Ce résumé d’un rapport de Clotilde Bômont présente les enjeux et défis associés à l’utilisation du cloud, pilier de la transformation numérique pour les armées françaises. L’importance des enjeux industriels et de souveraineté, notamment face à l'extra-territorialité des lois américaines, est plus particulièrement mise en lumière.
Les opinions exprimées dans cet article n'engagent pas le CNAM.
Les références originales de ce texte sont : « Le cloud défense: défi opérationnel, impératif stratégique et enjeu de souveraineté », écrit par Clotilde BÔMONT. Ce texte, ainsi que d’autres publications, peuvent être consultés sur le site de l’IFRI.
Le ministère des Armées français a décidé de faire de l’informatique en nuage – ou cloud computing – l’un des piliers de sa transformation numérique. Recourir au cloud suppose néanmoins d’externaliser en partie la gestion des ressources informatiques, ce qui pose de nombreux défis d’ordre technique et culturel, mais aussi politique et industriel. À l’impératif de maîtrise technologique s’ajoutent en effet des enjeux stratégiques capitaux ayant trait à des questions d’autonomie et d’influence. Le cloud défense dépend donc autant de la capacité des armées à adapter la technologie à leurs exigences sécuritaires et opérationnelles, que des partenariats industriels mis en place par le ministère, et des politiques nationales sur le sujet.
De la RMA au cloud défense : en marche vers l’infogérance
À partir des années 1970 et dans un contexte de guerre froide, les agences américaines de défense investissent massivement pour développer les technologies informatiques et électroniques. Ces dernières bousculent profondément l’organisation et la conduite de la guerre, au point d’être parfois considérées comme une « révolution dans les affaires militaires ». Cette rupture a embrassé simultanément les champs de l’organisation bureaucratique (concept de Transformation) et de la doctrine d’emploi (Network-Centric Warfare). S’inspirant des stratégies américaines mais adoptant une approche plus progressive, les armées françaises entament elles aussi leur numérisation dès les années 1990 (numérisation de l’espace de bataille).
La numérisation s’opère par la mise en données du monde réel, soit sa transcription en langage informatique, et par la mise en réseau des divers récepteurs, soit l’interconnexion des décideurs, des effecteurs et des senseurs. Conséquences directes, la prolifération des données et la complexification des systèmes d’information et de communication (SIC) posent plusieurs défis tels que le stockage, l’exploitation et la discrimination des données, l’interopérabilité des systèmes, ou encore la maîtrise des compétences liées aux technologies de l’information et de la communication (TIC). Développé dans les années 2000 par le secteur civil, le cloud est alors apparu comme une réponse aux nouveaux besoins informatiques des armée.
Le cloud est un mode d’organisation des systèmes d’information (SI) qui repose sur l’infogérance, c’est-à-dire l’externalisation par l’utilisateur de la gestion de ses ressources informatiques (serveurs, plateformes, applications, données…) auprès d’un fournisseur de services. Ce dernier met alors ses capacités de stockage et de calcul à la disposition de son client, sur un principe de location. Ce fonctionnement présente de nombreux avantages pour le ministère des armées, tant sur le plan opérationnel, puisque le cloud contribue à augmenter la capacité informationnelle des forces (meilleure appréciation situationnelle, accélération de la boucle Observe, Orient, Decide, Act – OODA, mutualisation des informations) que sur le plan organisationnel (rationalisation et optimisation des ressources, augmentation de la productivité). Il est aujourd’hui considéré comme un prérequis à l’intégration d’autres technologies émergentes (internet des objets, intelligence artificielle, 5G/6G, etc.). Le cloud étant initialement une technologie civile, son adaptation aux besoins et aux exigences du ministère peut toutefois poser problème, notamment du fait des différences culturelles importantes entre les entreprises du numérique, « agiles » et fonctionnant sur des cycles courts, et le monde militaire, hiérarchique et bureaucratique.
Dans les années 1990-2000, la numérisation des armées se heurte à divers écueils : développement cloisonné des systèmes, méfiance à l’égard de l’externalisation, blocages culturels entre armées. Le ministère décide alors de créer en 2003 une organisation pour jouer le rôle d’opérateur unique et interarmées : la Direction interarmées des réseaux d’infrastructure et des systèmes d’information (DIRISI), qui portera les premiers travaux sur le cloud défense, dont le projet d’Infrastructure communicante adaptée sécurisée (INCAS). Le cloud défense tarde néanmoins à voir le jour et ce n’est qu’à partir de 2018 que les initiatives s’accélèrent, à la suite de l’annonce par le gouvernement d’une doctrine nationale sur le cloud. De nombreux chantiers sont alors initiés au sein du ministère et sont placés sous le pilotage de la Direction générale du numérique et des systèmes d’information et de communication (DGNUM), créée pour orchestrer la transformation numérique du ministère. L’annonce le 17 mai 2021 d’une nouvelle « Stratégie nationale pour le cloud » vient cependant bouleverser les travaux entrepris. La nouvelle stratégie se veut davantage en cohérence avec le projet européen GAIA-X et l’écosystème industriel national, mais apporte de profonds changements puisqu’elle prévoit le développement d’un cloud commun à l’ensemble de l’administration française, en lieu et place de solutions ministérielles harmonisées. Aussi son impact sur les démarches entamées par le ministère des Armées est-il encore incertain.
Adapter le cloud aux spécificités
du ministère des Armées
Le ministère héberge, produit et manipule des informations dont la sensibilité peut être très élevée. La migration vers le cloud doit donc impérativement en tenir compte pour garantir la sécurité des données. Elle implique de repenser les systèmes de classification à l’aune des technologies numériques. L’infogérance pouvant présenter un risque pour la confidentialité, l’intégrité et la disponibilité des données, il convient également de définir les modalités d’externalisation (prestataire ou opérateur interne, infrastructures sur site ou hébergement distant, nature des SI externalisés, etc.).
La mise en place de solutions cloud communes à l’ensemble du ministère suppose également de prendre en compte la diversité et les spécificités des personnels, dont les besoins et les attentes vis-à-vis du cloud diffèrent selon leur métier (combat, administratif, santé, formation, restauration…) et dont les cultures numériques sont variables. La difficulté de recrutement dans les fonctions SIC pourrait cependant entraver le développement du cloud défense.
Le cloud pouvant contribuer à la capacité informationnelle des forces, il est aussi voué à intégrer l’infostructure de combat. Ce cloud tactique constitue alors le support technologique permettant l’interconnexion des différents systèmes déployés en opérations, des centres de commandement jusqu’aux terminaux embarqués, grâce à des dispositifs projetables sur les théâtres. La connectivité aléatoire, le besoin de mobilité des équipements, le déploiement des infrastructures en environnement hostile et le manque d’interopérabilité entre les plateformes sont autant de contraintes auxquelles le cloud tactique doit pouvoir faire face pour assurer la continuité des opérations et la sécurité des forces. Des projets de cloud de combat sont en cours au sein des trois armées, à l’image des nouvelles générations des programmes aérien (SCAF) et terrestre (SCORPION) dont les SI reposeront sur du cloud. Pour favoriser le combat collaboratif, le cloud a également vocation à être multi-domaines (programme de système d’information des Armées, SIA) et interalliés (cloud otanien).
Un cloud non souverain
pour un ministère régalien ?
Si l’infogérance pose des enjeux techniques, culturels et organisationnels, elle présente également un risque géopolitique. Le marché mondial du cloud est largement dominé par les entreprises américaines (Amazon, Microsoft, Google…). Or le gouvernement américain dispose de lois à portée extraterritoriale, telles que le CLOUD Act, lui permettant d’accéder aux données gérées par un fournisseur, y compris celles hébergées hors du territoire étatsunien, et celles relatives à des organisations ou des citoyens étrangers. Dans ces conditions, recourir à un prestataire soumis à une juridiction autre que la juridiction française (ou européenne) présente un risque important pour la sécurité des données du ministère des Armées et pose, en sus, des enjeux de souveraineté. Cependant, les entreprises françaises peinent à rivaliser avec les géants américains, techniquement performants et économiquement compétitifs. Les stratégies industrielles du ministère devront dès lors évaluer la part et la nature des risques acceptables. À la notion de fournisseur de technologies succède donc progressivement celle de partenaire stratégique.
La question industrielle est donc un élément central dans les stratégies cloud, ainsi que le démontre l’échec du projet américain JEDI (Joint Entreprise Defense Infrastructure), pendant du cloud défense français. JEDI devait permettre d’harmoniser les solutions cloud en proposant un socle architectural commun à l’ensemble du département de la Défense. Mais la concurrence entre les fournisseurs potentiels et les démêlés juridiques inhérents a conduit à l’annulation du projet qui, après révision, sera remplacé par le Joint Warfighter Cloud Capability.
En France, l’échec des initiatives pour développer des solutions cloud dites « souveraines » (Cloudwatt et Numergy) a montré les limites du marché local, et les réflexions stratégiques sont aujourd’hui conduites au niveau régional. Plusieurs démarches ont été entreprises dans ce sens, aussi bien par les institutions européennes que par les fournisseurs de services cloud eux-mêmes. Toutes les parties prenantes s’accordent effectivement sur le besoin d’ouvrir le marché du cloud à l’échelle européenne afin de permettre aux entreprises d’atteindre une taille critique. Cette dynamique a conduit au lancement en 2019 du projet européen GAIA-X qui vise à rendre aux Européens la « maitrise de leurs données » en facilitant le développement de la base industrielle européenne du cloud. La présence d’entreprises américaines et chinoises au sein du projet semble toutefois le rendre difficilement compatible avec les exigences du ministère des Armées.
Retrouvez l’intégralité du rapport sur le site de l’IFRI.
Par : Clotilde BÔMONT
Source : Institut Français des Relations Internationales