai mis en évidence par la flèche rouge est l’objectif de base de GAIA-X. Bis repetita.

● On y retrouve les thèmes récurrents, répétitifs, lassants, de souveraineté, de défense…

● Ahurissant ! Le mot “Industriel” ne figure pas dans cette liste alors que c’est censé être l’objectif principal de cette nouvelle association.

Avant même de se mettre en ordre de marche, cette alliance ouvre les portes à l’entrée de nouveaux membres, avec des critères de sélection très souples, y compris sur la possibilité d’organisations non européennes, mais ayant une activité en Europe de s’y inscrire.

Il n’est pas difficile de prévoir qu’il y aura plus de 100 membres avant la fin du premier trimestre de 2022.

Des organisations bureaucratiques, obèses, à la vitesse d’évolution logarithmique dans un monde exponentiel, c’est la meilleure recette pour que l’Europe du numérique aille dans le mur, et vite.

 

Quelles réponses positives possibles pour l’Europe du Numérique

Comme je l’ai expliqué dans le paragraphe précédent, l’Europe est mal partie pour arriver à se maintenir à une place honorable dans l’industrie mondiale du numérique.

XAdS DPC three plants growing S 204070496Il y a cinq préalables pour que l’Europe puisse garder espoir en changeant immédiatement de stratégie :

● Abandonner toute idée grandiose et universelle de “Souveraineté Numérique” dans tous les secteurs du numérique. En voulant tout faire, l’échec est garanti.

● Reconnaître qu’il y a de nombreux domaines où l’Europe n’a plus son mot à dire. J’en ai identifié six dans la première partie de ce billet et il y en a d’autres.

● Basculer sur une logique de composants et être très sélective dans le choix des domaines du numérique où il est encore possible pour l’Europe de mener le combat avec une probabilité raisonnable de réussite.

● Comprendre que le seul marché du numérique, c’est le monde entier. Toute vision étriquée, nationale ou européenne est suicidaire. Il vaut mieux être un acteur mondial important sur un créneau qu’être marginalisé en voulant attaquer un secteur “prestigieux”, mais où la probabilité de succès est très faible.

● Passer à l’action, et très vite, dans les seuls domaines numériques sélectionnés.

L’État d'Israël, avec moins de 10 millions d’habitants, a montré qu’il est possible d’avoir une présence forte et mondiale dans le numérique en choisissant un domaine d’excellence précis, en l'occurrence la sécurité informatique et en particulier la cybersécurité.

XCybersecurity investments in IsraelCet article de la revue Forbes montre comment l’État, les militaires et les investisseurs ont agi pour créer en Israël des compétences de très haut niveau qui le mettent au deuxième niveau mondial, derrière les États-Unis, mais devant la Chine et tous les pays européens.

C’est aussi le premier pays au monde à avoir ouvert un programme universitaire de doctorat en cybersécurité.

L’exemple d’Israël me permet de répondre par avance à des critiques que ce billet va générer sur la perte de “souveraineté nationale” de l’Europe.

 

Souveraineté numérique : un peu de pragmatisme, s’il vous plaît

Peu de personnes contestent le fait que l’État d’Israël est très sensible à la sécurité, dans toutes ses dimensions.

Cela n’a pas empêché Israël, en avril 2021, de rendre public un contrat pour la construction de Nimbus, un cloud gouvernemental qui sera construit par… AWS et GCP. Ces deux solutions seront utilisées pour des domaines “non critiques”, l’administration et l’armée !

XIsrael GCP AWS

En 2011, Thales avait participé à l’aventure catastrophique CloudWatt.

XThales Google cloud de confianceEn 2021, Thales revient sur le marché du Cloud Public, mais cette fois bien décidé à y réussir.

J’applaudis à l’annonce récente faite par Thales : proposer, en association avec Google GCP, un cloud de confiance en France qui sera disponible avant la fin de l’année 2022.

Au lendemain de cette annonce, on a évidemment eu droit à une levée de boucliers des partisans d’un Cloud souverain indépendant. Oui, il en reste encore…

XRemous après accord Cloud Thales Google

Cette solution est une excellente nouvelle pour un grand nombre d’entreprises françaises. Avant la fin de l’année 2022, elles auront à leur disposition :

● Une des meilleures solutions au monde de Cloud Public, avec tous ses services.

● Une garantie maximale de sécurité et de confidentialité, deux domaines dans lesquels l’expertise de Thales est mondialement reconnue.

Oui, la sécurité et la confidentialité des clouds publics sont une double préoccupation logique de toutes les entreprises. Pour y répondre, elles ont deux options :

● Attendre, attendre des solutions européennes qui seront à un niveau de services proche de ceux proposés par AWS, GCP ou Azure. En 2030, elles seront encore en train… d’attendre.

● Utiliser immédiatement, nativement, les services exceptionnels proposés par ces trois industriels et compléter par l’usage de plateformes communes telles que Thales-Google, pour des cas d’usages très spécifiques qui demandent des niveaux de sécurité et de confidentialité qu’elles jugent mieux adaptés à ces plateformes.

 

Création de DC2E : Digital Commando of Excellence in Europe

XAdS DPC Commando S 361029191J’ai donné le nom de DC2E (Digital Commando of Excellence in Europe) à la démarche que je propose pour l’Europe.

Le mot “commando” est essentiel dans cette démarche : il faut agir très vite, en petits groupes, avec des objectifs clairs.

Cette démarche s’inspire aussi de la célèbre méthode “two pizza team” imaginée par AWS. Les équipes d’AWS doivent pouvoir déjeuner avec deux pizzas, ce qui veut dire en pratique que le nombre de participants est inférieur à 8 ou 10.

Chaque équipe DC2E :

XTwo Pizza Teams AWS● A un leader désigné, responsable de la vie du DC2E.

● Le nombre de participants dans un DC2E est strictement limité à 10. L’acceptation éventuelle d’un nouveau membre est laissée à l’initiative du groupe, comme dans un grand nombre de clubs.

● Travaille sur ses seuls objectifs, indépendamment des autres équipes.

● Déploie sa solution, dès que l’équipe juge qu’elle est opérationnelle, sans se poser de questions sur l’état d’avancement des autres équipes.

(Il faudrait 75 pizzas pour une réunion plénière de GAIA-X !)

Trois remarques avant de vous présenter les pistes que je propose :

● L’idée qu’un pays européen seul, la France, l’Allemagne ou tout autre puisse réussir à tirer son épingle du jeu numérique est absurde.

● Des DC2E sont créés dans les seuls domaines où l’Europe a encore des probabilités raisonnables de réussite.

● L’ordre dans lequel je présente les sept DC2E que j’ai sélectionnés n’est pas lié à leurs importances relatives.

 

Proposition de sept DC2E pour 2022

Les deux premiers domaines correspondent à des secteurs d’activités numériques où des positions fortes existent déjà, mais qui laissent encore de la place pour que des entreprises européennes puissent y prospérer.

 

Microprocesseurs

La pénurie mondiale de microprocesseurs a mis en évidence l’importance majeure de cette industrie dans de nombreux métiers, tels que l’automobile.

Pour mieux en comprendre les enjeux, vous pouvez lire ce billet de mon blog où j’analyse en détail l’industrie des microprocesseurs.

Comme on l’a vu plus haut, le métier de fondeur est dominé par TSMC à Taiwan et Samsung en Corée. Dans ce domaine, ce que j’ai proposé, c’est que l’Europe imite les États-Unis et invite ces deux géants à installer des usines en Europe, pour réduire les risques liés à une guerre contre Taiwan.

Mon vœu semble sur le point d’être exaucé : l’Allemagne annonce être en pourparlers avec TSMC. J’espère simplement que l’on ne mettra pas des bâtons dans les roues de ce projet sous le prétexte idiot que TSMC n’est pas européen.

Le DC2E dans le domaine des microprocesseurs se concentrerait sur les autres activités suivantes:

● Conforter le leadership mondial d’ASML aux Pays-Bas, dans la production de machines lithographiques.

● Renforcer les liens entre deux entreprises qui sont bien placées dans leurs secteurs d’activité respectifs, SOITEC et STMicroelectronics. D’autres acteurs européens pourraient se joindre à ce tandem pour créer un pôle européen pérenne.

● Profiter du blocage actuel de la tentative de rachat d’ARM par Nvidia pour surenchérir et faire revenir ARM en Europe. ARM est né au Royaume-Uni. ARM est le leader mondial du design des microprocesseurs utilisés dans plus de 90% des smartphones.

● Faciliter l’installation de TSMC et Samsung sur le sol européen.

Tout ceci peut se réaliser en 2022, au moins en ce qui concerne les décisions. L’Europe aura alors une position forte et pérenne dans ce secteur clef des microprocesseurs.

 

Solutions SaaS pour entreprises

XCloud revenues IaaS PaaS SaaS 2016:2020 $Les logiciels SaaS, Software as a Service, sont nés en 2000 avec Salesforce.

Comme le montre ce graphique, les ventes de solutions SaaS sont largement supérieures à celles des IaaS et du PaaS. Elles représentent les ⅔ du marché des solutions Cloud.

J’estime qu’il y a plus de 50 000 acteurs SaaS différents. C’est un marché très éclaté où même les plus grands comme Salesforce ont une faible part de marché. L’Europe est déjà présente sur le marché mondial SaaS avec plus d’une centaine de licornes, réparties dans plusieurs pays.

XNombre licornes par pays européensLe DC2E SaaS aura comme objectifs :

● D’aider d’autres startups SaaS à devenir des licornes.

● Permettre à ces licornes de grandir.

● Créer les conditions économiques et humaines qui leur permettent de rester en Europe sans être rachetées par des acteurs étrangers, américains le plus souvent.

Il faut surtout éviter les discours nationalistes ridicules que j’entends trop souvent: “C’est un scandale, Doctolib est construit sur AWS”. C’est justement parce que Doctolib utilise AWS que la société a pu grandir aussi vite et répondre de manière exceptionnelle aux pics de la demande liées à la COVID-19.

À l’inverse de ces deux premiers DC2E, ceux qui suivent concernent des domaines qui sont encore en émergence, sans grands leaders mondiaux.

Ils demandent en priorité des compétences humaines de haut niveau dans le numérique. C’est une excellente nouvelle, car c’est la ressource la plus répandue en Europe.

 

Migration des Mainframe dans le Cloud

Plus de 5 000 très grandes entreprises, en priorité dans le secteur financier, utilisent encore des Mainframe IBM pour leurs activités cœur métier.

XLzlabs survey human ressources challengeToutes savent qu’elles vont devoir trouver les moyens de sortir de ces solutions “legacy”, l’une des raisons principales étant qu’il y aura de moins en moins de compétences humaines maîtrisant ces matériels et logiciels Mainframe. C’est ce que confirme une enquête menée par LzLabs auprès de clients Mainframe : 88% des entreprises anticipent des déficits de compétences, en Europe comme aux États-Unis.

Ce grand marché aiguise les appétits des ESN mondiales et des géants du Cloud Public, AWS, GCP et Azure.

Tout reste à faire dans ce domaine et ces migrations ne seront pas terminées avant la fin des années 2030. Aucune solution technique ne s'est imposée pour le moment.

Lzlabs, société européenne basée à Zurich dispose de l’une des solutions les plus prometteuses ; j’en avais parlé dès 2016 dans mon blog.

Il y a beaucoup de grandes ESN en Europe, et en particulier en France.

Le DC2E que je propose pourrait créer en 2022 une filière d’excellence regroupant LzLabs, quelques grandes ESN et les acteurs du Cloud Public pour proposer des services de migration compétitifs, et en priorité pour des clients… aux États-Unis.

 

Jumeaux numériques

Voilà un sujet essentiel, où tout reste à faire, dans le monde entier.

Dans ce billet de blog, j’alerte sur les risques majeurs que font peser sur l’humanité les cyberattaques sur les réseaux industriels de transport d’énergie et de personnes.

Construire un jumeau numérique, c’est déployer dans un cloud public une image numérique des installations physiques à gérer. Ceci permet de couper 100% des liaisons entre les outils qui gèrent l’installation physique et Internet, pour réduire au maximum les risques de cyberattaques.

XTeréga io-baseTeréga, entreprise française qui, avec GRTGaz, gère le cœur du réseau français de transport de gaz, a développé une technologie numérique unique au monde, io-base.

Io-base permet de transférer des données industrielles vers le jumeau numérique en garantissant que ce lien vers le Cloud et Internet est 100% unidirectionnel.

L’Europe peut créer en 2022 un DC2E sur les jumeaux numériques industriels et développer un savoir-faire mixte numérique et industriel qui permettra :

● De sécuriser rapidement les infrastructures de transport en Europe.

● Améliorer la compétitivité de ces entreprises en matière de simulation et de prévisions.

● Exporter hors d’Europe ce nouveau savoir-faire numérique.

Il y a des dizaines de milliers de jumeaux numériques à créer dans le monde avant 2030.

 

FLW : Front Line Workers, équipes en première ligne

De tous les DC2E que je propose, c’est certainement celui qui peut avoir le plus d’impact au niveau mondial.

Les FLW, Front Line Workers, travailleurs en première ligne, sont les grands oubliés actuels de la Transformation Numérique.

J’ai présenté en détail les potentiels des outils numériques innovants au service des FLW dans ce billet de mon blog.

Les FLW, ils sont 2 700 millions dans le monde, dans des activités aussi diverses que le transport, la construction, l’agriculture, la distribution ou la santé.

X80% of FLW in the world

Le sous-investissement en outils numériques pour les FLW est scandaleux : la majorité d’entre eux n’a même pas droit à un smartphone d’entreprise. Les chiffres parlent d’eux-mêmes : pour 1 € investi pour un FLW, les entreprises dépensent 16 € pour un col blanc !

XWizyVision HPL’offre de solutions logicielles pour les FLW est balbutiante en 2021. L’une des solutions SaaS les plus innovantes, WizyVision, est proposée par une startup… française. (Disclaimer, j’en suis l’un des fondateurs).

On l’a vu dans la première partie de ce texte, le marché bureautique des outils universels pour les cols blancs est verrouillé par deux acteurs américains, Microsoft et Google.

Dans ce que j’ai nommé les outils “frontiques”, solutions universelles pour les FLW, tout reste à faire !

Faire de la réduction de la fracture numérique des FLW une cause européenne prioritaire, quel beau DC2E ! C’est quand même plus passionnant que d’essayer sans succès de grappiller quelques % de part de marché des outils bureautiques pour cols blancs.

Dans ce domaine aussi la plus grande sensibilité des entreprises européennes au bien-être des travailleurs FLW sera un atout supplémentaire.

Ce serait une belle revanche si dans quelques années les entreprises américaines se plaignaient que les offres de solutions frontiques sont majoritairement européennes !

 

Frugalité Numérique

Voilà encore un thème essentiel où tout reste à faire et pour lequel l’Europe est très bien placée pour devenir un leader mondial dans les solutions numériques qui permettent de réduire les impacts sur le climat de nos outils numériques professionnels.

J’ai écrit plusieurs billets sur ce thème de la frugalité numérique.

Quand j’ai écrit ces textes, au début de l’année 2020, les solutions permettant aux entreprises de mieux gérer et réduire les impacts sur la planète de leurs outils numériques étaient très peu nombreuses, presque inexistantes.

Les premières solutions de qualité sont maintenant disponibles.

XFrugalité Numérique Sweep HPL’une d’entre elles se nomme Sweep, créée par la multientrepreneuse Rachel Delacour. Sweep vient d’annoncer une levée de fonds série A de 22 M$ ; bravo.

Je suis convaincu que Rachel Delacour serait prête à rejoindre un DC2E qui mettrait les compétences et solutions existantes dans le domaine de la Frugalité Numérique au service des entreprises européennes pour les aider à réduire, rapidement et efficacement, leurs impacts carbone.

Les premières solutions opérationnelles sont là, disponibles, en Europe. En accélérant avec ce DC2E, on permettra à des éditeurs logiciels européens de prendre le leadership mondial dans les outils numériques au service du climat.

 

Réseaux privés 5G sur fréquences libres

J’ai parlé de ce sujet, qui concerne des technologies numériques très innovantes, dans un billet publié en décembre 2021.

Il devient possible, pour les entreprises, privées et publiques, de déployer des réseaux privés 5G en utilisant des gammes de fréquences libres. En pratique, cela leur permet de le faire sans avoir à passer par un opérateur télécom.

L’Europe prend en ce moment un retard inquiétant dans la libération de ces gammes de fréquences libres. Il y a une exception en Allemagne et plus de 120 grandes entreprises, en priorité industrielles, ont décidé de déployer ces réseaux privés 5G.

XAGURRE Liste membresEn France, il existe une association peu connue, l’AGURRE, qui regroupe 14 grandes entreprises, surtout dans le secteur du transport et de l’énergie, qui collaborent dans le domaine des réseaux privés d’entreprises.

Un DC2E qui organiserait une collaboration immédiate entre les organismes européens de régulation des télécoms, l’AGURRE et ces entreprises allemandes donnerait à l’Europe une longueur d’avance sur les autres pays dans la mise en œuvre d’une technologie qui peut donner des avantages concurrentiels majeurs aux entreprises industrielles. Au moment où l’on parle beaucoup de la réindustrialisation de l’Europe, il serait criminel de ne pas favoriser ces réseaux privés 5G.

Ce n’est pas un hasard si, pour la quasi-totalité des sujets abordés dans ce billet, j’ai mis des liens vers d’autres textes de mon blog. Cela fait des années que je suis sensible aux défis de la Transformation Numérique des entreprises et que j’alerte les lecteurs sur les défis et les potentiels de toutes ces solutions numériques innovantes.

Cela met en évidence une “raisonnable” cohérence dans les textes que je publie.

Je suis prêt à rajouter à cette première liste de sept DC2E d’autres thèmes pour lesquels l’Europe pourrait apporter des réponses compétitives au niveau mondial.

N’hésitez pas à me faire part de vos propositions.

J’ai fait le choix de présenter plus de solutions porteuses d’espoir, sept DC2E, que de domaines où l’Europe à perdu définitivement la bataille, au nombre de six.

Je reste un incorrigible optimiste !

 

Synthèse

Fin 2021, l'Europe du numérique est dans une situation critique.

Pour 2022, plusieurs pistes s’ouvrent pour l’Europe du numérique :

XEurope Numérique - quatre pistes

● La fanfaronnade : L’Europe croit, ou fait semblant de croire qu’elle a les moyens de rattraper son retard dans tous les domaines du numérique.

● Une vision théorique, bureaucratique, qui essaie de mettre d’accord tous les pays, tous les acteurs potentiels du secteur, qui sont souvent concurrents, avant de passer à l’action. C’est une garantie d’immobilisme et de choix de solutions à minima.

● Le désespoir : il n’y a plus rien à faire, l’Europe a perdu la bataille mondiale du numérique et sera définitivement dépendante de pays tiers pour toutes ses solutions numériques.

● Une démarche pragmatique, positive, rapide, qui consiste à choisir un petit nombre de domaines numériques où l’Europe peut exceller et garder une place importante dans la compétition mondiale.

Je suis persuadé que la quatrième est la bonne, qu’il n’est pas trop tard, qu’elle peut mobiliser un maximum d’énergies chez les nombreux professionnels européens du numérique qui, comme moi :

              N’ont pas envie … d’avoir mal à leur Europe Numérique.

 


Microsoft Office 365, hors-la-loi dans les organismes publics français ?

Indignez vous couverture livre Stéphane HesselDès que cette note de la DINUM a été publiée, j’ai reçu sur Twitter et LinkedIn de nombreux messages me demandant d’exprimer mon avis sur son contenu. J’ai beaucoup hésité avant d’écrire ce texte. J’ai aussi attendu quelques jours pour ne pas publier un billet d’humeur et essayer d’en parler de la manière la plus rationnelle possible.

Ce n’a pas été facile !

La longueur de ce billet s’explique par ma volonté de répondre clairement, de manière factuelle, aux principales questions posées par cette note. Cela représente beaucoup d’heures de travail et de recherches pour que mes réponses soient les plus solides possibles.
J’espère que ce billet vous aidera dans vos réflexions et actions futures, surtout si vous le lisez dans son intégralité.

Information de dernière heure ! La cinquième option que je présente dans ce billet change du tout au tout la donne et me redonne espoir. Je vous laisse la découvrir.

 

Les faits

Note DINUM TitreLa DINUM, Direction interministérielle du numérique, a publié le 15 septembre 2021 une note de 2 pages sur les usages de la solution Microsoft Office 365 dans les administrations.

Je vous recommande de lire ce texte, et plutôt deux fois qu’une, avant de continuer la lecture de mon billet.

Le message général est limpide : l’utilisation de la solution Office 365 de Microsoft proposée sur son Cloud Public Azure n’est pas souhaitée dans les ministères.

Une analyse plus fine du texte est nécessaire pour mieux en comprendre la portée, l’impact et surtout la “pertinence”.

 

Données sensibles

AdS DPC Données sensibles S 214581614Je cite : “ Les solutions collaboratives bureautiques et de messagerie proposées aux agents publics relèvent des systèmes manipulant des données sensibles”.

Pour un scoop, c’est un scoop ! Oui, des données sensibles peuvent être stockées dans des documents bureautiques ou transmises par messagerie.

Oui, mais vous connaissez des solutions informatiques qui ne manipulent pas des données sensibles ? Moi, non.

● Il y a des données sensibles dans les outils financiers ? Oui.

● Il y a des données sensibles dans les outils commerciaux ? Oui.

● Il y a des données sensibles dans les outils ressources humaines ? Oui.

● Il y a des données sensibles dans les outils de gestion de production ? Oui.

● Il y a des données sensibles échangées pendant les vidéoconférences ? Oui.

● …

Si la DINUM a une doctrine cohérente, la logique de cette note doit donc s’appliquer à 100% des outils numériques utilisés par les agents publics.

Toutes les données sensibles doivent être conformes à la doctrine “Cloud au Centre” et n’utiliser une offre de Cloud commercial que si elle est qualifiée SecNumCloud par l’ANSSI.

IaaS SaaS PaaS VerbotenCette doctrine n’élimine que 90% des solutions IaaS, Infrastructures as a Service, et plus de 95% des 50 000 solutions SaaS, Software as a Service, disponibles en 2021.

Retour à la case départ, avant l’année 2000, quand est née la première solution SaaS au monde, Salesforce.

Le secteur public français doit tirer un trait sur les centaines de milliards investis dans ces remarquables solutions depuis 21 ans.

C’est une position absurde, irréaliste, impossible et ridicule. Les grandes ESN françaises vont se frotter les mains ; elles devraient recréer en mode “on premise” ou “clouds nationaux”, ce qui est la même chose, toutes les solutions Cloud du marché mondial.

Communication entre les ministères et le reste du monde

Admettons, pendant quelques minutes, qu’il soit possible de porter l’ensemble des outils bureautiques de tous les organismes publics français sur des plateformes SecNumCloud.

Je croyais naïvement que les outils de communication servaient en priorité à échanger avec des clients, des citoyens, des entreprises privées, d’autres pays… Ces données “sensibles” ne pourront plus sortir de leur ligne Maginot numérique, car elles pourraient être consultées par des personnes extérieures.

Secteur Public français chateau

Bienvenue dans un monde où le secteur public ne parle qu’au secteur public ! Il y a longtemps que je n’étais pas tombé sur une idée plus absurde !

Rappel : un premier essai, en 2016

Ce n’est hélas pas la première fois que des personnes n’ayant aucune compétence dans les outils numériques pondent des notes administratives dignes de figurer dans l’Olympe de l’absurdie.

Cette note de 2016 signée par le directeur chargé des “archives de France”, certainement la personne la mieux placée pour parler de l’informatique en “nuage”, considère que tous les documents administratifs sont par nature des…. trésors nationaux et doivent être traités comme tels. Votre taxe d’habitation, votre cadastre, votre déclaration d’impôt doivent être protégés comme la Vénus de Milo et n’ont pas le droit de sortir du territoire national !

Documents administratifs - Trésors nationaux

Inapplicable, cette note n’a jamais été appliquée. C’est tout le bien que je souhaite à cette nouvelle proposition de la DINUM.

 

Les solutions proposées par la DINUM

Mettre la priorité sur une “nationalisation” des outils de bureautique, de communication et de collaboration est un non-sens total. La probabilité de succès de cette démarche est, fort heureusement, proche de zéro.

C’est encore pire quand on regarde quelles sont les solutions proposées. Qu’une organisation qui est supposée porter la doctrine numérique de l’État français pour les prochaines années ose en 2021 faire des recommandations de ce type dépasse l’entendement.

Il y a quatre réponses proposées :

● Construire (Build) une solution.

● S’appuyer sur le consortium “Bleu”.

● Utiliser SNAP.

● Attendre.

Analysons, une par une, ces propositions.

Construire sa solution bureautique

Nous sommes en 2021 ! Je cite :” … évaluer l’opportunité de construire (build) et d’opérer (run) une offre de service “bureautique collaborative et messagerie”...”

Oui, vous avez bien lu ! La DINUM encourage les ministères à construire eux-mêmes leurs outils bureautiques. Non seulement il est intelligent de les construire, mais c’est aussi le rôle de ces ministères de les opérer.

AdS DPC homme caverne informaticien S 41954934Dans les deux cas, c’est évidemment la meilleure utilisation possible des ressources humaines informatiques de l'État français. Comme vous le savez tous, il y a un tel surplus d’informaticiens de haut niveau dans le secteur public que l’on peut en utiliser sans problème un grand nombre pour écrire du code pour une messagerie électronique.

Un DSI qui ferait en 2021 une proposition aussi absurde à sa Direction Générale serait immédiatement licencié pour faute professionnelle grave, et sans indemnités.

Pour ceux qui l’auraient oublié :

● Première version de Microsoft Exchange : 1993

● Première version de Google Apps : 2007

● Première version de Microsoft Office 365 : 2011

Combien de milliards de dollars ont été investis pour construire, améliorer et exploiter ces outils universels, utilisés dans le monde entier ?

S’appuyer sur “Bleu”

Logo Bleu Cap Gemini Orange SBleu, c’est une association créée entre Orange et Capgemini pour proposer leur version d’Office 365 sur des serveurs “souverains” gérés par eux en France. Cette annonce a été faite en mai 2021.

Le texte de ce communiqué de presse est très clair : c’est un projet, tout le texte est écrit au futur ou au conditionnel. Aucune date n’est annoncée pour sa mise en fonctionnement, nul ne sait où et quand les centres de calcul nécessaires seront construits.

Publier un communiqué de presse, c’est facile et rapide. Mettre en œuvre ce qui est annoncé, c’est… un peu plus compliqué.

Au-delà du flou de cette annonce, c’est le principe même du projet qui m’interpelle et me rend très dubitatif sur sa faisabilité.

Microsoft Data center Office 365 en FranceHéberger une nouvelle instance d’Office 365 dans un centre de calcul, Microsoft le fait en permanence et déploie cette solution dans de nombreux pays, dont la France.

De nombreux organismes publics ont déjà profité de cette option pour utiliser Office 365 depuis des centres de calculs Microsoft en France, ce qui me paraît logique et raisonnable.

Ce qui chagrine certains politiques, c’est que ce soit Microsoft qui gère les infrastructures et les logiciels, ce qu’il fait très bien.

Les lobbies sécuritaires nationaux se déchaînent contre cette “ingérence” insupportable.

Je ne vais pas revenir sur des thèmes que j’ai déjà traités souvent dans ce blog.

Le grand méchant Microsoft va lire vos mails, le Cloud Act (qui n’a rien à voir avec le Cloud), la NSA, le gouvernement américain.. menacent la souveraineté nationale de la France et de l’Europe et leur confier nos messageries représente un risque inacceptable.

Avec “Bleu”, nous serons tranquilles, mieux protégés, à l’abri d’ingérences étrangères.

Sur le principe, on ne peut pas ne pas être d’accord, mais le diable se cache dans les détails.

Quelques questions :

● “Bleu” annonce que ses instances d’Office 365 seront indépendantes de celles de Microsoft. Comment les créer, les mettre à jour, appliquer les patchs de sécurité si Microsoft n’y a pas accès ?

● Cette démarche s’oppose frontalement au principe de base des solutions SaaS, qui sont multitenant, avec un seul fournisseur de la solution. Qui me garantira qu’il n’y aura pas divergence progressive entre la version officielle Azure et la version “Bleu” ?

● Comment transmettre les gigantesques fichiers de ces applications depuis Microsoft vers “Bleu” ? Comme Office 365 n’est pas une solution Open Source, il faudra accepter les fichiers en mode exécutable. Qui pourra me garantir qu’ils ne sont pas livrés avec des accès ouverts au gouvernement américain ?

Buzzati Désert des TartaresJe ne voudrais pas être à la place des informaticiens de “Bleu” quand ils auront à gérer tous ces problèmes opérationnels complexes.

Quel livre je peux recommander aux responsables informatiques des ministères qui choisiraient l’option “Bleu” pour les aider à faire que le temps paraisse moins long ? Le désert des Tartares, évidemment...

SNAP

Cette note recommande aux ministères d’utiliser SNAP. Je dois vous avouer, à ma grande honte, que je ne connaissais pas l’existence de cette solution ; j’ai donc recherché ce qu’était SNAP.

SNAP, c’est l’acronyme de Sac à dos Numérique de l’Agent Public. L’image du sac à dos est bien choisie, car il s’agit d’un ensemble hétérogène de sujets qui touchent aussi bien aux infrastructures, les réseaux et les terminaux, qu’au sujet de ce blog, le point 4, “Développer des outils de communication et de collaboration pour les agents unifiés à l’échelle interministérielle."

Thèmes SNAP

SNAP4, pour outils collaboratifs

SNAP4Comme le montrent ces deux extraits du site qui présente SNAP, point 4, sur les outils collaboratifs, des financements sont disponibles :

● 88 M€ au total.

● Pour des projets qui peuvent atteindre 8 M€.

Financements SNAP 4

88 M€, c’est à la fois beaucoup d’argent et très peu.

Beaucoup, car on peut développer de nombreuses applications simples à forte valeur ajoutée avec cette somme.

Très peu, ridicule même, pour espérer construire une plateforme industrielle de communication et de collaboration capable de concurrencer Office 365.

Attendre

Dans cette note, la DINUM a bien compris que les trois premières réponses proposées ont un “petit” défaut : aucune n’est opérationnelle en 2021 !

Cela fait désordre quand la solution que l’on souhaite remplacer existe depuis 10 ans, utilisée par des millions de personnes.

La réponse “magique” de la DINUM, pour permettre aux ministères qui souhaiteraient respecter les recommandations de cette note, c’est… d’attendre et de continuer avec les solutions innovantes des années 1990, un client lourd Microsoft Office et un serveur Microsoft Exchange dans des centres de calcul historiques gérés par les ministères. Enthousiasmant !

C’est, malgré tout, parmi les quatre options proposées… la moins mauvaise !

Pour ceux qui me connaissent bien, pour m’entendre dire que l’option de ne rien faire en numérique est la moins mauvaise, il faut vraiment que toutes les autres soient catastrophiques.

 

Si, par malheur...

Si, par malheur, cette note de la DISUM se transformait en règles contraignantes qui s’imposent aux organismes publics, les conséquences en seraient catastrophiques.

Nos amis européens vont bien rigoler, se réjouir de voir les organismes publics français faire un saut spectaculaire… de 15 ans en arrière !

Rappel : la première solution moderne de bureautique, cloud, collaborative, est arrivée en France en 2007, avec Google Apps.

À l’époque, la France était dans le peloton de tête de l’innovation informatique : 60% des entreprises qui avaient testé Google Apps avant son annonce officielle à Paris , avant les Etats-Unis, étaient françaises.
Valeo a été en 2007 la première entreprise au monde à déployer à grande échelle, pour plus de 35 000 personnes, Google Apps.

Nous étions, avec Laurent Gasser, les deux fondateurs de la société Revevol, à l’origine de cette belle réussite française.

 

Miracle ! Une cinquième option, exceptionnelle, pointe le bout de son nez !

J’étais sur le point de finaliser ce billet quand j’ai reçu une information qui m’a redonné espoir dans l’avenir de la bureautique dans les organismes publics.

La solution Google Workspace, avec tous ses composants, est depuis peu référencée sur le catalogue numérique du gouvernement, comme le montre cette page de leur site.
La centrale d’achat du gouvernement, l’UGAP, a mis Google Workspace à son catalogue.

Google Workplace au catalogue gouvernement

Si cette cinquième option est confirmée dans la version 2 de cette note de la DINUM, c’est une avancée extraordinaire pour les organismes publics français.

Une véritable solution cloud, native SaaS multitenant, proposant l’ensemble des fonctionnalités bureautiques, communication et collaboration est disponible. C’est, parmi les cinq options, la seule solution moderne, pérenne, opérationnelle en 2021.

Ma recommandation à tous les organismes publics : précipitez-vous, dès le 27 septembre 2021, pour passer commande de Google Workspace pour 100% de vos collaborateurs.

Ne laissez pas passer cette occasion d’accélérer votre Transformation Numérique avec la solution universelle de bureautique, de communication et de collaboration la plus innovante du marché mondial.

Soyons très clairs : cette cinquième option, la possibilité de déployer Google Workspace, rend caduques les quatre autres options auxquelles faisait référence cette note de la DINUM.

 

Le b.a.-ba d’une bonne gouvernance numérique en 2021

Ce paragraphe est écrit pour aider les quelques responsables politiques chargés du numérique dans le secteur public en France qui n’ont pas eu l’opportunité de suivre les évolutions majeures de l’informatique et du numérique au cours des 20 dernières années.

Il leur permettra d’actualiser rapidement leurs compétences.

Les lecteurs de mon blog y retrouveront des idées que je défends depuis longtemps.

Le modèle B I S D

Modèle BISD - Infra  Soutien  Métiers -Data copieJ’ai proposé ce modèle B I S D d’architecture du numérique en 2019,

I = Infrastructures.

Toutes les organisations, publiques et privées, doivent basculer le plus vite possible sur des clouds publics professionnels, fermer ses centres de calculs privés et passer d’une logique CAPEX à une démarche OPEX.

Ce graphique, publié par Synergy Research, montre que les entreprises européennes l’ont bien compris et plébiscitent les grands leaders mondiaux.

Sur un marché en forte croissance, la part des acteurs européens est passée de 28% en 2017 à 16% en 2021.

Synergy part de marché Cloud européen

Il y a en France de la place pour des acteurs sérieux tels qu’Outscale de Dassault ou Scaleway de Free, qui sont capables de répondre à des besoins très spécifiques.

S = Support

Les usages support sont tous ceux qui sont présents dans toutes les entreprises et organisations publiques, quelles que soient leurs activités. La bureautique, les outils de communication et de collaboration en sont les composants les plus universels. Finance, ressources humaines, commercial sont d’autres domaines où les usages support sont omniprésents.

En 2021, la seule réponse numérique responsable pour les usages support, ce sont les solutions SaaS multitenant, dans les clouds publics. Dans le monde, le duopole des années 1990, Microsoft et IBM, a été remplacé par le duopole Microsoft et Google. Il reste encore quelques acteurs de niche, comme Zoho.

Imaginer une seconde que les organismes publics français puissent se transformer en Astérix de la bureautique… quelle bêtise, quelle perte de temps !

D = Données

Reprendre le contrôle de ses données est une priorité de toutes les entreprises ; j’ai écrit en 2021 deux billets sur ce thème, et .

J’ai aussi abordé au début de ce billet le thème des données, mais il existe un autre sujet important que je souhaite évoquer, l’Open Data.

Open Data Gouvernement françaisLa France a pris une position de leader européen dans un domaine clef, la mise à disposition des données publiques avec sa démarche volontariste dans l’Open Data.

Petites questions : est-ce que ces données Open data sont sensibles ? Est-ce que ces données Open data sont des trésors nationaux ? Est-ce que le contenu d’un courriel envoyé par un employé de mairie est plus “sensible” que les données du plan cadastral disponible en Open data ?

J’ai vraiment beaucoup de mal à concilier la vision positive, ouverte, innovante du secteur public français dans le domaine des “Open Data” avec cette démarche rétrograde sur les outils bureautiques présentée par la note de la DINUM.

B = Business, cœur métier

C’est le SEUL domaine où les organismes publics, centraux ou régionaux, peuvent investir dans le développement d’applications à forte valeur ajoutée.

Logo COTER NumériqueC’est encore plus important dans les organismes régionaux, départements et villes, qui ont tous des centaines d’applications métiers spécialisées à mettre en œuvre.
La mutualisation de ces applications métiers aurait beaucoup de valeur et des organismes comme le COTER, club d’échanges entre les DSI des collectivités locales, pourraient y jouer un rôle majeur.

Déployer ses applications en version SaaS multitenant sur un acteur français de l’infrastructure aurait bien sûr beaucoup de sens. “Cloud au Centre”, oui, mais pour les seuls usages métiers spécifiques du secteur public.

 

Formation

J’anime depuis des dizaines d’années des séminaires en interne dans des entreprises et des organismes publics pour expliquer à leurs dirigeants, leurs équipes informatiques et tous leurs collaborateurs quelles sont les tendances majeures en matière du numérique.

Je serai très honoré que la DINUM et d’autres organismes publics me mettent à contribution pour les aider dans leur mission de sensibilisation pour promouvoir dans le secteur public une vision moderne, positive et enthousiasmante des solutions numériques d’avenir.

J’ai préparé un document qui présente les différentes interventions que je peux mener. Ce tableau en présente une synthèse.

Actions sensibilisation Louis Naugès copie

En conclusion

La France est le seul pays européen qui se ridiculise avec ses défilés tous les samedis de quelques milliers d’antivax, où l’on retrouve des personnes mues par des objectifs très différents. Je suis scandalisé quand je vois des responsables politiques participer à ces manifestations, aveuglés par de minables considérations politiciennes qui ignorent la science et la rationalité. Ces politiques sont des assassins (meurtre avec préméditation) qui auront sur la conscience des milliers de morts inutiles. L’exemple actuel de la Guyane est le plus monstrueux.

Anti Pass Sanitaire  anti cloud publicLes responsables politiques qui tiennent des discours irresponsables “anti-Cloud” sont dans la même logique de refus de comprendre les évolutions modernes du numérique, de déni de la réalité. Ce sont les assassins en puissance de la compétitivité numérique des organismes publics français. Ces organismes ont peu de ressources, humaines et financières, pour faire face aux demandes prioritaires. Leur faire perdre du temps, de l’efficacité en publiant des notes qui freinent encore plus leurs capacités à évoluer, ce n’est certainement pas ce qu’il y a de plus intelligent.

Oui, je crois beaucoup aux potentiels de la France et de l’Europe dans les métiers du numérique, comme je l’ai écrit dans ce billet récent. Il faut simplement, comme je l’explique, bien choisir ses priorités. Développer en interne des solutions bureautiques ne fait pas partie de mes recommandations !

Chien Aboie  caravane passeSous sa forme actuelle, l’annonce de la DINUM montre à quel point une petite partie des responsables politiques du numérique en France restent dans un modèle de combats d’arrière-garde, en essayant de remonter le cours de l’histoire informatique des 20 dernières années. Ils conduisent dans un monde où l’innovation numérique est exponentielle, les yeux rivés sur le rétroviseur.

Heureusement, le panorama numérique dans le secteur public français change totalement avec cette autorisation de Google Workspace.

AdS DPC enfant nœud papillon bravo S 94633934Je serai le premier à féliciter la DINUM quand sortira une deuxième note, avec le même poids que la première, pour confirmer que tous les organismes publics, centraux et territoriaux, ont la possibilité, en mettant en œuvre Google Workspace, de consacrer leurs ressources numériques limitées, en personnes et en euros, à des projets à forte valeur ajoutée dans leurs activités cœur métiers.

En même temps, je suis certain que la DINUM va recevoir une pluie de critiques de tous ceux qui se réjouissaient après la publication de cette note.

Favoriser Google Workspace, une véritable solution Cloud SaaS, par rapport à une solution “pseudo-Cloud”, Microsoft Office 365, utilisée par plus de 90% des personnes avec leur client lourd Outlook-Office, vieux de 30 ans, c’est pour moi une décision courageuse et intelligente.

Il faudra maintenant attendre la réaction des dirigeants de Microsoft France...


Cybersécurité : ne pas se tromper de combat

 

AdS DPC 1 milliard billion S 240309178Les cyberattaques font la une depuis quelques jours ; la cybersécurité devient une priorité nationale, une de plus...

Deux hôpitaux, quelques mairies découvrent les joies des rançongiciels et, COVID-19 oblige, la classe politique française unanime décide qu’il faut faire cesser ces attaques inacceptables.

Comme s’il existait des attaques de diligences, de banques ou d’hôpitaux acceptables…

La méthode française pour s’attaquer à un problème est bien connue. Elle comporte deux volets :

● Un plan.

● L’annonce d’un gros chiffre. On précise en annexe ou en tout petit que ce chiffre correspond à des dépenses ou investissements étalés sur un grand nombre d'années.

Le Président Emmanuel Macron a mis en pratique cette démarche le 18 février 2021, en annonçant, quelle surprise :

● Un plan cybersécurité.

● Un budget de 1 milliard d’euros. Un chiffre rond, cela fait sérieux. Ce budget sera réparti sur la période 2021 - 2025, soit environ 200 millions d’euros par an.

Macron Cybersécurité 1 B€

Personne n’a la moindre idée de la manière dont ce milliard a été calculé, ni de comment cette somme sera dépensée.

Devant l’urgence de la situation, j’ai décidé de plancher cette nuit sur le sujet pour apporter, modestement, mais rapidement quelques éléments de réponse.

C’est le sujet de ce billet.

 

L’offre de solutions de cybersécurité : très en avance sur les usages

J’ai une excellente nouvelle pour le gouvernement français : la part de ce budget à consacrer à développer de nouvelles offres de solutions est facile à mesurer : Zéro Euro.

Depuis des dizaines d’années, des centaines de sociétés innovantes, dans le monde entier, ont développé des produits logiciels exceptionnels qui couvrent toutes les dimensions techniques pour se protéger efficacement des cyberattaques.

À titre d’illustration, le tableau ci-dessous dresse une carte de plus de 80 produits de nouvelle génération qui s’appuient sur l’Intelligence Artificielle (IA) pour combattre le cybercrime.

Map Cybersecurity with AI solutions

Des centaines d’autres solutions, elles aussi très performantes, travaillent de manière plus traditionnelle, car elles sont nées avant l’arrivée de l’IA.

En résumé

L’offre de solutions pour se protéger des cyberattaques n’est plus le problème en 2021.

Il y a même une surabondance de solutions et la principale difficulté des experts sérieux dans le domaine est de faire son choix parmi autant de produits exceptionnels.

Ceci m'amène à faire une première recommandation pratique au gouvernement français, après avoir vu la répartion prévisionnelle de ce budget de 1 milliard d'euros.

Toutes les sommes présentes dans la première colonne de ce tableau peuvent être ramenées à... zéro euro :

  • Rajouter encore plus de solutions à une offre déjà surdimensionnée, quelle absurdité.
  • Il faudra en plus des années pour produire ces "nouvelles solutions", et sans aucune garantie qu'elles soient perfomantes.
  • Il y a vraiment beaucoup plus intelligent, plus efficace à faire pour s'attaquer à la cybercriminalité.

Répartition plan cyber

Ceci représente 515 millions de moins dans les dépenses et autant dans les financements. Dans la suite de ce billet, j'indiquerai comment on peut réallouer ces sommes.

 

Protéger les infrastructures et les usages

Cybersécurité - Infrastructures usages sans réponsesLes lecteurs de mon blog connaissent bien cette distinction :

● Les infrastructures, serveurs, réseaux, objets d’accès sont les fondations d’un Système d’Information.

● Les usages ou les applications s’appuient sur ces infrastructures pour créer de la valeur pour les clients, internes et externes de chaque entreprise.

● Ceci est valable pour toutes les entreprises, TPE, PME, ETI ou grandes, privées ou publiques, dans tous les pays du monde.

Dans ce court billet, je vais aller à l’essentiel.

 

Cybersécurité : quelles réponses opérationnelles en 2021

Cette distinction entre infrastructures et usages sert de référence pour proposer des réponses opérationnelles, immédiatement.

Infrastructures

Dans les infrastructures, la protection des centres de calcul où fonctionnent serveurs et outils de stockage des données est essentielle.

Il existe deux grandes familles de centres de calcul :

● Les centres de calculs privés : chaque entreprise gère un ou plusieurs bâtiments où se trouvent ces serveurs.

Cloud security● Les Clouds Publics : ce sont des serveurs gérés par de grands industriels mondiaux qui mettent leurs ressources au service des entreprises. C’est la démarche IaaS, Infrastructure as a Service. Trois grands fournisseurs dominent le marché : AWS d’Amazon, Azure de Microsoft et GCP de Google.

En 2021, face aux cyberattaques, il n’y a plus qu’une seule décision de bon sens :

Fermer le plus vite possible tous les centres de calcul privés et obliger 99,99% des entreprises à basculer sur des clouds publics.

Aucune entreprise, même parmi les plus grandes, celles qui sont membres du CIGREF, Club Informatique des Grandes Entreprises Françaises, n’a les ressources techniques, humaines et financières suffisantes pour offrir un niveau de sécurité équivalent à ceux proposés par les industriels IaaS.

Sécurité des infrastructures serveurs : problème réglé.

Usages

Pour se protéger efficacement des cyberattaques, la profession des professionnels de ces outils utilise une expression très parlante : Zero Trust.

Zero Trust : cela veut dire que l’on fait l’hypothèse que rien n’est sécurisé et qu’il faut tout protéger.

Les principaux composants d’une démarche Zero Trust sont résumés sur ce schéma.

Démarche zero trust

Je reprends ici quelques lignes d’un blog récent où je présentais Zero Trust.

● Vérifier l’identité de la personne qui se connecte. On complète les mots de passe par d’autres techniques regroupées dans la famille MFA, Multi Factor Authentication.

● S’assurer que l’on peut faire confiance à l’objet d’accès, quel qu’il soit.

● Chiffrer les données, en transit et dans les objets d’accès.

● Autoriser les accès aux applications, une par une, selon les personnes, selon les lieux d’accès.

● Fournir des outils d’audit pour des contrôles a posteriori quand c’est nécessaire.

Zero Trust, c’est le remplacement des technologies archaïques que certains d’entre vous ont connu dans une vie antérieure : VPN sur les postes de travail et Pare Feu périmétrique autour des centres de calcul privés.

Comme je l’ai écrit au début de ce billet, l’offre de solutions est pléthorique. Ce tableau présente quelques-unes des solutions qui participent à cette démarche Zero Trust, parmi les plus connues du marché

Outils solutions zero Trust

 

Cybersécurité - Infrastructures usages avec réponsesEn reprenant la même image que j’avais utilisée pour séparer infrastructures et usages, on peut résumer les deux démarches qui permettent de bien se protéger contre des cyberattaques :

● Utiliser les clouds publics pour les infrastructures.

● S’appuyer sur des outils qui permettent une approche Zero Trust pour les usages.

 

Reste l’essentiel : les comportements humains

Je ne connais pas les deux hôpitaux qui ont déclenché cette réaction rapide du gouvernement français après avoir subi une cyberattaque. Ce que je sais, c’est qu’ils avaient tout faux : centres de calculs privés et pas de démarche Zero Trust.

J’ai envie de proposer au gouvernement français un objectif ambitieux et réaliste pour son plan cybersécurité :

Faire de la France l’un des pays les moins rentables et les plus coûteux pour réussir des cyberattaques contre ses entreprises.

Les cyberattaques vont continuer, vont devenir de plus en plus sophistiquées, c’est une évidence.

Penser une seule seconde que l’on peut garantir une sécurité parfaite contre les cyberattaques est une idée absurde.

La seule arme raisonnable, c’est donc la dissuasion. C’est le principe des portes blindées dans les appartements. Une porte blindée de qualité n’est jamais inviolable, mais ralentit beaucoup les cambrioleurs ; ils préféreront souvent s’attaquer à un autre appartement moins bien protégé.

Je propose donc que 100 % de ce budget de 1 milliard d’euros soit consacré à des actions vers les dirigeants et les responsables informatiques des entreprises, en étant très, mais très directif.

Il y a deux décisions prioritaires et “simples” à énoncer.

Décision 1 : toute entreprise présente sur le territoire français doit fermer rapidement ses centres de calcul privés.

Comment accélérer cette décision ? Attaquer les dirigeants au porte-monnaie.

● Pour les entreprises ayant des petits centres de calcul privés, de moins de 100 serveurs, une taxe sera établie sur la valeur comptable de ce centre de calcul :

○ 10% de cette valeur en 2022.

○ 20% en 2023.

○ 30% en 2024 et années suivantes.

● Pour les entreprises ayant des centres de calcul privés avec plus de 100 serveurs, elles sont peu nombreuses, cette taxe sera :

○ 0% en 2022, car il leur faut quand même plus de temps pour se préparer.

○ 20% en 2023.

○ 30% en 2024 et années suivantes.

Je prévois que le montant de ces taxes devrait rapidement rembourser le budget de 1 milliard d’euros prévu.

On taxe bien les produits dangereux pour la santé tels que le tabac ou l'alcool. Il est donc logique de taxer aussi les produits dangereux pour la santé de l'informatique, les centres de calcul privés.

Seringue Zero Trust SécuritéDécision 2 : vacciner rapidement au Zero Trust tous les responsables informatiques et les RSSI, Responsables de la Sécurité des Systèmes d’information. Cette vaccination devra être terminée avant juillet 2022. Un certificat de vaccination sera remis à toutes les personnes qui auront suivi avec succès cette formation. Il sera exigé pour pouvoir exercer ces professions à partir de janvier 2023.

L’essentiel du budget de 1 milliard d’euros sera consacré à la mise en œuvre de ces deux décisions. Cela représente beaucoup de travail et d’investissements en accompagnement et formation, mais ce seront vraiment des “investissements d’avenir”.

Comme je l'ai proposé plus haut, on peut récupérer la moitié du budget initialement prévu pour créer de nouveaux produits, soit 515 millions d'investissements et autant de financements

 

Résumé

Se protéger des cyberattaques est une priorité pour la France, comme pour tous les autres pays.

L’objectif ne sera jamais d’arriver à une protection parfaite. On le voit bien aujourd’hui avec les vaccins contre la COVID-19 : les meilleurs ont des niveaux de protection exceptionnels, supérieurs à 90 %.

Cet encadré propose un bel objectif aux décideurs qui vont relever le défi posé par ces cyberattaques : en réduire de 99% les dangers.

Infr Cloud + Usages ZT = 99% moins

Est-ce que je serai entendu ?

Est-ce que mes recommandations seront acceptées ?


Solutions numériques en Europe, mi 2020 : une qualité exceptionnelle

 

AdS DPC Pessimism sur visage S 349567679Halte à la sinistrose ! Le pessimisme numérique, ça suffit ! Tout va mal dans le numérique, basta ya !

Je n’en peux plus, de ces discours de politiques, de dirigeants et de responsables du numérique qui ne parlent que des dangers du numérique, des risques qu’il fait courir aux entreprises, aux états et même à la planète.

Et si l'on regardait, en priorité, ce qui fonctionne bien dans le numérique ?

C'est le thème de ce billet d’humeur, pour vous aider à préparer un été et une reprise en septembre qui ne soient pas d’une noirceur numérique totale.

Rappel : ce billet est centré sur les solutions professionnelles, pas celles destinées au grand public.

 

Offre de solutions numériques en 2020

Nous sommes en 2020, pas en 2000 ! Les progrès réalisés par l’offre de solutions dans tous les domaines du numérique ont été spectaculaires, exponentiels.

Les entreprises ont tout sous la main pour réussir leur Transformation Numérique.

BIS - Infra  Soutien  MétiersJe vais à nouveau utiliser mon modèle B I S ; il a maintes fois fait la preuve de son efficacité, en définissant les trois domaines :

● I = Infrastructures.

● S = Usages Support (Universels, non spécifiques d’un secteur d’activité).

● B = Usages Business (Cœur métiers).

Ce billet fait le point sur ce qui fonctionne bien dans ces trois domaines.

Il n’est pas nécessaire de créer un suspense “insoutenable”. En 2020, les solutions Clouds Publics ont tout gagné, ne laissant que des miettes aux offres numériques historiques que certaines entreprises s’obstinent à garder dans leurs centres de calcul privés en fin de vie.

AdS DPC 90 : 10 SS 28371184Je résume en deux chiffres la situation des offres de solutions numériques en 2020 :

● 90 % des besoins numériques professionnels trouvent d’excellentes réponses sur le marché.

● Pour 10 % des besoins numériques, les entreprises manquent encore de réponses de qualité.

 

Infrastructures = IaaS, Infrastructures as a Service

En créant en 2006 AWS, Amazon Web Services, la première offre IaaS (Infrastructure as a Service) du monde, Amazon a lancé la plus grande révolution qui est jamais existé dans le monde des infrastructures.

En 2020, les jeux sont faits, comme le montre sans ambiguïté le récent quadrant magique IaaS du Gartner Group publié en juillet 2019.

Gartner MQ IaaS 7:2019

On a rarement vu un quadrant magique plus simple :

● Pas de challengers, pas de visionnaires.

● Trois leaders : AWS, Microsoft Azure et Google GCP.

● Trois acteurs de “niche” : deux anciens combattants, IBM et Oracle, et un Chinois, Alibaba, qui est lui en croissance.

Comme je le rappelais dans mon billet précédent, la richesse des services proposés par les trois leaders est impressionnante, et de nouveaux services naissent toutes les semaines.

Toutes les fonctions d’infrastructures dont ont besoin les entreprises sont disponibles chez AWS, Azure ou GCP.

Il y a deux autres dimensions positives dans l’IaaS que je souhaite rappeler, l’omniprésence de l’Open Source et des interopérabilités de plus en plus faciles à mettre en œuvre.

Open Source

Ces géants IaaS ont vite compris qu’il était idiot et peu efficace de créer chacun dans son coin des briques de base d’infrastructures propriétaires. Ils se sont vite mis d’accord pour utiliser les mêmes grands standards, tous Open Source. Quelques exemples :

● Linux domine les systèmes d’exploitation utilisés en IaaS. Microsoft annonce fièrement que plus de 40 % des usages d’Azure ce font avec Linux. Windows Server, dernier survivant des solutions propriétaires, disparaît petit à petit du paysage IaaS.

Open Container Initiative● Docker pour les containers. L’OCI, Open Container Initiative a été créée dès 2015 pour coordonner les travaux dans ces domaines. OCI est hébergé par la Linux Foundation.

● Kubernetes pour gérer les containers : Kubernetes a été créé par Google, et utilisé par AWS et Azure, avec parfois quelques variantes.

Interopérabilités

Il est beaucoup plus facile, en 2020, de porter des applications d’un Cloud Public à un autre qu’il ne l’était dans l’Ancien Monde des dinosaures numériques de le faire d’un centre de calcul privé à un autre.

Deux exemples :

VMWare on AWS● VMWare était le fournisseur dominant des machines virtuelles. VMWare a signé des accords avec AWS, GCP et Azure qui permettent de porter à l’identique ses machines virtuelles sur ces trois Clouds Publics.

● Dans le monde des containers, qui remplacent rapidement les machines virtuelles, Google a donné l’exemple avec Anthos, qui permet de porter ses usages conteneurisés vers AWS ou Azure. Microsoft propose une solution similaire avec Arc.

Résumé : entreprises, en 2020, vous avez à votre disposition une large palette de solutions d’infrastructures exceptionnelles, pérennes et interopérables. Problème réglé.

 

Usages Support = SaaS, Software as a Service

Messagerie, webconférences, CRM, gestion des ressources humaines, budgets, trésorerie…

Pour tous ces usages support, il existe de remarquables solutions SaaS, Software as a Service.

Combien ? Plus personne n’est capable de les compter ; j’estime que le nombre de solutions SaaS Support dépasse les 30 000 ou 40 000 produits.

À l’inverse du marché IaaS, de type oligopole, celui du SaaS a permis la naissance de milliers d’éditeurs différents, dans tous les pays du monde.

Dans Next40, la liste des 40 startups françaises ayant levé le plus d’argent, on trouve plusieurs éditeurs SaaS d’usages support tels que Klaxoon, Ivalua ou Talentsoft.

En France, PlayFrance, une initiative récente, souhaite référencer les éditeurs “made in France”. Ce tableau ne regroupe pas l’ensemble de l’offre française, comme il le prétend, mais montre que l’offre est large, et c’est une bonne nouvelle.

PlayFrance map of solutions

Cette initiative est sympathique, mais je ne l’ai pas rejointe, alors que je participe avec la société Wizy.io à la création et au développement de solutions SaaS en France, WizyEMM et WizyVision.

Pourquoi ? Les phrases ci-dessous, extraites du manifeste publié par PlayFrance, mettent en évidence, une fois de plus, un mal français récurrent : faire appel à l’état quand les forces du marché vous sont contraires.

Manifeste PlayFrance blog

Des dizaines d’éditeurs SaaS nés en France sont devenus des leaders mondiaux, seuls, sans s’appuyer sur les béquilles de l’état.

L’initiative GAIA-X, dont j’ai dit tout le “bien” que j’en pensais dans mon billet précédent, est née en Allemagne et la France s’y est raccrochée au dernier moment.

L’initiative PlayFrance est née en France et espère créer d’ici la fin de l’année 2020 un “PlayEurope”.

Jouer au gaulois revanchard, obliger les responsables du numérique dans les entreprises à acheter 50 % de solutions “nationales”, c’est irréaliste, idiot, inapplicable, contre-productif et probablement contraire aux règles européennes sur la concurrence. N’oublions jamais que le numérique n’est pas une fin en soi, mais un ensemble de moyens permettant aux entreprises de devenir plus performantes.

EuroCloud BarcelonaQue les acteurs européens du numérique s’associent, mènent des actions de marketing en commun, c’est une excellente idée. J’ai été l’un des premiers à rejoindre EuroCloud France, il y a plus de dix ans. J’ai applaudi à la création d’une fédération d’EuroCloud dans plusieurs pays tels que l’Allemagne et l’Espagne. J’ai participé comme représentant de la France aux jurys européens qui élisaient les meilleures solutions lors des Trophées Eurocloud. Cette photo a été prise lors des trophées européens de 2015 à Barcelone.

De belles sociétés comme RunMyProcess ou BIME ont profité de ces trophées pour augmenter leur notoriété et grandir très vite.

De ridicules querelles de chapelle ont fait capoter cette initiative européenne et quelques Eurocloud, dont la France, continuent à travailler, chacun dans son coin. Désespérant !

AdS DPC Defense Offense S 319141188Dans le marché des SaaS Support, l’Europe et la France peuvent encore prendre une place honorable sur l’échiquier mondial du numérique. Oui, mais ce n’est pas en jouant uniquement la défense, en diabolisant de remarquables sociétés internationales, “coupables” d’avoir réussi, que l’on peut espérer gagner. Il est urgent de miser en priorité sur l’offensive, en permettant aux éditeurs SaaS européens d’aller porter le fer sur les marchés mondiaux.

Je ne le répéterai jamais assez : en 2020, les marchés du numérique sont mondiaux. Il est illusoire d'espérer réussir à long terme si l’on a une vision étriquée, nationale ou même européenne du marché des SaaS support.

Bessemer Ventures vient de publier une remarquable étude, “State of the Cloud 2020”, dont j’ai extrait cette carte du monde. Elle présente les acteurs importants du Cloud qui ne sont pas basés aux USA. L’Europe y est très présente, ce qui confirme ma position optimiste.

Bessemer Cloud leaders not USA

Je termine sur une note positive pour les responsables du numérique dans les entreprises :

En 2020, 99 % de vos besoins pour les fonctions support sont disponibles en SaaS avec des offres nombreuses et de grande qualité.

Répondre aux attentes des entreprises pour tous les usages support : problème réglé !

 

Usages Métiers = SaaS verticaux, PaaS, Low Code et No Code

Les usages cœurs métiers, le B du modèle B I S, correspondent à des activités qui sont spécifiques d’un secteur d’activité : banques, énergie, transport, agriculture…

En 2020, il existe trois familles de réponses pour les usages “B” :

● SaaS verticaux.

● PaaS, Platform as a Service.

● Plateformes Low Code et No Code.

Ces trois démarches sont complémentaires ; il n’y en a pas une qui soit meilleure que l’autre.

Une bonne nouvelle, une fois de plus : avec ces trois réponses, les entreprises ont les moyens de répondre aux attentes des métiers de manière très performante !

Le schéma ci-dessous met en évidence les deux principales différences entre ces trois démarches :

● Outils utilisés pour construire ces réponses.

● Qui est en charge de fournir la solution.

Usages B Metiers - Trois réponses

SaaS verticaux

Après s’être attaqués dans une première étape aux usages support, les éditeurs de solutions SaaS ont abordé les solutions verticales. En 2020, l’offre de verticaux SaaS couvre un grand nombre d’industries. Il reste beaucoup à faire, et c’est un domaine où des éditeurs européens peuvent espérer prendre des parts de marché importantes. Doctolib ou Meero sont des exemples encourageants de premiers succès de la France dans les SaaS verticaux.

J’ai déjà cité l'étude de Point Nine sur les éditeurs SaaS en France : j’en ai extrait cette liste des solutions SaaS verticales. Difficile de ne pas être… optimiste quand on voit le grand nombre d’entreprises citées.

Point nine list Vertical SaaS French

En référence au schéma des trois familles de solutions, un SaaS vertical est :

● Développé et maintenu par un éditeur de solutions.

● Un outil “sur étagère” avec toutes les qualités d’une solution SaaS multitenant.

PaaS, Platform as a Service

AdS DPC Three Developpers Woman & men  S 213634957Dès 2015, j’écrivais dans mon blog un billet annonçant la renaissance du métier de développeur professionnel. Ce message a été entendu par des entreprises innovantes qui ont recréé des équipes internes de développement.

Développeur professionnel en 2020 ? Quel beau métier ! Quel bonheur !

Les développeurs professionnels disposent d’outils PaaS d’une exceptionnelle qualité, proposés par… les grands acteurs IaaS, AWS, GCP et Azure. Ne pas utiliser aujourd’hui ces plateformes de développement, ce serait priver bêtement vos équipes des moyens de travailler efficacement.

Tout se passe dans le Cloud ! Ce n’est pas par philanthropie que Microsoft a dépensé 7,5 milliards de dollars pour racheter GitHub, la plus grande base de données de code du monde. La concurrence dans ce domaine est forte, et des solutions comme GitLab proposent des solutions au moins aussi performantes.

Les développeurs professionnels ont acquis de nouvelles compétences dans des domaines tels que le Devops ou le Serverless. Ils peuvent construire rapidement de remarquables applications cœur métiers sur mesure, permettant aux entreprises de gagner en compétitivité grâce au numérique.

Toutes les entreprises deviennent constructeurs de solutions numériques dans le Cloud. Je suis persuadé que beaucoup d’entre elles vont devenir… éditrices de solutions SaaS verticales, dans leurs métiers qu’elles connaissent mieux que quiconque.

En référence au schéma des trois familles de solutions, un outil PaaS est :

● Proposé par les trois grands acteurs IaaS.

● Mis en œuvre par des développeurs professionnels.

Low Code, No Code

No Code Low codeTous les besoins cœur métiers ne demandent pas la construction d’applications complexes par des développeurs professionnels. Il existe aussi une forte demande pour des dizaines, des centaines d’applications légères, à forte valeur ajoutée.

C’est le terrain de chasse favori des outils de développement Low Code et No Code (LC/NC).

Les plateformes de Cloud Public ont permis la naissance de très nombreux outils LC/NC ; leur nombre a explosé au cours de ces cinq dernières années.

Les outils LC/NC permettent à des personnes qui ne sont pas des développeurs professionnels de construire des applications numériques. Ils existent depuis les débuts de l’informatique et les plus célèbres dans l’Ancien Monde étaient Excel et Access de Microsoft.

J’ai toujours été un farouche opposant de ces outils LC/NC, pré cloud, et écrit plusieurs billets à ce sujet, en particulier contre les applications Excel.

La situation des développements LC/NC est différente dans le cloud public : tout est réalisé en mode collaboratif, sur des données communes et on évite, pour l’essentiel, la création de silos numériques dans les entreprises.

Différences entre Low Code et No Code

La frontière entre Low Code et No Code est difficile à établir ; il y a un continuum de complexité croissante depuis le No Code vers le Low Code.

En utilisant l’analogie avec les permis de conduire :

● No Code : permis B, que l’immense majorité des personnes est capable d’obtenir.

● Low Code : permis D, nécessaire pour conduire des véhicules de plus de 8 personnes, qui demande plus de préparation.

PaaS vs LC:DC BoxingDe nombreux développeurs professionnels se méfient de ces outils LC/NC, craignant qu’ils phagocytent leur travail. C’est une grave erreur : ces outils LC/NC permettent aux métiers de construire eux-mêmes de nombreuses applications légères à forte valeur ajoutée. Ceci réduit fortement le nombre de demandes qui atterrissent sur le bureau de la DSI et permet aux développeurs professionnels de concentrer leur énergie sur les fonctions essentielles, à construire avec les outils PaaS qu’ils sont les seuls à maîtriser.

En référence au schéma des trois familles de solutions, les outils Low Code et No Code sont :

● Proposés par des éditeurs de logiciels SaaS.

● Mis en œuvre par des développeurs dans les directions métiers.

Quel bonheur de pouvoir écrire cette phrase toute simple :

Répondre aux attentes des entreprises pour tous les usages cœur métier : problème réglé !

 

Solutions numériques exceptionnelles, pour tous les besoins

J’ai utilisé trois fois l’expression : “problème réglé” ; ce n’est pas par hasard. En reprenant le modèle B I S comme référence, j’ai mis en évidence à quel point les offres de solutions numériques sont, en 2020, capables de répondre à la très grande majorité des demandes des entreprises, de toutes les entreprises, quelles que soient leurs secteurs d’activité ou leur taille.

BIS - Infra  Soutien  Métiers réponses cloudCe schéma confirme ce que j'écris depuis des années dans ce blog :

Le Cloud Public fournit aujourd’hui les meilleures réponses, et dans tous les domaines :

● Iaas pour les infrastructures.

● SaaS pour les usages Support.

● SaaS verticaux, PaaS, Low Code et No Code pour les usages métiers.

 

Sécurité et confidentialité de très haute qualité

Un raisonnement rationnel et posé comme celui que je présente dans ce billet démontre que les entreprises trouvent dans les Clouds Publics tout ce dont elles ont besoin pour réussir leur Transformation Numérique.

AdS DPC Reject SS 106726173Comment se fait-il qu’un grand nombre de personnes intelligentes soit encore, en 2020, aussi réticent et refuse d’utiliser les solutions numériques disponibles dans les Clouds Publics ?

L’objection que j’entends le plus souvent est celle de la sécurité des Clouds Publics et de la confidentialité des données.

J’ai abordé en profondeur ce sujet de la “confiance” ; j’irai ici à l’essentiel.

Les Clouds Publics AWS, Azure et GCP sont, et de très loin, les infrastructures numériques les plus sécurisées du monde. Elles protègent aussi les données que leur confient les entreprises mieux que ne peuvent le faire en interne 99,99999 % d’entre elles.

Les failles de sécurité, les vols de données sont inexistants dans les Clouds Publics. Quand ils se produisent, et cela arrive souvent, c’est toujours dans des centres de calculs privés gérés par les entreprises.

Cloud Act YetiÀ bout d’arguments, les anti Clouds Publics sortent leur arme fatale, le Cloud Act, qui n’a… strictement rien à voir avec le Cloud.

J’attends toujours que l’on me cite un seul cas concret d’une entreprise française qui aurait subi une attaque liée au Cloud Act.

J’ai enfin trouvé la définition qui convient pour définir le Cloud Act : c’est le Yeti du numérique !

Tout le monde en parle, personne ne l’a jamais vu !

 

Tentation mortelle de repli de l’Europe du numérique sur elle-même

Des solutions numériques exceptionnelles existent, à la disposition des entreprises du monde entier. Il faut tout faire pour que les entreprises européennes continuent à pouvoir les utiliser comme vecteur majeur de leur compétitivité, dans une compétition mondiale.

Comme je l’ai dénoncé dans ce texte, il existe une tentation forte de protectionnisme numérique en Europe et en France. Il serait criminel de mettre des bâtons dans les roues des entreprises qui recherchent les meilleurs outils numériques disponibles, en les obligeant à choisir des solutions “nationales”. Ralentir la capacité des entreprises à se moderniser par une Transformation Numérique en leur imposant des solutions “suboptimales”, non merci !

AdS DPC Snail french flag SS 73162555

Ce n’est vraiment pas le moment, surtout quand il faudra travailler encore plus pour relancer l’économie après l’arrêt brutal lié au COVID-19 !

L’application “StopCovid” française est une parfaite illustration de ce mouvement de repli sur soi. J’avais dénoncé, dès le mois d’avril, cette absurdité qui consistait à refuser l’aide proposée par Apple et Google qui représentent 99% des smartphones utilisés en France ; pour une fois, miracle, ils avaient accepté de collaborer.

Erreur stop Covid

Résultat, hélas prévisible : une application qui ne fonctionne pas bien sur iOS, incompatible avec toutes celles des autres pays. Hallucinant : la France a osé demander à Apple de modifier le mode de fonctionnement de Bluetooth sur iOS pour s’adapter à l’application française. Apple n’a pas daigné répondre à cette demande, quelle outrecuidance !

Les premiers résultats sont pour le moins “décevants” : 14 alertes envoyées et un coût exorbitant par alerte, de près de 13 000 €.

Reconnaître que l’on s’est trompé ? Il n’en est pas question et le gouvernement va lancer une étude, payante évidemment, pour comprendre pourquoi les Français n’ont pas compris comment utiliser StopCovid. C’est la faute des utilisateurs, je crois réentendre un discours des informaticiens des années 1990.

Un mea culpa du gouvernement m’aurait un peu rassuré. Ce refus d’accepter la réalité d’un échec lié à de mauvais choix technologiques est très inquiétant.

Répéter ces comportements des dizaines de fois au cours des prochaines années, pour défendre nos solutions nationales, quelle belle recette pour pénaliser les entreprises avec un maximum d’efficacité !

Il existe heureusement des décisions positives telles que l’usage d’AWS par la BPI pour gérer le PGE, Prêt Garanti par l’État, qui montre que l’on peut garder espoir. Il y aura bien sûr des grincheux qui vont réagir négativement et regretter cette décision.

 

Synthèse

Ce billet est tout entier tourné vers un optimisme numérique raisonné : la qualité et la variété des solutions numériques disponibles en 2020 sont exceptionnelles. Elles permettent aux entreprises de toute taille et de tout secteur de mener une Transformation Numérique rapide en ayant la certitude que la technologie ne sera plus jamais sur le chemin critique.

AdS DPC Laptop wih European flag  SS 195322339Je vois hélas apparaître dans le ciel européen un gros “Cloud” noir : il a pour nom priorité aux solutions numériques européennes pour remplacer des solutions numériques existantes qui fonctionnent très bien. Ce serait un crime majeur contre la compétitivité de nos entreprises, au nom de combats non rationnels et d’arrière-garde.

Mesdames et messieurs les politiques, faites confiance aux professionnels du numérique dans les entreprises et laissez-les libres de leurs choix. Vos compétences dans ces domaines sont, hélas, souvent plus proches du zéro Kelvin que du zéro Celsius.

 

Mais...tout n’est pas parfait

90 % des besoins numériques des entreprises trouvent d’excellentes réponses dans les offres existantes. Cela signifie qu’il reste 10 % de problèmes non réglés.

Data reposesitoryJ’en ai identifié deux qui me paraissent prioritaires :

● Créer une indépendance entre les données et les applications, pour que les entreprises reprennent le contrôle de leurs données vis-à-vis des éditeurs et des fournisseurs d’infrastructures.

● Augmenter le niveau de protection pour un tout petit pourcentage de données d’importance vitale, quand des attaques puissantes de pays tiers pourraient mettre en danger des entreprises ou des secteurs clefs de l’économie.

Dans ces deux domaines, l’Europe et la France peuvent apporter des réponses fortes et innovantes.

Améliorer ce qui doit l’être, et uniquement ce qui doit l’être, ce sera le thème de mon prochain billet.


GAIA-X : chronique d’un échec inéluctable

 

Le projet GAIA-X  berceau écosystème européen J’ai hésité, quelques minutes, avant d’entreprendre la rédaction de ce billet.

Pourquoi ? J’ai personnellement plus à y perdre qu’à y gagner. Je vais me mettre à dos une grande partie de “l’Establishment” numérique français, des partisans à tout prix d’une souveraineté numérique française ou européenne.

GAIA-X est un projet allemand, que la France a rejoint en mai 2020. Son objectif : “créer une infrastructure de données en forme de réseau, berceau d’un écosystème européen vital”.

Cela vous paraît obscur ? À moi aussi ! En langage plus simple, c’est une nouvelle tentative de créer un “Cloud Souverain” européen.

GAIA-X Bruno LeMaire et AlmaierBruno Lemaire et Peter Altmaier, ministres de l’Économie de la France et de l’Allemagne, ont participé jeudi 4 juin à l’annonce commune de leur soutien au projet GAIA-X.

Dans ce long billet je vais, posément, calmement, rationnellement, expliquer pourquoi la meilleure chose qui puisse arriver pour l’Europe et que GAIA-X meure, et le plus vite possible.

 

Pourquoi je pousse ce coup de gueule

Pour ceux qui ne connaissent pas :

● Ingénieur de formation : Supélec.

● “Quelques” années d’expérience dans l’informatique et le numérique.

● Entrepreneur : première société, Bureautique SA, en 1980, Wizy.io aujourd’hui.

● Passionné par les innovations numériques et leurs potentiels dans les organisations.

● Enseignant, animateur de séminaires pour aider un maximum de personnes à comprendre où va le numérique et mieux orienter leurs carrières.

● Incorrigible “optimiste numérique” : tout reste à inventer, à mettre en œuvre.

● Veille technologique active : deux heures par jour, en moyenne.

● Persuadé que le numérique est un grand allié de la planète et que l’on peut simultanément mener des actions de Transformation et de Frugalité Numérique.

● Européen convaincu, mais pas nationaliste.

Je regarde toute annonce de nouveau service ou de nouveau produit avec un a priori positif, essayant d’imaginer quels usages innovants peuvent en être obtenus.

C’est ce que j’ai fait en étudiant les documents techniques publiés par GAIA-X, et j’y reviendrai plus loin.

Depuis l’année 2006, et comme co-fondateur de Revevol, la première société de services Cloud en Europe, j’ai suivi toutes les évolutions des solutions Cloud Computing.

J’ai vite compris les potentiels majeurs des solutions d’infrastructures Clouds Publics et des applications SaaS, Software as a Service. J’ai alerté des décideurs politiques et des DSI sur l’urgence d’agir pour ne pas rater ce virage technologique majeur. Ce billet présentait les potentiels d’AWS dès 2008, un an après sa création.

Louis Naugès et Werner Vogels mars 2010 Cigref copieCela n’a pas toujours été facile ; j’ai essuyé un échec cuisant en mars 2010. J’avais invité Werner Vogels, le CTO d’AWS, à venir parler des potentiels des solutions IaaS, Infrastructure as a Service, devant les membres du CIGREF, Club Informatique des Grandes Entreprises Françaises, qui regroupe 150 entreprises et plusieurs milliers de membres. AWS avait créé en 2007 ce marché IaaS et je pensais important que les plus grandes entreprises françaises puissent avoir, 4 ans après, une présentation de haut niveau par le meilleur expert mondial du moment.

À ma grande surprise, à ma grande honte, j’ai découvert qu’il n’y avait dans la salle que… 3 entreprises présentes ! 3 sur 150 !

Thomas Kurian CIGREF 202010 ans plus tard, et 10 ans dans le monde du numérique, c’est une éternité, les membres du conseil d’administration du CIGREF ont accueilli dans leurs bureaux Thomas Kurian, le patron de GCP, Google Cloud Platform.

 

Offres d’infrastructures cloud, en 2020

L’annonce du projet GAIA-X se fait au milieu de l’année 2020 ; personne ne sait quand les premières offres opérationnelles seront disponibles. Le monde du numérique n’a pas attendu GAIA-X pour évoluer, et très vite !

Entre 2007 et 2020, le marché des infrastructures cloud a explosé et il est aujourd’hui dominé par trois fournisseurs, AWS d’Amazon, GCP de Google et Azure de Microsoft.

Comme le montre de manière éclatante le graphique ci-dessous, ces trois acteurs industriels du Cloud Public investissent chacun entre 10 et 20 milliards de dollars par an dans leurs infrastructures.

CAPEX IBM Microsoft AWS Google Oracle

Les jeux sont faits : tous les autres grands fournisseurs historiques, IBM, HP, Oracle, Dell… ont perdu, définitivement, cette bataille des infrastructures cloud.

TENCENT 70 B$ in CloudLes seuls challengers sérieux sont trois acteurs chinois, Alibaba, Tencent et Baidu. Ils investissent eux aussi plusieurs dizaines de milliards de dollars par an. Tencent vient d’annoncer 70 B$ d’investissements en 5 ans, 14 B$ par an, pour “rattraper” Alibaba qui est le leader actuel en Chine.

Ces centaines de milliards de dollars d’investissements cumulés dans leurs infrastructures cloud représentent aujourd’hui une “barrière à l’entrée”, un “moat” en anglais, infranchissable.

Ces géants du cloud ont un deuxième avantage, et il est au moins aussi important ; ils ont gardé leur extraordinaire capacité à innover. Ce graphique montre la croissance du nombre des innovations d’AWS entre 2008 et 2018. En 2018, ce chiffre a dépassé 1 800, plus de 35 par semaine !

AWS innovations 2019

Le résultat de ces innovations : les entreprises qui travaillent avec ces grands fournisseurs ont accès à une offre de services dont le nombre dépasse largement la centaine, comme le montre cette liste des services proposés par GCP et AWS.

AWS et GCP list of services

J’entends tous les jours des discours de DSI qui craignent de devenir prisonnier de cet oligopole. Ils ont la mémoire courte ! Quelles sont les parts de marché de Microsoft dans la bureautique du poste de travail, d’Oracle dans les bases de données, de SAP dans les ERP intégrés ?

La situation de dépendance vis-à-vis d’un fournisseur est en pratique beaucoup plus faible dans le domaine des infrastructures cloud que dans celui des solutions historiques, installées dans des centres de calcul privés.

Les infrastructures Cloud ont permis une “abstraction” des couches bases d’infrastructures, et personne ne va s’en plaindre.

Une entreprise qui utilise les Clouds Publics ne se pose plus de questions sur l’OS des serveurs, leur marque, les supports de stockage utilisés. Quelques exemples de ces nouvelles réponses :

● Les containers ont remplacé les machines virtuelles, et sont portables d’un fournisseur à l’autre.

● Kubernetes, gestionnaire Open Source de containers, créé par Google, est devenu le standard utilisé aussi par AWS et Azure.

OCI, Open Container Initiative, est une association qui regroupe tous les acteurs importants du Cloud et rend plus facile une interopérabilité forte des solutions.

Anthos GCP on AWS● Avec Anthos, Google propose une remarquable solution de portabilité des applications Cloud d’un fournisseur à l’autre. Voir Google faire la promotion d’Anthos sur son grand concurrent AWS, c’est quand même peu fréquent dans nos métiers ! Avez-vous déjà vu Oracle promouvoir une interopérabilité avec DB2 d’IBM ?

● Microsoft propose avec Arc un service avec les mêmes objectifs qu’Anthos.

Résumé de l’état de l’offre dans les Clouds Publics en 2020

Avec AWS, Azure et GCP, toutes les organisations ont aujourd’hui à leur disposition :

● Des offres très compétitives.

● Un choix très large de services.

● Une présence mondiale.

● Des interopérabilités fortes.

● Des innovations permanentes.

En clair : en 2020, l’offre de solutions Clouds est très en avance sur la réalité des usages !

Infrastructures Cloud Offre >> Demande

Je n’ai plus rencontré depuis longtemps un véritable professionnel du numérique qui me dit qu’il ne pouvait pas migrer sur le cloud parce que l’offre n’était pas mature.

 

GAIA-X : ce qui se cache derrière ce nom

Logo GAIA-X data infraLe projet GAIA-X est né en Allemagne, et ses objectifs sont résumés dans ce court document. La France est le premier pays européen à le rejoindre.

Il met l’accent sur l’importance de la donnée, et ce n’est pas moi qui vais m’en plaindre. J’ai modifié mon modèle initial B I S, (Business Infrastructure Support) en B I S D, en ajoutant le D pour donnée.

Les rédacteurs du projet GAIA-X ont publié plusieurs documents pour le présenter, disponibles sur le site du ministère allemand de l’Économie et de l’Énergie :

Document initial de présentation, en octobre 2019 : 56 pages.

Projet européen lance la deuxième phase : 13 pages.

Architecture technique : 56 pages.

Appel à l’Europe : 40 pages.

Règles de gestion et architecture de standards : 25 pages.

Promouvoir l’innovation en Europe : 30 pages.

C’est un total de 220 pages, qui ne se lisent pas comme celles d’un roman de gare ! J’ai fait l’effort de lire l’ensemble de ces documents, et je ne suis pas certain d’avoir tout compris.

On ne peut pas nier l’ampleur de l’ambition, ni la complexité technique qui va avec. J’en prendrai comme seul exemple ce schéma sur l’architecture technique de GAIA-X.

GAIA-X schéma architecture

Parmi tous les politiques, dirigeants et DSI qui se sont empressés de dire tout le bien qu’ils pensaient de GAIA-X, à commencer par les deux ministres de l’Économie, combien d’entre eux :

● Ont lu ces documents.

● Ont compris ce qu’ils contenaient.

Ce sont des documents écrits pour l’essentiel par des chercheurs et universitaires ; leur langage, leurs préoccupations sont loin de la réalité des attentes des entreprises.

L’origine allemande de ces travaux se traduit par des préoccupations majeures sur la sécurité et la confidentialité des données et des réticences “fortes” vis-à-vis des solutions Clouds Publics.

L’objectif principal de GAIA-X, l’architecture des données, est en lui-même d’une extrême complexité, technique et organisationnelle. En se limitant à ce seul sujet des données, GAIA-X aurait déjà eu beaucoup de mal à se transformer en un ensemble de solutions opérationnelles et à proposer des réponses plus performantes que celles, de grande qualité, qui existent déjà sur le marché.

Rappel : dans ce domaine de la gestion des données, toutes les solutions innovantes s’appuient sur… les clouds publics.

Comme le montre le schéma d’architecture général ci-dessus, l’ambition de GAIA-X va bien au-delà de cette seule dimension données.

On y retrouve tous les autres domaines du numérique, chacun d’entre eux étant en lui-même très complexe. Identité numérique, IoT, intelligence Artificielle, Big Data, réseaux, HPC, Edge Computing… aucun sujet ne manque à l’appel !!!

GAIA-X Cloud SouverainLes commentateurs l’ont bien compris : derrière ce paravent des “données”, c’était l’idée ancienne des “clouds souverains” de sinistre mémoire qui renait de ses cendres !

Proposer des Clouds souverains en 2012, avec CloudWatt et Numergy, et des moyens ridiculement faibles, c'était déjà un combat désespéré. Recommencer les mêmes erreurs en 2020 : c’est pathétique !

Le kaléidoscope des entreprises qui ont annoncé leur participation à GAIA-X est… surprenant : des  fournisseurs d'infrastructures, des ESN, des opérateurs télécoms, des éditeurs de logiciels, des entreprises clientes. La première liste des partenaires, appelée à s’agrandir, regroupe déjà 22 organisations.

Members GaiaX Cloud European

Les membres de GAIA-X, souvent concurrents, se battront entre eux pour ramasser les miettes du marché Cloud qui seront laissées par les géants industriels, américains et chinois.

Qui croira une seconde que les quatre acteurs français des infrastructures Cloud, Outscale, Scaleway, Orange ou OVH, tous membres de GAIA-X, vont collaborer pour répondre au cahier des charges d’une entreprise française suffisamment inconsciente pour envisager des solutions GAIA-X ?

Acteurs Francais GAIA

Combien d’années et de milliards d’euros faudra-t-il pour que l’on comprenne que GAIA-X est un projet d’une ambition démesurée, qui arrive trop tard, et qui n’a aucune chance de s’imposer dans le marché des infrastructures Cloud ?

 

Quels potentiels de succès pour l’Europe dans le Cloud

Est-ce que l’échec inéluctable de GAIA-X signifie que l’Europe doit abandonner toute ambition de succès dans le Cloud ? Non !

Mon optimisme reprend le dessus et je réponds sans hésiter que l’Europe a déjà montré sa capacité à réussir dans le Cloud.

Il faut simplement bien choisir ses combats et consacrer toutes son énergie, ses ressources et ses compétences sur… les usages, en clair les solutions SaaS, Software as a Service.

Le marché des solutions Cloud, infrastructures et usages, est mondial : toute vision étriquée, française ou européenne, est vouée à l'echec. Outscale, la filiale IaaS de Dassault Systèmes, l'a bien compris : Outscale est déployé, depuis le début, aux Etats-Unis, en Asie et en Europe.

L’Europe et la France en particulier sont déjà très performantes dans le domaine des SaaS.

Point nine 300 French SaaS Startups copieUne illustration : Point Nine, l’un des plus grands “Venture Capital” du monde, avait identifié, fin 2018, plus de 300 startups logicielles en France. Il y en a plusieurs milliers dans l’ensemble des pays de l’Union européenne.
Dans sa liste, Point Nine utilise la même segmentation que moi dans le modèle B I S D :

● Horizontal Software : les fonctions S, Support, qui correspondent aux activités transverses universelles dans les entreprises.

● Vertical Software : les fonctions B, Business, spécifiques d’un secteur d’activité.

On trouve dans cette liste de très beaux succès mondiaux, tels que TalentSoft, Kyriba, Doctolib, Dataiku ou Aircall. Ces entreprises se sont toutes développées sans faire appel à des fonds publics.

L’immense majorité de ces éditeurs SaaS européens s’appuient sur les infrastructures AWS, GCP ou Azure. Ceci leur permet de :

● Garantir une qualité de service exceptionnelle à leurs clients.

● Consacrer 100 % de leur investissements au développement de leurs logiciels

● Offrir leurs services dans le monde entier.

Les opportunités dans le SaaS sont encore très nombreuses et l’Europe doit rester un espace de création de nouveaux éditeurs SaaS.

WizyEMM HPUn exemple ? Notre entreprise Wizy.io travaille depuis 4 années pour développer un gestionnaire de terminaux Android, WizyEMM. Nous avons l’ambition de devenir un leader mondial !

● Solution SaaS construite sur GCP. Quand on travaille avec Android, le choix de Google est logique.

● Solution de rupture, technique et financière, par rapport aux offres historiques.

● Nos concurrents : des “PME” qui ont pour nom IBM, Microsoft ou VMWare.

● Notre marché : le monde, avec une priorité sur la zone Asie Pacifique, où se trouvent 75% des terminaux Android.

● Ventes indirectes, en s’appuyant sur les opérateurs télécoms, les fabricants de terminaux et des distributeurs.

Le défi qu’il reste à relever en Europe pour les éditeurs SaaS est celui de la taille critique. Beaucoup se font racheter par des acteurs américains ou asiatiques ou doivent “émigrer” aux États-Unis pour accélérer leur croissance.

Au lieu de perdre beaucoup de temps et d’argent sur GAIA-X, les autorités européennes doivent orienter leurs efforts pour aider des centaines d’éditeurs SaaS dans leur croissance à s’implanter en Europe et dans le monde entier. C’est moins “prestigieux”, mais beaucoup plus efficace !

Et si l'on fixait à l'Europe des objectifs ambitieux, mais réalistes, pour l'année 2023 ?

● 1 000 éditeurs SaaS français réalisant plus de 50% de leur chiffre d'affaires à l'international.

● 5 000 éditeurs SaaS européens réalisant plus de 50% de leur chiffre d'affaires à l'international.

 

GAIA-X : un projet “Européen” ?

Flags European Union - GAIA-XLa conférence de lancement de GAIA-X a réuni deux des 23 pays de l’Union européenne, l’Allemagne comme créateur du projet, rejoint par la France.

● Est-ce suffisant pour en faire un projet européen ?

● Qu’en pensent tous les autres états ?

● Quelle motivation, positive ou négative, vont-ils avoir pour s’impliquer dans un projet à l’avenir incertain dont ils sont exclus ?

● La référence à Airbus a été faite : il a fallu des dizaines d’années pour que cette collaboration commence à fonctionner.

Tout n’est pas noir dans le monde de la coopération européenne ; un autre grand projet a été lancé fin 2019 dans le domaine des batteries pour véhicules électriques. L’objectif est de moins dépendre de la Chine.

Dans le cadre de ce projet, le groupe automobile PSA a pris les devants et annoncé qu’il va construire une “GigaFactory” de batteries électriques d’ici à 2022.

PSA Gigafactory batteries

À l’inverse de GAIA-X, ce projet est “bien né” :

● Limité dans son domaine : les batteries électriques, et rien d’autre.

● Le marché des véhicules électriques est en forte croissance. La demande de batteries va fortement augmenter au cours des prochaines années.

● Des progrès techniques majeurs peuvent être fait dans ce domaine.

● La grande taille des usines est indispensable pour obtenir des prix de revient compétitifs, comme l’a montré Tesla avec ses “méga-factory” aux USA et en Chine.

 

Plus grand risque créé par GAIA-X : recréer des motifs d’attentisme !

Frein et accélérateur COVID GAIAJ’ai une excellente nouvelle pour tous les trouillards du numérique, dirigeants, DSI, entreprises publiques ou privées : vous avez maintenant une bonne raison de bloquer la Transformation Numérique de votre organisation. Pour assurer la “souveraineté européenne” de vos évolutions, vous allez attendre, longtemps, que les solutions GAIA-X soient disponibles.

Vous étiez paniqués par l’accélération qu’avait donnée le COVID-19 à la Transformation Numérique de votre organisation ; vous disposez maintenant d’un frein très puissant avec GAIA-X.

Anne  ma sœur AnneCette attente interminable d’une offre européenne de cloud souverain (“Anne, ma sœur Anne, ne vois-tu rien venir ?) est une excellente nouvelle pour les géants américains du Cloud que le projet GAIA-X est supposé concurrencer. Ce long délai leur permettra d'accroître leur domination sur le marché européen et les rendra encore plus incontournables.

 

Synthèse : le mirage GAIA-X

AdS DPC Yes No  S 328331661Non, je ne suis pas un méchant anti-européen !

Non, je ne suis pas un suppôt des grands méchants GAFAM !

Non, je ne me réjouis pas des échecs européens dans les domaines des infrastructures Cloud !

Mais…

Oui, j’ai la capacité d’analyser rationnellement les évolutions des offres dans le numérique.

Oui, ma priorité c’est d’aider toutes les organisations à réussir leur Transformation Numérique en choisissant les solutions numériques dont elles ont besoin, indépendamment de leur nationalité.

Oui, l’Europe et la France ont de forts potentiels dans la création d’usages SaaS/Cloud innovants et à vocation mondiale.

GAIA-X est un mirage très dangereux pour la compétitivité européenne. Comme tous les mirages, plus on avance, plus il s’éloigne.

Mirage GAIA-X Cloud Européen

Pour les entreprises, que faire face à GAIA-X ?

Pierre Tombale - GAIA-XLa bonne réponse : ignorer totalement GAIA-X, continuer à investir dans une Transformation Numérique où les solutions Cloud d’infrastructures et d’usages ont une place majeure et… attendre tranquillement que GAIA-X ne soit plus qu’un mauvais souvenir, comme tant d’autres projets mort-nés tels que CloudWatt, Numergy ou OpenStack.

Je n’ai pas écrit ces lignes de gaieté de cœur, croyez-moi. Je l’ai fait car j’ai très peur des impacts négatifs de l’initiative GAIA-X sur la vitesse avec laquelle les organisations européennes vont affronter les défis de leur Transformation Numérique.

Oui, j’ai le courage d’exprimer des opinions qui froissent beaucoup de monde.