Avec Delos Cloud, SAP assure la continuité des services Azure en Europe

A l’occasion du sommet franco-allemand sur la souveraineté numérique qui s’est déroulé à Berlin le 17 novembre, SAP a multiplié les partenariats avec des entreprises françaises. L’éditeur allemand a en particulier signé deux accords distincts pour assurer la résilience des services Microsoft en France en cas de crise majeure. Le premier a été noué entre SAP Delos Cloud - une plateforme reposant sur Microsoft Azure, mais opérée et gouvernée localement par SAP, avec certification BSI pour garantir la conformité et la sécurité des données sur le sol allemand - et le cloud Bleu d'Orange, Capgemini et Microsoft - sur base Azure encore - en cours de certification SecNumCloud. Les deux parties assurent « une assistance mutuelle pour une coopération transfrontalière en cas de crise ou d'urgence majeure. Cet engagement inclut une coopération technique et opérationnelle afin de garantir une réponse rapide et coordonnée aux crises, même dans des situations extrêmes, telles qu'un conflit armé ou une cyberattaque ». Ce partenariat vise notamment à renforcer les capacités transfrontalières de détection précoce, d'analyse, de défense et de remédiation des cyber-incidents.

En complément de cet accord avec Bleu, SAP a signé un partenariat spécifique avec Microsoft pour garantir la continuité de service du fournisseur américain en cas de crise. Dans un communiqué, les deux sociétés indiquent que l’engagement « confère à la filiale de SAP les capacités juridiques et techniques nécessaires pour fournir des services cloud si un gouvernement hors d'Europe restreint l'accès aux services cloud de Microsoft pour certains clients ». Dans ce cadre, les clients auraient la possibilité de migrer leurs charges de travail vers Delos Cloud.

Les Etats-Unis, un facteur imprévisible

Si les communiqués n’évoquent pas ouvertement les Etats-Unis comme potentiel risque, les analystes estiment que ces accords visent principalement cette menace. Pour eux, il est très improbable que l'UE et le Royaume-Uni, ainsi que les autorités de régulation d'autres régions comme le Japon, l'Australie et le Canada, bloquent les services cloud de Microsoft. Par contre, les Etats-Unis représentent un facteur imprévisible avec la capacité d’interdire aux fournisseurs américains de cloud d'assurer leurs services en Europe. Danilo Kirschner, directeur général de Zoi, cabinet de conseil européen spécialisé dans le cloud, a souligné auprès de notre confrère CIO : « Cet été, le gouvernement américain a pris des décisions illogiques et absurdes. Du point de vue européen, nous devons nous préparer à toute éventualité.» Il fait ici référence à l'affaire de la suspension des comptes Microsoft des juges de la Cour pénale internationale sous la pression de l'administration Trump.

Dario Maisto, analyste senior chez Forrester, partage cette inquiétude : les États-Unis seraient probablement le seul gouvernement à tenter d'utiliser cette mesure de blocage. « Le problème majeur aujourd'hui n'est pas que l'UE coupe les ponts avec ces hyperscalers. Cela n'arrivera pas. Environ 75 % du marché européen est entre leurs mains », a déclaré l’analyste. Il ajoute « mais que se passerait-il si l'administration américaine actionnait le mécanisme de kill switch (arrêt d’urgence) ? Ce serait une instrumentalisation des technologies de l'information, car les États-Unis sont conscients de cette dépendance. » 

Un accord techniquement non viable dans la durée

Concernant l’accord entre SAP et Microsoft, les deux analystes considèrent que « les principaux problèmes sont d’ordre technique ». En effet, la bascule envisagée par le partenariat ne serait pas viable au-delà d’une période relativement courte, car Microsoft ne pourrait plus assurer le support.  « Combien de temps la plateforme Microsoft peut-elle survivre sans mises à jour dans le cloud Delos ? », a demandé Dario Maisto. « Auront-ils le temps de migrer leurs charges de travail ? » Danilo Kirschner était encore plus catégorique. « Bien que l'accord satisfasse aux exigences de souveraineté de l'EUCS [NDLR : système européen de certification de cybersécurité pour les services cloud] en transférant juridiquement le contrôle, la réalité opérationnelle est bien plus risquée. Disposer de la technologie ne signifie pas posséder le savoir-faire nécessaire pour l'exploiter », constate l’analyste.

Il ajoute « Azure représente des millions de lignes de code mises à jour quotidiennement. L'exploitation d'une version de secours, déconnectée du réseau mondial de veille et d'ingénierie de sécurité de Microsoft, risque d'entraîner une dégradation rapide de la sécurité et une stagnation des fonctionnalités ». Pour lui, le scénario catastrophe sous-jacent à l’accord « occulte une réalité physique : une déconnexion du réseau électrique mondial entraînerait un besoin immédiat et massif de gestion d’infrastructures et de ressources énergétiques indépendantes pour soutenir des charges de travail hyperscale qui n’ont jamais été conçues pour fonctionner de manière isolée ». Il observe par ailleurs que « si Delos/Bleu devait prendre le relais en cas de crise, ils le feraient sur un réseau sans aucune capacité tampon et sans possibilité de déplacer les charges de travail vers une autre région pour équilibrer la charge, ce qui est pourtant la procédure standard de Microsoft ».  Autre point d’attention, la partie matérielle, « Azure repose sur des serveurs et des équipements réseau hautement spécialisés et conçus sur mesure. Si les tensions géopolitiques sont suffisamment fortes pour bloquer l’accès aux logiciels, comment vous procurerez-vous le matériel propriétaire spécifique nécessaire pour réparer ou étendre cette infrastructure sans enfreindre les mêmes sanctions ?» s’interroge Danilo Kirschner. Par ailleurs, si la crise dure « la plateforme Azure aura évolué » et « comment expliquer aux DSI que leur environnement de secours deviendra à terme une impasse technologique nécessitant une reconstruction totale pour se reconnecter au réseau mondial ? » glisse l’analyste.

Répondre aux préoccupations des entreprises

Abstraction faite des préoccupations techniques, la simple tentative de créer un tel partenariat indique que Microsoft prend au sérieux la menace d'un mécanisme d'arrêt d'urgence, ou du moins qu'elle estime que les dirigeants d'entreprise sont suffisamment préoccupés pour entreprendre cette démarche afin de les rassurer. « Cet accord devra être mis à l'épreuve devant les tribunaux une fois le problème survenu, et il sera peut-être trop tard », a déclaré Dario Maisto de Forrester. « Il s'agit moins de conformité que de gestion des risques. La probabilité est, à mon avis, extrêmement faible, mais l'impact serait considérable. »

Danilo Kirschner a déclaré que la finesse marketing de l'accord Microsoft/SAP mérite des éloges. « Cet accord est un coup de maître stratégique qui transforme efficacement le cloud souverain, d'un obstacle à la conformité, en un plan de reprise d'activité après sinistre », souligne-t-il. « En offrant une option d'accès d'urgence permettant à des partenaires locaux comme Delos et Bleu d'accéder au code source en cas de rupture géopolitique, l'UE tente de garantir la souveraineté et la résilience numériques en situation de crise. Mais est-ce vraiment possible ? ». L’analyste rappelle qu’il n’y a pas de véritable alternative en Europe et que 75% des services cloud en Europe sont gérés par les fournisseurs américains.