Si le projet européen sur le cloud Gaia-X poursuit patiemment ses travaux, certains estiment que cela ne va pas assez vite. Au point que l’initiative peine à dépasser le stade de concept. C’est le cas de Volker Pfirsching, membre du comité de direction de la société de Arthur D.Little et responsable du Digital Competence Center. Nos confrères de Computerwoche l’ont interrogé sur différents sujets concernant Gaia-X.
Le projet européen de cloud Gaia-X - dont les représentants préfèrent parler d'une infrastructure de données européenne sécurisée - est resté discret. Est-il possible qu'il rejoigne l'une des nombreuses initiatives IT européennes qui n'aboutissent finalement à rien ?
Gaia-X est à tout le moins l'un de ces projets qui a démarré avec une bonne idée, mais qui n'a pas réussi à atteindre la masse critique ou à décoller réellement.
Comme l'idée d'un moteur de recherche européen ? Ou l'initiative européenne des paiements ? Ou le De-Mail en Allemagne ?
Il est effectivement possible d’établir ces comparaisons. Gaia-X a en fait pris un bon départ, ce qui a été apprécié par toutes les personnes impliquées. L'objectif était d'utiliser l'infrastructure cloud d'une manière aussi conforme que possible à la réglementation européenne et à la protection des données. Le problème est bien connu : si une entreprise européenne atteint aujourd'hui une certaine taille et poursuit une stratégie de cloud, elle peut difficilement éviter les hyperscalers américains comme Amazon, Microsoft, Google et IBM. Elle opère donc actuellement dans un cadre juridique incertain en termes d'utilisation de données dans des infrastructures dont les serveurs sont situés aux États-Unis ou dans d'autres pays en dehors de l'UE.
C'est pourquoi Gaia-X, dont l'idée est de développer une offre légale et sécurisée du cloud, a été généralement bien accueillie. Cependant, un problème de communication s'est posé dès le départ. Gaia-X n'a jamais été conçu comme une alternative aux offres des fournisseurs de cloud américains. Cependant, beaucoup l'ont compris de cette manière : Avec Gaia-X, vous pouvez acheter la souveraineté des données en Europe - tout comme vous pouvez le faire avec AWS, Microsoft et Google. Ce malentendu a duré longtemps, et la désillusion s'est rapidement installée après la vague d'euphorie initiale.
En quoi consiste réellement Gaia-X ?
Gaia-X a poursuivi l'objectif de créer une base commune ou un ensemble de règles communes pour un usage des données dans le cloud de manière légale. Comme de plus en plus de membres, grands et petits, ont rejoint l'écosystème, les objectifs sont devenus de plus en plus flous. Aujourd'hui, il s'agit d'une association peu structurée qui, à mon avis, fonctionne trop au niveau méta.
Il y a toujours une tentative de trouver des règles et des normes communes. On est encore loin de cas d'utilisation clairs et tangibles. Gaia-X n'est jamais sorti de ce gouffre théorique. Il n'a jamais vraiment atteint le point où les entreprises diraient : Je vois de la valeur là-dedans.
Cela signifie-t-il que Gaia-X est déjà mort ?
Je vois un grand danger, en tout cas, que le projet ne décolle jamais. Le fait que des membres importants se retirent peu à peu et que les fonds ne sont pas versés comme prévu n'est pas bon signe. La confiance dans l'initiative Gaia-X s'effrite. La question qui se pose est la suivante : s'agit-il d’un effet correctif qui conduira à une amélioration du contrôle et de la mise en œuvre ? Ou est-ce le début de la fin ?
Après tout, il y a une organisation globale qui contrôle l'ensemble, plus les hubs et les communautés correspondantes. À mon avis, il y a trop de groupes de discussion théoriques. Ce dont nous avons besoin maintenant, c'est d'une gouvernance claire qui garantisse que l'on se concentre sur un objectif et que les nombreux intérêts particuliers soient mis de côté. C'est le gros problème avec Gaia-X : Il y a trop d'acteurs, grands et petits, qui poursuivent tous leurs propres intérêts.
Quelques cas d'utilisation ont été lancés et des projets initiaux ont reçu des budgets pour démontrer des mises en œuvre exemplaires dans divers secteurs, mais l'image globale fait toujours défaut : À quoi ressemble réellement notre infrastructure cloud conforme à la réglementation ?
Les grands projets publics de l'UE et du gouvernement allemand sont généralement accompagnés de subventions ou de fonds de soutien qui attirent les entreprises les plus diverses. Peut-on espérer un véritable engagement ?
C'est ce que j'entends par intérêts particuliers : Des acteurs complètement différents sont à l'œuvre, des fournisseurs de datacenters aux opérateurs de cloud IaaS, PaaS et SaaS. Tout le monde veut prendre le train en marche. Et beaucoup ont maintenant atteint le niveau de la désillusion. Si l'on se réfère au célèbre Hype Cycle de Gartner, Gaia-X est à la croisée des chemins.
Soit l'initiative sombrera rapidement dans l'insignifiance, soit les responsables s'en rendront compte : Nous nous sommes trop longtemps limités à trouver un consensus à un méta-niveau au lieu de produire des cas d'usage créateurs de valeur ou des plateformes réellement utilisables par les entreprises. Jusqu'à présent, il n'y a eu pratiquement que des discussions sur ce à quoi pourrait ressembler un tel écosystème partagé.
Je soupçonne qu'un certain nombre de membres qui avaient participé à un moment donné parce qu'ils croyaient en son succès vont se retirer. Il n'est pas nécessaire d'avoir une boule de cristal pour prédire que cet exode est maintenant imminent. Mais je ne veux pas appeler cela la fin de Gaia-X pour le moment. Il pourrait aussi s'agir d'une purge salutaire.
Mais ce n’est vraiment pas agréable pour quiconque de n'avoir encore rien de tangible entre les mains après une si longue période...
C'est justement le problème : Les participants à ce projet n'ont pas encore trouvé grand-chose qui aille au-delà d'un concept théorique. Il existe quelques petits pilotes, mais ils sont très pointus et ne sont utiles que pour des cas d’usage très spécifiques. Si, en tant qu'entreprise, je devais poursuivre une stratégie de type « cloud first » ou même « cloud only », Gaia-X n'est pas un concept utilisable pour moi aujourd'hui.
Les entreprises n'ont pas d'autre choix que de s'adresser aux hyperscalers si elles recherchent une solution d'IA basée sur le cloud, par exemple. Rien n'a changé en ce qui concerne le problème fondamental : en tant qu'entreprise, puis-je ou non travailler avec les hyperscalers américains dans le respect du RGPD ? Où ai-je un problème à cause du Cloud Act, qui accorde toutes sortes de droits d'accès aux agences de sécurité américaines ?
Beaucoup de temps a été perdu avec Gaia-X. Le projet a débuté en 2019, et l'idée centrale selon laquelle tout le monde devrait être autorisé à jouer un rôle, y compris les hyperscalers eux-mêmes, a posé problème dès le début. À ce jour, il n'y a rien sur lequel les entreprises puissent s'appuyer, comme une plateforme en tant que service. Personne ne dira aujourd'hui « Ah, Gaia-X résout mon problème de protection des données de manière très concrète ».
Bien sûr, on peut dire qu'un tel écosystème, surtout s'il doit être open source, doit d'abord s'établir. Les fondations doivent d'abord être posées. Je reconnais le mérite du projet, et je pense que c'est une très bonne idée. Mais nous avons maintenant besoin d'une accélération significative en termes d'infrastructure utilisable par tous.
La présidente de la Commission européenne Ursula von der Leyen et le président américain Joe Biden ont récemment annoncé leur intention de s'attaquer ensemble au problème de la sécurité du cloud. Le Privacy Shield et le Cloud Act ne devraient plus affecter l'économie internationale des données. Cette annonce a-t-elle coupé le dernier souffle à l'initiative Gaia-X ?
Je n'en suis pas si sûr. Il y a encore beaucoup de scepticisme quant à un accord juridiquement sûr avec les États-Unis. Les espoirs des entreprises, du moins celles avec lesquelles j'ai discuté, ne sont pas particulièrement élevés à cet égard. Elles ne croient pas vraiment à une politique mondiale uniforme sur la protection des données personnelles.
Je pense également que l'Europe ne veut pas rester à la traîne en ce qui concerne les questions d'infrastructure numérique. Être totalement dépendant des grands acteurs américains pour l'infrastructure du cloud n'est pas une bonne chose pour l'économie européenne. C'est là que je continue à voir une opportunité pour Gaia-X. Nous devons offrir aux entreprises européennes une alternative aux hyperscalers qui soit au moins proche de la concurrence américaine en termes de fonctionnalités et de prix. Cette question est encore très discutée par les DSI et les CTO.
Gaia-X a en fait commencé un niveau plus haut : Elle voulait une infrastructure de données à plusieurs niveaux pour permettre aux clients de mieux répartir leurs données en fonction de leur criticité. C'est la raison pour laquelle ils ont fait appel à des hyperscalers, car les données non critiques peuvent également être conservées dans leurs environnements cloud américains. Ce qui manque encore aujourd'hui, c'est le plan de contrôle ou la plateforme à partir de laquelle les entreprises peuvent se lancer ?
Vous décrivez exactement le point crucial auquel est confrontée une entreprise qui veut utiliser les services de Gaia-X - même sans être membre. Il n'y a pas une seule entreprise, un seul service ou un seul site web où je peux commander. C'est pourquoi je parle de gouvernance : il n'y a pas d'institution qui aille au-delà de l'association Gaia-X, qui est plutôt un modérateur, et qui fournisse des applications réellement utilisables.
Il y a une jungle de constructions théoriques qui peuvent être correctes en termes de contenu, mais qui ne sont pas accessibles aux décideurs dans les entreprises. La question : « Comment puis-je utiliser Gaia-X de manière significative ? » ne trouve pas de réponse. C'est pourquoi j'appelle tout le monde à s'éloigner de la théorie et des discussions de niveau méta pour créer des services utilisables dans la pratique. Sinon, Gaia-X sera un échec.
Qui doit prendre des mesures concrètes ?
Le moment est venu de convaincre l'un des grands acteurs européens, par exemple un grand fournisseur de centres de données ou un opérateur de télécommunications comme Deutsche Telekom, Vodafone ou Orange, de prendre l'initiative sur le plan conceptuel et de développer et proposer une solution évolutive appropriée et basée sur Gaia-X. C'est la bonne chose à faire. Les politiciens ont également un rôle à jouer. Ils doivent cesser de distribuer les fonds comme un arroseur de pelouse. Il serait préférable de réfléchir à la manière de créer une grande cagnotte budgétaire et de l'utiliser pour mettre en place une infrastructure conforme à Gaia-X.
Le concurrent tant évoqué d'AWS, finalement ?
Non, ce n'est pas ce que je veux dire, mais il faut trouver quelqu'un, le mandater et le charger de mettre au point un produit à partir des différents concepts de l'écosystème Gaia-X. Les créateurs de Gaia-X doivent décider de l'utilisation de ce produit.
Mais cela signifie que les créateurs de Gaia-X doivent être parfaitement clairs sur la direction qu'ils veulent prendre. Le risque est grand que certaines des parties prenantes quittent le navire parce qu'elles ne voient plus leurs intérêts représentés.
C'est vrai, mais est-ce que ce serait si grave ? Le problème actuel est que nous n'en sommes pas encore là ! Pour l'instant, les personnes concernées ont le problème de ne pouvoir travailler sur rien parce que rien n'est encore là. Pourtant, de telles initiatives sont nécessaires pour avoir des retours d’expériences et que les choses puissent bouger. Il n'existe même pas de canal permettant aux grandes et moyennes entreprises de faire remonter leurs besoins ou leurs souhaits.
Vous pouvez devenir membre et ensuite essayer de mettre en œuvre vos exigences en matière de souveraineté des données, mais en réalité, cela ne vous coûtera que des efforts et de l'argent pour le moment. Vous ne serez pas en mesure d'en tirer quoi que ce soit de valeur pour l'utilisateur. Quelqu'un doit proposer quelque chose de concret qui permette la souveraineté des données et qui soit plus qu'un simple concept théorique - idéalement un PaaS sur laquelle tout le monde peut s'appuyer.
Ne serait-il pas logique que les autorités européennes agissent comme des clients majeurs et créent ainsi un désir sur le marché ? Elles pourraient dire : Nous n'utiliserons certains services que s'ils sont conformes à Gaia-X...
Je pourrais en effet très bien l'imaginer. De telles impulsions sont nécessaires pour créer davantage de pression et pour faire avancer ces nombreux petits bateaux dans une même direction au sein d'un réseau. Les autorités européennes ou le gouvernement allemand pourraient jouer un tel rôle, ou même l'Office fédéral allemand pour la sécurité de l'information (BSI). Il pourrait dire : Les infrastructures critiques doivent être mises en place pour être conformes à Gaia-X à l'avenir.
Comment Gaia-X est-il actuellement financé ? Une meilleure gestion des fonds permettrait-elle d'accélérer les progrès ?
Le financement est varié. Par exemple, il y a eu des projets financés par le gouvernement dans diverses industries qui ont été financés par le ministère allemand des Affaires économiques. Mais au final, ce sont les membres qui portent le projet et financent leurs propres cas d'utilisation. Ils ont également leurs propres intérêts spécifiques. La Commission européenne joue également un rôle à cet égard.
Malheureusement, ce n'est pas nécessairement la meilleure idée qui l'emporte, mais plutôt le concept qui s'intègre le mieux dans un schéma ou un cadre de financement. La demande est trop fortement découplée de l'allocation des ressources et des budgets. C'est pourquoi je pense qu'il faudrait également repenser les structures financières. Les projets qui ont une chance d'être appliqués aussi largement que possible devraient être financés par des fonds publics. En d'autres termes, nous devrions nous éloigner des cas d'usage étroits et nous orienter vers de larges possibilités d'application. Le mot-clé déjà mentionné est « platform as a service », qui peut ensuite être également utilisé pour les infrastructures critiques.
D'après tout ce que vous dites, Gaia-X a manifestement un immense problème de bureaucratie.....
Oui. Nous opérons ici dans un réseau européen. Bien sûr, nous avons l'Allemagne et la France comme acteurs forts derrière, mais c'était un concept fortement fédéral avec une grande diversité d'opinions dès le départ. Des mécanismes de prise de décision plus légers et une meilleure gouvernance seraient vraiment souhaitables ici.
Par ailleurs, je crains également que nous ne soyons plus capables d'innover assez rapidement dans d'autres domaines, car la grande promesse de Gaia-X est dans l'air et est soutenue par de nombreux acteurs. Le risque est que de nombreuses personnes attendent encore le big bang au lieu de faire avancer les choses rapidement et avec souplesse, par petites étapes réalisables. C'est pourquoi la purge qui se profile à l'horizon est une bonne chose.