Après EDF, c’est au tour de Dassault Aviation de choisir le cloud de “confiance” Bleu pour ses solutions collaboratives. “Cloud de confiance” c’est comme la “souveraineté numérique”, une sorte de mantra qui répété mille fois ne suffit pas à l’ancrer dans la réalité.

Bleu est une société de droit français, née de l’alliance entre Cap Gemini et Orange, dont on rappelle que l’Etat et la BPI sont actionnaires à hauteur de près de 23 %. Lesquelles se sont associées à Microsoft pour la partie technique.

Pour beaucoup, tel attelage relève ni plus ni moins que d’un cheval de Troie. On se rappelle que le recours, de manière directe, au géant américain et sa plate-forme cloud Azure pour le Health Data Hub, la plate-forme de données de santé, avait été particulièrement épinglé. L’idée est plus ou moins de passer par Bleu, société de droit français censée être plus à même de montrer patte blanche.

Donc Dassault s’en remet à Microsoft pour ses outils de type Office 365, webconférence, etc. N’y avait-il rien de mieux ? Qui puisse concilier technologie et sécurité face aux lois d’extra-territorialité, et notamment américaines ?

Rappelons que Dassault aviation est un acteur majeur de l’aéronautique militaire, que Dassault est un concurrent direct des Américains sur le marché mondial des avions de combat (Rafale versus F-35 ou F-18) et des jets d’affaires (Falcon versus Gulfstream ou Citation). Et que l’avionneur manipule donc des données ultra-sensibles, dans un contexte où la sécurité cyber est particulièrement sujette à caution en France. La France est le 2e pays au monde, après les Etats-Unis, où le piratage est devenu un sport national. L’Eclaireur vous en parlait là :

La Lettre confidentielle

[ Flash ] Cyber passoire

Patricia Cerinsek

·

Dec 17

Le ministère de l’Intérieur a été piraté. Des hackers revendiquent avoir mis la main sur les casiers judiciaires de 16 millions de personnes, ainsi que sur d’autres fichiers de police et donnent une semaine à la France pour négocier.

Read full story

Pourquoi le choix de Microsoft ? Pour “renforcer ses capacités de collaboration numérique”. C’est certes le talon d’Achille des clouds français et européens. Ne faudrait-il pour autant pas oublier que le gros, très gros, point faible de Microsoft, c’est sa sécurité. Le plus drôle, c’est que c’est le gouvernement français qui le soulignait en juillet dernier dans une alerte cyber.

Alors, pourquoi le choix de Microsoft ? Pour une “une protection optimale des données sensibles”, précise l’avionneur. La protection maximale des données sensibles est labellisée par la qualification SecNumCloud. Que n’a pas encore Bleu.

Donc, non seulement, Bleu n’est pas encore homologué – contrairement à des clouds 100 % français ou européens comme OVHcloud, Scaleway, Numspot ou Outscale – mais il faut rappeler que le référentiel n’est pas une garantie juridique absolue. Il s’agit surtout d’une certification technique et opérationnelle.

En 2024, la commission nationale informatiques et libertés (Cnil) plaidait d’ailleurs pour que des critères optionnels d’”immunité” aux lois extra-européennes dans les certifications soient ajoutés, reconnaissant que les schémas actuels ne couvrent pas tout.

D’après un rapport révélé par La Tribune et rendu par le cabinet d’avocats Green Traurig sur commande du ministère néerlandais de la justice et de la sécurité, les offres hybrides comme Bleu et S3NS (Thalès associé à Google) pourraient être soumises au Cloud Act. Pour échapper pleinement à la potentielle emprise US, il faut zéro lien avec des entités US – ce que les modèles hybrides comme Bleu ne satisfont pas totalement.

Le plus drôle dans l’histoire, c’est que c’est Microsoft lui-même qui l’admet. Lors d’une audition au Sénat en juin dernier, Antoine Carniaud, le directeur juridique de Microsoft France et Pierre Lagarde, le directeur technologique ont reconnu sous serment qu’ils ne pouvaient pas “garantir” une souveraineté totale, en raison des obligations légales US qui pourraient primer malgré les engagements contractuels.