Cloud souverain: entretien exclusif avec Patrick Amaru, DSI du canton de Vaud

Depuis la décision de la Confédération de renoncer à développer un cloud suisse puis de sélectionner cinq grands prestataires internationaux pour ses besoins en la matière, la polémique enfle dans le monde politico-économique suisse et surtout romand. Entre fournisseurs qui s’estiment injustement écartés par l’appel d’offres (exigences de couverture géographique et technique) et politiciens critiquant une perte de souveraineté (et plus largement un Etat à la traîne dans le domaine numérique), le gouvernement a été interpellé et ses explications et précisions n’ont pas réussi à éteindre la polémique. La pression pourrait encore s’accentuer suite à l’enquête récente du média Republik, selon laquelle la Confédération a ignoré la demande du Préposé à la protection des données d’intégrer des critères de privacy dans l’appel d’offres et rédigé sciemment le document sur mesure pour les géants du cloud.

C’est dans ce contexte que la conseillère d’Etat vaudoise Nuria Gorrite révélait mi-décembre au Blick le projet de la conférence latine des directeurs cantonaux du numérique de doter la Suisse romande d’un cloud souverain. Aux manettes, le canton de Vaud a démarré une étude de faisabilité du concept menée par Catherine Pugin, déléguée au numérique du canton.

La thématique n’intéresse pas que la Suisse, si l’on songe au projet européen Gaia-X qui peine à se concrétiser ou à l’initiative récente de T-Systems et Google de bâtir ensemble un cloud souverain sous contrôle de l’opérateur allemand. Avec possiblement une réplication du modèle en Suisse, si l’on en croit le CEO de T-Systems qui déclarait: «Nous sommes heureux de pouvoir proposer à nos clients une solution de cloud sécurisée et souveraine, mais qui donne également accès à l'innovation et à l'évolutivité de Google Cloud en Allemagne. Nous envisageons également l'Autriche et la Suisse comme prochaine étape».

Quel cloud souverain?

L’intérêt grandissant pour le concept de cloud souverain témoigne du souci que la numérisation croissante ne s’accompagne d’une perte de souveraineté, de maîtrise et de contrôle pour les entreprises locales, et surtout pour les administrations publiques et les données qu’elles traitent.

Une fois qu’on a dit cela, de nombreuses questions sur ce que l’on entend par cloud souverain demeurent, même si elles tendent à être négligées dans le débat binaire actuel.

A commencer par le degré de souveraineté: le cloud d’un prestataire étranger fourni depuis des centres de données suisses fait-il l’affaire? faut-il au contraire que le cloud soit fourni par une entreprise suisse? faut-il que le cloud soit détenu et opéré par l’Etat lui-même? faut-il dans tous ces cas que les couches logicielles et d’infrastructure sous-jacentes soient également made in Switzerland ou tout au moins open source?

Se pose aussi la question de ce que l’on met dans ce cloud: va-t-on y héberger toutes les données et tous les services de l’administration? les plus sensibles seulement? va-t-on proposer aux entreprises et particuliers de s’en servir pour leurs propres données et services?

Se pose encore la question des services offerts par ce cloud souverain: va-t-on se limiter au services d’infrastructure basiques (stockage et VM)? Ou souhaite-t-on une plateforme cloud avancée avec du serverless, des containers, des services d’analyse de données, etc. à l’image de ce que la Confédération exigeait dans son appel d’offres controversé?

Les options sont donc multiple et les arbitrages nombreux pour décider du niveau de souveraineté souhaité et des compromis techniques, économiques, légaux et politiques que ce choix entraîne.

Comment le canton de Vaud aborde la question du cloud souverain

Qu’en est-il alors du projet des cantons latins et de l’étude de faisabilité lancée par le canton de Vaud? Contacté par la rédaction d’ICTjournal, le directeur de l’informatique vaudoise Patrick Amaru a bien voulu nous en dire plus.

Qu’est-ce qui motive l’intérêt du canton de Vaud pour le cloud souverain et le lancement d’une étude faisabilité sur le sujet?

Il faut rappeler que la stratégie numérique du canton de Vaud présentée en 2018 mettait clairement en avant les questions de souveraineté et que l’un de ses piliers concerne la politique des données. Cela étant posé, on ne peut pas occulter ce qui se passe sur le marché IT avec de plus en plus de solutions cloud et d’éditeurs qui poussent à les adopter. Tout cela nous fait réfléchir. Tout comme la décision de la Confédération de rédiger un appel d’offres négligeant les aspects de souveraineté et écartant les fournisseurs cloud suisses, puis d’attribuer ces marchés à des sociétés américaines et chinoises. Tous ces éléments font que nous avons accéléré les choses pour voir ce que nous pouvons faire à l’échelle vaudoise et avec les autres cantons latins. Et nous nous sommes mis d’accord pour que le canton de Vaud prenne les devants avec une étude de faisabilité. L’étude devrait durer six à sept mois. Elle est conduite par notre déléguée au numérique Catherine Pugin..

Qu’est-ce pour vous qu’un cloud souverain?

Nous nous posons la question de ce que l’on inclut dans un cloud souverain, de ses aspects juridiques, de ce que l’on accepte ou pas, des composants techniques qui en font partie. On pourrait aller jusqu’au bout avec une notion de souveraineté couvrant toutes les couches depuis l’infrastructure, mais ce n’est pas possible et ce n’est pas notre souhait. Il serait typiquement illusoire de vouloir s’affranchir de composants hardware étrangers. Notre étude doit déterminer jusqu’où nous pouvons aller en étant réalistes.

Qu’attendez-vous de l’étude de faisabilité? Pourrait-elle déboucher sur un No-Go, à l’image de ce que la Confédération a décidé pour ses besoins cloud?

Non, l’étude ne devrait pas déboucher sur un No-Go. Nous ne visons pas non plus à nous doter de notre propre datacenter pour héberger ce cloud, même si nous n’écartons pas cette possibilité. L’étude doit nous orienter et déboucher sur des projets pour créer un cloud avec un certain niveau de souveraineté, y compris éventuellement en collaboration avec des fournisseurs privés. Nous n’attendons pas que l’étude nous apporte toutes les réponses sur toutes les questions, mais elle devrait nous aider à placer le curseur, à déterminer les critères qui feront qu’un environnement très utilisé, comme une suite bureautique en ligne, pourra être considéré comme souverain.

Le canton dispose-t-il aujourd’hui d’une cartographie détaillée de ses données et workloads lui permettant de déterminer ceux qui devraient être impérativement hébergés dans un cloud souverain?

Il est utopique de penser que les cantons disposeraient d’une cartographie détaillée de toutes les données qu’ils gèrent, d’autant plus qu’il s’agit d’un écosystème vivant en constante évolution. Cela étant dit, nous développons dans le cadre de notre stratégie numérique des catégories de données et une classification qui nous permettront de mieux appréhender ce que l’on met dans le cloud souverain. Mais ce n’est pas l’objet de l’étude.

Le cloud souverain que vous envisagez servira-t-il uniquement aux données et services de l’administration ou pourrait-on imaginer l’Etat proposer des services cloud souverains aux entreprises et aux personnes privées?

L’étude n’est pas faite, mais je n’imagine pas le canton construire son datacenter pour proposer ses services cloud. Le projet de cloud souverain doit en premier lieu répondre aux besoins de l’Etat au sens large: le canton, mais aussi potentiellement aux communes ou aux entités para-étatiques. En revanche, notre travail débouchera aussi sur des critères et des bonnes pratiques dont pourront s’inspirer les entreprises soucieuses de leur souveraineté, je pense en particulier aux PME. Nous tenons beaucoup à cet aspect qui fait d’ailleurs partie de la stratégie numérique du canton. Plus généralement, vu la confusion qui règne sur la notion de souveraineté et vu l’impossibilité de fournir un cloud 100% suisse de bout en bout, je pense qu’il est utile et important que l’Etat explique et diffuse ce qu’il définit comme souverain.

Le succès du cloud tient notamment à son potentiel d’économie, de continuité et d’innovation. Dans quelle mesure le canton est-il prêt à renoncer à certains de ces atouts pour gagner en souveraineté?

Je ne suis pas convaincu des économies apportées par le cloud une fois que l’on a bien considéré tous les coûts, notamment ce qu’il en coûte d’en sortir. Quant à la continuité et la disponibilité, nous parlons d’une administration qui n’a pas les mêmes besoins qu’une multinationale présente sur tous les continents. Maintenant oui, en matière d’innovation, il peut arriver que nous souhaitions utiliser tel ou tel service fourni depuis un autre pays - il faudra alors arbitrer. De manière plus générale, je pense que bien des atouts du cloud sont en réalité de faux besoins créés de toute pièce par les grands fournisseurs. Nous ne pouvons pas nous laisser simplement emmener sur ce terrain et négliger nos obligations, si l’on pense à la Loi sur la protection des données ou au secret de fonction.

On voit le thème de la souveraineté gagner en importance, également dans d’autres pays. Pensez-vous que les géants du cloud vont s’adapter à cette nouvelle donne?

Je pense qu’il est important de donner des signaux forts et clairs sur ce qui est acceptable ou non. Je ne pense pas faire plier les grands éditeurs, mais on voit que les lignes bougent. Alors qu’au début on était en quelque sorte mis devant le fait accompli avec un service fourni uniquement depuis les Etats-Unis, les exigences ont fait que les grands fournisseurs proposent désormais leurs services depuis l’Europe, voire depuis la Suisse. On voit aussi en Allemagne l’une de ces sociétés établir une entité locale avec un opérateur du pays. Il s’agit donc de ne pas renoncer, de signifier que nous sommes attachés aux aspects juridiques et à la souveraineté, de montrer que nous sommes disposés à collaborer mais à des conditions acceptables.