(Petit rappel efficace du fournisseur Salesforce sur le cloud computing)

J’ai déjà parlé, sur ce blog, de cloud computing, en introduction d’une présentation (rapide et très incomplète) d’OpenStack. À l’époque, sans pour autant lui dénier tout intérêt, je considérais surtout le cloud comme un amas informe de technologies et usages pré-existants, agglomérés en un tout mal défini sur lequel on aurait tamponné un nom racoleur pour aguicher le commercial.
J’en suis revenu, je serais même prêt (pour certains usages, dans certaines conditions) d’en encourager l’usage. L’effort d’intégration de toutes ces technologies en un paquet homogène et efficace est, en tout cas chez certains fournisseurs, absolument hallucinant, et il y a réellement moyen de s’amuser, pour des prix dérisoires.
On n’est cependant pas encore près de pouvoir sauter dans le bain les yeux fermés, surtout pour des usages autres que strictement personnels. Les 3 problématiques classiques de sécurité/sûreté (disponibilité, intégrité, confidentialité) sont loin de recevoir des réponses satisfaisantes dans le cas particulier du cloud computing, vu l’opacité tant technique que juridique qui entoure ces questions.

Opacité technique d’abord. Car bien sûr les fournisseurs de cloud computing chargent leurs atouts marketing et apportent aux clients pléthores de garanties, en temps de disponibilité, en contrôle des accès aux serveurs physiques, en cloisonnement des machines virtuelles, etc. Mais tout cela ne reste que des mots, et en l’absence de toute norme et label délivré par des autorités tierces indépendantes, on reste dans le cadre de contrats de confiance où le garant et le vendeur ne font qu’un. Si les fournisseurs les plus sérieux font l’effort de se faire auditer (SAS70, ISO 27001, …), le fait est qu’aucune norme spécifique au cloud computing n’existe encore, et le fournisseur est seul décideur des contraintes techniques qu’il s’impose.
De plus, et à part dans des cas très spécifiques et contraignants, je ne vois pas comment le fournisseur peut garantir de façon crédible qu’il n’a pas accès aux données – réellement, je ne parle pas simplement d’une promesse de détourner pudiquement le regard. À un moment les données doivent être déchiffrées, ça passe par le CPU, la RAM, n’importe où, mais c’est là en clair, à la libre disposition de n’importe quelle sniffer bien planqué dans l’hyperviseur. Les cas hyper-contraignants étant ceux où on n’utilise le cloud que pour du stockage de données chiffrées, qu’on rapatrie pour traiter en local. Autant dire qu’on n’utilise pas de cloud dans ce cas.

Opacité juridique ensuite. Internet a toujours été (et sera vraisemblablement toujours) un nœud gordien juridique. Sans aller jusqu’aux aspects de cyberguerre – terme très à la mode lui aussi, au point qu’on se demande au final si l’informatique (ou plutôt son usage) ne va pas bientôt remplacer la météo dans les sujets des reportages-valises des JT – et simplement en se limitant à l’épineux problème de la circulation des données, les pays européens, qui attachent culturellement une très grande importance au contrôle des données personnelles, ne peuvent que constater une perte de contrôle plus ou moins totale, puisqu’il est difficilement possible de prédire le cheminement d’une donnée sur internet, et qu’il est donc aussi crédible d’y appliquer une législation européenne que toute autre législation qui autorise une exploitation plus ou moins totale.
Dans la pratique, l’Union Européenne a bien produit des directives notamment sur les données personnelles (et travaille actuellement à remettre ce texte à jour) et met en place des protocoles avec d’autres régions du monde pour limiter la casse (les États-Unis en premier lieu, puisque les entreprises du numériques recueillant des données informatiques personnelles sont massivement états-uniennes). Mais tout cela reste des accords de principe, l’UE n’a aucun contrôle direct sur ces entreprises, et ni les cultures ni les intérêts économiques de ces dernières ne les encouragent à faire plus que le minimum. C’est d’ailleurs aussi moyennement au goût des gouvernements, voir la réaction des États-Unis sur le projet de révision de la directive européenne sur les données personnelles. D’autant plus que les pays européens eux-même jouent la carte de l’hypocrisie lorsqu’ils font des demandes pour récupérer des données personnelles chez ces mêmes entreprises, sans que ces demandes soient toujours bien justifiées.
Et encore, on ne parle là que des données personnelles, censément protégées (pour nous autres petits nantis européens). Une entreprise envoyant des informations dans le cloud n’a finalement pas grand chose pour se protéger. Rajoutons enfin à tout cela notre ami le Patriot Act et des cas d’applications avérés histoire d’apporter un peu plus de confiance !

Où que je veux en venir…

On comprend ainsi pourquoi l’État français hésite fortement à exploiter les avantages (avantages certains je le rappelle, ne me prenez pas pour un rétrograde !) du cloud computing pour son administration très gourmande en données personnelles, ou d’en conseiller l’utilisation aux entreprises nationales. D’où l’idée lumineuse de promouvoir l’émergence d’un ou plusieurs champions locaux du cloud computing, conglomérats d’entreprises françaises donc, s’appuyant sur des baies de serveurs implantées dans nos contrées françaises, opérées par des mains françaises.
L’État est donc intervenue en demandant à la Caisse des dépôts d’injecter quelques 150 millions d’euros pris sur le grand emprunts (de l’argent public en somme), dans la promotion de ce(s) chevalier(s) blanc(s) du cloud computing.

Il y avait l’embarras du choix. On a en France plusieurs boîtes qui offrent depuis très longtemps des services d’hébergement sympas, bien fait, comme OVH [hébergeur de ce blog, ndlr], ou encore Gandi [ancien hébergeur de ce blog, ndlr] pour ne citer que les plus connus, et dont le fond de commerce est techniquement très proche du cloud computing (en tout cas du IaaS et partiellement du PaaS, entendons-nous bien).
Mais voilà, en France, on n’aime pas beaucoup soutenir les PME de niches, on préfère engraisser les gros. Les mauvaises langues ne manqueront pas de souligner que les entreprises bénéficiaires de la juste redistribution des richesses sont toujours les mêmes, et que leurs patrons, d’ailleurs, se passent régulièrement la main pour aller exercer quelque activité au service de l’État. Mais nous ne jouerons pas ici le jeu de la subversion et conserverons notre confiance inébranlable dans l’immaculée pureté de la démocratie française, dont l’actualité nous apporte quotidiennement des motifs de satisfaction et des garanties de bon fonctionnement, tant au niveau de l’efficacité de ses services qu’à celui de l’exemplarité de ses élites dirigeantes.
Donc au final, c’est Orange et Thalès d’une part, et SFR et Bull d’autre part, qui ont récupéré le bébé. Alors certes, les opérateurs de téléphonie apportent une expertise en termes de réseaux, et on peut attendre de Thalès et de Bull de la maîtrise informatique. Mais on fait le choix 1°) de promouvoir des acteurs dont le cœur de métier est étranger au cloud computing et 2°) de créer des structures complexes qui vont par nature drainer une part importante des ressources sans apporter de valeur ajoutée; parce que oui, et encore plus dans le cas de partenariats comme ici, l’inertie des services administratifs/financiers/juridiques/etc. des grosses entreprises est tout simplement démentielle.

Bon, soit, faut faire avec. Ces deux structures étant définies, il fallu leur donner un nom. Le mot Cloud, c’est un peu, il faut le reconnaître, une belle trouvaille. Bien opaque large, bien vaseux pêchu, tellement accrocheur, le terme est fait pour plaire aux services de com; et bien que la métaphore ne soit pas très viable sur le long terme (un nuage, un moment ou un autre, va bien finir par tomber en pluie, neige ou grêle, bref, dans l’idée ça va leaker de la donnée en tabernacle), on est d’accord pour dire que c’est pas trop mal comme nom.
Malheureusement, de ce côté de l’Atlantique, on comprend pas forcément grand chose non plus, et il faut encore ajouter à cela un manque criant d’imagination et du sens de la punch line. Les deux entreprises se sont ainsi retrouvées s’appeler Numergy (SFR et Bull) et Cloudwatt (Orange et Thalès).

…  C’est moche.

L’intérêt d’évoquer le secteur de l’énergie n’est non plus très clair. Personnellement, il y a des mots, des expressions que mon cerveau interprète à chaud; typiquement ici, quand j’entends énergie numérique, je comprends mega bullshit. Et ils en mettent partout les drôles : sites web, interviews, plaquettes, on se mange la quenelle d’énergie numérique à toutes les sauces.
Enfin bon, on va faire confiance au gens qui savent, aux marketeux, aux besogneux des agences de communication, et on va choisir de croire que c’est proprement génial.

Lors du lancement de leurs sites internet, en septembre 2012, ces deux structures avaient subi un copieux front de commentaires suffisamment taquins pour paraître carrément moqueurs. Pas tellement sur le fond, non, car de fait les fournisseurs ne proposaient encore rien de concret, et il n’est pas facile (bien que possible) de critiquer quelque chose qui n’existe pas. Mais sur la forme, ça y allait avec bonhomie, tandis que les PME sus-citées du secteur, déjà échaudées par le mépris affiché de l’État, faisaient savoir qu’elle n’appréciaient pas beaucoup le débauchage de leur ingénieurs par les deux nouveaux arrivants.

Quoi de neuf depuis septembre 2012 ?

Depuis lors, c’est à dire depuis environ 7 mois, quoi de neuf ? Et bien pas grand chose. Au niveau des nouvelles, à part des annonces de partenariat et autres déclarations, on ne peut que constater que niveau contenu, c’est toujours bien vide. On est d’accord, les fournisseurs ont des clients, probablement de grandes entreprises, des services de l’État, des collectivités. Il est aussi possible (j’attends toujours mon code) d’accéder au service en temps que bêta-testeur, sous certaines conditions jamais clairement explicitées (mais seulement pour le stockage – on se demande ce qu’il y a tester…).
Il n’empêche que l’offre largement accessible aux particuliers ou au PME parait encore bien lointaine – ou alors les fournisseurs sont capables de répondre individuellement à chaque demande arrivant dans leur boîte mail, et dans ce cas, chapeau.

En 7 mois, les deux fournisseurs n’ont pas non plus réussit à lisser leurs présentations pour se mettre à l’abri des critiques. Il serait certainement mesquin de s’interroger sur la pertinence d’une égérie comme Teddy Riner pour Cloudwatt, ou encore sur leur choix d’illustration de leurs différents services ([26/04/2017] : suite au rachat final et à la dissolution de Cloudwatt par Orange, les éléments rapportés ne sont plus accessibles). L’exaspération commence toutefois à nous gagner lorsqu’on fait l’effort de lire les petits paragraphes sur la droite :

Votre voyage a probablement commencé par la virtualisation des infrastructures déjà présentes dans votre entreprise. Ce qui ne signifie pas Cloud si vous la facturation des machines virtuelles à l’heure ou moins. Néanmoins, vous êtes sur le chemin qui vous amène à l’utilisation du IaaS en débordement pour des applications non critiques, des besoins ponctuels de scalabilité, des tests de développement sur un PaaS ou peut-être déjà plus loin avec un transfert de cette activité vers le Cloud publique.

C’est donc une longue route qui est devant vous, pavée de multiples bénéfices. Avec une connaissance de la fin pleine d’humilité : comme la prose de Mr Jourdain, le Cloud perdra son c majuscule et deviendra lui aussi un souvenir d’un siècle ou millénaire précédent. Comme l’est la disquette 3,5 pouces pour les jeunes diplomés.

Ça, quand même … ça fait très mal.
Le premier paragraphe nous fait sentir qu’il y a une noble envie , un louable effort d’aborder des points techniques. Malheureusement, ça semble un peu trop compliqué pour le rédacteur qui met tout le monde d’accord avec une phrase pleine d’allant : « Ce qui ne signifie pas Cloud si vous la facturation des machines virtuelles à l’heure ou moins. » Certes.
Mais le deuxième paragraphe n’a juste pas sa place ici ! Au-delà de la qualité discutable de la prose (mais peut-être que certains aiment, les rustres !), qui peut bien croire qu’une telle réflexion d’enfonçage de portes ouvertes – de celles qu’on échange avec quelques amis, à la fin d’une soirée (sûrement trop) arrosée, allongés sur une pelouse en regardant les étoiles – éveillerait un quelconque intérêt chez qui que ce soit ? Ça sort de nulle part, ça n’apporte rien. Vous vous imaginez, sur le site de Darty, un petit mot « Comme la prose de M. (et pas Mr, on est en France bordel, c’est même pour ça que t’existes !) Propre, la Machine À Laver perdra ses majuscules et deviendra elle-aussi un souvenir d’un siècle ou millénaire précédent. Comme l’est le lavoir pour les jeunes diplômés (ou non). » Sérieusement, un peu de pudeur quoi !

Numergy fait moins dans le clinquant, reste plus sobre dans sa présentation, mais parle vraiment beaucoup trop pour ne rien dire. On a beau chercher partout, on est incapable de trouver le moindre détail technique, la moindre gueule mal rasée, sale mais débonnaire d’un bon vieux geek qui nous lance un regard qui dirait « ce que je fais, ça roXxe !« .
C’est quand même hallucinant pour une entreprise censée apporter des solutions efficaces et novatrices dans un domaine éminemment technique : partout des commerciaux, des accords, de la communication, des managers, bref, clairement ce dont on se fout royalement. Et tant qu’il n’y aura rien pour réellement voir ce qu’on a mis sous le capot, ça ne restera qu’une coquille vide. Et 75 millions d’euros pour une coquille vide au bout de plus d’un semestre, c’est franchement inquiétant.

Mais ce que je trouve le plus dingue au final, c’est le fait que les offres prévues sont encore extrêmement restreintes. On ne parle quasiment que de stockage ! Oser affirmer que l’on propose un service de cloud computing, pour au final ne vendre que du stockage, c’est de la tromperie pur et simple !
Alors certes, on annonce (c’est dans les cartons, t’inquiète, dans 2 ans on est prêt !) aussi de l’instance virtuelle, de la puissance de calcul, de la scalabilité et tout et tout, mais ça reste (même dans les mots) si peu ambitieux, si timide qu’on va jusqu’à douter de l’existence réelle de ces projets.
En face, on a des boîtes comme Amazon ou Rackspace, qui sont sur le marché depuis bien longtemps et sont très loin de passer pour des amateurs. Amazon par exemple, ne se segmente pas en plusieurs offres peu lisibles et réductrices : on peut accéder de base à toutes les fonctionnalités. Ces dernières se gardent bien de se limiter au simple stockage, il suffit pour s’en convaincre de jeter un coup d’œil à la documentation officielle. Là on a du technique, du concret, du détail sur ce qu’on va pouvoir trifouiller. ÇA c’est du cloud. ÇA ça donne envie. Pas un rachitique montage NFS de 50 GB.

Mais voilà, Amazon, tout comme les autres principaux fournisseurs de cloud computing, n’est pas français, n’a même pas de baie de serveur en France. Alors ça fait paniquer (à raison) et ça fait prendre des décisions dans la précipitation. Et derrière, on peine à proposer quelque chose de crédible, en tout cas rapidement (même si 6 mois, en informatique, c’est trèèèès long).

Mais qui sait, peut-être qu’un jour, et alors je serais le premier à baisser mon chapeau, les fournisseurs nationaux atteindront le niveau actuel des concurrents installés. Mais ces derniers ne les attendront certainement pas, et malheureusement on pourrait craindre que Numergy et Cloudwatt perdront leurs majuscules et deviendront eux-aussi un souvenir d’un siècle ou millénaire précédent. Comme le sont les terminaux BlackBerry chez les jeunes diplômés…