Abonnez-vous Identifiez-vous

Identifiez-vous

Vos codes d'accès sont erronés, Veuillez les saisir à nouveau. Mot de passe oublié ?

"Nous avons tout intérêt à voir émerger des cloud français et européens", confie Raphaël Viard, directeur technique de SNCF

Ridha Loukil , , , ,

Publié le

Entretien Dans le cadre de sa transformation numérique, la SNCF veut migrer 60 % de ses applications informatiques dans le cloud public d’ici 2021. Pour cela, elle a sélectionné trois fournisseurs tous américains : Amazon Web Services, Microsoft Azure et IBM. Un choix qui soulève de nombreuses interrogations. Raphaël Viard, directeur technique du géant ferroviaire français, répond aux questions de L’Usine Nouvelle.

Nous avons tout intérêt à voir émerger des cloud français et européens, confie Raphaël Viard, directeur technique de SNCF
Raphaël Viard, directeur technique de la SNCF
© SNCF

L'Usine Nouvelle - Comment avez-vous choisi vos prestataires de cloud public ?           

Raphaël Viard - Nous sommes passés par une procédure classique d’appel d’offres de marché public avec publication au journal officiel de l’Union européenne, le 28 juillet 2017. Seize candidatures ont été reçues, dont cinq entreprises européennes. Huit n’ont pas été en mesure de garantir les niveaux de sécurité exigés. Nous avons retenu au final les trois fournisseurs remplissant les critères de sélection. Il s’agit de Amazon Web Services, Microsoft Azure et IBM.

Selon quels critères avez-vous retenu ces trois fournisseurs?

Nous l’avons fait selon des critères techniques notamment en cybersécurité, de capacité d’accompagnement dans le projet de transformation, de certification de sécurité ou encore de capacité à garantir une localisation des données en France même si cette

condition n’était pas obligatoire. Nous avons appliqué une grille de qualification sur la base de trois familles de critères : exigences techniques (gestion des systèmes d’exploitation, des machines virtuelles, du stockage et des sauvegardes, gestion du réseau et de la sécurité, disponibilité des services…), services de support et d’accompagnement, plan d’assurance sécurité (cadre juridique, organisation de la sécurité, audit et contrôle, plan de continuité des services …) Nous avions aussi comme exigence de signer des contrats de droit français, sans engagement de volume. La consultation est publique et adresse les marchés de l’Union européenne. Nous n’avions pas le droit d’écarter des fournisseurs sous prétexte qu’ils étaient étrangers. Seuls trois ont passé avec succès tous nos prérequis.

Pourquoi les candidats français et européens ont-ils été recalés ?

Les candidats européens et français n’ont pas été recalés. Les certifications de sécurité exigées ont amené certains candidats à se retirer de la consultation. Nous demandions, par exemple, que le fournisseur soit audité chaque année par un organisme indépendant et que nous ayons accès aux résultats de l’audit. Nous aurions aimé retenir des cloud français et européens. Nous voulions avoir le plus d’acteurs référencés possible pour faire jouer la concurrence et disposer des meilleurs services aux meilleurs prix. Mais la loi nous interdit de tordre la concurrence pour favoriser des fournisseurs au détriment d’autres. Nous avons choisi d’être très exigeants en matière de sécurité et sûreté. Abaisser nos exigences dans ces domaines n’était pas envisageable pour la SNCF

 

"Les applications relevant de notre statut d’opérateur d’importance vitale restent en interne"

Les trois fournisseurs sélectionnés sont tous américains. Est-ce que cela est compatible avec le statut d’opérateur d’importance vitale de la SNCF ?

Il faut revenir à l’objectif de notre projet : construire un nouveau socle numérique pour poursuivre la transformation de la SNCF. Nous mettons en œuvre deux politiques d’hébergement de nos 1 400 applications informatiques. La première consiste à en garder 40% en interne dans des espaces loués à des hébergeurs informatiques dans des datacenters en France. Nous avons retenu pour cela l’hébergeur Equinix. La deuxième vise à migrer les 60% autres applications sur le cloud public.

Les applications relevant de notre statut d’opérateur d’importance vitale n’en font pas partie. Elles font partie des applications que nous avons décidé de garder en interne soit dans un cloud privé soit dans une infrastructure traditionnelle. Pour cette partie, nous respectons scrupuleusement nos obligations vis-à-vis du RGPD et de la loi de programmation militaire. Nous orientons notre politique d’hébergement en fonction du type d’application et des contraintes techniques et légales. Pour une application de réservation de salle de réunion par exemple, il n’y a pas d’enjeu particulier de sécurité. Nous pouvons opter pour un hébergement à bas coût dans le cloud public. Mais pour une application temps réel ou sensible, nous privilégions un hébergement en interne.

Vous n’avez pas peur du Cloud Act, cette loi américaine qui donne au gouvernement accès aux données gérées par les acteurs américains du cloud ?

Notre approche est basée sur l’évaluation du risque pour chaque application et les données qui y sont stockées. Nous avons fait le choix de conserver les applications critiques en interne et de crypter certaines données des applications hébergées dans le cloud public. Bien sûr, nous surveillons ce risque d’intrusion avec la plus grande attention. Nous estimons que cela n’est pas un critère discriminant pour toutes nos applications. Il va de soi que la meilleure protection contre le Cloud Act est assurée quand les données restent en interne. Mais cette exigence ne concerne qu’une infime partie de notre système d’information. Pour le reste, nous devons construire un système d’information plus agile qui favorise la productivité des collaborateurs et qui permette de valoriser notre patrimoine de données. 

Avez-vous obtenu l’approbation par l’Anssi de votre choix ?

Nous n’avions pas besoin de l’approbation de l’Anssi puisque les applications relevant de notre statut d’opérateur d’importance vitale restent en interne. Elles ne sont pas concernées par la migration vers le cloud public. Ceci étant, nous agissons de façon responsable et travaillons étroitement avec l’agence sur la façon d’assurer au mieux la sécurité des éléments vitaux de notre système d’information. Nous suivons avec intérêt la démarche de certification SecNumCloud mise en place par l’Anssi. Quand il y aura des cloud publics certifiés SecNumCloud satisfaisant aux besoins de la SNCF, nous nous poserons alors la question de migrer des applications que nous avons décidé de garder aujourd’hui en interne.

Dans ces conditions, peut-on espérer voir émerger un cloud français et européen ?

Nous avons tout intérêt à voir émerger des acteurs français et européens du cloud forts et pérennes. Mais le niveau d’investissement chez les acteurs américains reste beaucoup plus élevé. C’est ce qui fait la différence sur le marché. Nous voulons avoir le panel le plus large possible de fournisseurs pour négocier les meilleurs prix et accéder aux services les plus performants. Le fait d’avoir des acteurs français donne incontestablement des avantages de proximité en matière de R&D et de langage par exemple. Avec des fournisseurs américains, nous sommes obligés de le faire à distance et en anglais. C’est plus compliqué. A titre personnel, je ne peux que souhaiter le développement de cloud français et européens. Mais ceci ne peut se faire qu’à l’échelle européenne. 

Réagir à cet article

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte
Suivez-nous Suivre Usine Nouvelle sur Facebook Suivre Usine Nouvelle sur Twitter RSS Usine Nouvelle