Birdz gère quatre millions de dispositifs IoT, essentiellement des compteurs d'eau connectés (pour des fonctions de télérelève), mais également des dispositifs de contrôle de la qualité de l'eau, de détection de fuite ou de contrôle de pollution. Des objets connectés que la filiale de Veolia déploie pour ses clients, collectivités, régies de gestion de l'eau ou industriels. L'entreprise, née en 2018 de la fusion de deux filiales de la multinationale, prolonge une histoire démarrée dès 2001 avec les premières instrumentations de compteurs d'eau. Depuis cette époque, les volumes ont évidemment explosé : « nous recevons 40 millions de messages radio par jour, générant 350 millions de données entrant sur nos systèmes », détaille Ludovic Millier, le DSI de Birdz, qui s'exprimait lors d'un atelier sur les Assises de la sécurité 2023.

Logiquement, en répercussion du mouvement vers le cloud amorcé par le groupe, la filiale IoT s'est intéressée à Google Cloud Platform dès 2018. « Avec BigQuery, on s'est aperçu qu'on pouvait traiter des To de données en quelques minutes ou secondes », indique le DSI. Birdz consolide donc ses bases de données historiques sur le datalake de Google et rebâtit entièrement son pipeline de données sur des services serverless disponibles sur GCP (Google cloud platform). « Nous voulions nous concentrer sur les services offerts aux clients », justifie Ludovic Millier. Mais le DSI reconnaît que ce choix peut soulever des questions chez certains clients, villes, collectivités ou délégataires du service public de l'eau. « Nos interlocuteurs avaient envie d'avoir leurs données hébergées et traitées en France, et d'être soumis uniquement à la législation française, observe le DSI. Disposer de datacenters en région parisienne (une des régions disponibles dans GCP, NDLR) ne suffisait pas dans certains appels d'offres. »

Un gestionnaire de clefs pour échapper à la législation américaine

Ce constat conduit Birdz à faire partie des premiers bêta-testeurs de l'offre de S3NS, la co-entreprise de Thales et Google. Pour mémoire, cette dernière, contrôlée par le groupe français de défense, vise à proposer l'offre GCP, mais en coupant tout lien de dépendance juridique avec le groupe californien. Ce cloud dit de confiance entend par ailleurs obtenir la certification SecNumCloud de l'Anssi. « Nos premiers tests visent à protéger nos données avec les contrôles locaux », précise Ludovic Millier. Il s'agit en réalité de la seule offre pour l'instant disponible chez S3NS, elle se déploie sur la région GCP mise en oeuvre depuis des datacenters en France et permet d'empêcher tout mouvement de données hors de cette région. Par ailleurs, l'offre est associée à un gestionnaire de clefs de chiffrement hébergé par Thales, associé à un mécanisme permettant de justifier et tracer les demandes de clefs. « Ainsi, une entreprise pourra refuser toute demande d'accès émanant de la justice américaine », glisse Jérôme Laude, ingénieur client chez S3NS, en référence aux législations extraterritoriales des États-Unis.

Objectif affiché de cette offre : offrir une intégration transparente aux utilisateurs de GCP. « La console est identique à celle de GCP, le démarrage est donc très simple », observe Ludovic Millier. Par exemple, lors d'une expérimentation avec un de ses clients, Birdz a ouvert à ce dernier un accès sur BigQuery via GCP et un second accès aux mêmes données via S3NS. « Pour notre client, passer de l'un à l'autre se traduit par une simple modification dans un script », reprend le DSI. Ce dernier a, par ailleurs, testé les capacités de passage à l'échelle de l'offre du cloud de confiance Thales/Google, tant vers le haut que vers le bas, sans modification technique de l'existant. « Même si on signe un contrat portant sur 400 000 compteurs, l'environnement technique va suivre », dit Ludovic Millier, qui dit être aujourd'hui en expérimentation avancée sur l'offre de S3NS.