Directeur général adjoint d’Open, Philippe Kanony revient sur la montée en puissance du thème de la souveraineté technologique, sur ses implications concrètes pour les clients publics et privés, et sur la manière dont Open adapte ses recommandations. Pour lui, l’enjeu ne se limite pas à la nationalité des fournisseurs : il touche aussi à la dépendance, à la résilience, à la réversibilité et à la capacité des organisations à faire des choix pragmatiques.
Channelnews : La souveraineté technologique est devenue un thème omniprésent. Comment analysez-vous cette prise de conscience ?
Philippe Kanony : Elle est très nette. Avec Frédéric Sebag, nous avons participé fin avril aux Rencontres numériques de Strasbourg, organisées par Numeum et le Cigref, qui réunissent des représentants de toute la profession, des DSI, des DNUM, des CIO, des grandes organisations publiques et privées. En regardant l’agenda, on voyait deux sujets partout : la souveraineté et l’IA. Tous les ateliers, ou presque, comportaient l’une ou l’autre de ces dimensions, souvent les deux.
Nous avons déjà lancé pas mal de choses depuis plusieurs années pour adresser ce sujet. Mais là, il est vraiment partout. Ce qui frappe aussi, c’est que le sujet est complexe, protéiforme, et que tout le monde n’a pas le même niveau de maturité. Cela oblige à l’aborder de manière très concrète et très pragmatique.
Que mettez-vous derrière le terme de souveraineté ?
C’est justement l’une des difficultés. Tout le monde s’accorde à dire que le terme est vaste et qu’il est utilisé sous des angles différents. Pour moi, deux grands axes ressortent : la dépendance et la résilience, c’est-à-dire la continuité de service.
On a souvent tendance à aborder la souveraineté sous l’angle de la nationalité de l’éditeur ou de la solution utilisée : les puces viennent de Chine, le logiciel est américain, peut-on remplacer tout ou partie par des solutions françaises ou européennes ? C’est bien sûr un sujet important, mais ce n’est pas le seul. La question n’est pas seulement de savoir si l’on peut substituer des logos français ou européens à des logos américains. Il faut aussi regarder la dépendance créée, le risque de rupture d’approvisionnement, la capacité à continuer à fonctionner et la possibilité de faire marche arrière.
Comment Open s’est-il emparé de ce sujet ?
Nous l’avons pris depuis plusieurs années sous l’angle des alternatives souveraines, donc sous un angle très technologique, mais pas par idéologie. C’est d’abord du pragmatisme. Une partie de notre chiffre d’affaires est réalisée dans le secteur public et dans des environnements contraints, notamment auprès d’organismes d’importance vitale. Ce sujet est donc devenu important assez rapidement pour nous.
Nous travaillons bien sûr avec les grands acteurs américains. Nos grands comptes nous demandent de l’AWS, du Microsoft, du Salesforce. Mais, sur le Cloud notamment, cela fait quatre ou cinq ans que nous développons des relations avec des partenaires souverains. Pour nous, cela recouvre des acteurs comme OVHcloud, Scaleway, mais aussi des offres comme Bleu pour Microsoft Azure ou S3ns pour Google Cloud, dans la logique SecNumCloud.
Les offres souveraines adossées à des technologies américaines apportent-elles une réponse suffisante ?
Elles apportent une réponse. Quand ils ont été interrogés sur les sujets de rupture d’approvisionnement et les lois extraterritoriales lors de leurs auditions à l’Assemblée nationale en mai dernier, Microsoft et Google ont invoqué Bleu et S3ns. Leur position est de dire que seule la technologie est utilisée, et que les couches de gouvernance au-dessus garantissent une immunité aux lois extraterritoriales. La seule dépendance serait donc technologique.
Je pense que si, demain, Microsoft ou Google venaient à couper le cordon, Dieu sait pour quelle raison, il y aurait une capacité de résilience de Bleu ou de S3ns. En restant sur la dernière souche active, leurs services devraient pouvoir continuer à tourner quelques mois – quoique probablement en mode un peu dégradé. Mais quand on parle de “quelques mois”, est-ce deux mois ou douze mois ? Ce n’est pas la même chose. Si c’est douze mois, on peut imaginer que la situation ait le temps d’être résolue. Si c’est un ou deux mois, c’est beaucoup plus compliqué.
Les acteurs français ou européens sont-ils pour autant totalement à l’abri des lois extraterritoriales et de ces risques de saisie de données ?
Le sujet est moins évident mais il existe aussi des débats juridiques extrêmement techniques autour de l’exposition d’acteurs européens et français. Il y a par exemple eu des discussions autour d’une demande de saisie de données chez OVHcloud par un juge canadien. L’entreprise considère ne pas être tenue de les transmettre, mais on entre alors dans des débats de droit international et de propriété intellectuelle très complexes qui ne sont pas toujours aussi clairs qu’on imagine.
Open peut-il se présenter comme un acteur souverain ?
Oui. Open a une particularité : à l’exception d’une centaine d’ingénieurs en Roumanie, nous sommes quasiment 100 % “bleu blanc rouge”, avec environ 4.000 collaborateurs en France. Nous avons donc un positionnement d’acteur de services souverain.
Cela compte d’autant plus que, dans le Cloud, une très large part de la dépense européenne part vers les États-Unis. Le chiffre que j’ai en tête est de 83 % sur environ 400 milliards d’euros de dépenses Cloud en Europe. Cela donne une idée du niveau de dépendance.
Dans quelle mesure orientez-vous vos clients vers des technologies produites en Europe dans vos préconisations ?
Notre approche repose sur quelques principes : elle est agnostique, adaptée au contexte, best of breed et réversible. Il n’y a pas de réponse générale. Tout dépend du contexte du client, du degré de sensibilité des usages, des contraintes réglementaires et opérationnelles. Et il faut pouvoir rétropédaler, faire marche arrière. La réversibilité est essentielle.
Cette approche existait déjà chez nous, mais elle a été formalisée depuis trois ou quatre ans, avec la montée en puissance de nos activités dans le secteur public, la doctrine cloud au centre et le label SecNumCloud.
La demande souveraine progresse-t-elle dans le secteur public ?
Elle est déjà très forte, mais elle ne progresse pas partout de la même manière. Dans le secteur public, il y a plusieurs sphères. La première est la sphère très régalienne : ministère des Armées, ministère des Finances, DGFiP, sécurité intérieure. Ces acteurs ont construit leurs propres clouds. La DGFiP a Nubo, le ministère de l’Intérieur a PI. Open a d’ailleurs aidé le ministère de l’Intérieur à construire PI et l’accompagne dans son déploiement.
Ensuite, il y a le reste du secteur public, avec une approche plus hybride. Les organisations distinguent ce qui est réellement sensible, et qui doit s’appuyer sur des solutions offrant des garanties fortes, de ce qui l’est moins et peut continuer à utiliser des solutions plus classiques. Enfin, il y a les petites collectivités et petits établissements, où la contrainte budgétaire est très forte. Or les solutions souveraines ou SecNumCloud ont souvent un premium. À l’époque de la création de Bleu et S3ns, on parlait de 10 à 15 % de surcoût.
La prise de conscience va-t-elle accélérer les choses ?
Oui, mais cela prendra du temps. On voit néanmoins des signaux. La fusion entre la Dinum et la DITP va dans ce sens. Dans un ministère que nous avons rencontré récemment, il nous a été demandé de fournir notre feuille de route sur les dépendances aux acteurs tiers non souverains. Cela montre que le sujet devient très concret.
Il y a cependant une ambiguïté persistante entre l’échelle nationale et l’échelle européenne. Le code de la commande publique est régi au niveau européen. On peut poser certaines contraintes européennes, mais la préférence nationale n’existe pas dans le public. Dans le privé, les entreprises font ce qu’elles veulent. Dans le public, un acheteur peut intégrer une contrainte européenne dans ses clauses, mais pas simplement écrire qu’il veut acheter français.
Le fait qu’Open produise essentiellement en France devient-il un critère de choix ?
Oui, je pense que c’est un critère, mais il est souvent non écrit et non dit. Dans le public, il ne peut pas être formulé comme une préférence nationale. En revanche, nous avons récemment été sollicités par des partenaires plus gros que nous, sur des sujets où ils avaient besoin de s’allier avec un acteur capable d’apporter une forme de caution de souveraineté.
Faut-il aller vers une préférence nationale ou européenne ?
Européenne, oui. Nationale, c’est plus compliqué. Depuis des années, nous avons construit un cadre européen. Revenir à une échelle purement nationale peut se comprendre dans certains cas très précis, mais la bonne maille est plutôt européenne.
Quels sont les prochains enjeux pour Open sur ce sujet ?
Le sujet ne se limite pas aux technologies. Il touche à la gouvernance, aux processus, à l’organisation, à l’acculturation des clients. Les partenariats avec des acteurs souverains comptent, bien sûr, qu’il s’agisse d’OVHcloud, de Scaleway ou d’acteurs de l’IA comme Mistral AI. Mais l’enjeu principal est d’aider les clients à prendre les bonnes décisions selon leur niveau de risque, leurs contraintes et leurs moyens.
Notre rôle est de les accompagner dans ces arbitrages, sans dogmatisme. La souveraineté ne doit pas être un slogan. Elle doit se traduire par des choix concrets, mesurés et réversibles.